ghost

Beveiliging

In dit scherm kunt u kiezen tussen verschillende beveiligingstools. Klik hieronder op een link voor meer informatie.

MSEC: systeembeveiliging en audit

msecgui

Omschrijving

msecgui[43] is een grafische gebruikersinterface voor msec die u in staat stelt uw systeembeveiliging te configureren via twee benaderingen:

  • Het configureert het gedrag van het systeem, het past het systeem aan om het veiliger te maken.

  • Het voert periodieke controles uit van het systeem om u te waarschuwen als iets gevaarlijk lijkt.

msec werkt met "beveiligingsniveaus", waarmee sets toegangsrechten ingesteld kunnen worken. Deze kunnen gecontroleerd en afgedwongen worden. Mageia geeft de keuze tussen diverse beveiligingsniveaus, maar u kunt ook een eigen, aangepast beveiligingsniveau instellen.

Overzichtstabblad

Zie de schermafbeelding hierboven

Het eerste tabblad bevat de lijst met verschillende beveiligingstools, met een knop aan de rechterzijde om ze te configureren:

  • Firewall, ook aanwezig in MCC / Beveiliging / Uw persoonlijke firewall instellen

  • Updates, ook aanwezig in MCC / Sofwarebeheer / Uw systeem bijwerken

  • msec zelf met wat informatie:

    • geactiveerd of niet

    • het ingestelde basisbeveiligingsniveau

    • de datum van de laatste periodieke controle en een knop om gedetailleerde resultaten te zien en een andere knop om de controle nu uit te voeren.

Beveiligingsinstellingen-tabblad

Een klik op het tweede tabblad of op de Beveiliging-Configurerenknop geeft het scherm dat u hieronder ziet.

Basisbeveiliging-tabblad

Beveiligingsniveaus:

Als het hokje voor MSEC inschakelen aangevinkt is, kunt u in dit tabblad door dubbelklikken het gewenste beveiligingsniveau kiezen, dat dan in vette letters verschijnt. Als het hokje niet aangevinkt is, wordt geen niveau toegepast. De volgende niveaus zijn beschikbaar:

  1. Niveau geen. Dit niveau is voor wie msec niet wil gebruiken om de systeembeveiliging te controleren, maar dat liever zelf regelt. Het schakelt alle beveiligingscontroles uit, en beperkt geen systeemconfiguratie-instellingen. Gebruik dit niveau a.u.b. alleen als u weet wat u doet, aangezien het uw systeem anders kwetsbaar maakt.

  2. Niveau standard. Dit is de standaard configuratie en is bedoeld voor doorsnee gebruikers. Het beperkt diverse systeeminstellingen en voert dagelijks beveiligingscontroles uit op wijzigingen in systeembestanden, systeemaccounts en toegangsrechten van kwetsbare mappen. (Dit niveau lijkt op de niveaus 2 en 3 van eerdere msec-versies.)

  3. Niveau secure is veilig, maar het systeem blijft bruikbaar. Het beperkt de systeemrechten sterker en voert meer periodieke controles uit. Bovendien zijn de toegangsrechten tot het systeem verder ingeperkt. (Dit niveau lijkt op de niveaus 4 (Hoog) en 5 (Paranoïde) van eerdere msec versies.)

  4. Behalve deze niveaus, kan ook een taak-georienteerd niveau gekozen worden, zoals fileserver, webserver en netbook. Deze stellen de systeembeveiliging in volgens gebruikelijke behoefte bij zulke systemen.

  5. De twee laatste niveaus, audit_daily en audit_weekly, zijn eigenlijk geen beveiligingsniveaus, maar enkel tools voor periodieke controles.

In /etc/security/msec/niveau.<niveaunaam> zijn de niveaus opgeslagen. U kunt aangepaste beveiligingsniveaus maken en deze in de map /etc/security/msec/. opslaan als niveau.<niveaunaam>. Dit is bedoeld voor ervaren gebruikers die hun systeembeveiliging naar wens willen instellen.

Let op

Let wel dat eigenhandig gemaakte instellingen voorrang krijgen op de standaard instellingen.

Beveiligingswaarschuwingen:

Als u het hokje Stuur beveiligingswaarschuwingen via e-mail naar: aanvinkt, worden msec's waarschuwingen per lokale e-mail naar de beveiligingsbeheerder gestuurd die in het bijbehorende veld genoemd is (Lokale e-mail en de e-mailclient moeten overeenkomstig ingesteld worden). U kunt ook nog kiezen om de beveiligingswaarschuwingen direct op uw bureaublad te ontvangen, door een vinkje te zetten in de bijbehorende hokje.

Belangrijk

Het wordt sterk aanbevolen een beveiligingswaarschuwingenoptie te gebruiken, zodat de beveiligingsbeheerder het meteen weet als er een mogelijk probleem is. Anders zal de beheerder de /var/log/security-logs regelmatig moeten controleren.

Beveiligingsopties:

Een aangepast beveiligingsniveau creëren is niet de enige manier om de beveiliging aan te passen, het is ook mogelijk om een bestaand niveau aan te passen m.b.v. de tabbladen hier. De huidige msecconfiguratie is opgeslagen in /etc/security/msec/security.conf. Naast de naam van het huidige beveiligingsniveau bevat dit bestand een lijst van alle gedane aanpassingen.

Systeembeveiliging-tabblad

Dit tabblad bevat alle beveiligingsopties in de linker kolom, daarnaast de bijpassende omschrijvingen en rechts de huidige waardes.

Dubbelklik op een optie om deze aan te passen. Het venstertje dat verschijnt (zie onderstaande afbeelding) bevat de optienaam met korte omschrijving, de huidige en de standaard waarde, alsmede een uitvouwlijst om een nieuwe waarde te kiezen. Klik op de Ok-knop om de keuze te bevestigen.

Let op

Vergeet niet bij het verlaten van msecgui uw wijzigingen definitief te maken via het menu Bestand -> Configuratie opslaan. U krijgt dan een venster waarin u de details van uw wijzigingen kunt zien, alvorens deze op te slaan.

Netwerkbeveiliging

Dit tabblad bevat alle netwerkopties en werkt zoals het vorige tabblad

Periodieke-controles-tabblad

De periodieke controles zijn bedoeld om de beveiligingsbeheerder d.m.v. beveiligingswaarschuwingen te informeren over alle potentieel gevaarlijke situaties.

In dit tabblad ziet u of en hoe vaak msec elke periodieke controle uitvoert, als het hokje Periodieke beveiligingscontroles inschakelen aangevinkt is. Het werkt zoals de vorige tabbladen.

Uitzonderingentabblad

Soms kunnen waarschuwingsberichten ontstaan door bekende en wilde situaties. In deze gevallen zijn ze nutteloos en verspillen ze tijd voor de beheerder. Op dit tabblad kunt u zo veel mogelijk uitzonderingen maken als u wilt om ongewenste waarschuwingsberichten te voorkomen. Als u msec voor het eerst start is het tabblad vanzelfsprekend leeg. De schermafdruk hieronder toont vier uitzonderingen.

Om een uitzondering te maken, klikt u op de knop Voeg een regel toe

Selecteer de gewilde periodieke controle in de keuzelijst genaamd Controleren en voer vervolgens de Uitzondering in het tekst vak. Het toevoegen een uitzondering is uiteraard niet definitief, u kunt het verwijderen met de knop Verwijderen in het Uitzonderingen tabblad of wijzigen met een dubbelklik.

Toegangsrechten

Dit tabblad is bedoeld om permissies van bestanden en directories te controleren en te handhaven.

Net als voor de beveiliging, beschikt msec ook over verschillende toestemmingsniveaus (standaard, veilig, ..), deze zijn ingeschakeld aan de hand van het gekozen beveiligingsniveau. U kunt uw eigen aangepaste toestemmingsniveaus maken door ze op te slaan in specifieke bestanden met de naam perm.<levelname> , de bestanden bevinden zich in de map /etc/security/msec/. Deze functie is bedoeld voor gevorderde gebruikers die een aangepaste configuratie nodig hebben. Het is ook mogelijk om het tabblad, dat hier gepresenteerd is, na elke verandering aan het toestemmingsniveau te gebruiken. De huidige configuratie wordt opgeslagen in /etc/security/msec/perms.conf. Dit bestand bevat de lijst met alle aanpassingen die gedaan zijn betreffende toestemmingsniveaus.

Standaardmachtigingen zijn zichtbaar in een lijst met regels (een regel per regel). U kunt aan de linkerkant het bestand of de map zien waar de regel betrekking op heeft, gevolgd door de eigenaar, de groep en als laatste de machtigingen verleend door de regel. Wanneer voor een bepaalde regel:

  • Het vakje Afdwingen is niet aangevinkt, hierdoor zal msec alleen controleren of de gedefinieerde machtigingen voor deze regel wordt gerespecteerd, als dit niet het geval is wordt er een waarschuwingsbericht gestuurd, tegelijkertijd wordt er niets verandert.

  • Het vakje Afdwingen is aangevinkt, hierdoor zal msec de machtigingen respecteren bij de eerste periodieke controle en daarna de machtigingen overschrijven.

Belangrijk

Om dit te laten werken, moet de optie CHECK_PERMS in de Periodieke controle tabblad zodoende geconfigureerd worden.

Om een nieuwe regel aan te maken, klikt u op de knop Voeg een regel toe en vult u de velden in, zoals aangegeven in het voorbeeld hieronder. De joker * is toegestaan in het veld Bestanden. "Huidige" betekent dat er geen wijziging zijn.

Klik op de Oke knop om uw keuze te bevestigen, en vergeet niet bij het verlaten om uw configuratie op te slaan via het menu Bestand -> Configuratie opslaan. Als u de instellingen heeft gewijzigd, kunt u via msecgui de wijzigingen bekijken voordat u ze opslaat.

Opmerking

Het is ook mogelijk om nieuwe regels te maken of bestaande regels te wijzigen door het configuratiebestand /etc/security/msec/perms.conf te bewerken.

Let op

Veranderingen in het tabblad Toestemming (of direct in het configuratiebestand) worden in aanmerking genomen bij de eerste periodieke controle (zie de optie CHECK_PERMS in het tabblad Periodieke controles). Als u wilt dat ze onmiddellijk in aanmerking worden genomen, gebruikt u de opdracht msecperms in een console met beheerders-rechten. U kunt voordat u deze commando uitvoerd, eerst het msecperms -p commando uitvoeren zodat u weet welke machtigingen veranderd zullen worden door msecperms.

Let op

Vergeet niet dat als u machtigingen in een console of in een bestandsbeheerder wijzigt, voor een bestand waarin het vak Afdwingen wordt gecontroleerd in het tabblad Rechten, msecgui de oude rechten na een tijdje terug zal schrijven, dit gebeurd aan de hand van de configuratie van de opties CHECK_PERMS en CHECK_PERMS_ENFORCE in het Periodieke controle tabblad.

Uw persoonlijke firewall instellen

drakfirewall

Deze tool[44] vindt u in het Mageia-configuratiecentrum, in het "Beveiliging"-tabblad, onder het label "Uw persoonlijke firewall instellen". Het is dezelfde tool als "Firewall" in het eerste tabblad van "Beveiliging, rechten en audit van het systeem afregelen".

Standaard wordt in Mageia een basisfirewall geïnstalleerd. Alle inkomende verbindingen van buiten zijn geblokkeerd als ze niet toegestaan zijn. In het eerste scherm hierboven kunt u de diensten selecteren voor welke verbindingen van buiten aanvaard worden. Zorg, voor uw veiligheid, dat het bovenste hokje - Alles (geen firewall) - geen vinkje heeft (tenzij u de firewall wilt uitschakelen), en vink alleen de benodigde diensten aan.

Het is mogelijk handmatig poorten open te zetten. Klik op Geavanceerd. In het nieuwe scherm dat u ziet, kunt u de benodigde poorten invoeren zoals in deze voorbeelden:

80/tcp: open poort 80 voor het tcp protocol

24000:24010/udp : open alle poorten van 24000 t/m 24010 voor het udp protocol

Tussen ingevoerde poorten moet een spatie staan.

Als het hokje Verslag van firewall meldingen vastleggen in het systeemlogboek aangevinkt is, zullen de firewallberichten opgeslagen worden in de systeemlogs.

Opmerking

Als u geen specifieke diensten host (web- of mailserver, bestanden delen, ...) is het prima om helemaal niets aangevinkt te hebben, het wordt zelfs aanbevolen en zal u niet hinderen om verbinding met internet te maken.

Het volgende scherm gaat over de opties voor de interactieve firewall. Deze waarschuwt u bij verbindingspogingen als tenminste het bovenste hokje Interactieve firewall gebruiken aangevinkt is. Vink het tweede hokje aan als u gewaarschuwt wilt worden als uw poorten gescand worden. (Dat kan gedaan worden om een zwakke plek te vinden en dan in uw computer binnen te dringen). Elk van de eventueel volgende hokjes is voor een poort die u in de bovengenoemde schermen opende; in het screenshot hieronder zijn twee dergelijke hokjes: SSH server en 80:150/tcp. Vink deze aan om elke keer gewaarschuwt te worden als gepoogd wordt een verbinding te maken via deze poorten.

Deze waarschuwingen worden gegeven door popups via de netwerk applet.

Kies in het laatste scherm welke netwerk adapters met internet verbonden zijn en beschermd moeten worden. Zodra op de OK knop geklikt wordt worden, als dat niet bij een eerder gebruik van deze tool gebeurd was, de benodigde pakketten gedownload en geïnstalleerd.

Tip

Als u niet weet wat te kiezen, kijk dan in het MCC-tabblad Netwerk & Internet, bij 'Nieuwe netwerkinterface instellen'.

Aanmeldingscontrole voor Mageia-hulpprogramma's configureren

draksec

Deze tool[45] is te vinden in het Mageia-configuratiecentrum in het tabblad Beveiliging

Hij maakt het mogelijk gewone gebruikers de benodigde rechten te geven voor taken die gewoonlijk door de beheerder gedaan worden.

Klik op het pijltje voor het item dat u uit wilt vouwen:

De meeste hulpprogramma's in de Mageia-configuratiecentrum worden weergegeven aan de linkerkant van het venster (zie de afbeelding hierboven). Daarnaast wordt voor ieder hulpprogramma een drop-down lijst aan de rechterkant weergegeven die de keuze geeft tussen:

  • Standaard: De opstartmodus is afhankelijk van het gekozen beveiligingsniveau. Zoek in hetzelfde MCC tabblad, het hulpprogramma "Configureer systeembeveiliging, permissies en audit".

  • Gebruikerswachtwoord: Het wachtwoord wordt gevraagd voordat het gereedschap word uitgevoerd.

  • Beheerder-wachtwoord: Het hoofd-wachtwoord wordt gevraagd voordat het gereedschap word uitgevoerd.

  • Geen wachtwoord: Het gereedschap word uitgevoerd zonder een wachtwoord te vragen.

Geavanceerde instellingen voor netwerkinterfaces en firewall

drakinvuctus

Deze pagina is nog ongeschreven door gebrek aan middelen. Als u denkt dat u de pagina kunt schrijven, contacteer dan a.u.b. het Documentatieteam. Bij voorbaat dank.

U kunt deze tool op de commandoregel starten, door als root drakinvictus te typen.

Ouderlijk toezicht

drakguard

Deze tool[46] bevindt zich in het Mageia-configuratiecentrum, in het Beveiligingstabblad, en heet Ouderlijk toezicht. Indien u deze niet heeft, installeer dan het drakguard-pakket (dat niet standaard geïnstalleerd is).

Omschrijving

Drakguard is een gemakkelijke manier om ouderlijk toezicht in te stellen. U kunt beperken wie wat mag doen, en op welke tijden van de dag. Drakguard heeft drie handige opties:

  • Het beperkt internettoegang voor bepaalde gebruikers tot vastgestelde tijden van een dag. Het doet dat via de shorewall firewall in Mageia.

  • Het blokkeert het geven van bepaalde commando's door bepaalde gebruikers, dezen kunnen dus alleen starten wat u hen toestaat te starten.

  • Het beperkt de toegang tot websites, zowel handmatig via de Zwarte of Witte lijst, alsook dynamisch via de inhoud van de website. Hiervoor gebruikt Drakguard de toonaangevende opensource ouderlijk-toezicht-tool DansGuardian.

Ouderlijk toezicht instellen

Waarschuwing

Als uw computer schijfpartities geformatteerd in Ext2, Ext3 of ReiserFS bevat, dat dan zult u een pop-up zien dat u aanbiedt om ACL te configureren op uw partities. ACL staat voor Access Control Lists (Toegangscontrolelijsten) en is een Linuxkernelfunctie waarmee de toegang tot losse bestanden aan genoemde gebruikers kunt ontzeggen. ACL is ingebouwd in Ext4- en Btrfs-bestandssystemen, maar moet worden aangezet met een optie in Ext2-, Ext3- of Reiserfs-partities. Als u "Ja" kiest bij deze vraag, dan zal drakguard al uw partities configureren om ACL te ondersteunen en u dan voorstellen om te herstarten.

Schakel ouderlijk toezicht in: Ouderlijk toezicht is ingeschakeld en de toegang tot de Blockprogramma's-tab is geopend indien dit is aangevinkt.

Blokkeer al het netwerkverkeer: Alle websites zijn geblokkeerd, behalve die in de whitelist-tab indien dit is aangevinkt. Anders zullen alle websites worden toegestaan, behalve die in de blacklist-tab.

Gebruikerstoegang: Gebruikers aan de linkerkant hebben beperkte toegang volgens de regels die u bepaalt. Gebruikers aan de rechterkant hebben onbeperkte toegang, dus worden volwassenen niet verhinderd. Selecteer een gebruiker in de linkerkant en klik Toevoegen om hem of haar als een onbeperkte gebruiker toe te voegen. Selecteer een gebruiker aan de rechterkant en klik op Verwijderen om hem of haar van de onbeperkte gebruikers te verwijderen.

Tijdcontrole: Internettoegang is toegestaan met beperkingen binnen de Start-tijd en de Eind-tijd en volledig geblokkeerd buiten dit tijdvenster, indien deze optie is aangevinkt.

Black-/whitelist-tab

Voer de website-URL bovenaan het eerste veld in en klik op de knop Toevoegen.

Blokkeer-programma's-tab

Blokkeer gedefiniëerde programma's: Schakelt het gebruik van ACL in om toegang te beperken voor specifieke programma's. Voer het pad naar de programma's in die u wilt blokkeren.

Deblokkeer gebruikers lijst: Gebruikers aan de rechterkant worden niet onderworpen aan ACL-blokkering.



[43] U kunt deze tool op de commandoregel starten, door als root msecgui te typen.

[44] U kunt deze tool op de commandoregel starten, door als root drakfirewall te typen.

[45] U kunt deze tool op de commandoregel starten, door als root draksec te typen.

[46] U kunt deze tool op de commandoregel starten, door als root drakguard te typen.


CC BY-SA 3.0
loading table of contents...