Tematy związane z zarządzaniem:

podstawowe pojęcia , komunikat powitalny , autostart , crontab , archiwizacja , skróty klawiszowe , zadania i procesy , interfejsy , aktualizacja , quota , user, group , logi systemowe , usługi ,
powłoka, logowanie , shell - ustawienia , shell - składnia poleceń , shell - skrypty , X-Window , inetd , montowanie , dzielenie dysku (fstab) , system plików , bootloader , TAR, GZIP , RPM , URPMI , suma kontrolna md5,

oraz inne:
PRZELICZANIE JEDNOSTEK (kB, MB itp.)
PRZYDATNE SZTUCZKI
ZAAWANSOWANA REINSTALACJA LINUXA
JAK DZIAŁA LINUX (START SYSTEMU)
BHP (ZABEZPIECZANIE LINUXA)
MSEC (MANDRAKE SECURITY)

 

Strona powstała w oparciu o Mandrake 9.0, ale nie ma to większego znaczenia, gdyż logika ustawiania zabezpieczeń zleceniem msec jest w każdym Mandrake/Mandriva podobna. Skrypty MSEC (czyli Mandrake SECURITY) w zależności od POZIOMU BEZPIECZEŃSTWA przeczesują dyski i sprawdzają (oraz wentualnie poprawiają) prawa dostępu. Ponadto sprawdzają, czy nastąpiły zmiany zawartości kluczowych plików konfiguracyjnych oraz czy doinstalowywano/odinstalowywano jakieś programy. Teoretycznie mamy pięć POZIOMÓW BEZPIECZEŃSTWA, jednak z tego praktycznie tylko 3:

• Poziom (5)PARANOID czyli najwyższy poziom bezpieczeństwa uzyskany za pomocą zlecenie msec 5 - blokuje pracę serwerów i daje pełne bezpieczeństwo. Ręczne wprowadzanie bardziej restrykcyjnych zmian może zagrozić stabilności systemu.
• Poziom (4)WYŻSZY dla SERWERÓW uzyskany za pomocą zlecenia msec 4, jest przewidziany do pracy na komputerze udostępniającym usługi sieciowe. Podczas instalacji Mandrake powinieneś wybrać (bez względu na przyszłe plany) PODWYŻSZONY(4) dla serwerów POZIOM BEZPIECZEŃSTWA. Zapewnisz sobie w ten sposób możliwość pracy z dwa Kernelami: zwykłym oraz secure. Uwaga: Mandriva w wersji darmowej nie udostępnia Kernela secure.
• Poziom (3)WYSOKI dla STACJI to propozycja dla użytkowników komputerów pracujących w domowej podsieci z wyjściem na Internet poprzez router.
• Jeżeli Twoja sieć nie ma dostępu do Internetu, to po instalacji możesz wybrać najniższy poziom np. [1] lub [2] za pomocą polecenia msec 1 (lub msec 2). Pamiętaj jednak, że pliki systemowe będą wówczas narażone na bezmyślne działanie kolegi, albo pani z biura. Grozi to wysadzeniem Linuksa ;)

 

 

    

 

 

Sposoby zmiany POZIOMÓW BEZPIECZEŃSTWA:

• Pod KDE za pomocą polecenia -MANDRAKE CONTROL CENTER- BEZPIECZEŃSTWO- POZIOM BEZPIECZEŃSTWA. Tutaj mam uwagę: niestety KDE nie jest jeszcze doskonałe (nie mylić z LINUXEM ;) i można mocno się rozczarować konfigurując system druidami. Na przykład zmiana poziomu bezpieczeństwa w MANDRAKE CONTROL CENTER z średniego [3] na wysoki [4] może skutkować zawieszeniem SDI-HISa (źle ustawiony firewall-shorewall). Zamiana poziomów bezpieczeństwa wykonana z poziomu powłoki tekstowej (zleceniem msec 4) jest nieszkodliwa.
• Wydając polecenie (jako root) msec 4 (aby ustawić poziom 4). Jeżeli coś namieszałeś w ustawieniach systemu, to daj polecenie msec 1 i restartuj system. Następnie msec 3 i po restarcie msec 4. Co ciekawe - w ten sposób nie zablokujesz sobie SDI.

 

 

    

 

 

Informacja o aktualnym poziomie bezpieczeństwa jest zapisana w pliku /etc/sysconfig/msec. Ponadto warto przejrzeć zawartość plików: /usr/share/msec/level.x , perm.x oraz msec.py (oczywiście x oznacza tutaj poziom bezpieczeństwa). I tak np. plik level.4 zawiera informacje o tym, jak zachowują się poszczególne moduły w czwartym poziomie. Natomiast perm.4, to propozycje programu msec dotyczące ustawienia praw dla wybranych plików i katalogów.

 

 

    

 

 

MSEC w czwartym poziomie (uzyskanym poprez zlecenie msec 4 lub wybranie podczas instalacji WYŻSZRGO DLA SERWERÓW POZIOMU BEZPIECZEŃSTWA) jest uruchamiany regularnie za pomocą CRONa (poprzez pliki /etc/cron.hourly oraz cron.daily) w dwóch wersjach: co godzinę (tylko podstawowe czynności np. zerowanie praw wg wzorca z pliku perm.4) oraz raz dziennie (kompleksowa kontrola systemu wraz z ponownym zerowaniem praw do katalogów i plików wg wzorca z plików perm.4, level.4). Rozumiesz teraz dlaczego konta www, ftp Twoich użytkowników czasami bez jasnego powodu przestają działać? Rozwiązaniem jest korekta pliku /usr/share/msec/perm.4 (lub mniej finezyjne wklepywanie w razie potrzeby polecenia chmod 711 /home/użytkownik).

 

 

    

 

 

Najwięcej problemów u użytkowników stwarzają automatyzmy zabezpieczające system poprzez np. zerowanie praw dostępu. Są one sensowne, ale niestety przy okazji... kłopotliwe. Jeżeli zdecydowałeś się obniżyć bezpieczeństwo systemu w celu ułatwienia użytkowania, to po ustaleniu POZIOMU BEZPIECZEŃSTWA na czwartym poziomie (zleceniem msec 4) doszlifuj irytujące parametry stosując poniższe porady.

Brak możliwości restartu systemu przez zwykłego użytkownika oraz brak możliwości zalogowania się bezpośrednio pod rootem - po wprowadzeniu parametrów msec 4. Jest to niestety uciążliwe, gdyż trzeba zalogować się jako zwykły użytkownik, potem dać zlecenie su (i hasło roota). Aby obejść zabezpieczenia należy wyedytować pliki /usr/share/msec/level.4 oraz msec.py

• W pliku /usr/share/msec/level.4 znajdź wiersze:
  
  allow_reboot no
  allow_root_login no
  
  i zamień na:
  
  allow_reboot yes
  allow_root_login yes
  
  
• Natomiast w pliku /usr/share/msec/msec.py znajdź wiersze:
  
  # differences between level 4,5 and others
  if level >= 4:
  set_user_umask('077')
  set_shell_history_size(10)
  allow_root_login(no)
  enable_sulogin(yes)
  allow_user_list(no)
  enable_promisc_check(yes)
  accept_icmp_echo(no)
  accept_broadcasted_icmp_echo(no)
  accept_bogus_error_responses(no)
  allow_reboot(no)
  enable_at_crontab(no)
  
  i zamień na:
  
  # differences between level 4,5 and others
  if level >= 4:
  set_user_umask('077')
  set_shell_history_size(10)
  allow_root_login(yes)
  enable_sulogin(yes)
  allow_user_list(no)
  enable_promisc_check(yes)
  accept_icmp_echo(no)
  accept_broadcasted_icmp_echo(no)
  accept_bogus_error_responses(no)
  allow_reboot(yes)
  enable_at_crontab(no)
  
  

Po wykonaniu poprawek nie wystarczy restartować systemu. Trzeba wcześniej dać jako root zlecenie msec 4.

Uwaga: w Mandrake/Mandriva istnieje skrypt umożliwiający bezpośrednie logowanie do systemu na roota. Konfigurujemy go za pomocą pliku /etc/securetty

Automatyczne nadawanie praw do wybranych plików i katalogów przez program msec. Szczególnie mam tu na myśli:

• prawa do katalogów w /home
• prawa do katalogów /mnt (oraz ewentualnie /mnt/floppy )
• Podobny problem powstanie w przypadku zainstalowanego serwera SAMBA i praw do katalogu /home/public

Jeżeli dokładnie się przyglądniesz plikowi /usr/share/msec/perm.4 to zauważysz, że katalogi w /home mają prawa 700. Oczywiście zablokuje to odczyt zawartości kont www oraz ftp u prywatnych użytkowników. Stąd należy w perm.4 dopisać na końcu pliku nowe wiersze typu: /home/antek antek.antek 711 , a następnie dać zlecenie (jako root) msec 4 oraz ew. restartować system. Patrz na poniższy przykład pliku perm.4.

Jeżeli przyglądniesz się plikowi /usr/share/msec/perm.4 to zauważysz, że katalog /mnt ma prawa 750 co praktycznie odcina zwykłego użytkownika od możliwości zamontowania CD-ROM, flopka oraz partycji windowsowych mających swój punkt montowania w /mnt/win. Stąd należy w perm.4 zmienić wpis na:
/mnt root.adm 755
oraz dopisać nowy wiersz
/mnt/floppy root.adm 777
Po wykonaniu poprawek nie wystarczy restartować systemu. Trzeba wcześniej dać jako root zlecenie msec 4.
 

 
Na moim Linuksie dodatkowo utworzyłem prosty skrypt ustalający prawa do katalogów i w cronie odpalam go co minutę. Przykładowa zawartość skryptu:
#!/bin/sh
chmod 755 /mnt
chmod 777 /mnt/floppy

Pamiętaj, że prawa dostępu plików w katalogach /mnt/win_c, /mnt/floppy , /mnt/cd-rom są kontrolowane przez wpisy w pliku /etc/fstab. Więcej informacji znajdziesz na stronie montowanie.php.

Można narzucić domyślnie ustalane prawa dla nowych plików roota lub userów. W plikach /usr/share/msec/level.? jest wpis set_user_umask (lub set_root_umask), co znaczy ustaw maskę usera/roota. Domyślne wartości wynikają z logiki poziomów bezpieczeństwa i nie jest wskazane zmieniać tego.

Opis oznaczeń:
002 daje maskę 775 (pełny dostęp dla właściciela i grupy, a dla innych tylko dostęp do odczytu i uruchomienia, bez prawa do modyfikacji)
022 daje maskę 755 (pełny dostęp dla właściciela, a dla grupy i innych tylko dostęp do odczytu i uruchomienia, bez prawa do modyfikacji)
0 daje maskę 777 (pełny dostęp dla wszystkich)
077 daje maskę 700 (dostęp tylko dla właściciela)

Niestety - powyższe propozycje zmian obniżają bezpieczeństwo systemu. Należy je więc stosować po przemyśleniu co ważniejsze: bezpieczeństwo czy przyjazność systemu wobec użytkownika.

 

 

    

 

 

Przykładowa (poprawiona na kolorowo) treść pliku /usr/share/msec/perm.4

 

/ root.adm 751
/bin/ root.adm 751
/bin/ping root.ntools 4750
/bin/rpm rpm.rpm 750
/boot/ root.ctools 710
/dev/ root.root 711
/etc/ root.adm 711
/etc/conf.modules root.adm 640
/etc/cron.daily/ root.adm 750
/etc/cron.hourly/ root.adm 750
/etc/cron.monthly/ root.adm 750
/etc/cron.weekly/ root.adm 750
/etc/crontab root.adm 640
/etc/dhcpcd/ root.adm 750
/etc/dhcpcd/* root.adm 640
/etc/ftpaccess root.adm 640
/etc/ftpconversions root.adm 640
/etc/ftpgroups root.adm 640
/etc/ftphosts root.adm 640
/etc/ftpusers root.adm 640
/etc/gettydefs root.adm 640
/etc/hosts.allow root.daemon 644
/etc/hosts.deny root.daemon 644
/etc/hosts.equiv root.daemon 640
/etc/inetd.conf root.adm 640
/etc/inittab root.adm 640
/etc/ld.so.conf root.adm 640
/etc/mandrake-release root.adm 640
/etc/modules.conf root.adm 640
/etc/motd root.adm 644
/etc/printcap root.lp 640
/etc/profile.d/* root.root 755
/etc/rc.d/ root.adm 750
/etc/rc.d/init.d/ root.adm 750
/etc/rc.d/init.d/* root.adm 740
/etc/rc.d/init.d/mandrake_consmap root.adm 644
/etc/securetty root.root 640
/etc/sendmail.cf root.mail 640
/etc/shutdown.allow root.adm 640
/etc/ssh/ssh_config root.root 644
/etc/ssh/ssh_host_*key root.adm 600
/etc/ssh/ssh_host_*key.pub root.adm 644
/etc/ssh/sshd_config root.adm 640
/etc/sysconfig root.adm 751
/etc/syslog.conf root.adm 640
/etc/updatedb.conf root.adm 640
/home/ root.adm 751
/home/* current 700
/home/antek antek.antek 711
/home/public root.root 777
/lib/ root.adm 751
/mnt/ root.adm 755
/mnt/floppy root.adm 777
/proc root.adm 550
/root/ root.root 700
/sbin/ root.adm 751
/tmp/ root.adm 1773
/usr/ root.adm 751
/usr/* root.adm 751
/usr/X11R6/ root.xgrp 751
/usr/bin/ root.adm 751
/usr/bin/cc root.ctools 750
/usr/bin/finger root.ntools 750
/usr/bin/g++* root.ctools 750
/usr/bin/gcc* root.ctools 750
/usr/bin/ssh root.ntools 750
/usr/bin/telnet root.ntools 750
/usr/bin/w root.ntools 750
/usr/bin/who root.ntools 750
/usr/lib/rpm/rpm? rpm.rpm 750
/usr/sbin/ root.adm 751
/usr/sbin/sendmail root.mail 2711
/usr/sbin/traceroute root.ntools 4750
/usr/share/doc rpm.rpm 750
/usr/share/man rpm.rpm 750
/usr/tmp root.adm 1773
/var/ root.root 755
/var/lock/subsys root.adm 750
/var/log/ root.adm 751
/var/log/* root.root 600
/var/log/lp-errs lp.lp 600
/var/log/*/* current 600
/var/log/*/*/* current 600
/var/log/*/. Current 700
/var/log/intraline/ Current 750
/var/spool/mail/ root.mail 2771
/var/tmp root.adm 1773

 

 

    

 

 

Oczywiście miło jest popatrzeć na powyższe zestawienie, ale do zaawansowanej analizy bezpieczeństwa potrzebujemy bardziej przejrzystej formy i w dodatku z możliwością porównania: czym się różnią zabezpieczenia w trzecim, czwartym i piątym poziomie bezpieczeństwa. Ponieważ czasami brakowało mi wykazu zawierającego prawa plików i katalogów w zależności od stopnia zabezpieczenia, wykonałem mrówczą pracę polegającą na wklepaniu cyferek do tabelki, którą umieściłem na samym dole tej strony. Jeżeli dobrze się przyglądniesz, to zauważysz, że nie posiadasz w swoim systemie wszystkich wymienionych tam plików. I nic nie szkodzi.

Kilka słów objaśnień do poniższej tabelki:

• Tabelka zawiera dane pobrane z Mandrake 9.0, ale nie powinno to przeszkadzać użytkownikom nowszych dystrybuji, gdyż od strony "zaplecza" systemu (układ katalogów i praw) niewiele się zmienia od lat.
• Na zielono zaznaczyłem prawa najwyższego (5), automatycznie robionego poziomu bezpieczeństwa. Jeżeli prawa poziomu PARANOID(5) nie różniły się od praw przewidzianych dla poziomu dla SERWERÓW(4) to zostawiłem jedynie wpis z poziomu (4). Jeżeli jesteś nawiedzonym administratorem, który lubi chorobliwie zabezpieczać swój komputer, to pamiętaj, że prawa PARANOID są najbardziej wyśrubowanymi z dostępnych praw. Nie przekraczaj więc tej granicy bezpieczeństwa, bo... pewnego dnia nie uruchomisz systemu ;)
• Na czerwono zaznaczyłem katalogi i pliki, w których prawa własności są związane z konkretnym użytkownikiem (np. katalogi /home/*)
• Szary kolor to pliki i katalogi, których u mnie nie ma (bo nie chciało mi się zainstalować np. serwera telnet ;).