In dit scherm kunt u kiezen tussen verschillende beveiligingstools. Klik hieronder op een link voor meer informatie.
Beveiliging
de paragraaf “MSEC: systeembeveiliging en audit” = Beveiliging, rechten en audit van het systeem afregelen
de paragraaf “Aanmeldingscontrole voor Mageia-hulpprogramma's configureren”
de paragraaf “Geavanceerde instellingen voor netwerkinterfaces en firewall”
msecgui[43] is een grafische gebruikersinterface voor msec die u in staat stelt uw systeembeveiliging te configureren via twee benaderingen:
Het configureert het gedrag van het systeem, het past het systeem aan om het veiliger te maken.
Het voert periodieke controles uit van het systeem om u te waarschuwen als iets gevaarlijk lijkt.
msec werkt met "beveiligingsniveaus", waarmee sets toegangsrechten ingesteld kunnen worken. Deze kunnen gecontroleerd en afgedwongen worden. Mageia geeft de keuze tussen diverse beveiligingsniveaus, maar u kunt ook een eigen, aangepast beveiligingsniveau instellen.
Zie de schermafbeelding hierboven
Het eerste tabblad bevat de lijst met verschillende beveiligingstools, met een knop aan de rechterzijde om ze te configureren:
Firewall, ook aanwezig in MCC / Beveiliging / Uw persoonlijke firewall instellen
Updates, ook aanwezig in MCC / Sofwarebeheer / Uw systeem bijwerken
msec zelf met wat informatie:
geactiveerd of niet
het ingestelde basisbeveiligingsniveau
de datum van de laatste periodieke controle en een knop om gedetailleerde resultaten te zien en een andere knop om de controle nu uit te voeren.
Een klik op het tweede tabblad of op de Beveiliging-
knop geeft het scherm dat u hieronder ziet.Beveiligingsniveaus:
Als het hokje voor MSEC inschakelen aangevinkt is, kunt u in dit tabblad door dubbelklikken het gewenste beveiligingsniveau kiezen, dat dan in vette letters verschijnt. Als het hokje niet aangevinkt is, wordt geen niveau toegepast. De volgende niveaus zijn beschikbaar:
Niveau geen. Dit niveau is voor wie msec niet wil gebruiken om de systeembeveiliging te controleren, maar dat liever zelf regelt. Het schakelt alle beveiligingscontroles uit, en beperkt geen systeemconfiguratie-instellingen. Gebruik dit niveau a.u.b. alleen als u weet wat u doet, aangezien het uw systeem anders kwetsbaar maakt.
Niveau standard. Dit is de standaard configuratie en is bedoeld voor doorsnee gebruikers. Het beperkt diverse systeeminstellingen en voert dagelijks beveiligingscontroles uit op wijzigingen in systeembestanden, systeemaccounts en toegangsrechten van kwetsbare mappen. (Dit niveau lijkt op de niveaus 2 en 3 van eerdere msec-versies.)
Niveau secure is veilig, maar het systeem blijft bruikbaar. Het beperkt de systeemrechten sterker en voert meer periodieke controles uit. Bovendien zijn de toegangsrechten tot het systeem verder ingeperkt. (Dit niveau lijkt op de niveaus 4 (Hoog) en 5 (Paranoïde) van eerdere msec versies.)
Behalve deze niveaus, kan ook een taak-georienteerd niveau gekozen worden, zoals fileserver, webserver en netbook. Deze stellen de systeembeveiliging in volgens gebruikelijke behoefte bij zulke systemen.
De twee laatste niveaus, audit_daily en audit_weekly, zijn eigenlijk geen beveiligingsniveaus, maar enkel tools voor periodieke controles.
In /etc/security/msec/niveau.<niveaunaam>
zijn de
niveaus opgeslagen. U kunt aangepaste beveiligingsniveaus maken en deze in
de map /etc/security/msec/.
opslaan als
niveau.<niveaunaam>
. Dit is bedoeld voor ervaren
gebruikers die hun systeembeveiliging naar wens willen instellen.
Let op
Let wel dat eigenhandig gemaakte instellingen voorrang krijgen op de standaard instellingen.
Beveiligingswaarschuwingen:
Als u het hokje
aanvinkt, worden msec's waarschuwingen per lokale e-mail naar de beveiligingsbeheerder gestuurd die in het bijbehorende veld genoemd is (Lokale e-mail en de e-mailclient moeten overeenkomstig ingesteld worden). U kunt ook nog kiezen om de beveiligingswaarschuwingen direct op uw bureaublad te ontvangen, door een vinkje te zetten in de bijbehorende hokje.Belangrijk
Het wordt sterk aanbevolen een beveiligingswaarschuwingenoptie te gebruiken,
zodat de beveiligingsbeheerder het meteen weet als er een mogelijk probleem
is. Anders zal de beheerder de /var/log/security
-logs
regelmatig moeten controleren.
Beveiligingsopties:
Een aangepast beveiligingsniveau creëren is niet de enige manier om de
beveiliging aan te passen, het is ook mogelijk om een bestaand niveau aan te
passen m.b.v. de tabbladen hier. De huidige msecconfiguratie is opgeslagen
in /etc/security/msec/security.conf
. Naast de naam van
het huidige beveiligingsniveau bevat dit bestand een lijst van alle gedane
aanpassingen.
Dit tabblad bevat alle beveiligingsopties in de linker kolom, daarnaast de bijpassende omschrijvingen en rechts de huidige waardes.
Dubbelklik op een optie om deze aan te passen. Het venstertje dat verschijnt (zie onderstaande afbeelding) bevat de optienaam met korte omschrijving, de huidige en de standaard waarde, alsmede een uitvouwlijst om een nieuwe waarde te kiezen. Klik op de
-knop om de keuze te bevestigen.Let op
Vergeet niet bij het verlaten van msecgui uw wijzigingen definitief te maken via het menu
. U krijgt dan een venster waarin u de details van uw wijzigingen kunt zien, alvorens deze op te slaan.De periodieke controles zijn bedoeld om de beveiligingsbeheerder d.m.v. beveiligingswaarschuwingen te informeren over alle potentieel gevaarlijke situaties.
In dit tabblad ziet u of en hoe vaak msec elke periodieke controle uitvoert, als het hokje
aangevinkt is. Het werkt zoals de vorige tabbladen.Soms kunnen waarschuwingsberichten ontstaan door bekende en wilde situaties. In deze gevallen zijn ze nutteloos en verspillen ze tijd voor de beheerder. Op dit tabblad kunt u zo veel mogelijk uitzonderingen maken als u wilt om ongewenste waarschuwingsberichten te voorkomen. Als u msec voor het eerst start is het tabblad vanzelfsprekend leeg. De schermafdruk hieronder toont vier uitzonderingen.
Om een uitzondering te maken, klikt u op de knop
Selecteer de gewilde periodieke controle in de keuzelijst genaamd Controleren en voer vervolgens de Uitzondering in het tekst vak. Het toevoegen een uitzondering is uiteraard niet definitief, u kunt het verwijderen met de knop in het Uitzonderingen tabblad of wijzigen met een dubbelklik.
Dit tabblad is bedoeld om permissies van bestanden en directories te controleren en te handhaven.
Net als voor de beveiliging, beschikt msec ook over verschillende
toestemmingsniveaus (standaard, veilig, ..), deze zijn ingeschakeld aan de
hand van het gekozen beveiligingsniveau. U kunt uw eigen aangepaste
toestemmingsniveaus maken door ze op te slaan in specifieke bestanden met de
naam perm.<levelname>
, de bestanden bevinden zich
in de map /etc/security/msec/
. Deze functie is bedoeld
voor gevorderde gebruikers die een aangepaste configuratie nodig hebben. Het
is ook mogelijk om het tabblad, dat hier gepresenteerd is, na elke
verandering aan het toestemmingsniveau te gebruiken. De huidige configuratie
wordt opgeslagen in /etc/security/msec/perms.conf.
Dit
bestand bevat de lijst met alle aanpassingen die gedaan zijn betreffende
toestemmingsniveaus.
Standaardmachtigingen zijn zichtbaar in een lijst met regels (een regel per regel). U kunt aan de linkerkant het bestand of de map zien waar de regel betrekking op heeft, gevolgd door de eigenaar, de groep en als laatste de machtigingen verleend door de regel. Wanneer voor een bepaalde regel:
Het vakje Afdwingen is niet aangevinkt, hierdoor zal msec alleen controleren of de gedefinieerde machtigingen voor deze regel wordt gerespecteerd, als dit niet het geval is wordt er een waarschuwingsbericht gestuurd, tegelijkertijd wordt er niets verandert.
Het vakje Afdwingen is aangevinkt, hierdoor zal msec de machtigingen respecteren bij de eerste periodieke controle en daarna de machtigingen overschrijven.
Belangrijk
Om dit te laten werken, moet de optie CHECK_PERMS in de Periodieke controle tabblad zodoende geconfigureerd worden.
Om een nieuwe regel aan te maken, klikt u op de knop Bestanden. "Huidige" betekent dat er geen wijziging zijn.
en vult u de velden in, zoals aangegeven in het voorbeeld hieronder. De joker * is toegestaan in het veldKlik op de
knop om uw keuze te bevestigen, en vergeet niet bij het verlaten om uw configuratie op te slaan via het menu . Als u de instellingen heeft gewijzigd, kunt u via msecgui de wijzigingen bekijken voordat u ze opslaat.Opmerking
Het is ook mogelijk om nieuwe regels te maken of bestaande regels te
wijzigen door het configuratiebestand
/etc/security/msec/perms.conf
te bewerken.
Let op
Veranderingen in het tabblad Toestemming (of direct in het configuratiebestand) worden in aanmerking genomen bij de eerste periodieke controle (zie de optie CHECK_PERMS in het tabblad Periodieke controles). Als u wilt dat ze onmiddellijk in aanmerking worden genomen, gebruikt u de opdracht msecperms in een console met beheerders-rechten. U kunt voordat u deze commando uitvoerd, eerst het msecperms -p commando uitvoeren zodat u weet welke machtigingen veranderd zullen worden door msecperms.
Let op
Vergeet niet dat als u machtigingen in een console of in een bestandsbeheerder wijzigt, voor een bestand waarin het vak Afdwingen wordt gecontroleerd in het tabblad Rechten, msecgui de oude rechten na een tijdje terug zal schrijven, dit gebeurd aan de hand van de configuratie van de opties CHECK_PERMS en CHECK_PERMS_ENFORCE in het Periodieke controle tabblad.
Deze tool[44] vindt u in het Mageia-configuratiecentrum, in het "Beveiliging"-tabblad, onder het label "Uw persoonlijke firewall instellen". Het is dezelfde tool als "Firewall" in het eerste tabblad van "Beveiliging, rechten en audit van het systeem afregelen".
Standaard wordt in Mageia een basisfirewall geïnstalleerd. Alle inkomende verbindingen van buiten zijn geblokkeerd als ze niet toegestaan zijn. In het eerste scherm hierboven kunt u de diensten selecteren voor welke verbindingen van buiten aanvaard worden. Zorg, voor uw veiligheid, dat het bovenste hokje - Alles (geen firewall) - geen vinkje heeft (tenzij u de firewall wilt uitschakelen), en vink alleen de benodigde diensten aan.
Het is mogelijk handmatig poorten open te zetten. Klik op
. In het nieuwe scherm dat u ziet, kunt u de benodigde poorten invoeren zoals in deze voorbeelden:80/tcp: open poort 80 voor het tcp protocol
24000:24010/udp : open alle poorten van 24000 t/m 24010 voor het udp protocol
Tussen ingevoerde poorten moet een spatie staan.
Als het hokje Verslag van firewall meldingen vastleggen in het systeemlogboek aangevinkt is, zullen de firewallberichten opgeslagen worden in de systeemlogs.
Opmerking
Als u geen specifieke diensten host (web- of mailserver, bestanden delen, ...) is het prima om helemaal niets aangevinkt te hebben, het wordt zelfs aanbevolen en zal u niet hinderen om verbinding met internet te maken.
Het volgende scherm gaat over de opties voor de interactieve firewall. Deze waarschuwt u bij verbindingspogingen als tenminste het bovenste hokje Interactieve firewall gebruiken aangevinkt is. Vink het tweede hokje aan als u gewaarschuwt wilt worden als uw poorten gescand worden. (Dat kan gedaan worden om een zwakke plek te vinden en dan in uw computer binnen te dringen). Elk van de eventueel volgende hokjes is voor een poort die u in de bovengenoemde schermen opende; in het screenshot hieronder zijn twee dergelijke hokjes: SSH server en 80:150/tcp. Vink deze aan om elke keer gewaarschuwt te worden als gepoogd wordt een verbinding te maken via deze poorten.
Deze waarschuwingen worden gegeven door popups via de netwerk applet.
Kies in het laatste scherm welke netwerk adapters met internet verbonden zijn en beschermd moeten worden. Zodra op de OK knop geklikt wordt worden, als dat niet bij een eerder gebruik van deze tool gebeurd was, de benodigde pakketten gedownload en geïnstalleerd.
Tip
Als u niet weet wat te kiezen, kijk dan in het MCC-tabblad Netwerk & Internet, bij 'Nieuwe netwerkinterface instellen'.
Deze tool[45] is te vinden in het Mageia-configuratiecentrum in het tabblad Beveiliging
Hij maakt het mogelijk gewone gebruikers de benodigde rechten te geven voor taken die gewoonlijk door de beheerder gedaan worden.
Klik op het pijltje voor het item dat u uit wilt vouwen:
De meeste hulpprogramma's in de Mageia-configuratiecentrum worden weergegeven aan de linkerkant van het venster (zie de afbeelding hierboven). Daarnaast wordt voor ieder hulpprogramma een drop-down lijst aan de rechterkant weergegeven die de keuze geeft tussen:
Standaard: De opstartmodus is afhankelijk van het gekozen beveiligingsniveau. Zoek in hetzelfde MCC tabblad, het hulpprogramma "Configureer systeembeveiliging, permissies en audit".
Gebruikerswachtwoord: Het wachtwoord wordt gevraagd voordat het gereedschap word uitgevoerd.
Beheerder-wachtwoord: Het hoofd-wachtwoord wordt gevraagd voordat het gereedschap word uitgevoerd.
Geen wachtwoord: Het gereedschap word uitgevoerd zonder een wachtwoord te vragen.
Deze pagina is nog ongeschreven door gebrek aan middelen. Als u denkt dat u de pagina kunt schrijven, contacteer dan a.u.b. het Documentatieteam. Bij voorbaat dank.
U kunt deze tool op de commandoregel starten, door als root drakinvictus te typen.
Deze tool[46] bevindt zich in het Mageia-configuratiecentrum, in het Beveiligingstabblad, en heet Ouderlijk toezicht. Indien u deze niet heeft, installeer dan het drakguard-pakket (dat niet standaard geïnstalleerd is).
Drakguard is een gemakkelijke manier om ouderlijk toezicht in te stellen. U kunt beperken wie wat mag doen, en op welke tijden van de dag. Drakguard heeft drie handige opties:
Het beperkt internettoegang voor bepaalde gebruikers tot vastgestelde tijden van een dag. Het doet dat via de shorewall firewall in Mageia.
Het blokkeert het geven van bepaalde commando's door bepaalde gebruikers, dezen kunnen dus alleen starten wat u hen toestaat te starten.
Het beperkt de toegang tot websites, zowel handmatig via de Zwarte of Witte lijst, alsook dynamisch via de inhoud van de website. Hiervoor gebruikt Drakguard de toonaangevende opensource ouderlijk-toezicht-tool DansGuardian.
Waarschuwing
Als uw computer schijfpartities geformatteerd in Ext2, Ext3 of ReiserFS bevat, dat dan zult u een pop-up zien dat u aanbiedt om ACL te configureren op uw partities. ACL staat voor Access Control Lists (Toegangscontrolelijsten) en is een Linuxkernelfunctie waarmee de toegang tot losse bestanden aan genoemde gebruikers kunt ontzeggen. ACL is ingebouwd in Ext4- en Btrfs-bestandssystemen, maar moet worden aangezet met een optie in Ext2-, Ext3- of Reiserfs-partities. Als u "Ja" kiest bij deze vraag, dan zal drakguard al uw partities configureren om ACL te ondersteunen en u dan voorstellen om te herstarten.
Blockprogramma's-tab is geopend indien dit is aangevinkt.
: Ouderlijk toezicht is ingeschakeld en de toegang tot de: Alle websites zijn geblokkeerd, behalve die in de whitelist-tab indien dit is aangevinkt. Anders zullen alle websites worden toegestaan, behalve die in de blacklist-tab.
: Gebruikers aan de linkerkant hebben beperkte toegang volgens de regels die u bepaalt. Gebruikers aan de rechterkant hebben onbeperkte toegang, dus worden volwassenen niet verhinderd. Selecteer een gebruiker in de linkerkant en klik om hem of haar als een onbeperkte gebruiker toe te voegen. Selecteer een gebruiker aan de rechterkant en klik op om hem of haar van de onbeperkte gebruikers te verwijderen.
Start-tijd en de Eind-tijd en volledig geblokkeerd buiten dit tijdvenster, indien deze optie is aangevinkt.
Internettoegang is toegestaan met beperkingen binnen de[43] U kunt deze tool op de commandoregel starten, door als root msecgui te typen.
[44] U kunt deze tool op de commandoregel starten, door als root drakfirewall te typen.
[45] U kunt deze tool op de commandoregel starten, door als root draksec te typen.
[46] U kunt deze tool op de commandoregel starten, door als root drakguard te typen.