ghost

安全

在这一窗口中,您可以选择各种用于系统安全配置的工具。请点击下方的链接来了解更多信息。

MSEC: 系统安全审计

msecgui

介绍

msecgui[43]是用于配置系统安全的 msec 图形化界面,可用的操作有:

  • 设置系统行为,使用 msec 来调整系统以便系统更安全。

  • 周期性检查系统,以便在发生危险时及时通知您。

msec 使用“安全等级”的概念来管理系统权限,您可以对权限的变更或加固进行审计。Mageia 提供了推荐的配置,但您也可以自己定制安全等级。

预览选项卡

参见上述截图

第一个选项卡中包活了各类安全工具,右侧的按钮可以配置这些工具:

  • 防火墙,它也可以通过 MCC / 安全 /设置您的个人防火墙 来启动

  • 更新,它也可以通过 MCC / 软件管理 /更新您的系统 来启动

  • msec 私有的配置:

    • 是否启用

    • 预设的基础安全等级

    • 最近一次周期检查的时间、用于查看详细报告的按钮和用于立即执行检查的按钮。

安全设置选项卡

点击第二个选项卡,或者点击安全配置 按钮也会打开上述窗口。

基本安全选项卡

安全等级

在勾选了启用 MSEC 工具后,您可以在此选项卡中双击选择所需的安全等级(以粗体字表示)。如果您没有勾选任何等级,将会使用等级“无”。您可以使用的等级有:

  1. 等级。如果您不希望使用 msec 来控制系统安全,而希望自己进行配置,请选择此等级。系统将禁用所有安全检查,并且不会对系统配置做任何限制。仅当您清楚自己的目的时才使用此等级,因为这样做可能导致系统容易遭受攻击。

  2. 标准等级。这是安装时默认使用的配置,可以用于普通用户。系统将限制部分系统设置,并且每天检查系统文件、系统账户和危险目录的权限的变更情况。(此等级与之前版本的 msec 使用的等级 2 和 3 类似)

  3. 安全等级。当您想确保系统安全,同时保证系统可用性时,请使用此等级。系统将进一步收紧系统权限,并提高周期性检查的频率。此外,也会限制系统的访问。(此等级与之前版本的 msec 使用的等级 4(高) 和 5(严格) 类似)

  4. 除了这些等级之外,msec 也提供了用于不同任务的安全设置,如 fileserver(文件服务器) webserver(网络服务器)netbook(上网本) 等级。这些等级适用于在大多数情况下对系统安全进行配置。

  5. 最后两个等级叫做每日审计 每周审计,它们并非真正的安全等级,而是用于进行周期性检查的工具。

这些等级保存于 /etc/security/msec/level.<levelname>。您可以自定义安全等级,并将其保存至特定的文件中,文件名的格式为 level.<等级名称>,并将其放到 /etc/security/msec/。此功能适用于对系统配置有特殊需求的超级用户。

小心

请记住,用户自定义的参数将会覆盖预设的默认等级。

安全警报

如果您勾选了用邮件发送安全警报至,msec 生成的安全警报将通过本地邮件服务发送至预先设定的安全管理员。您可以在收件人地址一栏填写一个本地用户名,或完整的电子邮件地址(同时应当设置本地邮件和邮件管理器)。最后,您将可以直接在桌面读取 msec 发送的安全警报。请勾选相应的复选框来启用这一功能。

重要

我们强烈建议您启用安全警报功能,以便在系统出现可能的安全问题时能及时反馈给安全管理员。否则,管理员需要定期手动检查 /var/log/security 下的日志文件。

安全选项

自定义计算机安全的方法不仅限于创建自定义安全等级,您也可以使用此处介绍的选项卡来修改任意选项。当前的 msec 配置存储在 /etc/security/msec/security.conf,此文件包含了当前的安全等级名,以及一系列针对默认参数进行的修改。

系统安全选项卡

此选项卡的左侧显示了所有安全选项,中间显示了相关的描述,右侧显示了选项当前的值。

若要修改某个选项,请双击它,然后在弹出的窗口(见下面的截图)中进行修改。窗口中将显示选项的名词、简短描述、当前值和默认值,以及包含可选值的下拉列表。请点击确定按钮来确认修改。

小心

在退出 msecgui 时,请不要忘记点击菜单 文件 -> 保存配置 来应用您的配置。如果您做了更改,msecgui 在保存前会提示您预览这些更改。

网络安全

此选项卡中显示了所有的网络选项,操作方式与上一个选项卡类似

周期检查选项卡

周期检查用于通过安全警告将 msec 认为可能危险的情形发送给系统管理员。

此选项卡中显示了所有 msec 完成的周期检查,如果勾选了启用周期性安全检查,还将显示检查的频率。请参考上一个选项卡的介绍进行操作。

例外选项卡

部分警报信息可能并非源于系统风险,您可能有意让它们发生。在这种情况下,安全警报就显得不必要了。您可以在此选项卡中创建任意数量的例外,以避免不需要的安全警报。当 msec 首次启动时,列表中是空的。下面的截图中包含了四个例外。

若要创建例外,请点击 添加规则 按钮

请在检查下拉列表中选择需要的周期检查,然后在文本区域输入 例外。您也可以在 例外 选项卡中使用 删除按钮将现有的例外删除,或者双击某个例外来更改它。

权限

此选项卡用于进行文件/目录权限检查和加固。

与安全选项卡类似,msec 提供了不同的权限等级(标准、安全……),分别根据您的选择予以启用。您也可以创建自己的权限等级,并将其保存在特定的文件中,文件名为perm.<等级名> ,且放置于 /etc/security/msec/ 文件夹中。此功能适用于需要自定义配置的超级用户。您也可以使用此选项卡来改变所需的权限。当前的配置存储在 /etc/security/msec/perms.conf。此文件包含一系列针对默认参数进行的修改。

默认权限以规则列表的形式显示,每行显示一条规则。您可以在左侧看到与某个规则相关的文件或文件夹、文件所有者、文件所有组以及此规则授予的权限。例如,对于给定的规则:

  • 加固 未被勾选,则 msec 将只检查此规则定义的权限是否有效,如果无效则发送安全警报,但不做任何更改。

  • 加固被勾选,则 msec 将根据第一次周期检查时得到的权限信息改写当前权限。

重要

若要使用此功能,您必须正确配置周期性检查选项卡中的 CHECK_PERMS 选项。

若要创建新规则,请点击添加规则按钮,并参考以下示例填写相应字段。文件字段中可以使用通配符 *。“current”表示尚未被更改。

点击确定按钮来确认更改。不要忘记点击菜单 文件 -> 保存配置来应用您的配置。如果您做了更改,msecgui 在保存前会提示您预览这些更改。

注意

您也可以手动创建或修改配置文件 /etc/security/msec/perms.conf

小心

权限选项卡(或配置文件)中的更改将在首次周期性检查时生效(参见周期检查选项卡中的 CHECK_PERMS 选项)。如果您希望它们立即生效,请以 root 权限在命令行执行 msecperms。在此之前,您可以使用“msecperms -p”命令来了解 msecperms 将要更改的权限。

小心

请记住,如果您通过终端或文件管理器修改了被 Enforce 文件的权限,msecgui 随后将会根据权限选项卡中的 CHECK_PERMS 和 CHECK_PERMS_ENFORCE 选项将其恢复到之前的值。

设置个人防火墙

drakfirewall

此工具[44]可以在 Mageia 控制中心的系统选项卡中找到,选项名称是“设置个人防火墙”。它与第一个选项卡中的“配置系统安全、权限和审计”是同一个工具。

Mageia 默认安装了基本的防火墙。所有未经授权的外部连接都会被拒绝。在以上第一个窗口,您可以选择要接受的外部连接所对应的服务。除非您希望禁用防火墙,否则为了安全起见,请不要勾选第一个方框所有(无防火墙),而只勾选所需的服务。

可以手动输入您希望开放的端口号。请点击高级,然后在弹出的新窗口中的其他端口中输入所需端口,如下例所示:

80/tcp:开放 80 端口的 TCP 协议

24000:24010/udp : 开放 4000 至 24010 端口的 UDP 协议

不同的端口号间使用空格分隔。

若勾选了将防火墙消息记录到系统日志,防火墙的相关消息将会保存至系统日志

注意

如果您不打算用计算机提供特定服务(网页、邮件服务器、文件共享等),我们建议您不要勾选任何项目,而且这并不会影响到您的互联网连接。

下一个窗口用于配置交互式防火墙选项。当勾选了第一项使用交互式防火墙,系统将会在连接发起时弹出警告。若勾选了第二项,则系统在检测到端口扫描(常被用于扫描漏洞并入侵系统)时弹出警告。第三项及其之后的方框用于设置您在前两个窗口中开启的端口;在下面的截图中,系统中启用了 SSH 服务和 80:150/tcp 端口。请选择要在哪些端口被连接时弹出警告。

此警告将由网络应用程序以警示弹窗的形式发出。

在最后一个窗口中,请选择需要连接到互联网并且需要保护的网络接口。点击确定按钮后,将会自动下载所需软件包。

提示

如果您不清楚如何选择,请参考 Mageia 控制中心的“网络和互联网”选项卡中的“设置新的网络接口”。

配置 Mageia 工具授权

draksec

您可以在 Mageia 控制中心的 安全选项卡中找到此工具[45]

它可以将所需权限赋予普通用户,以便完成通常由管理员完成的任务。

点击项目前的箭头符号来显示下拉列表:

Mageia 控制中心里的大部分工具都显示在窗口的左侧(见上述截图),并且每个工具都在右侧的下拉列表中有对应选项:

  • 默认:根据所选安全等级来决定启动模式。参见此选项卡中的“配置系统安全、权限和审计”工具。

  • 用户密码:启动工具前,需要输入用户密码。

  • 用户密码:启动工具前,需要输入 root 密码。

  • 无密码:启动工具前不需要输入密码。

网口和防火墙高级设置

drakinvictus

由于缺少资源,此部分内容尚未编写。如果您希望编写此帮助,请联系文档团队。感谢您的支持。

您可通过以 root 用户在命令行输入 drakinvictus 启动该工具。

家长控制

drakguard

此工具[46]可以在 Mageia 控制中心的安全选项卡中找到,选项名称是“家长控制”。如果您找不到该选项,请安装 drakguard 软件包(默认情况下未安装)。

介绍

Drakguard 是一款用于家长控制的便捷软件,可以限制计算机用户的行为和使用时间。Drakguard 有以下三个特性:

  • 通过控制 Mageia 内置的 shorewall 防火墙,它可以限制指定用户访问网络的时间。

  • 它可以阻止指定用户执行特定命令,使得用户只能执行您所允许执行的命令。

  • 它可以限制访问的网站,您可以手动设置网站黑名单/白名单,也可以根据网站内容进行判断。Drakguard 使用著名且开源的家长控制软件 DansGuardian 来实现这一功能。

配置家长控制

警告

如果您的计算机硬盘中有 Ext2、Ext3 或 ReiserFS 格式的分区,您将会看到一个用于配置 ACL 的弹出窗口。ACL 即访问控制列表,该功能由 Linux 内核提供,用于指定每个文件能被哪些用户访问。Ext4 和 Btrfs 格式的分区内建了 ACL;对于 Ext2、Ext3 或 ReiserFS 格式的分区,则必须通过特定选项来开启。如果您回答了“是”,drakguard 将会对您的所有分区启用 ACL,并建议您重新启动。

启用分区控制:如果勾选,将会启用家长控制,并显示阻止程序选项卡。

阻止所有网络连接:如果勾选,将会拦截所有网站访问(白名单选项卡中的网站除外)。否则,将允许访问所有网站(黑名单选项卡中的网站除外)。

用户访问:根据您设定的规则,左侧用户的访问将会受到限制。右侧用户的访问不会受限,以便成人用户能够方便地使用计算机。您可以从左侧的列表中选择一个用户,然后点击添加将其添加到不受限的用户列表中;或者从右侧的列表中选择一个用户,然后点击移除将其从不受限的用户列表中排除。

时间控制:若勾选,互联网访问的时间将会被限制在开始时间和结束时间之间,此外的时段将禁止用户访问互联网。

白名单/黑名单选项卡

请在顶部的第一栏中输入网站 URL,然后点击添加按钮。

阻止程序选项卡

阻止自定义程序:启用 ACL 来限制访问指定程序。请插入您希望阻止启动的应用程序路径。

不受限的用户列表:右侧列表中的用户将不受 ACL 访问控制。



[43] 您可通过以 root 用户在命令行输入 drakedm 来启动该工具。

[44] 您可通过以 root 用户在命令行输入 drakfirewall 来启动该工具。

[45] 您可通过以 root 用户在命令行输入 draksec 启动该工具。

[46] 您可通过以 root 用户在命令行输入 drakguard 来启动该工具。


CC BY-SA 3.0
loading table of contents...