Väčšina distribúcii Linuxu je už sama o sebe podstatne bezpečnejších než akýkoľvek iný operačný systém. Súvisí to hlavne s ich rozšírením, kedy sa jednoducho neoplatí hackerom vyrábať škodlivé programy na jednotlivé distribúcie. Napriek tomu existujú nástroje ktoré dokážu už tak vysokú bezpečnosť ešte navýšiť.
Pravdupovediac, málokto – a to aj spomedzi skúsených používateľov Linuxu – pozná tento šikovný nástroj MSEC. Je to škoda, pretože dokáže nastaviť bezpečnostnú politiku na serveri rovnako ako na počítači. A nie len to, dokáže ju nastaviť na veľmi špecifickú úroveň, takže systém bude plne vyhovovať dnešným bezpečnostným požiadavkám a zároveň aj požiadavkám používateľov.
MSEC
MSEC je skratka pre Mandrake SECurity package. Ako už názov napovedá, vyvinula ho francúzska firma Mandrake, výrobca rovnomennej linuxovej distribúcie. Tá sa neskôr transformovala na Mandriva Linux, ktorá je v súčasnosti mŕtvou distribúciou. Na ňu nadviazali viaceré pokračovania napríklad Mageia, OpenMandriva linux, ktoré tiež prevzali program do svojho portfólia. Popritom si ho čiastočne modifikovali, vďaka čomu je možné nájsť rozdiely vo verziách pre jednotlivé distribúcie. V podstate to však stále zostáva pôvodný MSEC.
MSEC je založený na celkom inom princípe ako často používaný a americkou NSA odporúčaný SElinux. V podstate je SElinux patch na obyčajný kernel (jadro operačného systému), zatiaľ čo MSEC je samostatný program, ktorý používa na zabezpečenie systému štandardné vlastnosti OS Linux.
Inštalácia a stiahnutie
Inštalácia je jednoduchá ako pri väčšine balíčkov, ktoré sa nachádzajú v repozitároch. V tomto prípade (OpenMandriva linux) sa inštaluje príkazom: # urpmi msec. Na túto inštaláciu je však potrebné mať administrátorské práva. V prípade Mageia linuxu inštaláciu môžeme vynechať, tam je totiž MSEC súčasťou štandardnej konfigurácie. Na novom systéme ho musíme len nastaviť, ako (a či vôbec) ho chceme používať. Často býva zapnutý a prednastavený východiskovo.
Práca s programom
MSEC sa dá používať z príkazového riadka rovnako dobre ako pomocou grafického rozhrania. Závisí iba od preferencií používateľa, čomu dáva prednosť. Na hlavnej stránke nástroj ponúka nastavenie firewallu a aktualizácií. Na rovnakom mieste sú aj tlačidlá na zobrazenie výsledkov posledného auditu zariadenia. Dajú sa spúšťať aj jednotlivé úrovne kontroly – denná a mesačná. Ďalšie okná programu si predstavíme nižšie.
Basic security
Na tejto záložke nájdeme voľbu na samotné spustenie či vypnutie nástroja. Ak sa ho rozhodneme používať, máme na výber tieto základné bezpečnostné úrovne:
standard
netbook
fileserver
netserver
secure
audit daily
audit monthly
Každý z nich má priradený stručný popis, stačí si teda vybrať a kliknúť naň. Samozrejme, sú prispôsobiteľné našim požiadavkám, ako uvidíme ďalej. Všimnime si voľbu povoľujúcu MSEC-u oznamovať porušenie nastavených bezpečnostných nastavení vyskakovacími oknami v grafickom užívateľskom prostredí (KDE? GNOME a pod.). Táto funkcia opäť závisí od preferencií používateľa, keďže mnoho ľudí považuje tieto vyskakovacie okná za rušivé.
System security
Základná konfigurácia bezpečnosti systému sa nastavuje práve v tomto module. Každá voľba je krátko opísaná, takže ak sa používateľ dokáže v Linuxe orientovať, nemal by naraziť na problémy s ich nastavením. Po kliknutí na niektorú z konfigurácií sa dá následne vybrať, čo a ako si prajeme nastaviť.
Keďže povoliť používateľom systému robiť všetko nie je ten najlepší nápad, nastavujeme si tu aj požiadavky bezpečnosti pre jednotlivých používateľov systému. Od povolenia na reštart systému až po požiadavky na zložitosť hesla.
Network security
V rámci tohto modulu si vieme nastaviť napríklad vzdialené povolenie rootovského prihlásenia, zapnúť/vypnúť ochranu pred spoofingom atď. Zoznam nie je taký obsiahly ako predošlý, pokrýva však väčšinu bežne používaných bezpečnostných nastavení.
Periodic checks
MSEC nám dovoľuje nastaviť si, čo a v akej periodicite z hľadiska bezpečnosti chceme nechať v systéme skontrolovať. Každý používateľ si dokáže vytvoriť mnoho rozumných kombinácií práve v tomto okne, pričom skúsenosti so správou Linuxu sú tu veľkou výhodou.
Exceptions
Je len na používateľovi, či sa rozhodne ubrať zo svojich nárokov na bezpečnosť, práve toto nám MSEC ponúka vo výnimkách.
Práva
Účelom tohto modulu je centrálna správa úrovne práv pre jednotlivé adresáre a používateľov. Pozor na zaškrtávacie okno “Enforce”, ak je aktivované, budú vami nastavené práva pre jednotlivé adresáre vynútené systémom silou. Čiže používatelia môžu byť nepríjemne prekvapení, keď po novom prihlásení stratia práva na súbor, ktorý si sami vytvorili pri predošlom sedení. Táto možnosť teda vyžaduje určité znalosti systému a nie je vhodné s ňou pracovať, ak človek presne nemá dostatočné znalosti o týchto nastaveniach.
Samozrejme, pod správu MSEC sa dajú pridávať aj ďalšie (používateľmi vybraté) adresáre. Za zmienku stojí aj možnosť nastavenia ACL (Access control list – rozšírené udeľovanie prístupových právomocí) ale toto využijú zrejme len pokročilejší používatelia, ktorí už majú viac skúseností. Pre ostatných tak stačí UGO (User/owner – Groups – Others, základné rozdeľovanie právomocí), ktorý je unixovým štandardom už desaťročia.
MSEC je veľmi kvalitný a silný nástroj na nastavenie a udržanie požadovanej bezpečnostnej úrovne na OS linux. Zatiaľ čo skúsenejším používateľom prináša veľa možností, tým druhým môže priniesť veľa problémov, ak prácu s ním nezvládnu. Pre začiatočníkov sa tak odporúča buď ponechať východiskové nastavenia, alebo si danú problematiku doštudovať a následne si zabezpečiť systém. Isté je len to, že MSEC to dokáže s prehľadom a bez problémov.
(MK)