Msec (Mandriva Security) jest zestawem skryptów definiujących tzw: “poziomy bezpieczeństwa systemu”. Jest 5 predefiniowanych poziomów – i możemy przełączać się pomiędzy nimi wydając polecenie:
msec numer_poziomu
Przykładowo najwyższy poziom (msec 5) wprowadza cały szereg restrykcji związanych z dostępem do zasobów systemowych. Prawa do katalogów zawierających pliki binarne zawężone zostają do 711 (użytkownik musi wówczas znać nazwę polecenia które chce wykonać, nie działa listowanie katalogów, użytkowników, dopełnianie nazw tabulatorem). Wprowadzone zostają również inne ograniczenia – przykładowo żeby uruchomić dowolną aplikację graficzną (chociażby xterm’a) – użytkownik musi należeć do grupy xgrp. Również umask przy poziomie 5 ustawiony jest domyślnie na 077. Regularnie (ta regularność zdefiniowana jest w cronie) weryfikowane są również uprawnienia, konta z pustymi hasłami, porty, sprawdzane są sumy kontrolne plików binarnych, określone uprawnienia są systematycznie zerowane wg wzorca zawartego w pliku /usr/share/msec/level.5. Dodatkowo broadcasted_icmp_echo, czy icmp_echo są wyłączone (system nie odpowiada na pingi). Skrypty msec kontrolują również czy którykolwiek ze skonfigurowanych w systemie interfejsów sieciowych jest w trybie PROMISCOUS (tryb wymagany przez typowe sniffery).
Plik /var/lib/msec/security.conf zawiera konfigurację bieżącego poziomu bezpieczeństwa. Jeśli chcemy zmienić nieco ustawienia w i nadpisać niektóre z opcji – możemy posłużyć się plikiem: /etc/security/msec/security.conf. Przykładowa zawartość pliku /var/lib/msec/security.conf:
CHECK_OPEN_PORT=yes
CHECK_UNOWNED=no
CHECK_SECURITY=yes
CHECK_PASSWD=no
CHECK_SUID_ROOT=yes
MAIL_EMPTY_CONTENT=no
CHECK_PROMISC=no
TTY_WARN=no
CHECK_PERMS=no
CHECK_SGID=yes
SYSLOG_WARN=yes
CHECK_SHADOW=no
CHKROOTKIT_CHECK=no
RPM_CHECK=no
CHECK_WRITABLE=yes
CHECK_SUID_MD5=yes
Możemy również posłyżyć się graficzną nakładką na msec – konfiguratorem draksec:
