ghost

Säkerhet

På den här skärmen kan du välja mellan olika säkerhetsverktyg. Klicka på en länk nedan för att läsa mer.

MSEC: Systemsäkerhet och kontroll

msecgui

Presentation

msecgui[42] är ett grafiskt gränssnitt för msec där du kan konfigurera sitt systems säkerhet enligt två tillvägagångssätt.

  • Den ställer in systemets beteende, msec tvingar ändringar för systemet för att göra det mer säkert.

  • Det utför periodiska kontroller automatisk i systemet för att varna dig om något verkar vara farligt.

msec använder begreppet säkerhetsnivåer som är till för att konfigurera en rad tillstånd i systemet som kan övervakas för ändringar eller genomdrivande. Många av dem föreslås av Mageia men du kan ange dina egna anpassade säkerhetsnivåer.

Fliken översikt

Se skärmdumpen ovan

Första fliken visa olika säkerhetsverktyg och en knapp till höger för att konfigurera dem:

  • Brandvägg. Finns även i MCC / Säkerhet / Konfigurera din personliga brandvägg.

  • Uppdateringar. Finns även i MCC / Programhantering / Uppdatera ditt system

  • msec själv med lite information:

    • aktiverad eller inte

    • den konfigurerade säkerheten för basnivå

    • datum för senaste periodiska kontrollen och en knapp för att visa en detaljerad rapport och ytterligare en knapp för att utföra kontrollen nu.

Fliken Säkerhetsalternativ

Att klicka på den andra fliken eller på knappen Konfigurera under Säkerhet leder till samma skärm som visas nedan.

Fliken Bassäkerhet

Säkerhetsnivåer:

När du har kryssat i rutan Aktivera MSEC-verktyg så kan du på den här fliken dubbelklicka för att välja en säkerhetsnivå som sedan visas i fetstil. Om kryssrytan inte är markerad så tillämpas nivån « Ingen » Följande nivåer är tillgängliga:

  1. Nivå ingen. Den här nivån är om du inte vill använda msec för att kontrollera systemets säkerhet utan istället vill justera den själv. Den inaktiverar alla säkerhetskontroller och lägger inga restriktioner eller begränsningar för systemkonfiguration och inställningar. Använd enbart den här nivån om du vet vad du gör eftersom det gör ditt system sårbart mot attacker.

  2. Nivå standard. Den här är standard efter installation och är avsedd för vanliga användare. Den begränsar flera systeminställningar och kör dagliga säkerhetskontroller som upptäcker ändringar i systemfiler, konton och sårbara katalogrättigheter. (Den här nivån liknar Nivå 2 och Nivå 3 från tidigare versioner av msec).

  3. Nivå säker. Den här nivån är till för om du vill garantera att ditt system är säkert men ändå användbart. Det begränsar systemrättigheter ännu mer och kör fler periodiska kontroller. Dessutom är åtkomst till systemet mer begränsad (Den här nivån liknar nivå 4 (Hög) och Nivå 5 (Paranoid) från tidigare msec-versioner).

  4. Förutom dessa nivåer är olika uppgiftsorienterade säkerhetsnivåer också tillgängliga, t. ex filserver , webbserver and netbook-nivåer. De försöker förkonfigurera systemets säkerhet i enlighet med de vanligaste användningsområdena.

  5. De två sista nivåerna är audit_daily och audit_weekly är egentligen inga säkerhetsnivåer utan enbart verktyg som utför periodiska kontroller.

Nivåerna sparas i etc/security/msec/level.<nivånamn>. Du kan definiera dina egna anpassade säkerhetsnivåer och spara dem i särskilda filer som heter nivå.<nivånamn> och placera dem i katalogen etc/security/msec/. Den här funktionen är till för avancerade användare som kräver en anpassad och mer säker systemkonfiguration.

Observera

Tänk på att användardefinierade parametrar har företräde över standard nivåinställningar.

Säkerhetsvarningar:

Om du markerar kryssrutan Skicka säkerhetsvarningar med e-post till: så skickas säkerhetsvarningarna som msec genererar lokalt till en e-postadress för säkerhetsansvarig som anges i fältet sidan om. Du kan ange en lokal användare eller en fullständig e-postadress (den lokala e-posthanteraren måste vara inställd). Till sist kan du få säkerhetsvarningar direkt till skrivbordet. Markera kryssrutan för att aktivera det.

Viktigt

Det rekommenderas starkt att du aktiverar alternativet systemvarningar för att omedelbart informera systemansvarig om potentiella säkerhetsproblem. Annars måste administratören regelbundet kontrollera loggarna som finns i /var/log/security.

Säkerhetsalternativ:

Att skapa en anpassad nivå är inte det enda sättet att anpassa datorns säkerhet. Du kan också använda flikarna som visas här efteråt för att ändra vilken inställning du vill. Nuvarande konfiguration för msec är sparad i /etc/security/msec/security.conf. Filen innehåller namnet på den aktuella säkerhetsnivån och en lista gjorda med alla ändringar för inställningarna.

Fliken Systemsäkerhet

Den här fliken visar alla säkerhetsalternativ i den vänstra kolumnen, en beskrivning i mitten och deras nuvarande värden till höger.

För att ändra ett alternativ så dubbelklickar du på det, därefter visas ett nytt fönster (se skärmdumpen nedan). Det visar namn, en kort beskrivning, det faktiska värdet och en rullgardinsmeny där ett nytt värde kan väljas. Klicka på Ok för att spara.

Observera

Glöm inte att spara dina inställningar innan du avslutar helt genom menyn Arkiv -> Spara inställningar. Om du har ändrat något så kan du förhandsgranska dem innan du sparar.

Nätverks-säkerhet

Den här fliken visar alla nätverksalternativ och fungerar på samma sätt som föregående flik.

Fliken Periodiska kontroller

Periodiska kontroller är till för att informera säkerhetsansvarig genom säkerhetsvarningar för alla situationer som msec tror kan vara farliga.

Om kryssrutan Aktivera periodiska säkerhetskontroller är markerad så visar den här fliken alla periodiska kontroller som msec utför och hur ofta. Ändringar görs som i föregående flikar.

Fliken Undantag

Ibland är varningsmeddelanden genererade av välkända och önskade situationer. I de fallen är de värdelösa och slöseri med tid för administratören. På den här fliken kan du skapa hur många undantag du vill för att förhindra oönskade varningsmeddelanden. Den är uppenbarligen tom första gången msec startar. Skärmdumpen nedan visar fyra undantag.

Klicka på Lägg till en regel för att skapa ett undantag.

Välj ett önskat värde för periodisk kontroll i Kontroll-listan och skriv in undantaget i textfältet. Att lägga till ett undantag är naturligtvis inte definitivt. De kan radera det med knappen Radera i fliken Undantag eller dubbelklicka för att ändra.

Behörigheter

Den här fliken är avsedd för kontroll och påtvingande av rättigheter för filer och kataloger.

Som med säkerhet så har msec olika rättighetsnivåer (standard, säker, ...) de är aktiverade enligt vald säkerhetsnivå. Du kan skapa dina egna anpassade säkerhetsnivåer och kan spara dem i specifika filer med namnet perm.<nivånamn> i katalogen etc/security/msec/. Den här funktionen är till för avancerade användare som kräver en anpassad konfiguration. Du kan också använda fliken som visas här vid ett senare tillfälle för att ändra vilka rättigheter du vill. Nuvarande konfiguration lagras i /etc/security/msec/perms.conf.. Denna fil innehåller alla ändringar som är gjorda för rättigheterna.

Standard rättigheter visas som en lista med regler (en regel per rad). Du ser till vänster vilken fil eller katalog som berörs av regeln. Därefter ägare, grupp och slutligen vilka rättigheter som ges av regeln. Om, för en angiven regel:

  • kryssrutan Tvinga inte är markerad kommer msec bara att kontrollera om de definierade rättigheterna för den här regeln respekteras och skickar ett varningsmeddelande om de inte är det, men ingenting ändras.

  • kryssrutan Tvinga är markerad kommer msec inte att respektera rättigheterna vid första periodiska kontrollen utan skriva över dem.

Viktigt

För att det här ska fungera måste alternativet CHECK_PERMS i Fliken periodiska kontroller vara markerat och konfigurerat

Klicka på Lägg till en regel för att skapa en ny regel och fyll i fälten som visas i exemplet nedan. En asterisk * är tillåtet i fältet Fil. “nuvaranade” menas ingen ändring.

Klicka på knappen Ok för att bekräfta valet och glöm inte att spara din konfiguration innan du avslutar helt genom menyn Arkiv -> Spara inställningar. Om du har ändrat något så ger msecgui dig möjlighet att förhandsgranska dem innan du sparar.

Notera

Du kan också ändra reglerna genom att redigera filen /etc/security/msec/perms.conf.

Observera

Ändringar gjorda på Fliken rättigheter (eller manuellt i konfigurationsfilen) beaktas vid den första periodiska kontrollen (se alternativet CHECK_PERMS på Fliken Periodiska kontroller). Om du vill att de ska verkställas omedelbart så använder du kommandot msecperms i en konsoll med root-rättigheter. Där kan du i förväg kontrollera vilka rättigheter som kommer att ändras genom att skriva msecperms -p

Observera

Kom ihåg att om du ändrar rättigheterna i en konsol eller filhanterare för en fil där Tvinga är markerad i Fliken rättigheter så kommer msecgui att ändra tillbaka de gamla rättigheterna efter ett tag i enlighet med konfigurationen av alternativen CHECK_PERMS och CHECK_PERMS_ENFORCE från Fliken Periodiska kontroller.

Ställ in din personliga brandvägg

drakfirewall

Detta verktyg[43] finns under säkerhetsfliken i Mageias kontrollcenter och kallas "Konfigurera din personliga brandvägg". Det är samma verktyg som finns på första fliken i "Konfigurera säkerhet, behörigheter och revisioner".

En grundläggande brandvägg installeras som standard med Mageia. All inkommande trafik utifrån blockeras om de inte är godkända. På första skärmen ovan kan du välja vilka tjänster som ska accepteras utifrån. Av säkerhetsskäl, bocka av första rutan Allt (ingen brandvägg) om du inte vill avaktivera brandväggen, och bara välja nödvändiga tjänster.

Det är möjligt att manuellt ange vilka portar som ska vara öppna. Klicka på Avancerat så öppnas ett nytt fönster. I fältet Andra portar, ange vilka portar som behövs genom att följa dessa exempel :

80/tcp: öppna porten 80's TCP-protokoll

24000:24010/udp : öppna alla portar från 24000 till 24010 UDP-protokollet

De listade portarna bör skiljas åt med ett mellanslag

Om kryssrutan Logga brandvägssmeddelanden i systemloggen är markerad kommer alla meddelanden från brandväggen att sparas i systemloggen.

Notera

Om du inte kör vissa tjänster (webb, mail eller fildelning, ...) behöver du inte ha något ikryssat, det är t.o.m. rekommenderat. Det kommer inte att hindra dig från att ansluta till internet.

Nästa skärm visar den interaktiva brandväggens olika alternativ. Med dem kan du bli varnad vid inkommande anslutningsförsök om åtminstone den första kryssrutan Använd interativ brandvägg är markerad. Markera den andra kryssrutan för att bli varnad om portar blir skannade (för att fösröka hitta fel någonstans som kan leda till att någon kan ta sig in i din dator). Varje kryssruta från den tredje och framåt motsvarar en port du öppnat i de två första fönstren. I skärmdumpen nedan finns två sådana alternativ: SSH-server och 80:150/tcp. Markera dem för att bli varnad om några anslutningsförsök sker på dessa portar.

De här varningsmeddelanden visas som en popup genom nätverksappleten.

Välj på sista skärmen vilket nätverkskort som är kopplat mot internet och som måste skyddas. När du klickat på knappen Ok så kommer de nödvändiga paketen att laddas ner.

Tips

Om du inte vet vad du ska välja, ta en titt i MCC under fliken Nätverk & Internet, och Skapa nytt nätverksinterface.

Konfigurera autentikering för Mageia verktyg

draksec

Det här verktyget[44]finns i Mageias kontrollcentral under fliken Säkerhet

Det gör det möjligt att ge vanliga användare nödvändiga rättigheter för att utföra uppgifter som i regel utförs av administratören.

Klicka på den lilla pilen framför objektet som du vill expandera:

De flesta verktygen som är tillgängliga i Mageias kontrollcentral visas till vänster i fönstret (se skärmdumpen ovan), och en rullgardinslista ger dig följande val:

  • Standard: Uppstartsläget bestäms av vald säkerhetsnivå. Läs avsnittet "Konfigurera systemsäkerhet, behörigheter och revisioner" på samma flik.

  • Användarlösenord: Användarens lösenord efterfrågas innan verktyget startas.

  • Administratörens lösenord: Lösenordet för root efterfrågas innan verktyget startar.

  • Inget lösenord: Verktyget startas utan att fråga efter lösenord.

Avancerad konfiguration av nätverk och brandvägg

drakinvictus

Den här sidan har inte skrivits ännu i brist på resurser. Om du tror dig kunna skriva denna hjälptext så hör gärna av dig till dokumentations-teamet. Tack på förhand.

Du kan starta det här verktyget från en konsol genom att skriva drakinvictus som root.

Föräldrakontroll

drakguard

Det här verktyget[45] finns i Mageias kontrollcentral under fliken säkerhet och heter Föräldrakontroll. Om du inte hittar den måste du installera drakguard-paketet (installeras inte som standard).

Presentation

Drakguard är ett lätt sätt att ställa in föräldrakontroll på din dator och begränsa vem som kan göra vad, och på vilka tider. Drakguard har tre användbara egenskaper:

  • Den begränsar webbåtkomst för namngivna användare till satta tider på dygnet. Den gör det genom att använda shorewall, den inbyggda brandväggen i Mageia.

  • Den blockerar körning av olika kommandon för namngivna användare så att de bara kan köra det du tillåter dem.

  • Den begränsar åtkomst till webbsidor, både genom att manuellt definiera svart/vitlistor men även dynamisk baserat på webbsidans innehåll. För att uppnå detta använder Drakguard DansGuardian, den ledande föräldrakontroll-blockeraren inom öppen källkod.

Konfigurera föräldrakontroll

Varning

Om din dator har en hårddisk med partitioner i Ext2, Ext3 eller Reiser-filsystem kommer ett pop upp-fönster att låta dig konfigurera ACL på dessa partitioner. ACL står för Access Control List och är en funktion i Linux kärna som tillåter åtkomst till individuella filer som är begränsade till namngivna användare. ACL är inbyggt i Ext4 och Btrfs-filsystem men måste aktiveras i Ext2, Ext3 och Reiser-partitioner. Om du väljer ja när du blir tillfrågad kommer drakguard att konfigurera alla dina partitioner med ACL-stöd och föreslår sedan att du startar om.

Aktivera föräldrakontroll: Om markerad kommer föräldrakontroll att aktiveras och fliken Blockera program öppnas.

Blockera all nätverkstrafik: Om markerad så kommer alla webbsidor att blockeras utom de som finns med på fliken vitlista. Annars tillåts alla webbsidor, utom de som finns med på fliken svartlista.

Användaråtkomst: Användare till vänster kommer att ha restriktioner enligt dina regler. Användare till höger har obegränsad åtkomst så att vuxna användare inte blir besvärade. Välj en användare till vänster och klicka på Lägg till för att lägga till honom/henne som en tillåten användare. Välj en användare till höger och klicka på Ta bort för att ta bort honom/henne från tillåtna användare.

Tidkontroll: Om markerad kommer internetåtkomst att tillåtas med begränsningar mellan Start och Slut-tid. Den är helt blockerad utanför dessa tidsramar.

Fliken svart/vitlista

Skriv in webbsidans URL i första fältet längt upp, klicka sedan på knappen Lägg till.

Fliken blockera program

Blockera definierade program: Möjliggör användning av ACL för att begränsa åtkomst till särskilda program. Ange sökväg till de program du vill blockera.

Avblockera användare: Användare till höger kommer inte att påverkas av ACL-blockeringar.



[42] Du kan starta det här verktyget från en konsol genom att skriva msecgui som root.

[43] Du kan starta det här verktyget från en konsol genom att skriva drakfirewall som root.

[44] Du kan köra det här verktyget från en konsol genom att skriva draksec som root.

[45] Du kan starta det här verktyget från en konsol genom att skriva drakguard som root.


CC BY-SA 3.0
loading table of contents...