ghost

Segurtasuna

Pantaila honetan hainbat segurtasun tresnen artean aukeratu. Egin klik azpiko estekan gehiago ikasteko.

MSEC: Sistemaren segurtasuna eta auditoritzak

msecgui

Aurkezpena

msecgui[43] mseg-ren erabiltzaile interfaze grafiko bat da zure segurtasun-sistema konfiguratzeko bi ikuspegiren arabera:

  • Sistemaren portaera ezartzen du, mseg-ek aldaketak inposatzen sistema seguruagoa izan dadin.

  • Sistemako era automatikoan kontrolak burutzen ditu zerbait arriskutsua dela ohartarazteko asmoz.

msec "segurtasun maila" sistema honek baimen multzo bat konfiguratzeko erabiltzen diren kontzeptuak erabiltzen ditu, baimen horiek ikuskatu daitezke aldatzeko edo berresteko. Hainbat maila Mageiak eskaintzen ditu, baina zure ohiko segurtasun mailak defini ditzakezu.

Ikuspegi orokorra taulan

Ikusi goiko screenshot-a

Lehenengo fitxan segurtasun tresna ezberdinen zerrenda hartzen du eskuinaldeko konfiguratzeko botoi batekin:

  • Suebakia, halaber MMC / Segurtasuna / Konfiguratu zure suebaki pertsonalak

  • Eguneratzeak, halaber MCC / Software Kudeaketa / Zure sistema eguneratu

  • msec beraren informazio batzuk:

    • Gaitu edo ez

    • Konfiguratutako Base segurtasun-maila

    • Aldizkako azken egiaztapen data eta botoi bat txosten zehatza ikusteko eta beste botoi bat gaur egungo egiaztapenak exekutatzeko besterik ez.

Segurtasun ezarpenen fitxa

Klik bigarren fitxan edo Segurtasuna Konfiguratu botoian hurrengo pantailara daramana.

Oinarrizko segurtasun fitxa

Segurtasu mailak:

Hautatu ondoren koadroan MSEC tresna gaitu, fitxa honek aukera ematen dizu Klik bikoitzaren ondoren lodiz agertzen den segurtasun maila aukeratzea. Koadroa ez bada markatzen, maila «bat ere ez» aplikatuko da. Honako maila hauek daude eskuragarri:

  1. Maila bat ere ez. Maila honen helburua, ez baduzu mseg erabili nahi segurtasun-sistema kontrolatzeko, eta nahiago duzu zure kabuz fintzea. Segurtasun kontrol guztiak indargabetzen dira eta sistemaren konfigurazioa eta ezarpen murrizketak muga gabe jartzen dira. Mesedez, erabili maila hau zuk zer egiten ari zaren jakiten baduzu soilik, zure sistema bitartean erasoentzako ahula utziko luke.

  2. Maila estandarra. Hau instalatutako konfigurazio lehenetsia da, eta aldi baterako erabiltzaileei zuzenduta. Hainbat sistemaren ezarpenak mugatuko ditu eta egunero segurtasun egiaztapenak exekutatzen ditu sistema fitxategiak, sistema-kontuak, eta direktorio ahulen baimenen aldaketak detektatzeko. (Maila honek mseg-en iragan bertsioen 2 eta 3 mailen antzekoa da).

  3. Maila segurua. Maila hau zure sistema segurua dela ziurtatzea desiratzen duzunean zuzenduta dago, oraindik baliagarria. Are gehiago sistema baimenak mugatzen ditu eta aldizkako egiaztapen gehiago exekutatzen. Gainera, sisteman sartzeko aukera murritzagoa da. (Maila honek mseg-en bertsio zaharren 4 (Altua) eta 5 (Paranoia) mailen antzekoa da).

  4. Maila horiek ez ezik, beste zereginei bideratutako segurtasun ere ematen da, besteak beste, fileserver, webserver eta netbook mailak. Horrelako mailak sistemaren segurtasuna aurrez konfiguratzen saiatzen dira ohiko erabiltze kasuen arabera.

  5. audit_daily izeneko eta audit_weekly ez da benetan segurtasun mailak aldizkako egiaztapen soilik egiten duten tresnak baizik.

Maila hauek etc/security/msec/level<levelname> atalean gordeta daude. Zure neurrira egindako segurtasun-mailak defini ditzakezu, level.<levelname> izeneko fitxategi zehatzetan, etc/security/msec/ karpetan. Funtzio hau sistema-konfigurazio pertsonalizatua edo seguruago bat behar duten boteredun erabiltzaileentzat zuzendu dute.

Kontuz

Gogoan izan, erabiltzaileak aldatutako parametroak lehenetsitako mailako ezarpenen aurretik erabiltzen direla.

Segurtasun alertak:

Koadroa egiaztatu baduzu Bidali segurtasun alertak posta elektroniko bidez:, msec ssortutako segurtasun alertak posta elektroniko bidez bidaliko dira hurbileko eremu batean adierazitako tokiko segurtasun kudeatzaileari. Tokiko erabiltzaile bat edo e-mail helbide osoa (tokiko e-mail eta e-mail kudeatzailea horren arabera ezarri behar dira) sartu beharko duzu. Azkenean, segurtasun alertak zuzenean zure mahaigainean jaso ditzakezu. Egiaztatu dagokion kutxa gaitu.

Garrantzitsua

Biziki komeni da segurtasun alertak gaituta egon behar dira berehala segurtasun administratzaileari posible diren segurtasun arazoaz informatzeko. Hala ez bada, administratzaileak aldizka egiaztatu behar ditu eskuragarri dauden /var/log/security fitxategiak.

Segurtasun aukerak:

Maila pertsonalizatu bat sortzea ez da segurtasun informatikoa pertsonalizatzeko modu bakarra, posible da, nahi duzun edozein aukera hautatu ondoren, hemen aurkeztutako fitxak erabiltzea. Uneko msec konfigurazioa /etc/security/msec/security.conf-en gordetzen da. Fitxategi honek uneko segurtasun maila izena eta aukerekin egindako aldaketak guztien zerrenda du.

Sistemaren segurtasun fitxa

Fitxa honek segurtasun aukera guztiak ezkerreko zutabean, erdiko zutabekoan deskribapena, eta beren gaur egungo balioak eskuinaldeko zutabean erakusten ditu.

Aukera bat aldatzeko, klik bikoitza gainean eta leiho berri bat agertuko da (ikus beheko pantailaren kaptura). Aukera-izena, deskribapen labur bat, gaurko eta lehenetsitako balioak, eta destolesgarri zerrendan balio berriak hauta daitezkeela erakusten du. Sakatu Ados botoia aukera balioztatzeko.

Kontuz

Ez ahaztu irtetean msecgui behin betiko zure konfigurazioa gordetzea menu Fitxa -> Gorde konfigurazioa erabiliz. Dituzun ezarpenak aldatu badituzu, horiek gorde aurretik aldaketak aurreikusteko aukera ematen dizu msecgui.

Sare segurtasuna

Fitxa honek sareko aukera guztiak erakusten ditu eta aurreko fitxa bezala funtzionatzen du

Aldizkako egiaztapen fitxa

Aldizkako egiaztapenen helburua segurtasun administratzailea mseg-ek egoera guztien alerten bidez informatzeko segurtasun arrisku potentzialei buruz.

Fitxa hau mseg egiten dituen aldizkako azterketa eta haien maiztasun guztiak bistaratzen ditu Gaitu aldizkako segurtasun egiaztapenak koadroa hautatuta badago. Aurreko fitxetan bezala egiten dira aldaketak.

Salbuespen fitxa

Batzuetan alerta mezuak ondo ezagututako eta nahi egoeren ondorio dira. Kasu horietan ezertarako eta alferrik galtzen administratzailearen denbora da. Fitxa honetan nahigabeko alerta mezuak ekiditeko nahi dituzun salbuespenak sortzeko aukera ematen du. Jakina, lehen mseg hasieran hutsik egoten da. Pantaila kaptura beheko lau salbuespenak erakusten ditu.

Salbuespen bat sortzeko, Gehitu arau bat botoia sakatu

Nahi duzun aldizkako egiaztapena zerrenda destolesgarritik Ikuskaritza eta mota Salbuespena idatzi testu-koadroan. Gehitu salbuespena, jakina, ez da behin betiko, Salbuespenetako Ezabatu erabiliz ezaba dezakezu edo klik bikoitz batekin aldatu.

Baimenak

Fitxa hau fitxategi eta direktorioko baimenak egiaztatu eta betearazteko bideratuta dago.

Segurtasunerako, mseg maila ezberdinetako baimenen (estandarra, seguru, ..), horren arabera gaitzen dira aukeratutako segurtasun-mailak. Zure neurriko baimen mailak sortu ditzakezu, perm.<levelname> izeneko fitxategi zehatzetan gordez etc/security/msec/ karpetan kokatuta daudenak. Funtzio hau konfigurazio pertsonalizatua eskatzen duten boteredun erabiltzaileei zuzenduta. Posible da nahi duzun edozein baimen aldatzeko hemen aurkezten fitxa erabili ondoren. Oraingo konfigurazioa /etc/security/msec/perms.conf-en gordeta dago. Fitxategia honek baimenei egindako aldaketa guztien zerrenda du.

Berezko baimenak arau zerrenda bat (lerro bakoitzeko arau bat) gisa ikusgai daude. Ezkerreko aldean ikus dezakezu, fitxategi edo karpeta tratatutako araua, ondoren jabeak, gero taldeak eta ondoren arauak emandako baimenak. Arau jakin batentzako:

  • Betearazi koadroa ez da egiaztatu, mseg soilik egiaztatzen du definitzen baditu arau honentzako eskubideak errespetura eta alerta-mezu bat bidaltzen du, ez badu ezer aldatzen.

  • Betearazi koadroa egiaztatu da, oorduan mseg-ak gobernatuko du aldian baimenen behingo lehen kontroleko errespetura eta baimenak berridaztea.

Garrantzitsua

Hau erabili ahal izateko, aukeratu CHECK_PERMS Aldizkako kontrol fitxan horren arabera konfiguratu behar da.

Arau berri bat sortzeko, Gehitu arau bat botoia sakatu eta bete eremuak beheko adibidean bezala. Joker * Fitxategi eremuan onartzen da. "Uneko" aldaketarik ez badakar.

Sakatu Ados botoia aukera balioztatzeko eta ez ahaztu behin betiko zure konfigurazioa gordetzea menu Fitxa -> Gorde konfigurazioaerabiliz. Dituzun ezarpenak aldatu badituzu, horiek gorde aurretik aldaketak aurreikusteko aukera ematen dizu msecgui.

Oharra

Posible da arauak sortu edo aldatzea/etc/security/msec/perms.conf konfigurazio fitxategia editatuz.

Kontuz

Baimenetan (edo zuzenean konfigurazio fitxategian) izandako aldaketak kontuan hartzen dira lehen aldizkako egiaztapenean (ikus CHECK_PERMS Aldizkako egiaztapenak). Haien eragina berehala indarrean sartzea nahi baduzu, erabili msecperms komandoa administratzaile eskubideko kontsola batean. Aurretik msecperms -p komandoa erabili dezakezu msecperms aldatuko dituen baimenak ezagutzeko.

Kontuz

Ez ahaztu kontsola batean edo fitxategi kudeatzailean baimenak aldatu badituzu, fitxategi bat non Aplikatu koadroa hautatuta dagoen Baimenen fitxan, msecgui baimen zaharrak idatziko ditu atzera pixka bat egin ondoren, horren arabera aukera CHECK_PERMS eta CHECK_PERMS_ENFORCE konfigurazioa agertzen den Aldizkako Egiaztapen fitxa.

Ezarri zure suhesi pertsonala

drakfirewall

Tresna hau[44] Mageia Kontrol Guneko Segurtasun fitxan dago etiketaturik "Konfiguratu suebaki pertsonala". Lehenengo fitxako "Konfiguratu segurtasun-sistema, baimenak eta auditoria" tresna bera da.

Oinarrizko suebaki bat instalatzen da modu lehenetsian Mageia-rekin. Kanpoaldetiko konexio guztiak oztopatzen ditu ez badaude baimenduta. Goiko lehen pantailan, zerbitzuak hauta ditzakezu zeinetarako kanpoko konexio-ahaleginak onartuko diren. Zure segurtasunerako, desmarkatu lehen kutxa - Guztia (suebaki gabe) - suebakia desgaitu nahi ez baduzu behintzat, eta soilik beharrezko zerbitzuak egiaztatzeko.

Posible da, portu-zenbakiak eskuz sartzea irekitzeko. Sakatu Aurreratua eta leiho berri bat irekiko da. Beste portuak eremuan, sartu behar diren portuak honako adibideak jarraituz :

80/tcp : ireki 80 portua tcp protokoloan

24000:24010/udp : ireki 24000 portutik 24010 portura udp protokoloan

Zerrendatutako portuak espazio baten bidez bereizi behar dira.

Suebaki erregistro mezuak sistemaren erregistroaren laukia aktibatuta badago, suebakiaren mezuak sistemaren erregistroetan gordeko dira

Oharra

Ez baduzu barne zerbitzu espezifikorik (web edo posta zerbitzaria, fitxategi partekatzea...) erabat posiblea da ezer ez markatuta izatea, gomendatzen dute, ez dizu eragozten Internetera konektatzea.

Hurrengo pantaila Suebaki aukera Interaktiboekin banatzen da. Ezaugarri hauek konexio-saioez zuri ohartaraztea baimentzen dutela espero dute gutxienez lehen lauki Suebaki Interaktiboa Erabili markaturik badago. Bigarren laukia marka ezazu portuak eskaneatu egiten badira (nonbait faila bat aurkitzeko eta zure makinan sartzeko asmoz) abisatzeko. Hirugarreneko lauki bakoitzak hemendik aurrera lehen bi pantailetan ireki zenituen portuena da; beheko pantailan, bi gutunontzi daude: SSH zerbitzaria eta 80:150/tcp. Portu horietan konexioa saiatzen den bakoitzean abisatzeko egiazta itzazu.

Ohartarazpen hauek alerta popups sare applet bitartez eman dira.

Azken pantailan, aukeratu zein sare interfazeak Internetera konektatzen diren eta babestu egin itzazu. Ados botoian klikatu eta gero, beharrezko paketeak jaitsi egingo dira.

Iradokizuna

Ez badakizu zer aukeratu, MCC-en Sare & Internet fitxa, Ezarri sare interfaze berri bat ikonoan begirada bat bota.

Autentifikazioa konfiguratu ezazu Mageia tresnetarako

draksec

Tresna hau[45] Mageia Kontrol Gunean Segurtasun fitxa pean dago presente.

Normalean administratzaileak lanak egiteko beharrezko eskubideak ohiko erabiltzaileak edukitzea baimentzen du.

Gezi txikiak klikatu ezazu aldaketak egitea desiratzen duzun zerrendaren elementuan:

Mageia Kontrol Gunean eskuragarri dauden tresna gehienak leihoko ezkerreko aldetik agertzen dira (ikus pantaila kaptura gainetik), eta tresna bakoitzerako, eta eskuineko zerrendan hurrengoaren artean aukeratzea ematen du:

  • Lehenetsia: Abian jartzeko modua aukeratutako segurtasun-mailaren araberakoa da. MCC fitxa berean ikusi, tresna "Konfiguratu segurtasun-sistema, baimenak eta auditoria".

  • Erabiltzaile pasahitza: erabiltzaile pasahitza tresna abian jarri ondoren galdetzen da.

  • Administratzailearen pasahitza: root pasahitza tresna abian jarri aurretik eskatzen da

  • Pasahitz gabe: tresna edozein pasahitz eskatu gabe abian jarri da.

Sare interfaze eta suhesientzako ezarpen aurreratua

drakinvictus

Orrialde hau ez da oraindik idatzi dira baliabide falta dela eta. Laguntza hau idatzi ahal izango duzula uste baduzu, mesedez jarri harremanetan Doc taldea-rekin, eskerrak aldez aurretik.

Komando-lerrotik tresna hau abiaraz dezakezu, drakinvictus root bezala idatziz.

Gurasoen kontrolak

drakguard

Tresna hau[46] Mageia Kontrol Gunean, Segurtasun fitxan pean dago, etiketaturik Guraso Kontrol. Ez baduzu etiketa hau ikusten, drakguard paketea (lehenetsiz instalatu gabe) instalatu behar duzu.

Aurkezpena

Drakguard modu erraz batean guraso kontrolak ezartzeko zure ordenagailua mugatzeko nork zer egin dezakeen eta zein eguneko garaietan. Drakguard hiru gaitasun erabilgarri ditu:

  • Erabiltzaile izenekoei sarbidea mugatuta dago erlojua ezartzea. Hau shorewall Mageiaren suebaki integratua erbiliz egiten da.

  • erabiltzaile izenekoei bereziki komandoak exekutatzea blokleatzen du beraz, erabiltzaile horiek onartzen dutena soilik exekutatu dezakete.

  • Sarbidea mugatzen du webgune batzuetara, bai eskuzko zerrenda beltz/zurien bidez definitzen da, baina baita dinamikoki web gunearen edukian oinarrituta. Hau lortzeko Drakguard kode irekiko gurasoen kontrol blokeatzaile liderra DansGuardian erabiltzen du.

Guraso kontrolak Konfiguratzen

Abisua

Zure ordenagailuak Ext2-etan, Ext3-etan, edo ReiserFS-formatuan partiziorik badauzka, popup bat ikusiko duzu ACL-ak zure partizioetan konfiguratzeko. ACL-ak Sarbideko Kontroleko Zerrendak esan nahi izaten du, eta banakako fitxategietarako sarrera izendatutako erabiltzaileengana mugatzea onartzen duen Linux-eko nukleoko ezaugarri bat da. ACL-ak Ext4-etan eta Btrfs-ek sistemak artxiboetan egin dituzte, baina aukera batek ahalbidetzen ditu Ext2-etan, Ext3-etan, edo Reiserfs-partizioetan. 'Bai' hautatzen baduzu drakguard-ek zure partizio guztiak konfiguratuko ditu ACL-a sostengatzeko, eta orduan berrabiarazteko oharra iradokiko dizu.

Guraso Kontrola Gaitul: Egiaztatuta badago, kontrola gurasoen gaituta dago eta Programetarako sarbidea Blokeatu fitxa irekitzen da.

Sareko trafiko guztia blokatu: Hautatuta badago, web orri guztiek blokeatuta daude, eta zerrenda zuria fitxan direnak izan ezik. Bestela, web orri guztiek onartzen dira, zerrenda beltzak fitxan direnak izan ezik.

Erabiltzaile-sarrera: Sarbidea ezkerrean agertzen diren erabiltzaileengana murriztu da zehaztu dituzun erregelak ezagututa. Eskuineko aldeko erabiltzaileek sarbidea murrizketarik gabe dute konputagailuko erabiltzaile helduei ez ditzatela eragotzi. Ezkerreko erabiltzaile bat hautatu eta egin klik Gehitu hura erabiltzaile baimendutako zerrendari gehitzeko. Eskuineko erabiltzaile bat hautatu eta sakatu Ezabatu baimendutako erabiltzaile zerrendatik ezabatzeko.

Denbora kontrola: hautatzen bada, interneteko sarbide Hasiera eta Amaiera denboren artean murrizketak onartuko dira. Era bat blokeatuta egongo da leiho denbora honetatik kanpo.

Zerrenda beltz/zuri taula

Idatzi goialdeko lehen eremuan web URLa eta sakatu Gehitu botoia.

Blokeatu Taula Programak

Blokeatu Definitua Aplikazioak: ACL erabilera aplikazio espezifikoen sarbidea mugatzeko aukera ematen du. Txertatu blokeatu nahi dituzun aplikazioen bidea.

Desblokeatu Erabiltzaileen zerrenda: Eskuinaldean azaltzen diren erabiltzaileak ez dira acl-an blokeatu izan.



[43] Komando-lerrotik tresna hau abiaraz dezakezu, msecgui root bezala idatziz.

[44] Komando-lerrotik tresna hau abiaraz dezakezu, drakfirewall root bezala idatziz.

[45] Komando-lerrotik tresna hau abiaraz dezakezu, draksec root bezala idatziz.

[46] Komando-lerrotik tresna hau abiaraz dezakezu, drakguard root bezala idatziz.


CC BY-SA 3.0
loading table of contents...