På den här skärmen kan du välja mellan olika säkerhetsverktyg. Klicka på en länk nedan för att läsa mer.
Säkerhet
”MSEC: Systemsäkerhet och kontroll” = Konfigurera systemsäkerhet, rättigheter och revisioner
msecgui[42] är ett grafiskt gränssnitt för msec där du kan konfigurera sitt systems säkerhet enligt två tillvägagångssätt.
Den ställer in systemets beteende, msec tvingar ändringar för systemet för att göra det mer säkert.
Det utför periodiska kontroller automatisk i systemet för att varna dig om något verkar vara farligt.
msec använder begreppet säkerhetsnivåer som är till för att konfigurera en rad tillstånd i systemet som kan övervakas för ändringar eller genomdrivande. Många av dem föreslås av Mageia men du kan ange dina egna anpassade säkerhetsnivåer.
Se skärmdumpen ovan
Första fliken visa olika säkerhetsverktyg och en knapp till höger för att konfigurera dem:
Brandvägg. Finns även i MCC / Säkerhet / Konfigurera din personliga brandvägg.
Uppdateringar. Finns även i MCC / Programhantering / Uppdatera ditt system
msec själv med lite information:
aktiverad eller inte
den konfigurerade säkerheten för basnivå
datum för senaste periodiska kontrollen och en knapp för att visa en detaljerad rapport och ytterligare en knapp för att utföra kontrollen nu.
Att klicka på den andra fliken eller på knappen under Säkerhet leder till samma skärm som visas nedan.
Säkerhetsnivåer:
När du har kryssat i rutan Aktivera MSEC-verktyg så kan du på den här fliken dubbelklicka för att välja en säkerhetsnivå som sedan visas i fetstil. Om kryssrytan inte är markerad så tillämpas nivån « Ingen » Följande nivåer är tillgängliga:
Nivå ingen. Den här nivån är om du inte vill använda msec för att kontrollera systemets säkerhet utan istället vill justera den själv. Den inaktiverar alla säkerhetskontroller och lägger inga restriktioner eller begränsningar för systemkonfiguration och inställningar. Använd enbart den här nivån om du vet vad du gör eftersom det gör ditt system sårbart mot attacker.
Nivå standard. Den här är standard efter installation och är avsedd för vanliga användare. Den begränsar flera systeminställningar och kör dagliga säkerhetskontroller som upptäcker ändringar i systemfiler, konton och sårbara katalogrättigheter. (Den här nivån liknar Nivå 2 och Nivå 3 från tidigare versioner av msec).
Nivå säker. Den här nivån är till för om du vill garantera att ditt system är säkert men ändå användbart. Det begränsar systemrättigheter ännu mer och kör fler periodiska kontroller. Dessutom är åtkomst till systemet mer begränsad (Den här nivån liknar nivå 4 (Hög) och Nivå 5 (Paranoid) från tidigare msec-versioner).
Förutom dessa nivåer är olika uppgiftsorienterade säkerhetsnivåer också tillgängliga, t. ex filserver , webbserver and netbook-nivåer. De försöker förkonfigurera systemets säkerhet i enlighet med de vanligaste användningsområdena.
De två sista nivåerna är audit_daily och audit_weekly är egentligen inga säkerhetsnivåer utan enbart verktyg som utför periodiska kontroller.
Nivåerna sparas i
etc/security/msec/level.<nivånamn>. Du kan definiera
dina egna anpassade säkerhetsnivåer och spara dem i särskilda filer som
heter nivå.<nivånamn> och placera dem i katalogen
etc/security/msec/. Den här funktionen är till för
avancerade användare som kräver en anpassad och mer säker
systemkonfiguration.
Observera
Tänk på att användardefinierade parametrar har företräde över standard nivåinställningar.
Säkerhetsvarningar:
Om du markerar kryssrutan så skickas säkerhetsvarningarna som msec genererar lokalt till en e-postadress för säkerhetsansvarig som anges i fältet sidan om. Du kan ange en lokal användare eller en fullständig e-postadress (den lokala e-posthanteraren måste vara inställd). Till sist kan du få säkerhetsvarningar direkt till skrivbordet. Markera kryssrutan för att aktivera det.
Viktigt
Det rekommenderas starkt att du aktiverar alternativet systemvarningar för
att omedelbart informera systemansvarig om potentiella
säkerhetsproblem. Annars måste administratören regelbundet kontrollera
loggarna som finns i /var/log/security.
Säkerhetsalternativ:
Att skapa en anpassad nivå är inte det enda sättet att anpassa datorns
säkerhet. Du kan också använda flikarna som visas här efteråt för att ändra
vilken inställning du vill. Nuvarande konfiguration för msec är sparad i
/etc/security/msec/security.conf. Filen innehåller
namnet på den aktuella säkerhetsnivån och en lista gjorda med alla ändringar
för inställningarna.
Den här fliken visar alla säkerhetsalternativ i den vänstra kolumnen, en beskrivning i mitten och deras nuvarande värden till höger.
För att ändra ett alternativ så dubbelklickar du på det, därefter visas ett nytt fönster (se skärmdumpen nedan). Det visar namn, en kort beskrivning, det faktiska värdet och en rullgardinsmeny där ett nytt värde kan väljas. Klicka på för att spara.
Observera
Glöm inte att spara dina inställningar innan du avslutar helt genom menyn . Om du har ändrat något så kan du förhandsgranska dem innan du sparar.
Den här fliken visar alla nätverksalternativ och fungerar på samma sätt som föregående flik.
Periodiska kontroller är till för att informera säkerhetsansvarig genom säkerhetsvarningar för alla situationer som msec tror kan vara farliga.
Om kryssrutan är markerad så visar den här fliken alla periodiska kontroller som msec utför och hur ofta. Ändringar görs som i föregående flikar.
Ibland är varningsmeddelanden genererade av välkända och önskade situationer. I de fallen är de värdelösa och slöseri med tid för administratören. På den här fliken kan du skapa hur många undantag du vill för att förhindra oönskade varningsmeddelanden. Den är uppenbarligen tom första gången msec startar. Skärmdumpen nedan visar fyra undantag.
Klicka på för att skapa ett undantag.
Välj ett önskat värde för periodisk kontroll i Kontroll-listan och skriv in undantaget i textfältet. Att lägga till ett undantag är naturligtvis inte definitivt. De kan radera det med knappen i fliken Undantag eller dubbelklicka för att ändra.
Den här fliken är avsedd för kontroll och påtvingande av rättigheter för filer och kataloger.
Som med säkerhet så har msec olika rättighetsnivåer (standard, säker, ...)
de är aktiverade enligt vald säkerhetsnivå. Du kan skapa dina egna anpassade
säkerhetsnivåer och kan spara dem i specifika filer med namnet
perm.<nivånamn> i katalogen
etc/security/msec/. Den här funktionen är till för
avancerade användare som kräver en anpassad konfiguration. Du kan också
använda fliken som visas här vid ett senare tillfälle för att ändra vilka
rättigheter du vill. Nuvarande konfiguration lagras i
/etc/security/msec/perms.conf.. Denna fil innehåller
alla ändringar som är gjorda för rättigheterna.
Standard rättigheter visas som en lista med regler (en regel per rad). Du ser till vänster vilken fil eller katalog som berörs av regeln. Därefter ägare, grupp och slutligen vilka rättigheter som ges av regeln. Om, för en angiven regel:
kryssrutan Tvinga inte är markerad kommer msec bara att kontrollera om de definierade rättigheterna för den här regeln respekteras och skickar ett varningsmeddelande om de inte är det, men ingenting ändras.
kryssrutan Tvinga är markerad kommer msec inte att respektera rättigheterna vid första periodiska kontrollen utan skriva över dem.
Viktigt
För att det här ska fungera måste alternativet CHECK_PERMS i Fliken periodiska kontroller vara markerat och konfigurerat
Klicka på för att skapa en ny regel och fyll i fälten som visas i exemplet nedan. En asterisk * är tillåtet i fältet Fil. “nuvaranade” menas ingen ändring.
Klicka på knappen för att bekräfta valet och glöm inte att spara din konfiguration innan du avslutar helt genom menyn . Om du har ändrat något så ger msecgui dig möjlighet att förhandsgranska dem innan du sparar.
Notera
Du kan också ändra reglerna genom att redigera filen
/etc/security/msec/perms.conf.
Observera
Ändringar gjorda på Fliken rättigheter (eller manuellt i konfigurationsfilen) beaktas vid den första periodiska kontrollen (se alternativet CHECK_PERMS på Fliken Periodiska kontroller). Om du vill att de ska verkställas omedelbart så använder du kommandot msecperms i en konsoll med root-rättigheter. Där kan du i förväg kontrollera vilka rättigheter som kommer att ändras genom att skriva msecperms -p
Observera
Kom ihåg att om du ändrar rättigheterna i en konsol eller filhanterare för en fil där Tvinga är markerad i Fliken rättigheter så kommer msecgui att ändra tillbaka de gamla rättigheterna efter ett tag i enlighet med konfigurationen av alternativen CHECK_PERMS och CHECK_PERMS_ENFORCE från Fliken Periodiska kontroller.
Detta verktyg[43] finns under säkerhetsfliken i Mageias kontrollcenter och kallas "Konfigurera din personliga brandvägg". Det är samma verktyg som finns på första fliken i "Konfigurera säkerhet, behörigheter och revisioner".
En grundläggande brandvägg installeras som standard med Mageia. All inkommande trafik utifrån blockeras om de inte är godkända. På första skärmen ovan kan du välja vilka tjänster som ska accepteras utifrån. Av säkerhetsskäl, bocka av första rutan Allt (ingen brandvägg) om du inte vill avaktivera brandväggen, och bara välja nödvändiga tjänster.
Det är möjligt att manuellt ange vilka portar som ska vara öppna. Klicka på så öppnas ett nytt fönster. I fältet Andra portar, ange vilka portar som behövs genom att följa dessa exempel :
80/tcp: öppna porten 80's TCP-protokoll
24000:24010/udp : öppna alla portar från 24000 till 24010 UDP-protokollet
De listade portarna bör skiljas åt med ett mellanslag
Om kryssrutan Logga brandvägssmeddelanden i systemloggen är markerad kommer alla meddelanden från brandväggen att sparas i systemloggen.
Notera
Om du inte kör vissa tjänster (webb, mail eller fildelning, ...) behöver du inte ha något ikryssat, det är t.o.m. rekommenderat. Det kommer inte att hindra dig från att ansluta till internet.
Nästa skärm visar den interaktiva brandväggens olika alternativ. Med dem kan du bli varnad vid inkommande anslutningsförsök om åtminstone den första kryssrutan Använd interativ brandvägg är markerad. Markera den andra kryssrutan för att bli varnad om portar blir skannade (för att fösröka hitta fel någonstans som kan leda till att någon kan ta sig in i din dator). Varje kryssruta från den tredje och framåt motsvarar en port du öppnat i de två första fönstren. I skärmdumpen nedan finns två sådana alternativ: SSH-server och 80:150/tcp. Markera dem för att bli varnad om några anslutningsförsök sker på dessa portar.
De här varningsmeddelanden visas som en popup genom nätverksappleten.
Välj på sista skärmen vilket nätverkskort som är kopplat mot internet och som måste skyddas. När du klickat på knappen Ok så kommer de nödvändiga paketen att laddas ner.
Tips
Om du inte vet vad du ska välja, ta en titt i MCC under fliken Nätverk & Internet, och Skapa nytt nätverksinterface.
Det här verktyget[44]finns i Mageias kontrollcentral under fliken Säkerhet
Det gör det möjligt att ge vanliga användare nödvändiga rättigheter för att utföra uppgifter som i regel utförs av administratören.
Klicka på den lilla pilen framför objektet som du vill expandera:
De flesta verktygen som är tillgängliga i Mageias kontrollcentral visas till vänster i fönstret (se skärmdumpen ovan), och en rullgardinslista ger dig följande val:
Standard: Uppstartsläget bestäms av vald säkerhetsnivå. Läs avsnittet "Konfigurera systemsäkerhet, behörigheter och revisioner" på samma flik.
Användarlösenord: Användarens lösenord efterfrågas innan verktyget startas.
Administratörens lösenord: Lösenordet för root efterfrågas innan verktyget startar.
Inget lösenord: Verktyget startas utan att fråga efter lösenord.
Den här sidan har inte skrivits ännu i brist på resurser. Om du tror dig kunna skriva denna hjälptext så hör gärna av dig till dokumentations-teamet. Tack på förhand.
Du kan starta det här verktyget från en konsol genom att skriva drakinvictus som root.
Det här verktyget[45] finns i Mageias kontrollcentral under fliken säkerhet och heter Föräldrakontroll. Om du inte hittar den måste du installera drakguard-paketet (installeras inte som standard).
Drakguard är ett lätt sätt att ställa in föräldrakontroll på din dator och begränsa vem som kan göra vad, och på vilka tider. Drakguard har tre användbara egenskaper:
Den begränsar webbåtkomst för namngivna användare till satta tider på dygnet. Den gör det genom att använda shorewall, den inbyggda brandväggen i Mageia.
Den blockerar körning av olika kommandon för namngivna användare så att de bara kan köra det du tillåter dem.
Den begränsar åtkomst till webbsidor, både genom att manuellt definiera svart/vitlistor men även dynamisk baserat på webbsidans innehåll. För att uppnå detta använder Drakguard DansGuardian, den ledande föräldrakontroll-blockeraren inom öppen källkod.
Varning
Om din dator har en hårddisk med partitioner i Ext2, Ext3 eller Reiser-filsystem kommer ett pop upp-fönster att låta dig konfigurera ACL på dessa partitioner. ACL står för Access Control List och är en funktion i Linux kärna som tillåter åtkomst till individuella filer som är begränsade till namngivna användare. ACL är inbyggt i Ext4 och Btrfs-filsystem men måste aktiveras i Ext2, Ext3 och Reiser-partitioner. Om du väljer ja när du blir tillfrågad kommer drakguard att konfigurera alla dina partitioner med ACL-stöd och föreslår sedan att du startar om.
: Om markerad kommer föräldrakontroll att aktiveras och fliken Blockera program öppnas.
: Om markerad så kommer alla webbsidor att blockeras utom de som finns med på fliken vitlista. Annars tillåts alla webbsidor, utom de som finns med på fliken svartlista.
: Användare till vänster kommer att ha restriktioner enligt dina regler. Användare till höger har obegränsad åtkomst så att vuxna användare inte blir besvärade. Välj en användare till vänster och klicka på för att lägga till honom/henne som en tillåten användare. Välj en användare till höger och klicka på för att ta bort honom/henne från tillåtna användare.
Om markerad kommer internetåtkomst att tillåtas med begränsningar mellan Start och Slut-tid. Den är helt blockerad utanför dessa tidsramar.
[42] Du kan starta det här verktyget från en konsol genom att skriva msecgui som root.
[43] Du kan starta det här verktyget från en konsol genom att skriva drakfirewall som root.
[44] Du kan köra det här verktyget från en konsol genom att skriva draksec som root.
[45] Du kan starta det här verktyget från en konsol genom att skriva drakguard som root.
