Sellel paneelil saab valida mitme turbetööriista vahel. Klõpsake allpool linkidele, et neid paremini tundma õppida.
Turvalisus
“MSEC: süsteemi turvalisus ja audit” = Süsteemi turvalisuse, õiguste ja auditi seadistamine
Tööriist msecgui[43] on programmi msec graafiline kasutajaliides, mis võimaldab seadistada süsteemi turvet kahel moel:
Sellega saab paika panna süsteemi käitumise, mille korral msec kehtestab süsteemis muudatused, mis suurendavad selle turvalisust.
See lubab määrata kindlaks perioodilised kontrollid, mida võetakse süsteemis ette automaatselt, et hoiatada teid, kui miski paistab ohtlikuna.
Programm msec kasutab niinimetatud turbetasemete kontseptsiooni. Need tasemed hõlmavad teatavat süsteemsete õiguste kogumit, mille põhjal analüüsitakse süsteemis toimuvaid muutusi. Mõningad tasemed annab Mageia ette, aga neid saab oma soovi kohaselt muuta ja kohandada.
Pilt on näha ülal.
Esimesel kaardil on ära toodud eri turbetööriistade loetelu, millest paremal asuvad nupud nende seadistamiseks:
Tulemüür, mille leiab ka juhtimiskeskuses Turvalisus -> Isikliku tulemüüri seadistamine
Uuendused, mille leiab ka juhtimiskeskuses Tarkvara -> Süsteemi uuendamine
Msec ise koos mõninga teabega:
lubatud või mitte
seadistatud baasturbetase
viimaste perioodiliste kontrollide aeg ning nupud, mis vastavalt näitavad üksikasjalikumat teavet ja võimaldavad kontrolli kohe käivitada
Klõps teisele sakile või nupule Turve -> avab allnähtava akna.
Turbetasemed:
Kui olete märkinud kastikese MSEC-i tööriista lubamine, saab siin kaardil topeltklõpsuga valida sobiva turbetaseme, mida pärast valimist näidatakse rasvases kirjas. Kui kastike on märkimata, kasutatakse taset « puudub ». Saadaval on järgmised tasemed:
Tase puudub. See on hea siis, kui te ei soovi, et msec majandaks süsteemi turbega, ja eelistate sellega omal käel hakkama saada. Sel tasemel keelatakse kõik turbekontrollid ning ei piirata mingil moel süsteemseid seadistusi. Palun valige see tase ainult siis, kui olete täiesti kindel, et teate, mida teete, sest sel juhul on teie süsteem rünnakutele avatud.
Tase standard on vaikimisi rakendatav seadistus, mida kasutatakse paigaldamisel, kui paigaldaja ei vali midagi muud. See tavalisele kasutajale sobiv tase sisaldab mõningaid süsteemsete seadistuste piiranguid ning käivitab igapäevased turbekontrollid, mis otsivad muudatusi süsteemsetes failides ja kontodes ning kataloogide õigustes, mis võivad anda võimaluse halba korda saata. (See tase on sarnane mseci varasemate versioonide tasemetega 2 ja 3.)
Tase secure on mõeldud selleks, kui soovite, et süsteem oleks tõeliselt turvaline, aga siiski veel kasutatav. Süsteemi seadistusi piiratakse veelgi ning perioodilisi kontrollegi on rohkem. Lisaks piiratakse ligipääsu süsteemile. (See tase on sarnane mseci varasemate versioonide tasemetega 4 (kõrge) ja 5 (paranoiline).)
Lisaks mainitud tasemetele pakutakse veel mitmeid eesmärgipõhiseid turbetasemeid, näiteks fileserver, webserver ja netbook. Nende puhul üritatakse süsteemi turve seadistada vastavalt levinumatele kasutusjuhtumitele.
Viimased kaks taset nimetustega audit_daily ja audit_weekly ei ole õigupoolest päris turbetasemed, vaid pigem ainult tööriistad perioodiliste kontrollide tarbeks.
Tasemed salvestatakse faili
etc/security/msec/level.<tasemenimi>. Soovi korral
võib paika panna omaenda kohandatud turbetaseme, salvestades selle failina
level.<tasemenimi> kataloogis
etc/security/msec/. See võimalus on mõistagi mõeldud
väga kogenud kasutajatele, kellel on oma vajadused süsteemi turvet enda käe
järgi kohendada.
Ettevaatust
Pidage kindlasti silmas, et kasutaja muudetud parameetreid arvestatakse enne vaiketaseme määratlusi.
Turbehoiatused:
Kui märkida ära kastike , saadetakse mseci loodud turbehoiatused kohalikule e-posti aadressile turbeadministraatorile, kelle nimi tuleb kirja panna kõrval asuval väljal. Sinna võib kirjutada kas kohaliku kasutajanime või täieliku e-posti aadressi (selle huvides peavad olema vajalikult seadistatud kohalik e-post ja e-posti haldur). Samuti võib lasta turbehoiatusi näidata otse töölaual, milleks tuleb ära märkida vastav kastike.
Oluline
Turbehoiatuste edastamine on äärmiselt soovitatav sisse lülitada, et
turbeadministraator saab õigeaegselt teada võimalikest
probleemidest. Vastasel juhul peab administraator järjepidevalt uurima
logifaile, mis salvestatakse kataloogi
/var/log/security.
Turbevalikud:
Kohandatud taseme loomine ei ole ainuke viis sättida arvuti turvet oma käe
järgi: samamoodi võib kasutada tööriista eri kaarte, et muuta just neid
valikuid, mida vaja. Mseci kehtiv seadistus on salvestatud faili
/etc/security/msec/security.conf. See sisaldab nii
kehtivat turbetaseme nime kui ka loetelu kõigist muudetud valikutest.
Sellel kaardil võib näha vasakus veerus turbevalikut, keskmises veerus selle kirjeldust ja paremas veerus kehtivat väärtust.
Mõne valiku muutmiseks tehke sellel topeltklõps, mille järel ilmub uus aken (vt pilti allpool). Selles on näha valiku nimi, lühike kirjeldus, kehtiv ja vaikeväärtus ning ripploend, milles saab valida uue väärtuse. Klõpsuga nupule saab muudatuse kinnitada.
Ettevaatust
Ärge unustage tööriista sulgedes oma seadistust lõplikult salvestamast menüükäsuga . Kui olete seadistusi muutnud, annab msecgui võimaluse need enne salvestamist üle vaadata.
Sellelt kaardilt leiab võrguga seotud valikud ja kõik käib siin samamoodi nagu eelmisel kaardil.
Perioodiliste kontrollide eesmärk on anda turbehoiatuste abil turbeadministraatorile teada kõigest, mida msec peab võimalikuks ohuks.
Kui märkida kastike , näeb sellel kaardil kõiki mseci sooritatavaid perioodilisi kontrolle ja nende sagedust. Muudatusi saab siin teha samamoodi nagu eespool kirjeldatud kaartidel.
Mõnikord käivad hoiatused hästi teada ja soovitud olukorra kohta. Sel juhul ei ole neil tegelikult mõtet ja nad vaid raiskavad administraatori aega. Sellel kaardil saab luua nii palju erandeid kui vaja, et vältida tarbetuid turbehoiatusi. Enesest mõista on see kaart mseci esmakäivitusel tühi. Allpool oleval pildil on näha neli erandit.
Erandi loomiseks tuleb klõpsata nupule .
Valige vajalik perioodiline kontroll ripploendist Kontroll ja kirjutage erand tekstikasti Erand. Erandi lisamine ei ole mõistagi midagi jäävat: selle võib kustutada erandite kaardil klõpsuga nupule , samuti võib seda topeltklõpsuga muuta.
Sellel kaardil saab kontrollida ja jõustada failide ja kataloogide õigusi.
Nagu turvalisuse puhul, kasutab msec ka õiguste puhul mitmesuguseid tasemeid
(standard, secure jne), mida kehtestatakse vastavalt valitud
turbetasemele. Soovi korral saab luua omaenda õigustetasemeid, salvestades
need faili perm.<tasemenimi> kataloogis
etc/security/msec/. See võimalus on mõeldud väga
kogenud kasutajatele, kel läheb tarvis kohandatud seadistust. Samuti saab
siinsamas kaardil muuta õigusi just selliseks nagu vaja. Kehtiv seadustus on
salvestatud faili /etc/security/msec/perms.conf. Selles
leiab loetelu kõigist õiguste muudatustest.
Vaikimisi õigusi kuvatakse reeglite loendina (üks reegel rea kohta). Alates vasakult antakse teada reegliga hõlmatud fail või kataloog, seejärel selle omanik, grupp ja lõpuks õigused. Kui reegli puhul
kastike Jõuga kehtestamine ei ole märgitud, kontrollib msec ainult seda, kas reeglis määratud õigused kehtivad, ning saadab turbehoiatuse, kui see nii pole, aga ei muuda ise midagi.
kui kastike Jõuga kehtestamine on märgitud, kontrollib msec esimese perioodilise kontrolli ajal õiguste vastavust reeglile ning kirjutab need erinevuse korral üle.
Oluline
Et see toimiks, peab perioodiliste kontrollide kaardil olema valik CHECK_PERMS sobivalt seadistatud.
Uue reegli loomiseks klõpsake nupule ja täitke väljad, nagu näha alloleval pildil. Väljal Fail võib kasutada metamärki *. “current” tähendab, et midagi ei muudeta.
Muudatuste jõustamiseks klõpsake nupule ning kindlasti ärge unustage enne tööriistast väljumist kõiki muudatusi salvestamast menüükäsuga . Kui olete seadistusi muutnud, annab msecgui võimaluse need enne salvestamist üle vaadata.
Märkus
Reegleid võib samuti luua või muuta seadistustefaili
/etc/security/msec/perms.conf redigeerides.
Ettevaatust
Õiguste kaardil (või otse seadistustefailis) tehtud muudatusi võetakse arvesse esimesel perioodilisel kontrollil (vt valikut CHECK_PERMS perioodiliste kontrollide kaardil). Kui soovite, et neid kohe arvestataks, kasutage käsureal administraatori õigustes käsku msecperms. Eelnevalt võib anda käsu msecperms -p, millega saab teada õigused, mida msecperms muudab.
Ettevaatust
Pange kindlasti tähele, et kui muudate õigusi käsureal või failihalduris, siis faili puhul, millel on õiguste kaardil ära märgitud kastike Jõuga kehtestamine, kirjutab msecgui mõne aja pärast vanad õigused tagasi vastavalt valikutele CHECK_PERMS ja CHECK_PERMS_ENFORCE perioodiliste kontrollide kaardil.
Selle tööriista[44] leiab Mageia juhtimiskeskuses paneelilt "Turvalisus". Tööriista saab avada ka tööriista "Süsteemi turvalisuse, õiguste ja auditi seadistamine" esimesel kaardil.
Tegu on lihtsa tulemüüriga, mille Mageia vaikimisi paigaldab. Kõik väljast tulevad ühendused saab blokeerida, nii et need on võimalikud ainult spetsiaalse loaga. Esimesel ekraanil, mida näeb ülaloleval pildil, saab valida teenused, mille korral on väljast tulevad ühendused lubatud. Turvalisuse huvides oleks mõistlik mitte märkida esimest kastikest - Kõik (tulemüür puudub) -, kui te just ei soovigi tulemüürist loobuda, ning märkida ainult need teenused, mida te vajate.
Siin võib käsitsi lisada pordid, mis tuleb avatuna hoida. Klõpsake , mille peale ilmub uus aken. Kirjutage väljale Muud pordid vajalikud pordid, järgides järgmiste näidete eeskuju:
80/tcp - pordi 80 avamine tcp protokollile
24000:24010/udp - kõigi portide avamine vahemikus 24000 kuni 24010 udp protokollile
Mitme pordi kirjutamisel tuleb nende vahele jätta tühik.
Kui märkida kastike Tulemüüriteadete logimine süsteemi logidesse, salvestataksegi tulemüüri teated süsteemi logidesse.
Märkus
Kui te ei paku just erilisi teenuseid (veebi- või e-posti server, failide jagamine...), võib õieti jätta kõik märkimata. See on isegi soovitatav: pidage silmas, et see ei takista teil endal sugugi internetis liikuda.
Järgmisel ekraanil saab paika panna interaktiivse tulemüüri tingimused. Nii näiteks hoiatatakse teid ühendusekatsete korral, kui märkida esimene valik Interaktiivse tulemüüri kasutamine. Teise valiku märkimisel saab hoiatuse, kui skannitakse teie masina porte (sellega püütakse leida võimalust mõnda tarkvaraviga ära kasutades masinasse tungida). Alates kolmandast märkekastist on ära toodud teenused ja pordid, mille märkisite kahel esimesel ekraanil. Siinsel pildil on neiks SSH-server ja 80:150/tcp. Kastikesi märkides saate ühendusekatse korral neis portides alati hoiatuse.
Hoiatusi näitab teatemullidena võrguaplett.
Viimasel ekraanil saab valida, millised võrguliidesed on internetti ühendatud, nii et nende üle tuleb valvata. Pärast klõpsu nupule "Olgu" laaditakse alla vajalikud tarkvarapaketid.
Vihje
Kui te ei tea, mida valida, uurige Mageia juhtimiskeskuse paneelil "Kohtvõrk ja internet" tööriista "Uue võrguliidese seadistamine".
Selle tööriista[45] leiab Mageia juhtimiskeskuses paneelilt Turvalisus.
See võimaldab anda tavalistele kasutajale õiguse ette võtta tegevusi, mis muidu on administraatori ehk root-kasutaja pädevuses.
Klõpsake noolekesel kirje ees, mille soovite avada.
Enamik Mageia juhtimiskeskuses leiduvatest tööriistadest on loetletud aknas vasakul pool, nagu ülal oleval pildil näha, ning iga tööriista juures saab paremal rippmenüüst valida järgmiste võimaluste vahel:
Vaikimisi: käivitamisrežiim sõltub valitud turbetasemest. Selle kohta vaadake samal paneelil tööriista "Süsteemi turvalisuse, õiguste ja auditi seadistamine".
Kasutaja parool: enne tööriista käivitamist küsitakse kasutaja parooli.
Administraatori parool: enne tööriista käivitamist küsitakse administraatori parooli.
Parool puudub: tööriista käivitamisel ei küsita mingit parooli.
See lehekülg on seni veel kirjutamata. Kui arvate, et võite sobiva abiteksti ise kirja panna, võtke palun ühendust dokumentatsioonimeeskonnaga. Oleme teile juba ette tänulikud.
Tööriista saab käsurealt käivitada, kui anda administraatori õigustes käsk drakinvictus.
Selle tööriista[46] leiab Mageia juhtimiskeskuses paneelilt "Turvalisus" kirje alt Lapselukk. Kui sellist kirjet pole, siis tuleb paigaldada tarkvarapakett drakguard (vaikimisi seda ei paigaldata).
Drakguard ehk lapselukk kujutab endast lihtsat viisi sätestada arvutis, kes ja millal midagi teha võib. Drakguard pakub selleks järgmisi võimalusi:
Veebi kasutamist saab piirata konkreetsete kasutajate ja konkreetsete kellaaegadega. Selleks kasutatakse Mageiasse sisse ehitatud tulemüüri.
Teatavate käskude andmist saab lubada vaid konkreetsetele isikutele, nii et nad saavad käivitada ainult seda, mis on neile lubatud.
Ligipääsu veebilehtedele saab piirata nii käsitsi määratud valgete ja mustade nimekirjadega kui ka dünaamiliselt, vastavalt veebilehe sisule. Selleks kasutab Drakguard juhtivat avatud lähtekoodiga lapselukuprogrammi DansGuardian.
Hoiatus
Kui teie arvutis on kettapartitsioone, millel on Ext2, Ext3 või ReiserFS failisüsteem, siis näete hüpikakent, mis soovitab sisse lülitada pääsuloendite kasutamise neil partitsioonidel. Pääsuloendid (ingliskeelse lühendiga ACL) on kerneli pakutav võimalus piirata ligipääsu konkreetsele failile kindlate kasutajate ringiga. Pääsuloendid on juba rakendatud Ext4 ja Btrfs failisüsteemis, kuid Ext2, Ext3 või ReiserFS korral tuleb see eraldi sisse lülitada. Kui valite "Jah", seadistab Drakguard kõik partitsioonid pääsuloendeid toetama ning teeb seejärel ettepaneku arvuti uuesti käivitada.
: märkimise korral lülitatakse lapselukk sisse ning saab kasutada kaarti Programmide blokeerimine.
: märkimise korral blokeeritakse kõik veebilehed, välja arvatud need, mis on kirjas valges nimekirjas. Vastasel juhul on aga kõik veebilehed lubatud, välja arvatud need, mis on kirjas mustas nimekirjas.
: vasakul asuvate kasutajate ligipääs on piiratud vastavalt määratud reeglitele. Paremal asuvatel kasutajatel on ligipääs piiramata, et täiskasvanud saaksid arvutit tarvitada ilma raskusi kogemata. Valige kasutaja vasakult ja klõpsake nupule , et lisada ta lubatud kasutajate sekka. Valige kasutaja paremal ja klõpsake nupule , et kõrvaldada ta lubatud kasutajate loendist.
märkimise korral in interneti kasutamine piiranguid arvestades lubatud ajavahemikus Algus kuni Lõpp. Muul ajal on internet täielikult blokeeritud.
Kirjutage ülal asuvasse tekstikasti veebilehekülje URL ja klõpsake nupule .
[43] Tööriista saab käsurealt käivitada, kui anda administraatori õigustes käsk msecgui.
[44] Tööriista saab käsurealt käivitada, kui anda administraatori õigustes käsk drakfirewall.
[45] Tööriista saab käsurealt käivitada, kui anda administraatori õigustes käsk draksec.
[46] Tööriista saab käsurealt käivitada, kui anda administraatori õigustes käsk drakguard.
