MSEC po liftingu

Artykuł napisałem razem z Tomkiem Bednarskim i pierwszy raz został opublikowany w numerze 6/2009 magazynu Linux+.

Jedną z ciekawszych nowości systemu Mandriva Linux 2009.1 Spring jest mocno przebudowany i odświeżony pakiet programów zabezpieczających system. Składają się one na program msec. Jest on przeznaczony do sterowania i zarządzania bezpieczeństwem różnych obszarów systemu. Wprowadzony początkowo w Mandrake 8 jest jednym z pierwszych systemów bezpieczeństwa w swoim rodzaju i został mocno zmodyfikowany i zmodernizowany dla Mandrivy 2009.1. Msec używa pojęcia poziomów bezpieczeństwa, które są przeznaczone do konfigurowania zestawu uprawnień systemu, zmiany mogą być kontrolowane lub egzekwowane. W chwili obecnej interfejs programu nie jest dostępny w języku polskim, ale w finalnym wydaniu będzie także w naszym rodzimym języku.

AUTOMATYZACJA OCHRONY

Msec kontroluje bezpieczeństwo systemu i składa raporty, w których znajdują się informacje na temat stanu zabezpieczenie plików, procesów, portów i oprogramowania. Wszystko to dzieje się automatycznie zgodnie z harmonogramem, który ustala użytkownik. Analiza przebiega na podstawie konfiguracji msec, która jest przechowywana w pliku /etc/security/msec/security.conf. Plik ten może być utworzony ręcznie przy użyciu graficznego interfejsu msecgui lub za pomocą polecenia msec -f, które skonfiguruje system bezpieczeństwa zgodnie z predefiniowanymi poziomami. Domyślnie dostępne są trzy poziomy:

* poziom żaden – ten poziom jest przeznaczony dla użytkowników, którzy samodzielnie dbają o wszystkie aspekty bezpieczeństwa systemu. Opcja wyłącza całą kontrolę bezpieczeństwa, nie ustawia żadnych ograniczeń dotyczących konfiguracji systemu i ustawień. Opcji tej powinni używać użytkownicy, którzy dokładnie znają zasady działania systemu. Jeżeli ten poziom zostanie aktywowany, system będzie podatny na ataki. W msecgui, wybierz Wyłącz msec aby włączyć ten poziom. W domyślnej konfiguracji ustawienia tego poziomu są przechowywane w /etc/security/msec/level.none.

* poziom domyślny – jest to poziom, który jest instalowany domyślnie i jest przeznaczony dla zwykłego użytkownika. Koncentruje się na zabezpieczeniu kilku obszarów systemu, codziennie wykonuje kontrolę bezpieczeństwa, która wykrywa zmiany w plikach systemowych, kont systemowych i uprawnień na katalogach. Ten poziom zbliżony jest do poziomów 2 i 3 poprzedniej wersji msec. W domyślnej konfiguracji ustawienia tego poziomu są przechowywane w /etc/security/msec/level.default.

* poziom bezpieczny – ten poziom zapewnia większe bezpieczeństwo systemu, ale nie zmniejsza znacząco funkcjonalności. Wprowadza bardziej restrykcyjny poziom uprawnień użytkowników i częstsze kontrole. Ustawia także dodatkowe ograniczenia w dostępie do systemu. Ten poziom zbliżony jest do poziomu 4 (wysoki) i 5 (najwyższy) w starszej wersji msec. Konfiguracja tego poziomu jest zawarta w pliku /etc/security/msec/level.secure.

* Ponadto można zdefiniować własne poziomy bezpieczeństwa zapisując je w dodatkowych plikach /etc/security/msec/level.LEVELNAME. Ta funkcja jest przeznaczona dla zaawansowanych użytkowników, którzy potrzebują ustawień niestandardowych lub bezpieczniejszej konfiguracji systemu.

KORZYSTANIE Z MSEC

Msec jest głównym skryptem pakietu msec. Umożliwia administrowanie systemem w celu zmiany poziomu bezpieczeństwa systemu. Jako root uruchom msec. Msec rozpocznie sprawdzanie i ustalanie aktualnej konfiguracji systemu. Pozwoli to na określenie ustawień systemowych, które są różne dla różnych poziomów konfiguracji zabezpieczeń systemu. Na przykład, jeśli zmieniasz ustawienia związane ze zdalnym logowaniem roota w ssh, msec ostrzeże, że konfiguracja zdalnego dostępu administratora różni się od ustawień zdefiniowanych w /etc/security/msec/security.conf. Ponieważ nie sposób się dowiedzieć kto zmienił msec lub czy to złośliwy atak należy zmienić to ustawienie w /etc/security/msec/security.conf ręcznielub za pomocą msecgui./etc/security/msec/security.conf. Jeśli chcesz po prostu zobaczyć co się zmieniło od poprzedniej konfiguracji zabezpieczeń możesz użyć msec -p, który pozwala na podgląd wszystkich zmian. Wynik okresowych kontroli wykonywanych przez msec może być przesłany pocztą elektroniczną, a także jest przechowywany w pliku /var/log/security.log. Adres email, który powinien pojawić się w wyniku takiej kontroli może być skonfigurowany za pomocą msec-gui lub poprzez bezpośrednią edycję pliku /etc/security/msec/security.conf. Dzienniki wszystkich działań wykonywanych przez msec mogą być zlokalizowane w różnych miejscach. Domyślnie, wszystko zlokalizowane jest w pliku /var/log/msec.log, zmiany stosownie do ich wpływu są kwalifikowane na kategorie INFO, OSTRZEŻENIE, BŁĄD lub KRYTYCZNY.

Kolejnym ważnym elementem pakietu msec jest msecperms, który przeznaczony jest do kontroli uprawnień i zmiany uprawnień do plików i katalogów. Działa podobnie jak msec, system kontroli i uprawnień, zgodnie z plikiem /etc/security/msec/perms.conf. W podobny sposób jak msec, ustawienia można skonfigurować za pomocą interfejsu graficznego msecgui lub uruchamiając polecenie msecperms -f, który skonfiguruje ustawienia zgodnie z uprzednio zdefiniowanym poziomem. Podobnie jak konfiguracja msec, ustawienia pozwolenia na każdym poziomie są zdefiniowane w pliku /etc/security/msec/perm.LEVELNAME i poziomy żaden, domyślny i bezpieczny są dostępne domyślnie. Domyślnie, msecperms jest tylko dla kontroli zmian uprawnień w systemie. Jeśli chcesz przywrócić domyślne uprawnienia do plików, gdy zmiana została wykryta, można użyć opcji wymuś. Jeśli przełączasz się do nowego poziomu lub schematu lub po prostu chcesz ustawić wszystkie uprawnienia jako domyślne, możesz uruchomić msecperms -e, które będzie egzekwować uprawnienia zgodnie z obecnym stanem zabezpieczeń.

RAPORTY BEZPIECZEŃSTWA

Jeśli masz aktywne sprawozdania bezpieczeństwa w /etc/security/msec/security.conf lub przy użyciu msecgui codziennie raporty będą wysyłane na e-maile do lokalnego konta, które jest określone na karcie Powiadomienia w msecgui (lub w ustawieniu MAIL_USER w pliku /etc/security/msec/security.conf). W celu otrzymania wiadomości klient poczty musi być skonfigurowany do ‘włączenia’ maili z buforowanego pliku, np. Sylpheed może to zrobić. Ewentualnie wprowadź prawidłowy adres e-mail w polu serwera poczty SMTP takich jak Postfix lub Sendmail, zostanie wysłana wiadomość na konto pocztowe. Jeśli nie masz uruchomionego serwera poczty to nie rozpaczaj. Zainstaluj pakiet ssmtp za pomocą Menadżera Oprogramowania Mandrivy i skonfiguruj /etc/ssmtp/ssmtp.conf i będzie można wysyłać e-maile.

GRAFICZNY INTERFEJS (MSECGUI)

Graficzny interfejs msec jest dostępny przez polecenie msecgui, który jest zawarty w pakiecie msec-gui. Ta aplikacja jest przeznaczona do wykorzystania przez administratora, umożliwia skonfigurowanie wszystkich aspektów bezpieczeństwa. Program konfiguracyjny można uruchomić z poziomu Centrum Sterowania Mandriva Linux. Jest dostępny w zakładce Bezpieczeństwo.