Msec
Z Mandriva Poland
Spis treści |
Opis
Pakiet bezpieczeństwa Mandrivy (vel msec) jest przeznaczony do sterowania i zarządzania bezpieczeństwem systemu. Wprowadzony początkowo w Mandrake 8 jest jednym z pierwszych systemów bezpieczeństwa w swoim rodzaju i został mocno zmodyfikowany i zmodernizowany dla Mandrivy 2009.1. Msec używa pojęcia *poziomów bezpieczeństwa*, które są przeznaczone do konfigurowania zestawu uprawnień systemu, zmiany mogą być kontrolowane lub egzekwowane.
Aktualna konfiguracja msec jest przechowywana w pliku /etc/security/msec/security.conf, który może być tworzony ręcznie przy użyciu graficznego interfejsu msecgui lub za pomocą polecenia msec -f, które skonfiguruje system bezpieczeństwa zgodnie z predefiniowanymi poziomami. Domyślnie dostępne są trzy poziomy:
- Poziom 'żaden'. Ten poziom jest przeznaczony do tego jeśli nie chcesz używać systemu bezpieczeństwa msec i wolisz swoje własne ustawienia. Wyłącza to całą kontrolę bezpieczeństwa, nie stawia żadnych ograniczeń ani ograniczeń dotyczących konfiguracji systemu i ustawień. Proszę używać tego poziomu jeśli wiesz co robisz, jeśli to ustawienie zostawisz, system będzie podatny na ataki. W msecgui, wybierz Wyłącz msec aby włączyć ten poziom. W domyślnej konfiguracji ustawienia tego poziomu są przechowywane w /etc/security/msec/level.none.
- Poziom 'standardowy'. Jest to poziom, który jest instalowany domyślnie i jest przeznaczony dla zwykłego użytkownika. Koncentruje się on na wymogi bezpieczeństwa w kilku ustawieniach systemu, codziennie wykonuje kontrolę bezpieczeństwa, która wykrywa zmiany w plikach systemowych, kont systemowych i podatny na uszkodzenie katalog uprawnień. Ten poziom zbliżony jest do poziomów 2 i 3 poprzedniej wersji msec. W domyślnej konfiguracji ustawienia tego poziomu są przechowywane w /etc/security/msec/level.standard.
- Poziom 'bezpieczny': Ten poziom jest przeznaczony do tego, gdy chcemy zapewnić systemowi bezpieczeństwo ale nadający się do użytku. Ogranicza on dodatkowe uprawnienia systemu a także okresowo wykonuje więcej kontroli. Ponadto, dostęp do systemu jest bardziej ograniczony. Ten poziom jest zbliżony do poziomu 4 (wysoki) i 5 (najwyższy) w starszej wersji msec. Konfiguracja tego poziomu jest zawarta w pliku /etc/security/msec/level.secure.
- Ponadto, można zdefiniować własne poziomy bezpieczeństwa zapisując je w specyficznych plikach /etc/security/msec/level.LEVELNAME. Ta funkcja jest przeznaczona dla zaawansowanych użytkowników, którzy wymagają niestandardowych lub bezpieczniejszej konfiguracji systemu.
Korzystanie z MSEC
msec jest głównym skryptem pakietu msec. Umożliwia administrowanie systemem w celu zmiany poziomu bezpieczeństwa systemu. Jako root uruchom msec.
msec rozpocznie sprawdzanie i ustalanie aktualnej konfiguracji systemu. Pozwoli to na określenie ustawień systemowych, które są różne dla konfiguracji zabezpieczeń systemu. Na przykład, jeśli zmieniasz ustawienia związane ze zdalnym logowaniem roota w ssh, msec ostrzeże, że konfiguracja zdalnego dostępu administratora różni się od ustawień zdefiniowanych w /etc/security/msec/security.conf. Ponieważ nie sposób się dowiedzieć kto zmienił msec lub czy to złośliwy atak należy zmienić to ustawienie w /etc/security/msec/security.conf ręcznie lub za pomocą msecgui.
Jeśli chcesz po prostu zobaczyć co się zmieniło od poprzedniej konfiguracji zabezpieczeń możesz użyć msec -p, który pozwala na podgląd wszystkich zmian.
Wynik okresowych kontroli wykonywanych przez msec może być przesłany pocztą elektroniczną a także jest przechowywany w pliku /var/log/security.log. Adres email, który powinien pojawić się w wyniku takiej kontroli może być skonfigurowany za pomocą msecgui lub poprzez bezpośrednią edycję pliku /etc/security/msec/security.conf.
Wszystkie działania wykonywane przez msec mogą być zlokalizowane w różnych miejscach. Domyślnie, wszystko zlokalizowane jest w pliku /var/log/msec.log, zmiany stosownie do ich wpływu są kwalifikowane na kategorie INFO, OSTRZEŻENIE, BŁĄD lub KRYTYCZNY.
Kolejnym ważnym elementem pakietu msec jest msecperms, który przeznaczony jest do kontroli uprawnień, egzekwowania w plikach i katalogach. Działa podobnie jak msec, system kontroli i uprawnień, zgodnie z plikiem /etc/security/msec/perms.conf. W podobny sposób jak msec, ustawienia mozna skonfigurować za pomocą interfejsu graficznego msecgui lub uruchamiając polecenie msecperms -f, który skonfiguruje ustawienia zgodnie z uprzednio zdefiniowanym poziomem. Podobnie jak konfiguracja msec, ustawienia pozwolenia na każdym poziomie są zdefiniowane w pliku /etc/security/msec/perm.LEVELNAME i poziomy żaden, standardowy i bezpieczny są dostępne domyślnie.
Domyślnie, msecperms jest tylko dla kontroli zmian uprawnień w systemie. Jeśli chcesz przywrócić domyślne uprawnienia do plików, gdy zmiana została wykryta, można użyć opcji *wymuś*. Jeśli przełączasz się do nowego poziomu lub schematu lub po prostu chcesz ustawić wszystkie uprawnienia jako domyślne, możesz uruchomić msecperms -e, które będzie egzekwować uprawnienia zgodnie z obecnym stanem zabezpieczeń.
Raporty bezpieczeństwa
Jeśli masz aktywne sprawozdania bezpieczeństwa w /etc/security/msec/security.conf lub przy użyciu msecgui codziennie raporty będą wysyłane e-maile do lokalnego konta, które jest określone na karcie Powiadomienia w msecgui (lub w ustawieniu MAIL_USER w pliku /etc/security/msec/security.conf). W celu otrzymania wiadomości klient poczty musi być skonfigurowany do 'włączenia' maili z buforowanego pliku, np. Sylpheed może to zrobić.
Ewentualnie wprowadź prawidłowy adres e-mail w polu serwera poczty SMTP takich jak Postfix lub Sandmail, zostanie wysłana wiadomość na konto pocztowe. Jeśli nie masz uruchomionego serwera poczty to nie rozpaczaj. Zainstaluj pakiet ssmtp za pomocą Menadżera Oprogramowania Mandrivy i skonfiguruj /etc/ssmtp/ssmtp.conf i będzie można wysyłać e-maile.
Graficzny interfejs (msecgui)
Graficzny interfejs msec jest dostępny w msecgui, który jest zawarty w pakiecie msec-gui. Ta aplikacja jest przeznaczona do wykorzystania przez administratora, umożliwia skonfigurowanie wszystkich aspektów bezpieczeństwa.
Jak widać, aplikacja wykorzystuje karty graficznego interfejsu
Różne funkcje msec są podzielone na karty, pogrupowane opcje związane z lokalnym bezpieczeństwem, bezpieczeństwo sieci, okresowe kontrole, powiadomienia i uprawnienia kontrolne.
Jeżeli jakiekolwiek uprawnienie różni się od domyślnej konfiguracji twojego poziomu to będą wyświetlane jako niestandardowe. Pozwala to na szybkie sprawdzenie uprawnienia, które różni się od domyślnego systemu bezpieczeństwa.
Jeśli zmieniasz ustawienia, msecgui umożliwia podgląd przed ich zapisaniem.
Ustawienia i zasady MSEC
Poniższe funkcje są obsługiwane przez msec:
| Ustawienie | Opis |
|---|---|
| ENABLE_IP_SPOOFING_PROTECTION | Włącz/Wyłącz nazwę fałszywej ochrony. |
| MAIL_EMPTY_CONTENT | Umożliwia wysyłanie raportów, pusty mail. |
| ACCEPT_BROADCASTED_ICMP_ECHO | Akceptuj/Odrzuć transmitowane pakiety ICMP. |
| ALLOW_XSERVER_TO_LISTEN | Argument określa czy klienci są upoważnieni do połączenia się z serwerem X przez port TCP 6000 lub nie. |
| CHECK_CHKROOTKIT | Umożliwia sprawdzenie znanych rootkitów za pomocą chkrootkit. |
| CHECK_SUID_ROOT | Umożliwia sprawdzenie dodanych/usuniętych plików suid root. |
| ENABLE_AT_CRONTAB | Włącza/Wyłącza crontab i at dla użytkowników. Umieść użytkowników w /etc/cron.allow i /etc/at.allow (zobacz man at(1) i crontab(1)). |
| ACCEPT_BOGUS_ERROR_RESPONSES | Akceptuj/Odrzuć fałszywe komunikaty o błędach IPv4. |
| CHECK_SUID_MD5 | Umożliwia sprawdzenie sum kontrolnych dla plików suid. |
| MAIL_USER | Określa adres e-mail aby otrzymywać powiadomienia. |
| ALLOW_AUTOLOGIN | Zezwala/Zabrania na autologowanie. |
| ENABLE_PAM_WHEEL_FOR_SU | Włączenie su tylko dla członków grupy wheel lub pozwala na su dowolnemu użytkownikowi.. |
| CREATE_SERVER_LINK | Tworzy symboliczne dowiązanie /etc/security/msec/server do /etc/security/msec/server.SERVER_LEVEL. Plik /etc/security/msec/server jest wykorzystywany przez chkconfig --add aby zdecydować, dodać usługę, jeśli jest dostępny w pliku w trakcie instalacji pakietu. |
| SHELL_TIMEOUT | Ustawia powłokę czasu. Wartość zero oznacza brak czasu. |
| CHECK_USER_FILES | Pozwala na sprawdzenie uprawnień użytkowników, pliki które są własnośćią kogoś innego lub do zapisu. |
| CHECK_SHADOW | Umożliwia sprawdzenie pustych haseł. |
| ENABLE_PASSWORD | Użyj hasła do uwierzytelnienia użytkowników. Zachowaj ostrożność, wyłączając hasła pozostawiasz maszynę całkowicie zagrożoną. |
| WIN_PARTS_UMASK | Ustawia opcję umask dla montowania partycji VFAT i NTFS. Wartośc 'brak' oznacza domyślne umask. |
| CHECK_OPEN_PORT | Umożliwia sprawdzenie otwartych portów sieciowych. |
| ENABLE_LOG_STRANGE_PACKETS | Włącz/Wyłącz rejestrowanie dziwnych pakietów IPv4. |
| CHECK_RPM | Umożliwia weryfikację zainstalowanych pakietów. |
| MAIL_WARN | Umożliwia zabezpieczenie przekazywania wyników przez e-mail. |
| PASSWORD_LENGTH | Ustawia minimalną długość hasła i minimalną liczbę cyfr oraz minimalną liczbę liter. |
| ROOT_UMASK | Ustawia umask jako root. |
| CHECK_SGID | Umożliwia sprawdzenie dodanych/usuniętych plików sgid. |
| CHECK_PROMISC | Aktywuje/Wyłącza bezład zmian kart ethernet. |
| ALLOW_X_CONNECTIONS | Zezwala/Zabrania na połączenia X. Akceptowane argumenty: tak (wszystkie połączenia są dozwolone), lokalne (tylko po łączenia lokalne), nie ( nie łączy). |
| CHECK_WRITABLE | Umożliwia sprawdzenie wszystkich zapisanych plików/katalogów. |
| ENABLE_CONSOLE_LOG | Włącz/Wyłącz raporty syslog terminala 12. |
| ENABLE_DNS_SPOOFING_PROTECTION | Włącz/Wyłącz fałszywą ochronę IP. |
| BASE_LEVEL | Określa podstawy poziom bezpieczeństwa, na którym opiera się bieżąca konfiguracja. |
| CHECK_PERMS | Umożliwia okresowe sprawdzanie uprawnień do plików systemowych. |
| SHELL_HISTORY_SIZE | Ustaw rozmiar historii poleceń powłoki. Wartość -1 oznacza nieograniczony. |
| ALLOW_REBOOT | Zezwala/Zabrania na restart systemu i zamknięcie lokalnych użytkowiników. |
| SYSLOG_WARN | Umożliwia zalogowanie się do logów systemowych. |
| CHECK_SHOSTS | Umożliwia sprawdzanie niebezpiecznych opcji użytkowników w plikach .rhosts/.shosts. |
| CHECK_PASSWD | Umożliwia kontrolę haseł związanych, takich jak puste hasła i dziwnych super kont użytkowników. |
| PASSWORD_HISTORY | Ustaw długość hasła historii haseł. To nie jest obsługiwane przez pam_tcb. |
| ENABLE_DNS_SPOOFING_PROTECTION | Włącz/Wyłącz fałszywą ochronę IP. |
| CHECK_SECURITY | Pozwala na kontrolę bezpieczeństwa raz na dobę. |
| ALLOW_ROOT_LOGIN | Zezwala/Zabrania na bezpośrednie logowanie jako root. |
| CHECK_UNOWNED | Umożliwia sprawdzenie bezpańskich plików. |
| ALLOW_USER_LIST | Zezwala/Zabrania użytkownikom w systemie na zarządzanie (kdm i gdm). |
| NOTIFY_WARN | Włącza wsparcie dla bezpieczeństwa powiadomień za pomocą libnotify. Pozwala to na zabezpieczenie powiadomień, które mają być dostarczone bezpośrednio do użytkowników komputera. |
| ALLOW_REMOTE_ROOT_LOGIN | Zezwala/Zabrania na zdalne logowanie jako root poprzez sshd.Możesz określić: tak, nie i bez-hasła. Zobacz sshd_config (5) man, aby uzyskać więcej informacji. |
| ENABLE_MSEC_CRON | Włącz/wyłącz godzinę kontroli bezpieczeństwa msec. |
| ENABLE_SULOGIN | Włącz/Wyłącz sulogin(8) w jednym poziomie użytkowinka. |
| ALLOW_XAUTH_FROM_ROOT | Zezwala/Zabrania na eksportowanie wyświetlania podczas przechodzenia z konta root do innych użytkowników. Po więcej informacji zobacz pam_xauth(8). |
| USER_UMASK | Ustaw użytkownika umask. |
| ACCEPT_ICMP_ECHO | Akceptuj/Odrzuć pakiety ICMP. |
| AUTHORIZE_SERVICES | Konfiguracja dostępu do usług tcp_wrappers (patrz host.deny (5)). Jeśli arg = tak, wszystkie usługi są dopuszczone. Jeśli arg = lokalne, tylko lokalne są dopuszczone, a jeśli arg = nie, nie są dozwolone. W takim przypadku, aby zezwolić na usługi musisz, użyć /etc/host.allow (patrz host.allow (5)). |
| TTY_WARN | Umożliwia okresową kontrolę bezpieczeństwa wyników końcowych. |
Pliki
/usr/sbin/msec aplikacja msec odpowiedzialna za audyt zabezpieczeń i konfiguracji.
/usr/sbin/msecperms aplikacja msec odpowiedzialna za pliki i katalogi konfiguracji i egzekwowania
/usr/sbin/msecgui interfejs graficzny msec (dostępny w pakiecie msec-gui).
/etc/security/msec/security.conf zawiera bieżącą konfigurację zabezpieczeń.
/etc/security/msec/perms.conf zawiera bieżącą konfigurację zabezpieczeń.
/etc/security/msec/level.none zawiera konfigurację zabezpieczeń poziomu bezpieczeństwa żaden.
/etc/security/msec/level.standard zawiera konfigurację zabezpieczeń poziomu bezpieczeństwa standardowy.
/etc/security/msec/level.secure zawiera konfigurację zabezpieczeń poziomu bezpieczeństwa bezpieczny.
/etc/security/msec/perm.none zawiera uprawnienia dla poziomu bezpieczeństwa żaden.
/etc/security/msec/perm.standard zawiera uprawnienia dla poziomu bezpieczeństwa standardowy.
/etc/security/msec/perm.secure zawiera uprawnienia dla poziomu bezpieczeństwa bezpieczny.
