Pravidelné kontroly systému Mandriva Linux — DrakSec

draksec-ikona-draksecV minulém díle seriálu o nástrojích Ovládacího centra Mandriva Linuxu jsme si představili první z bezpečnostních nástrojů, které chrání váš počítač. V tomto díle budeme pokračovat v tématu bezpečnosti a zabezpečení počítače. Zatímco firewall chrání z velké části před útoky vně počítače a sítě, DrakSec spolu s programem msec chrání počítač před neopatrnými uživateli, či dokonce před uživateli, kteří by chtěli napadnout počítač ‘zevnitř’.

Je nasnadě předpokládat, že různé počítače potřebují různá nastavení. Školní server, ke kterému denně přistupuje 400 studentů pomocí stovky počítačů bude asi mít jiné nároky na nastavení ověřování než domácí počítač, ke kterému přistupuje pouze rodina, či osobní notebook, ke kterému nepřistupuje nikdo jiný. Na rozdílné úrovně zabezpečení je myšleno i v Ovládacím centru Mandriva Linuxu. V části Bezpečnost si dvakrát klepněte na Nastavit ověřování pro nástroje Mandriva.

V Linuxových systémech se o nastavení systémových záležitostí obecně stará uživatel root. Některé operace ale je možné nechat na uvážení uživatelů. Například nastavení myši či klávesnice. Opět se nároky na zabezpečení budou lišit v závislosti na použití počítače.

Výchozí nastavení, tedy tak, jak jsou jednotlivé položky nastaveny ihned po instalaci bez uživatelské změny, je výhodné právě na kategorii domácích počítačů, kde není tak velký pohyb uživatelů a kde je možná běžná ústní domluva.

Nastavení ověřování uživatelů při jednotlivých systémových operacích

Nastavení ověřování uživatelů při jednotlivých systémových operacích

Pokročilé volby MSecGUI

draksec-ikona-msecPokud používáte počítač jako koncový nikoli jako server, tak s velkou pravděpodobností nebudete potřebovat další úpravy nastavení a práv v počítači a veškerá nastavení zabezpečení ověřování, které byste rádi upravili, budou v DracSecu obsaženy. O zabezpečení a vnitřní audity systému se stará aplikace MSec (spojením slov Mandriva Linux a anglického slova pro bezpečnost Security). O zabezpečení systému se MSec stará již od Mandrake 8 (je vidět, že ono M na začátku bylo původně z Mandrake) ačkoli se verze, jenž je přítomna v Mandriva Linuxu 2009 Spring, oproti předchozím verzím podstatně změnila, stále využívá konceptu bezpečnostních úrovní, jenž představují nastavené sady práv k souborům. Tato práva mohou být následně hlídána či vynucována systémem MSec při pravidelných kontrolách systému.

Abyste mohli nastavit úrovně zabezpečení systému z Ovládacího centra Mandriva Linuxu, budete muset doinstalovat balíček msec-gui, jenž přidá novou volbu do sekce Bezpečnost v Ovládacím centru Mandriva Linuxu. V tomto článku se budeme zabývat nastavení zabezpečení pomocí grafického rozhraní aplikace, nikoli editacemi konfiguračních souborů.

Po spuštění programu, ať již prostřednictvím ikony se zámkem Nastavit zabezpečení systému, oprávnění a audit, nebo pomocí příkazu msecgui. Aplikace poskytuje několik záložek pro jednotlivé oblasti, jenž je možné nastavit.

MSecGUI -- Výběr úrovně zabezpečení

MSecGUI -- Výběr úrovně zabezpečení

Na záložce Základní nastavení vyberete, zda-li chcete mít MSec zapnutý, zde je nutné doporučit nechat tento nástroj zapnutý aspoň na Standardní úroveň. Druhá úroveň je samozřejmě bezpečnější, ale provádí se větší počet kontrol a například se ve výchozím nastavení této Bezpečné úrovně omezují možnosti vzdáleného přístupu k počítači. Pokud si nastavíte zasílání varování emailem, je nutné vyplnit také uživatele, popřípadě jeho emailovou schránku, jenž má práva superuživatele a který by se měl o tato hlášení zajímat. Také je možné nechat si Zobrazovat bezpečnostní hlášení na ploše, což opět mohu pouze doporučit.

MSecGUI -- Úprava voleb zabezpečení systému

MSecGUI -- Úprava voleb zabezpečení systému

Volby Zabezpečení systému a Zabezpečení sítě upravují takové vlastnosti, jako je přihlášení do systému, trvanlivost či omezení použití hesla nebo zabezpečení sítě proti pokusům o průnik a dalším. V těchto detailních volbách již je nutné napsat, že měnit byste měli jen ty volby, u nichž víte, co děláte.

MSecGUI -- Nastavení pravidelných kontrol

MSecGUI -- Nastavení pravidelných kontrol

Pravidelné kontroly v počítačovém systému jsou stejně důležité, jako pravidelné kontroly v elektrárně. Ač jsou předpisy sebelepší, ač jsou technologie automatizované a zdánlivě soběstačné, přesto se může shodou mnoha vzájemně nepravděpodobných faktorů vzniknout bezpečnostní riziko. Bezpečnostní kontroly, jenž se pustí jednou za čas na pozadí systému obvykle nejsou v systému poznat a zvyšují stabilitu a bezpečnost.

MSecGUI -- Nastavení oprávnění

MSecGUI -- Nastavení oprávnění

Poslední záložka Oprávnění dovoluje jemné doladění práv jednotlivých systémových souborů či adresářů. Je-li u položky zatrhlá volba Vynutit, jsou práva navrácena do původního stavu.

Editaci nastavení ukončíte přes nabídku v záhlaví Soubor | Ukončit. Pokud jste provedli změny, je možné je i průběžně ukládat, nebo je uložit při ukončení práce.

MSecGUI -- Potvrzení a uložení změn

MSecGUI -- Potvrzení a uložení změn

Jak vidíte, je zabezpečení počítače velmi důležité a ne vždy jednoduché. Naštěstí s Ovládacím centrem Mandriva Linuxu je to opět jen otázkou několika málo minut a máte počítač zabezpečen.

9 Comments

  1. Mil | 19.07.2009 | 09:45 | Odpovědět

    Zajímavý článek, konečně vím, co mi to tam vylízá za hlášku. Ale mám takový pocit, že ne vše je ideální. Poslední asi 2 dny se mi stává, že zničehonic se stane systém nepoužitelným, disk šrotuje na plné obrátky a po čtvrthodině toto skončí oznímením, že composite byl vypnut, protože nestíhal. A pak je to pomalý jak šnek. Podezřívám z toho právě MSec, ale může to být vpodstatě cokoliv.

  2. Peťoš Šafařík | 19.07.2009 | 09:46 | Odpovědět

    v tu chvili srotovani pust terminal a nastroj top nebo htop. Uvidis, co to je

  3. Ivan Bíbr | 19.07.2009 | 10:49 | Odpovědět

    >disk šrotuje na plné obrátky a po čtvrthodině toto skončí oznímením, že composite byl vypnut, protože nestíhal. A pak je to pomalý jak šnek. Podezřívám z toho právě MSec, ale může to být vpodstatě cokoliv.

    Je to msec, zkuste vypnout pravidelné bezpečnostní kontroly ve stejnojmenné záložce programu MSecGUI, který je článku popsán (druhý obrázek). Dejte vědět, jestli to zabralo – taky by mě to zajímalo.

  4. joelp | 19.07.2009 | 11:05 | Odpovědět

    Toto se mi stává na domácím PC od doby, kdy se mi aktualizovali ovladače grafiky (nVidia). Na jiném stroji mi to ale nendělá.

  5. Peťoš Šafařík | 19.07.2009 | 13:36 | Odpovědět

    Nejcasteji je to msec pri kontrole RPM databaze. Pust si terminal a v nem program top nebo htop (ze stejnojmenneho balicku). Tam to uvidis, ktery proces vytezuje procesor.

  6. Ivan Bíbr | 19.07.2009 | 21:59 | Odpovědět

    > Nejcasteji je to msec pri kontrole RPM databaze. Pust si terminal a v nem program top nebo htop (ze stejnojmenneho balicku). Tam to uvidis, ktery proces vytezuje procesor.

    Musím oponovat, kontrola RPM databáze rozhodně tak dlouho netrvá, navíc v default režimu se neprovádí. U mne je nejhorší kontrola práv souborů u uživatele – toto trvá opravdu dlouho, protože jich mám hodně, a intenzivní práce s diskem přitom zabíjí odezvu ostatních procesů.

    Proto jsem doporučil vypnutí těchto kontrol. Osobně vypínám na ṕracovním stanici msec úplně, protože tam podle mne nemá opodstatnění. Je to hned v první záložce.

  7. joelp | 20.07.2009 | 12:36 | Odpovědět

    > Na jiném stroji mi to ale nendělá.

    Tak jsem aktualizoval i ten druhý desktop a dělá to i zde. Composite se vypne hned po přihlášení.
    nvidia-current-kernel-desktop-latest (180.51-1)
    kernel-desktop-latest (2.6.29.6-1mnb2)
    kernel-desktop-devel-latest (2.6.29.6-1mnb2)

  8. Mil | 20.07.2009 | 15:22 | Odpovědět

    Mě to taky dělá jen na jednom PC a na druhém ne. Jdu to zkusit.
    S tím terminálem to může být problém, jelikož pouhý pohyb myši po obrazovce je záležitostí minut, natož spuštění programu.

  9. Peťoš Šafařík | 22.07.2009 | 17:01 | Odpovědět

    >S tím terminálem to může být problém, jelikož pouhý pohyb myši po obrazovce je záležitostí minut, natož spuštění programu.

    [CTRL+ALT+F1] prihlásit se a pak pracovat. Pokud to pujde…

Napsat komentář

Pro přidání komentáře se musíte nejdříve přihlásit. Login