Msec

Материал из Mandriva Russian Community Wiki

Содержание 1 Описание 1.1 Использование MSEC 2 Отчёты по безопасности 3 Графический интерфейс (msecgui) 4 MSEC: правила и настройки 5 Файлы

Описание

Пакет безопасности Mandriva (msec) предназначен для управления безопасностью системы. Пакет появился в Mandrake 8 и в то время являлся одной из первых утилит по управлению системной безопасности. С тех пор msec сильно изменился и подвергся редизайну в Mandriva Linux 2009.1. msec использует концепцию «уровней безопасности», которые отвечают за настройку набора прав доступа в системе.

Текущие настройки msec хранятся в файле /etc/security/msec/security.conf, который можно создать вручную, используя графический интерфейс msecgui, или с помощью команды msec -f. Этот файл настраивает безопасность системы согласно предопределённым уровням. По умолчанию доступны следующие уровни:

1. Уровень 'none'. Этот уровень предназначен для тех пользователей, кто не хочет использовать msec для управления безопасностью системой, и предпочитает её настроить самостоятельно. На этом уровне все проверки безопасности отключены, отсутствуют какие-либо ограничения на параметры и настройки системы. Используйте этот уровень только, если знаете, что делаете, так как ваша система будет уязвима для атак. Это поведение похоже на «уровень 0» прошлых версий msec ('Level 0: Welcome to Crackers'). Настройка по умолчанию для этого уровня хранится в файле /etc/security/msec/level.none.
2. Уровень 'default'. Это — уровень, устанавливаемый по умолчанию. Предназначен для легкомысленных пользователей. Этот уровень накладывает ограничения по безопасности на несколько системных настроек, и ежедневно запускает проверки безопасности, которые отслеживают изменения в системных файлах, системных учётных записях и уязвимые права доступа к каталогам. Этот уровень похож на уровни 2 и 3 прошлых версий msec. Настройка по умолчанию для этого уровня хранится в файле /etc/security/msec/level.default.
3. Уровень 'secure'. Этот уровень предназначен для тех, кто хочет быть уверенным в том, что его система защищена. На этом уровне ограничиваются права доступа, а периодические проверки выполняются чаще, чем обычно. Кроме того, доступ к системе также ограничен в большей степени. Этот уровень похож на уровни 4 (высокий (high)) и 5 (параноидальный (paranoidal)) прошлых версий msec. Настройка по умолчанию для этого уровня хранится в файле /etc/security/msec/level.secure.
4. Помимо этого можно определить свои собственные уровни безопасности, сохранив их в специальных файлах /etc/security/msec/level.ИМЯ_УРОВНЯ. Эта возможность предназначается для опытных пользователей, которым требуются особые настройки системной безопасности.

Использование MSEC

Программа msec — главный сценарий пакета msec. Он позволяет системному администратору изменить уровень безопасности системы. Чтобы запустить msec необходимо обладать правами суперпользователя (root).

Запустите msec для проверки и исправления текущей настройки системы. Это позволит определить системные настройки, которые отличаются от настройки системной безопасности. Например, если вы изменили параметры, относящиеся к удалённому доступу root в ssh, msec предупредит вас, что настройка для удалённого доступа root отличается от параметров, определённых в файле /etc/security/msec/security.conf. Так как msec не может узнать были изменения сделаны вами или злобным хакером, вы должны изменить этот параметр /etc/security/msec/security.conf либо вручную либо с помощью программы msecgui.

Чтобы просто просмотреть изменения, произошедшие с предыдущей настройки безопасности, можно использовать команду msec -p.

Результаты периодических проверок, выполненных msec, можно отправить по электронной почте. Результаты хранятся в файле /var/log/security.log. Адрес электронной почты, на который должны присылаться результаты проверок может быть настроен с помощью программы msecgui или непосредственной правкой файла /etc/security/msec/security.conf.

Все действия, осуществлённые программой msec могут записываться в различные местоположения. По умолчанию, вся информация сохраняется в файле /var/log/msec.log. Изменения сортируются по категориям INFO (информация), WARNING (предупреждение), ERROR (ошибка) или CRITICAL (критический).

Другой важной составляющей пакета msec является программа msecperms, которая предназначена для проверки прав доступа к файлам и каталогам. Принцип работы программы похож на принцип работы msec, msecperms проверяет права доступа согласно файлу /etc/security/msec/perms.conf. Также как и для msec, настройки можно сконфигурировать через графический интерфейс программы msecgui или с помощью команды msecperms -f, которая настроит программу согласно предопределённому уровню. Настройки прав доступа для каждого уровня определяются в файле /etc/security/msec/perm.ИМЯ_УРОВНЯ. По умолчанию доступны следующие уровни: none, default и secure.

По умолчанию, программа msecperms только выполняет проверки прав доступа. Чтобы восстановить права доступа к файлам по умолчанию при обнаружении изменений, необходимо использовать параметр *force*. При переключении на новый уровень или схему безопасности, или при необходимости установки прав доступа по умолчанию, необходимо выполнить команду msecperms -e, которая выставит права доступа согласно текущей схеме безопасности.

Отчёты по безопасности

Если включены отчёты по безопасности, электронные письма будут ежедневно отправляться на локальную учётную запись, указанную во вкладке Notifications программы msecgui или в параметре MAIL_USER в файле /etc/security/msec/security.conf. Чтобы принимать электронные письма, почтовый клиент должен быть настроен на сбор почты из спул-файла (почтовый клиент Sylpheed, например, это может).

Также вы можете ввести любой корректный адрес электронной почты и, пока запущен сервер SMTP (Postfix или Sendmail), письма будут отправляться на ваш адрес электронной почты. Если у вас нет запущенного почтового сервера, не отчаивайтесь. Установите пакет ssmtp и настройте его через конфигурационный файл /etc/ssmtp/ssmtp.conf. После этого вы сможете отправлять почту.

Графический интерфейс (msecgui)

ВНИМАНИЕ: графический интерфейс для программы msecgui вероятно подвергнется изменениям перед финальным выходом релиза Mandriva Linux 2009 Spring (2009.1).

Графический интерфейс к программе msec доступен посредством программы msecgui. Программа msecgui находится в пакете msec-gui. Это приложение предназначено для использования от имени суперпользователя (root), так как оно позволяет настроить все аспекты безопасности msec.

Приложение использует графический интерфейс со вкладками.

Функциональность msec разбита по содержимому различных вкладок, которые группируют параметры, относящиеся к локальной безопасности, сетевой безопасности, периодическим проверкам, уведомлениям и проверкам прав доступа.

Если какие-либо права доступа отличаются от прав, задаваемых по умолчанию выбранным уровнем безопасности, it will be shown as customized. Это позволяет быстро проверить настройки, которые отличаются от настроек системной безопасности по умолчанию.

Если настройки были изменены, программа msecgui позволяет просмотреть изменения перед тем, как их сохранить.

MSEC: правила и настройки

Msec поддерживает следующую функциональность:

ENABLE_IP_SPOOFING_PROTECTION

Enable/Disable name resolution spoofing protection.

MAIL_EMPTY_CONTENT

Включает отправку пустых отчётов по электронной почте.

ACCEPT_BROADCASTED_ICMP_ECHO

Accept/Refuse broadcasted icmp echo.

ENABLE_SUDO

Включает поддержку приложения sudo, которое позволяет пользователям запускать приложения, используя системную учётную запись. Если установлено, пользователи должны выполнять аутентификацию, используя пароль. Если этот параметр установлен в значение 'wheel', пользователи должны принадлежать к группе 'wheel', иначе они не смогут воспользоваться sudo.

ALLOW_XSERVER_TO_LISTEN

Аргумент определяет авторизованы клиенты для соединения с X-сервером по TCP-порту 6000 или нет.

CHECK_CHKROOTKIT

Включает проверку известных руткитов (rootkit), используя chkrootkit.

CHECK_SUID_ROOT

Включает проверку добавлений и исключений suid-файлов, принадлежащих пользователю root.

ENABLE_AT_CRONTAB

Включить или выключить crontab и at для пользователей. Помещает допущенных пользователей в /etc/cron.allow и /etc/at.allow (см. страницы руководств (man-страницы) at(1) и crontab(1)).

ACCEPT_BOGUS_ERROR_RESPONSES

Принимать или отклонять поддельные сообщения об ошибках IPv4.

CHECK_SUID_MD5

Включает проверку контрольной суммы для файлов suid.

MAIL_USER

Определяет электронную почту для принятия уведомлений по безопасности.

ALLOW_AUTOLOGIN

Разрешить/забыть автоматический вход в систему.

ENABLE_PAM_WHEEL_FOR_SU

Включение su только для членов группы 'wheel' или позволить su для любого пользователя.

CREATE_SERVER_LINK

Создаёт символическую ссылку /etc/security/msec/server для указания на /etc/security/msec/server.SERVER_LEVEL. /etc/security/msec/server используется командой chkconfig --add для решения о добавлении службы, если она присутствует в файле во время установки пакетов.

SHELL_TIMEOUT

Установить тайм-аут для командной оболочки. Значение «0» говорит об отсутствии тайм-аута.

CHECK_USER_FILES

Включает проверку прав доступа к файлам пользователя, которые не могут принадлежать кому-то, кроме него, или не могут быть записаны никем кроме него.

CHECK_SHADOW

Включает проверку на пустые пароли.

ENABLE_PASSWORD

Использовать пароль для аутентификации пользователей. Будьте предельно осторожны при отключении паролей, т. к. это оставит вашу машину очень уязвимой!

WIN_PARTS_UMASK

Установить параметр umask для монтирования разделов vfat и ntfs. Значение «None» означает использование umask по умолчанию.

CHECK_OPEN_PORT

Включает проверку открытых сетевых портов.

ENABLE_LOG_STRANGE_PACKETS

Включить или выключить журналирование подозрительных пакетов IPv4.

CHECK_RPM

Включает проверку установленных пакетов.

ENABLE_PAM_ROOT_FROM_WHEEL

Разрешает доступ к учётной записи root без требования ввода пароля для членов группы wheel.

MAIL_WARN

Включает передачу результатов по безопасности по электронной почте.

PASSWORD_LENGTH

Установить минимальную длину пароля и минимальное количество цифр и минимальное количество прописных букв.

ROOT_UMASK

Установить umask root'а.

CHECK_SGID

Включает проверку на добавление и исключение для sgid-файлов.

CHECK_PROMISC

Включить или выключить разнородную проверку ethernet-карт.

ENABLE_APPARMOR

Включает поддержку фреймворка безопасности AppArmor.

ALLOW_X_CONNECTIONS

Позволить или запретить X-соединения. Принимаемые аргументы: «yes» (все соединения разрешены), «local» (только локальные соединения), «no» (без соединений).

CHECK_WRITABLE

Включает проверку файлов и каталогов на возможность записи кем-либо.

ENABLE_CONSOLE_LOG

Включить или выключить отчёты syslog на консольном терминале 12.

ENABLE_DNS_SPOOFING_PROTECTION

Включить или выключить защиту от IP-спуфинга.

BASE_LEVEL

Определяет основной уровень безопасности, на котором базируется текущая конфигурация.

CHECK_PERMS

Включает периодические проверки прав доступа к системным файлам.

SHELL_HISTORY_SIZE

Установить размер истории команд командной оболочки. Значение «-1» устанавливает неограниченный размер.

ALLOW_REBOOT

Позволить или запретить локальным пользователя перезагрузку и выключение системы.

SYSLOG_WARN

Включает журналирование.

CHECK_SHOSTS

Включает проверку опасных параметров в файле пользователей .rhosts/.shosts.

CHECK_PASSWD

Включает проверки, связанные с паролями: например, проверки на наличие пустых паролей и т. д.

PASSWORD_HISTORY

Set the password history length to prevent password reuse. This is not supported by pam_tcb.

CHECK_SECURITY

Включает ежедневные проверки безопасности.

ALLOW_ROOT_LOGIN

Разрешить или запретить непосредственный вход в систему для учётной записи root.

CHECK_UNOWNED

Включает проверку файлов, не имеющих владельца.

ALLOW_USER_LIST

Позволить или запретить отображение списка пользователей в дисплейном менеджере (kdm и gdm).

NOTIFY_WARN

Включает поддержку уведомлений безопасности, использующих libnotify, что позволяет показывать уведомления непосредственно на рабочем столе пользователей.

ALLOW_REMOTE_ROOT_LOGIN

Позволить или запретить удалённый вход в систему учётной записи root через sshd. Можно определить «yes», «no» и «without-password». Подробнее смотрите страницу руководства sshd_config(5).

ENABLE_MSEC_CRON

Включить или выключить ежечасную проверку безопасности.

ENABLE_SULOGIN

Включить или выключить sulogin(8) на однопользовательском уровне запуска системы.

ALLOW_XAUTH_FROM_ROOT

Allow/forbid to export display when passing from the root account to the other users. See pam_xauth(8) for more details.

USER_UMASK

Установить umask пользователя.

ACCEPT_ICMP_ECHO

Accept/Refuse icmp echo.

AUTHORIZE_SERVICES

Настроить доступ к службам tcp_wrappers (см. hosts.deny(5)). Если параметр установлен в значение «yes», все службы авторизованы. Если параметр установлен в значение «local», то авторизованы только локальные службы. Если параметр установлен в значение «no», авторизованных служб нет. В этом случае, чтобы авторизовать необходимые вам службы, используйте файл /etc/hosts.allow (см. hosts.allow(5)).

TTY_WARN

Включает вывод результатов периодической проверки безопасности на терминал.

ENABLE_POLICYKIT

Включает поддержку фреймворка PolicyKit, который позволяет обычным пользоватеям запускать системные приложения.

Файлы

• /usr/sbin/msec — приложение msec, предназначенное для проверки параметров и настроек безопасности.
• /usr/sbin/msecperms — приложение msec, предназначенное для настройка прав доступа к файлам и каталогам.
• /usr/sbin/msecgui — графический интерфейс к msec (доступен в пакете msec-gui).
• /etc/security/msec/security.conf — содержит текущую конфигурацию безопасности.
• /etc/security/msec/perms.conf — содержит текущую конфигурацию безопасности.
• /etc/security/msec/level.none — содержит текущую конфигурацию безопасности для уровня безопасности none.
• /etc/security/msec/level.default — содержит текущую конфигурацию безопасности для уровня безопасности default.
• /etc/security/msec/level.secure — содержит текущую конфигурацию безопасности для уровня безопасности secure.
• /etc/security/msec/perm.none — содержит конфигурацию прав доступа для уровня безопасности none.
• /etc/security/msec/perm.default — содержит конфигурацию прав доступа для уровня безопасности default.
• /etc/security/msec/perm.secure — содержит конфигурацию прав доступа для уровня безопасности secure.