Académique Documents
Professionnel Documents
Culture Documents
Référence HP : 5992-3417
Date de publication : Mars 2008
Édition : 4
© Copyright 2008 Hewlett-Packard Development Company L.P
Avis
Les informations contenues dans le présent document sont susceptibles d’être modifiées sans préavis.
Hewlett-Packard n’assure aucune garantie en ce qui concerne le présent document, y compris, et sans limitation, les garanties
implicites de commercialisation et d’adaptation à une utilisation particulière. Hewlett-Packard ne peut être tenu pour responsable
des informations erronées contenues dans le présent manuel ou des dommages directs, indirects, spéciaux, incidents ou consécutifs
en relation avec la fourniture, les performances ou l’utilisation de ce matériel.
Garantie Vous pouvez obtenir un exemplaire des conditions de garantie spécifiques applicables au produit et aux pièces de
rechange Hewlett-Packard que vous utilisez auprès de votre bureau local chargé de la vente et des services.
Licence du gouvernement américain Logiciel propriétaire. Licence HP valide requise pour la détention, l’utilisation ou la copie.
En accord avec les articles FAR 12.211 et 12.212, les logiciels informatiques, la documentation des logiciels et les informations
techniques commerciales sont concédés au gouvernement américain sous licence commerciale standard du fournisseur.
Déclarations de marques UNIX® est une marque déposée aux États-Unis et dans d’autres pays, sous licence exclusive de l’Open
Group. VERITAS® est une marque déposée de Symantec Corporation.
Sources d'informations Ce produit inclut des logiciels développés par l'Apache Software Foundation. Cette documentation est
basée sur des informations fournies par l'Apache Software Foundation ( http://www.apache.org ).
Ce produit inclut des logiciels développés par l'OpenSSL Project pour une utilisation dans la Boîte à outils OpenSSL
(http://www.openssl.org).
Table des matières
À propos de ce document.........................................................................................................11
I Protection des systèmes..............................................................................................17
3 HP-UX Bastille..................................................................................................................61
3.1 Fonctionnalités et avantages.......................................................................................61
3.2 Installation d'HP-UX Bastille.......................................................................................62
3.3 Utilisation d'HP-UX Bastille.........................................................................................62
3.3.1 Utilisation d'HP-UX Bastille de manière interactive.................................................63
3.3.2 Utilisation d'HP-UX Bastille de manière non interactive...........................................64
3.3.3 Configuration d'un système................................................................................65
3.4 Utilisation d'HP-UX Bastille pour annuler des modifications............................................67
3.5 Emplacement de fichiers............................................................................................68
3.6 Conseils et dépannage.............................................................................................69
3.7 Suppression d'HP-UX Bastille......................................................................................70
10 Administration de l'audit................................................................................................183
10.1 Composants d'audit..............................................................................................184
10.1.1 Commandes..................................................................................................184
10.1.2 Fichiers de configuration d'audit......................................................................184
10.1.3 Pages de manuel d'audit................................................................................185
10.2 Audit du système..................................................................................................185
A Systèmes protégés...............................................................................................................199
A.1 Configuration d'un système protégé...............................................................................199
A.2 Audit d’un système protégé..........................................................................................201
A.3 Gestion des mots de passes protégés et de l'accès au système..........................................201
A.3.1 Fichiers de mots de passe.....................................................................................202
A.3.1.1 Fichier /etc/passwd......................................................................................202
A.3.1.2 Base de données /tcb/files/auth/.................................................................203
A.3.2 Sélection et génération de mots de passe...............................................................204
A.3.3 Délai d’expiration des mots de passe.....................................................................205
A.3.4 Historique et réutilisation des mots de passe...........................................................205
A.3.5 Contrôle d’accès basé sur l’heure.........................................................................206
A.3.6 Contrôle d'accès basé sur les périphériques...........................................................206
A.3.7 Manipulation des bases de données d’un système protégé.......................................206
A.4 Recommandations pour la sauvegarde et la récupération protégées..................................207
Glossaire..............................................................................................................................211
Historique d’impression 11
REMARQUE : Les volumes du Guide de l'administrateur système HP-UX peuvent être
mis à jour indépendamment. Par conséquent, les dernières versions des volumes de la
collection peuvent parfois différer les unes des autres. Les dernières versions de chaque
volume sont disponibles sur le site Web à l'adresse suivante :
http://docs.hp.com
Utilisateurs potentiels
Le Guide de l'administrateur système HP-UX est destiné aux administrateurs de systèmes
HP-UX de tous niveaux d'expertise responsables de la gestion des systèmes HP-UX à
compter de HP-UX 11 version 3.
Bien que de nombreuses rubriques de cette collection soient applicables aux versions
antérieures, un grand nombre de modifications ont été apportées dans
HP-UX 11i version 3 ; par conséquent, pour obtenir des informations sur les versions
antérieures, reportez-vous au document Gestion des systèmes et des groupes de travail
- Guide pour les administrateurs système HP-UX.
12 À propos de ce document
Chapitre 2 Décrit comment administrer la sécurité du système et des utilisateurs
une fois le système d'exploitation installé.
Chapitre 3 Décrit comment renforcer et verrouiller un système à l'aide d'HP-UX
Bastille en vue d'améliorer la sécurité du système d'exploitation HP-UX.
Chapitre 4 Décrit les fonctionnalités et composants des extensions de sécurité du
mode standard HP-UX.
Chapitre 5 Décrit comment sécuriser l'accès distant à votre système.
Chapitre 6 Décrit comment contrôler et protéger les systèmes de fichiers.
Chapitre 7 Décrit les compartiments et la manière dont ils isolent les composants
d'un système.
Chapitre 8 Décrit les privilèges à granularité élevée et comment diviser les
pouvoirs des superutilisateurs en un ensemble de privilèges.
Chapitre 9 Décrit les fonctionnalités et composants du contrôle d'accès basé sur
les rôles HP-UX.
Chapitre 10 Décrit l'administration du système d'audit.
Annexe A Décrit les systèmes protégés.
Annexe B Décrit d'autres produits de sécurité.
Pour plus d’informations sur les systèmes et les architectures processeurs pris en charge
pour différentes versions de HP-UX 11i, voir les notes de mise à jour système HP UX 11i
Installer ou mettre à jour HP-UX • Informations importantes à lire • Kit de support (fourni avec
avant l’installation ou la mise l’environnement d'exploitation)
à jour de HP-UX • http://docs.hp.com
• Guide d’installation et de mise
à jour de HP-UX 11i
(Remarque : voir les documents
spécifiques à votre version de
HP-UX.)
Administrer un système HP-UX Pour les versions à compter de • Support HP Instant Information
HP-UX 11i version 3 : (anglais uniquement)
• Guide de l'administrateur • http://docs.hp.com
système HP-UX (collection de
plusieurs volumes) • Planning Superdome
Configurations (document de
autres sources d'informations pour référence)
l'administration système :
• nPartition Admnistrator's Guide
• Planning Superdome
Configurations (document de
référence)
14 À propos de ce document
Informations connexes
Vous trouverez des informations supplémentaires sur la sécurité et HP-UX à l'adresse
http://docs.hp.com. Les documents suivants sont notamment disponibles :
• HP-UX AAA Server Administrator's Guide
• HP-UX Host Intrusion Detection System Administrator's Guide
• HP-UX IPFilter Administrator's Guide
• HP-UX IPSec Administrator's Guide
• HP-UX Secure Shell Release Notes
Conventions
Ce document utilise les conventions typographiques suivantes.
reboot(1M) Une page de manuel HP-UX. reboot est le nom et 1M est la section de
la Référence HP-UX. Sur le Web et sur le support Instant Information,
il peut s’agir d’un lien vers la page de manuel proprement dite. Sur la
ligne de commande de HP-UX, saisissez « man reboot » ou « man
1M reboot » pour afficher cette page. Pour plus d’informations, voir
man(1).
Titre d’ouvrage Le titre d’un manuel. Sur le Web et sur le support Instant Information,
il peut s’agir d’un lien vers le manuel proprement dit.
Touche de Nom d’une touche du clavier. Retour et Entrée désignent la même
clavier touche.
Mise en Texte mis en exergue.
évidence
Mise en Texte mis en exergue de manière très évidente.
évidence
Terme L’introduction d’un mot ou d’une phrase important.
Affichage Texte affiché par l’ordinateur.
ordinateur
Informations Commandes et texte que vous saisissez.
saisies par
l’utilisateur
Commande Un nom de commande ou une phrase de commande qualifiée.
Variable Le nom d’une variable susceptible d’être remplacée dans une commande
ou une fonction ou une information figurant dans un écran représentant
plusieurs valeurs possibles.
[] Les contenus sont optionnels dans les descriptions de formats et de
commandes.
Informations connexes 15
{} Les contenus sont obligatoires dans les descriptions de formats et de
commandes. Si les contenus apparaissent sous la forme d’une liste
comportant des séparateurs |, vous devez choisir un des éléments.
... L’élément précédent peut être répété à un nombre arbitraire de reprises.
| Sépare les éléments d’une liste de choix.
16 À propos de ce document
Partie I Protection des systèmes
L'un des facteurs critiques de la sécurité d'entreprise est la minimisation des vulnérabilités et le
renforcement des systèmes. HP-UX 11i offre un ensemble de fonctionnalités de sécurité destinées
à corriger des vulnérabilités connues et inconnues en exécutant uniquement les services
nécessaires, minimisant ainsi les points d'attaque potentiels.
Cette section traite des outils HP-UX suivants qui protègent un système contre les attaques et
détectent et réagissent face aux menaces :
• Installation sécurisée de l'environnement d'exploitation HP-UX (Chapitre 1)
• Administration de la sécurité système et utilisateur (Chapitre 2)
• HP-UX Bastille (Chapitre 3)
• Extensions de sécurité du mode standard (Chapitre 4)
• Administration de la sécurité de l'accès à distance (Chapitre 5)
17
18
1 Installation sécurisée de l'environnement d'exploitation
HP-UX
Ce chapitre décrit les considérations de sécurité relatives aux processus d'amorçage et
d'installation, y compris les aspects suivants :
• Considérations de sécurité relatives à l'installation (Section 1.1)
• Prévention des violations de sécurité durant le processus d'amorçage (Section 1.2)
• Activation de la sécurité d'ouverture de session pour root (Section 1.3)
• Utilisation de l'authentification d'amorçage pour prévenir tout accès non autorisé
(Section 1.4)
• Définition des options de sécurité lors de l'installation (Section 1.5)
• Installation des correctifs de sécurité (Section 1.6)
• Conseils de sécurité postinstallation pour la sauvegarde et la récupération
(Section 1.7)
2.3.1 Présentation
Les modules PAM permettent de choisir n'importe quel service d'authentification disponible
sur le système. Le cadre PAM vous permet également de connecter de nouveaux modules
de service d'authentification et de les rendre disponibles sans modifier vos applications.
Chaque fois qu'un utilisateur se connecte localement ou à distance (par exemple avec
login ou rlogin), il doit être vérifié ou authentifié en tant qu'utilisateur valide du
système. À mesure que les méthodes d'authentification évoluent et s'améliorent, les
services de connexion doivent également évoluer. Afin d'éviter d'avoir à modifier
constamment les services de connexion simplement pour réviser le code d'authentification,
les modules PAM ont été développés de sorte que différentes méthodes d'authentification
puissent être utilisées sans modifier le code de connexion.
En conséquence, l’authentification de connexion, la vérification de compte et la
modification des mots de passe utilisent l'interface PAM.
Les programmes qui demandent une authentification de l’utilisateur transmettent leurs
demandes au module PAM, qui détermine la méthode de vérification appropriée et
renvoie la réponse adéquate. Les programmes n’ont aucune nécessité de connaître la
méthode d’authentification utilisée. Pour une présentation, voir la Figure 2-1.
Demande de
validation
libpam_dce.1 libpam_ldap.1
• PAM_LDAP
Le protocole LDAP (Lightweight Directory Access Protocol) est une norme qui permet
de centraliser des informations de gestion d'utilisateurs, de groupes et de réseaux
par le biais de services d'annuaire. L'authentification a lieu sur le serveur d'annuaire
LDAP. Pour plus d'informations, consultez la documentation LDAP-UX à l'adresse
http://docs.hp.com/hpux/11iv2/index.html.
• PAM_NTLM
Le module PAM NT LAN Manager permet aux utilisateurs HP-UX d'être authentifiés
sur des serveurs Windows durant la connexion au système. PAM NTLM utilise des
serveurs NT pour authentifier les utilisateurs qui se connectent à un système HP-UX.
Pour plus d'informations, consultez le document HP CIFS Client Administrator's Guide
à l'adresse http://docs.hp.com/hpux/11iv2/index.html.
2.4.6 Élimination des comptes fictifs et protection des sous-systèmes clés dans
/etc/passwd
Traditionnellement, le fichier /etc/passwd contient de nombreux « comptes fictifs »,
c’est-à-dire des entrées qui ne sont pas associées à des utilisateurs individuels et qui ne
possèdent pas de véritable shell de connexion interactif.
Certaines de ces entrées, comme date, who, sync et tty, ont évolué essentiellement
par commodité pour l’utilisateur, en offrant des commandes susceptibles d’être exécutées
sans connexion. Pour renforcer votre sécurité, ils sont éliminés du fichier /etc/passwd
distribué pour que ces programmes ne puissent être exécutés que par des utilisateurs
déjà connectés.
Le fichier /etc/passwd contient cependant d’autres entrées de ce type, car les processus
correspondants sont des propriétaires de fichiers. Les programmes ayant des propriétaires
tels que adm, bin, daemon, hpdb, lp et uucp englobent des sous-systèmes entiers et
représentent un cas particulier. Comme ils accordent des accès aux fichiers qu’ils protègent
ou qu’ils utilisent, ces programmes doivent continuer à fonctionner en tant que comptes
fictifs avec des entrées dans /etc/passwd. Les comptes spéciaux et fictifs habituels
sont représentés dans l'Exemple 2-1.
La clé de l’état privilégié de ces sous-systèmes est leur capacité à autoriser l’accès aux
programmes qui dépendent d’eux, sans autoriser d’accès à la racine (uid 0). Par contre,
le bit setuid du fichier exécutable est défini et l’utilisateur effectif du processus
correspond au propriétaire du fichier exécutable. Par exemple, la commande cancel
fait partie du sous-système lp et s’exécute en tant qu’utilisateur effectif lp.
Lorsque la valeur setuid est définie, le système de sécurité de ce sous-système met en
place la protection de tous les programmes du sous-système, et non du système entier.
Par conséquent, la vulnérabilité du sous-système à une agression se limite également aux
fichiers de ce sous-système. Les points de vulnérabilité ne sont pas en mesure d’affecter
les programmes de différents sous-systèmes. Par exemple, des programmes sous lp
n’affectent pas ceux de daemon.
**************************************************************
This is a private system operated for Hewlett-Packard company
business. Authorization from HP management is required
to use this system. Use by unauthorized persons is prohibited.
**************************************************************
login: Connection closed by foreign host.
• Contrôlez /var/adm/sulog pour savoir qui a accédé au compte root avec su.
• Configurez un compte root distinct pour chaque administrateur système.
# vipw
root:xxx:0:3::/home/root:/sbin/sh
root1:xxx:0:3::/home/root1:/sbin/sh
root2:xxx:0:3::/home/root2:/sbin/sh
• Créer des lignes de base de configuration HP-UX Bastille et comparer l'état actuel
du système avec une ligne de base enregistrée. Pour enregistrer une ligne de base,
entrez :
# bastille_drift --save_baseline ligne de base
Pour comparer l'état du système à la ligne de base spécifiée, entrez :
# bastille_drift --from_baseline ligne de base
62 HP-UX Bastille
3.3.1 Utilisation d'HP-UX Bastille de manière interactive
HP-UX Bastille s'exécute de manière interactive à l'aide de l'interface X implémentée par
le biais de Perl/Tk. L'interface requiert un serveur X et offre les fonctionnalités suivantes :
• Accès aléatoire entre les modules de questions.
• Indicateurs d'achèvement pour indiquer la progression de l'utilisateur.
• Tunneling du trafic X11 sur un canal chiffré à l'aide de l'option suivante :
# ssh -X
Pour plus d’informations, voir ssh(1).
La Figure 3-1 montre l'écran principal de l'interface utilisateur d'HP-UX Bastille.
L'interface utilisateur guide les utilisateurs tout au long d'une série de questions groupées
par modules (voir Tableau 3-1). Chaque question fournit des explications concernant un
problème et décrit l'action nécessaire pour verrouiller le système HP-UX. Chaque question
décrit également, à un niveau supérieur, le coût et l'avantage de chaque décision, et
l'utilisateur décide de la façon dont l'outil doit gérer les problèmes.
Applications de correctifs Installe et configure les correctifs afin d'assister l'utilisateur pour la
vérification de conformité aux bulletins de sécurité.
Démons divers Désactive les services souvent inutilisés ou qui présentent un risque pour
la sécurité.
Apache Configure les serveurs Apache Web pour une sécurité accrue.
64 HP-UX Bastille
3.3.3 Configuration d'un système
Pour configurer un système ou pour créer un fichier de configuration qui peut être réutilisé
ultérieurement sur un autre système, procédez comme suit :
1. Basculez vers l'utilisateur root, car HP-UX Bastille doit modifier des paramètres et
la configuration système. Si HP-UX Bastille ne s'exécute pas localement, vous pouvez
choisir de tunneler le trafic X11 sur Secure Shell (ssh) ou IPSec afin de limiter
l'exposition sur le réseau, ou d'utiliser une solution de partage de bureaux plus
complète capable de faire face aux attaques d'utilisateurs locaux et distants.
2. Si vous apportez des modifications au système, décidez s'il faut utiliser HP-UX Bastille
de manière interactive ou non. Si vous utilisez HP-UX Bastille pour la première fois,
vous devez l'exécuter de manière interactive afin de créer un profil de configuration,
à moins que votre distribution n'ait été fournie avec des fichiers de configuration
intégrés tels que DMZ.config. Prenez le temps (environ une heure) de lire et de
répondre à toutes les questions.
Pour plus d'informations sur l'utilisation interactive et non interactive d'HP-UX Bastille,
voir la Section 3.3.
3. Suivez la procédure appropriée (interactive ou non interactive) en fonction de la
décision prise à l'Étape 2.
Procédure interactive
a. Démarrez HP-UX Bastille
Si vous utilisez HP-UX Bastille pour la première fois, exécutez-le de manière
interactive afin de créer un profil de configuration. L'outil met à jour la variable
d'environnement PATH lors de son installation ; par conséquent, si vous vous
êtes déconnecté puis reconnecté après l'installation d'HP-UX Bastille, entrez la
commande suivante pour démarrer l'outil :
# bastille
Si votre variable PATH n'a pas été mise à jour, entrez la commande suivante
pour démarrer HP-UX Bastille :
# /opt/sec_mgmt/bastille/bin/bastille
Seules les catégories de questions pertinentes à la configuration actuelle seront
affichées.
b. Répondez aux questions
Les questions sont classées par fonction et des coches sont utilisées comme
indicateurs d'achèvement afin de noter si une catégorie est terminée. Cela vous
permet d'assurer le suivi de votre progression dans le programme.
Lorsque vous répondez aux questions, utilisez le menu Explanation-Detail pour
basculer entre les explications brèves et détaillées. Toutes les questions n'exigent
pas à la fois des réponses courtes et longues.
Procédure interactive 65
c. Enregistrez votre configuration et appliquez les modifications
Vous pouvez utiliser la barre de menus à tout moment pour enregistrer ou charger
un fichier de configuration. L'option Save As génère un fichier de configuration
plus volumineux, puisque l'outil suppose que vous n'avez pas forcément terminé
ou que vous risquez de modifier la configuration ultérieurement. L'option
Save/Apply indique à l'outil que vous avez terminé et qu'un filtrage
supplémentaire peut être effectué. Bien que la taille du fichier de configuration
généré puisse être différente, la fonctionnalité d'HP-UX Bastille demeure identique
dans les deux cas. L'option Save/Apply enregistre toujours le fichier de
configuration à l'emplacement actuel répertorié dans la barre de titre HP-UX
Bastille.
66 HP-UX Bastille
Le fichier journal d'action, /var/opt/sec_mgmt/bastille/log/action-log,
répertorie les étapes spécifiques effectuées par HP-UX Bastille lors de la modification
du système. Il est créé uniquement si vous appliquez les modifications au système.
Le fichier journal d'erreurs, /var/opt/sec_mgmt/bastille/log/error-log,
répertorie les erreurs rencontrées par HP-UX Bastille lors de la modification du
système. Il est créé uniquement si des erreurs se produisent durant l'exécution.
5. Effectuez les étapes répertoriées dans la liste de tâches.
Après avoir effectué les actions qu'il peut exécuter automatiquement, l'outil génère
une liste de tâches, /var/opt/sec_mgmt/bastille/TODO.txt, qui décrit les
actions restantes que l'utilisateur doit effectuer manuellement. Cela comprend les
réamorçages si certaines des modifications requièrent un réamorçage.
Les actions répertoriées dans la liste de tâches doivent être effectuées afin de sécuriser
la configuration.
• Fichier journal de configuration — Fichier qui, s'il est appliqué via HP-UX Bastille,
verrouille les éléments qu'HP-UX Bastille avait verrouillé complètement dans le cas
où les deux systèmes ont la même version d'HP-UX, un ensemble d'applications
installées similaire et la même configuration. Dans les cas où les systèmes diffèrent,
le fichier de configuration peut contenir des questions supplémentaires non pertinentes
au système de destination ou des questions nécessaires sur le système distant
pourraient être manquantes. HP-UX Bastille affiche un message dans le premier cas
et génère une erreur dans le second cas. Vous aurez ensuite l'opportunité de
répondre aux questions manquantes ou de supprimer les questions supplémentaires
dans l'interface graphique.
/var/opt/sec_mgmt/bastille/log/Assessment/
assessment-log.config
• Fichier journal d'erreurs — Contient les erreurs rencontrées par HP-UX Bastille lors
des modifications du système :
/var/opt/sec_mgmt/bastille/log/error-log
• Fichier journal d'actions — Contient les étapes spécifiques effectuées par HP-UX
Bastille lors des modifications du système :
/var/opt/sec_mgmt/bastille/log/action-log
• Fichier de liste de tâches — Contient les actions manuelles que l'utilisateur doit
effectuer pour garantir la sécurité de l'ordinateur :
/var/opt/sec_mgmt/bastille/TODO.txt
• Script d'actions d'annulation — Restaure les fichiers modifiés par HP-UX Bastille à
l'état où ils étaient avant l'exécution d'HP-UX Bastille :
/var/opt/sec_mgmt/bastille/revert/revert-actions
Ce script fait partie de la fonctionnalité d'annulation.
• Fichier d'annulation — Contient les actions manuelles que l'utilisateur doit effectuer
pour achever l'annulation des modifications et restaurer l'ordinateur à l'état dans
lequel il était avant l'exécution d'HP-UX Bastille :
/var/opt/sec_mgmt/bastille/TOREVERT.txt
• Fichiers de rapports d'évaluation — Ces fichiers sont au format HTML, au format
texte et au format de fichier journal HP-UX Bastille :
68 HP-UX Bastille
/var/opt/sec_mgmt/bastille/log/Assessment/
assessment-report.HTML
/var/opt/sec_mgmt/bastille/log/Assessment/
assessment-report.txt
/var/opt/sec_mgmt/bastille/log/Assessment/
assessment-report-log.txt
70 HP-UX Bastille
4 Extensions de sécurité du mode standard
Ce chapitre décrit les extensions de sécurité du mode standard (HP-UX SMSE). Il aborde
les sujets suivants :
• Présentation (Section 4.1)
• Attributs de sécurité et la base de données utilisateur (Section 4.2)
4.1 Présentation
Les extensions de sécurité du mode standard (HP-UX SMSE) sont un groupe de
fonctionnalités qui améliorent la sécurité des utilisateurs et du système d'exploitation.
HP-UX SMSE inclut des améliorations ou des modifications du système d'audit HP-UX,
des mots de passe et des connexions pour les systèmes en mode standard. Auparavant,
ces fonctionnalités étaient prises en charge uniquement sur les systèmes convertis en
mode protégé. Avec HP-UX SMSE, vous pouvez utiliser ces fonctionnalités sur un système
en mode standard.
REMARQUE : HP déconseille l'utilisation d'HP-UX SMSE sur les systèmes qui s'exécutent
en mode protégé. HP-UX SMSE rend disponibles en mode standard de nombreuses
stratégies de compte et de mot de passe actuellement disponibles uniquement par
conversion d'un système HP-UX en mode protégé. Les stratégies configurées avec HP-UX
SMSE ne sont pas appliquées sur les systèmes qui s'exécutent en mode protégé.
Pour déterminer si un système a été converti en mode protégé, recherchez le fichier
suivant :
/tcb/files/auth/system/default
Si ce fichier existe, le système s'exécute en mode protégé. Pour reconvertir le système
en mode standard, utilisez la commande sam(1M).
Pour plus d'informations sur les configurations prises en charge avec chacune des
fonctionnalités de sécurité d'HP-UX SMSE, voir la page de manuel security(4).
4.1 Présentation 71
• Verrouillage d'un compte d'utilisateur s'il y a trop d'échecs d'authentification
• Affichage de l'historique de mot de passe
• Expiration des comptes inactifs
• Interdiction des ouvertures de session avec un mot de passe nul
• Restriction des connexions utilisateur à des périodes spécifiques
• L'utilisation de la commande userdbset peut être restreinte en fonction des
autorisations d'un utilisateur. Pour plus d'informations, voir userdbset(1M).
• La commande userstat affiche l'état du compte des utilisateurs locaux. Elle vérifie
l'état des comptes d'utilisateurs locaux et signale les conditions anormales, telles
que les verrouillages de comptes. Pour plus d'informations, voir userstat(1M).
REMARQUE : Pour chaque attribut par utilisateur, une valeur est stockée dans
l'un des trois fichiers mentionnés ci-dessus. Pour savoir quels attributs sont stockés
dans chaque fichier, voir security(4).
userdbset Modifie les valeurs d'attributs configurées dans la base de données utilisateur
userdbget Affiche les valeurs d'attributs configurées dans la base de données utilisateur
4.2.3.3 Attributs
Les attributs de sécurité suivants sont disponibles pour les utilisateurs :
Tableau 4-3 Attributs utilisateur
Attribut Description
ftp (transfert de fichiers) Vérification du mot de passe. Peut également utiliser le mécanisme
d'authentification Kerberos défini dans /etc/inetsvcs.conf. Voir la
page de manuel ftp(1).
telnet (connexion à Vérification du mot de passe. Si l’option TAC User ID est activée par le
distance par le biais du démon telnetd, telnet utilise le fichier $HOME/.rhosts ou /etc/
protocole TELNET) hosts.equiv. Voir les pages de manuel telnet(1) et telnetd(1M).
REMARQUE : Les informations (y compris les mots de passe) sont passés d'un système
à l'autre en texte clair (elles ne sont pas chiffrées). Utilisez les services Internet uniquement
entre des hôtes qui sont bien connus et définis l'un pour l'autre, et au sein d'un réseau
interne privé placé derrière un pare-feu. Lorsque vous communiquez sur un réseau non
approuvé, sécurisez les communications avec IPSec ou Kerberos.
Les services d'accès distant connectent des systèmes distants en réseau. Par défaut, ces
services fonctionnent dans un environnement non sécurisé. Pour qu'ils fonctionnent dans
un environnement sécurisé, vous devez activer l'authentification réseau Kerberos V5.
Dans un environnement non sécurisé, vous devez posséder un nom de connexion et un
mot de passe pour accéder à un système distant, et le nom de connexion n'est pas soumis
à l'authentification ni à l'autorisation. Dans un environnement sécurisé, vous devez avoir
un nom de connexion et un mot de passe. Lorsque vous tentez de vous connecter à un
système distant, le protocole Kerberos vérifie si l'utilisateur est autorisé à accéder au
système distant.
• Assurez-vous que tous les mots de passe dans ~ftp/etc/passwd sont des
astérisques (*) :
$more ~ftp/etc/passwd
root:*:0:3::/:/usr/bin/false daemon:*:1:5::/:/usr/bin/false
• Si vous devez avoir un répertoire pub accessible en écriture, utilisez des autorisations
1733 :
$chmod 1733 /home/ftp/pub
• Utilisez des quotas de disques ou une tâche cron pour contrôler la tâche de /home/
ftp/pub :
0 1 * * * find /home/ftp/pub/* -atime +1 exec rm -rf {} \;
5.3.2 Les wrappers TCP ne fonctionnent pas avec les services RPC
Les wrappers TCP ne fonctionnent pas avec les services RPC (Remote Procedure Calls)
sur TPC. Ces services sont inscrits en tant que rpc ou tcp dans le fichier /etc/
inetd.conf. Le seul service important affecté par cette limitation est rexd, qui est
utilisé par la commande on.
REMARQUE : Les bibliothèques SIS ne chiffrent pas la session au-delà de ce qui est
nécessaire pour vous autoriser ou pour authentifier le service. Par conséquent, ces services
n'offrent pas de services de vérification de l’intégrité ou de chiffrement des données ou
des services distants. Pour chiffrer les données, utilisez OpenSSL. Pour plus d'informations,
reportez-vous au document OpenSSL Release Notes : http://docs.hp.com/en/
internet.html#OpenSSL.
5.5.1 Vérification des paramètres d'autorisations sur les fichiers de contrôle réseau
Les fichiers de contrôle réseau dans le répertoire /etc sont des cibles de sécurité car
ils fournissent un accès au réseau lui-même. Les fichiers de contrôle réseau ne doivent
jamais être accessibles en écriture au public.
Les modes, les propriétaires et les groupes doivent être définis soigneusement sur tous
les fichiers systèmes. Vérifiez régulièrement si ces fichiers ont été modifiés et corrigez
toute modification.
Les fichiers de contrôle réseau les plus couramment utilisés sont les suivants :
• /etc/exports
Liste de répertoires de fichiers qui peuvent être exportés vers des clients NFS. Pour
plus d'informations, voir exports(4)
• /etc/hosts
Liste d'hôtes réseau et leurs adresses IP. Pour plus d'informations, voir hosts(4).
• /etc/hosts.equiv
Liste d'hôtes distants qui disposent d'un accès et qui équivalent à l'hôte local. Pour
plus d'informations, voir hosts.equiv(4).
• /etc/inetd.conf
Fichier de configuration des services Internet. Pour plus d'informations, voir
inetd.conf(4).
• /etc/netgroup
Liste de groupes à l'échelle du réseau. Pour plus d'informations, voir netgroup(4).
• /etc/networks
Liste de noms et de numéros de réseaux. Pour plus d'informations, voir networks(4).
• /etc/protocols
Liste de noms et de numéros de protocoles. Pour plus d'informations, voir protocols(4).
• /etc/services
Liste de noms de services officiels et d'alias avec le numéro de port et le protocole
utilisés par les services. Pour plus d'informations, voir services(4).
ssh-agent Outil pour la connexion "automatique" basée Client et serveur Mécanisme de fichier
sur clé du client au serveur rhosts
REMARQUE : La séparation des privilèges est la configuration par défaut pour HP-UX
Secure Shell. Vous pouvez la désactiver en définissant UsePrivilegeSeparation
NO dans le fichier sshd_config. Étant donné le risque potentiel pour la sécurité, la
séparation des privilèges ne doit être désactivée qu'après mûre réflexion.
5.6.5.1 GSS-API
Avec l'interface de programmation d'application (API) Generic Security Service (GSS-API),
une authentification client Kerberos, le client doit obtenir des informations d'identification
Kerberos au préalable et un fichier de configuration Kerberos doit être présent dans le
répertoire client approprié. Lorsqu'un client se connecte avec un démon sshd, il présente
ses informations d'identification au moment de la connexion. Le serveur établit une
correspondance entre ces informations d'identification et sa copie des informations
d'identification pour cet utilisateur spécifique. Il peut également établir la légitimité de
l'environnement hôte du client, le cas échéant.
Pour plus d'informations, voir les pages de manuel gssapi(5), kerberos(9) et la
documentation de l'administrateur Kerberos administrator à l'adresse suivante :
http://www.docs.hp.com/en/internet.html#Kerberos.
97
98
6 Sécurité du système de fichiers
Ce chapitre traite de la sécurité du système de fichiers. Avant de lire ce chapitre, vous
devez vous familiariser avec le concept des fichiers et systèmes de fichiers.
Les données étant stockées dans des fichiers, il est important de savoir comment les
protéger. Ce chapitre traite des sujets suivants :
• Contrôle de l’accès aux fichiers (Section 6.1)
• Définition des listes de contrôle d’accès (Section 6.2)
• Utilisation de listes ACL HFS (Section 6.3)
• Utilisation de listes ACL JFS (Section 6.4)
• Comparaison des listes ACL JFS et HFS (Section 6.5)
• Listes ACL et NFS (Section 6.6)
• Considérations de sécurité relatives aux fichiers spéciaux de périphériques /dev
(Section 6.7)
• Protection des partitions de disques et des volumes logiques (Section 6.8)
• Recommandations de sécurité concernant le montage et le démontage des systèmes
de fichiers (Section 6.9)
• Contrôle de la sécurité des fichiers sur un réseau (Section 6.10)
r lecture
w écriture
x exécution
r (lecture) Le contenu peut être affiché ou Le contenu peut être lu, mais pas
imprimé. recherché. Normalement, r et x sont
utilisés ensemble.
x (exécution) Le fichier peut être utilisé en tant Des recherches peuvent être
que programme. effectuées dans le répertoire.
IMPORTANT : Vous devez utiliser chmod avec l’option -A lorsque vous travaillez avec
des fichiers auxquels sont affectées des autorisations d’ACL HFS. En l’absence de l’option
-A, chmod supprime les autorisations ACL du fichier. La syntaxe est la suivante :
# chmod -A fichier_mode
Dans cet exemple, la commande chmod restreint les autorisations d'écriture pour myfile
à l'utilisateur allan. La commande chmod supprime également toute liste ACL HFS
précédente.
$ chmod 644 myfile
$ ll myfile
-rw-r--r-- 1 allan users 0 Sep 21 16:56 myfile
$ lsacl myfile
(allan.%,rw-)(%.users,r--)(%.%,r--) myfile
La commande lsacl affiche simplement les valeurs par défaut (pas d’ACL) correspondant
aux autorisations élémentaires de propriétaire, de groupe et autres autorisations.
La commande chacl donne un accès en lecture et en écriture à myfile à un autre
utilisateur.
$ chacl 'naomi.users=rw' myfile
$ ll myfile
-rw-r--r--+ 1 allan users 0 Sep 21 16:56 myfile
$ lsacl myfile
(naomi.users,rw-)(allan.%,rw-)(%.users,r--)(%.%,r--) myfile
Notez deux éléments : l’affichage des autorisations ll apparaît sous la forme d’un +,
indiquant qu'il existe des listes ACL et que la chaîne d'autorisations ll n’a pas changé.
L’entrée supplémentaire de l’écran lsacl indique que l’utilisateur naomi du groupe
users dispose d’un accès en lecture et en écriture à myfile.
cpacl(), fcpacl() Copie des bits de liste ACL HFS et de mode d’un
fichier vers un autre.
compact, compress, cp, ed, pack, unpack Copie les entrées d’ACL dans les nouveaux fichiers
créés.
ar, cpio, ftio, shar, tar, dump, restore Ces commandes ne conservent pas les listes ACL lors
de l’archivage et de la restauration. Elles utilisent la
valeur st_mode renvoyée par stat().
Les listes de contrôle d’accès HFS utilisent des « inœuds suite » lors de la création de
nouveaux systèmes de fichiers. Tenez-en compte lorsque vous utilisez les commandes
suivantes :
• fsck : renvoie le nombre de fichiers qui possèdent des entrées ACL en tant que
valeur pour icont. L’option -p permet de supprimer les inœuds suite non référencés.
Voir fsck(1M).
• diskusg, ncheck : ignore les inœuds suite. Voir les pages de manuel diskusg(1M)
et ncheck(1M).
• mkfs : prévoit la place des inœuds suite sur les nouveaux disques. Voir mkfs(1M).
REMARQUE : Pour utiliser des listes ACL JFS, vous devez disposer d’un système de
fichiers VxFS comportant la structure de disque version 4. Pour mettre à jour un système
de fichiers vers la version 4, voir vxupgrade(1M).
REMARQUE : Pour plus de détails sur l’utilisation des commandes getacl et setacl,
voir la Section 6.4.10. Voir également les pages de manuel getacl(1) et setacl(1).
Considérez un fichier, exfile, avec des autorisations en lecture seule (444) et une liste
ACL JFS minime. La commande ls -l affiche les autorisations pour exfile :
$ ls -l exfile
-r--r--r-- 1 jsmith users 12 Sep 20 15:02 exfile
La commande getacl affiche la sortie suivante pour exfile, qui est une liste ACL JFS
minimale :
$ getacl exfile
# file: exfile
# owner: jsmith
# group: users
user::r--
group::r--
chacl(1) setacl(1)
lsacl(1) getacl(1)
getacl(2) acl(2)
fgetacl(2) —aucun—
setacl(2) acl(2)
fsetacl(2) —aucun—
acltostr(3C) —aucun—
chownacl(3C) —aucun—
cpacl(3C) —aucun—
setaclentry(3C) —aucun—
strtoacl(3C) —aucun—
—aucun— aclsort(3C)
acl(5) aclv(5)
IMPORTANT : Procédez avec caution lors du transfert réseau de fichier qui possèdent
des entrées optionnelles ou lors de la manipulation de fichiers distants, car NFS peut
supprimer des entrées optionnelles sans préavis.
• Les ports de terminaux des systèmes HP-UX sont accessibles en écriture par n’importe
qui si vous autorisez les utilisateurs à communiquer par le biais des programmes
write ou talk. Accordez une autorisation de lecture uniquement au propriétaire
• N'autorisez pas des utilisateurs à posséder un fichier spécial de périphérique autre
que pour un périphérique de terminal ou une imprimante personnelle.
• Avant de mettre en service un disque ou tout autre périphérique montable d’origine
inconnue, recherchez parmi ses fichiers d’éventuels fichiers spéciaux de périphériques
ou des programmes setuid. Voir la Section 6.9.
— Recherchez dans tous les répertoires s'il existe des programmes privilégiés, et
vérifiez l’identité de chaque programme.
— Rétablissez les autorisations en lecture et écriture du système et supprimez les
autorisations setuid et setgid inutiles des fichiers découverts à l’étape
précédente. Respectez scrupuleusement ces recommandations lorsqu’un utilisateur
vous demande de monter un système de fichiers personnel.
Après avoir effectué ces tests, et seulement après, vous pourrez démonter le système
de fichiers et le remonter à l’emplacement de votre choix.
• Veillez à démonter tous les systèmes de fichiers montés d’un utilisateur dont vous
supprimez le compte.
Pour plus d’informations sur les fichiers montés dans un environnement NFS, voir la
Section 6.10.2.
6.10.1 Vérification des paramètres d'autorisations sur les fichiers de contrôle réseau
Les modes, les propriétaires et les groupes doivent être définis soigneusement sur tous
les fichiers systèmes. Vérifiez régulièrement si ces fichiers ont été modifiés. Notez et
corrigez toute modification par rapport aux valeurs d'origine.
Apportez une attention particulière aux fichiers de contrôle réseau du répertoire /etc.
Ces fichiers sont très utiles à ceux qui tentent d'accéder de manière illicite au système,
car ils permettent d'accéder directement au réseau. Les fichiers de contrôle réseau ne
doivent jamais être accessibles en écriture au public. Il s'agit des fichiers suivants :
exports Liste des systèmes de fichiers exportés vers des clients NFS
REMARQUE : N’exportez jamais un système de fichiers vers un nœud sur lequel les
privilèges sont accordés de manière moins restrictive que sur votre propre système.
6.10 Contrôle de la sécurité des fichiers sur un réseau 121
6.10.2.2 Vulnérabilité des clients
Sur les précédentes versions de NFS pour les stations de travail, l’inœud /dev devait
résider sur le disque du client. NFS permet désormais à l’inœud /dev de conserver sur
le serveur les nombres majeur et mineur d’un fichier spécial de périphérique monté sur
le client. Le pirate possède ainsi la possibilité de créer un cheval de Troie qui outrepasse
les autorisations d’accès définies sur le fichier spécial de périphérique monté du client,
en accédant au fichier spécial de périphérique par l’intermédiaire du numéro de fichier
et d’inœud qu’il peut trouver sur le serveur.
Même s’il n’obtient pas la permission de créer un fichier spécial périphérique sur le
client, le pirate peut créer un fichier spécial de périphérique, comme /dev/kmem, qui
utilise les autorisations racines sur le serveur. Le nouveau fichier /dev possède les mêmes
nombres majeur et mineur que le périphérique cible sur le client, mais avec les
autorisations d’accès suivantes :
crw-rw-rw-
L'intrus peut alors accéder au client, ouvrir une session en tant qu'utilisateur ordinaire
puis, avec NFS, ouvrir le fichier spécial de périphérique nouvellement créé sur le serveur
et l'utiliser à des fins malveillantes.
7.1 Présentation
Les compartiments permettent d'isoler les composants d'un système. Lorsqu'ils sont
configurés correctement, ils sécurisent de manière efficace le système HP-UX et les données
qui y résident.
Les compartiments vous permettent d'isoler les processus (ou sujets) les uns des autres,
ainsi que des ressources (ou objets).
Conceptuellement, chaque processus appartient à un compartiment, et les ressources
sont gérées de l'une des deux manières suivantes :
1. La ressource est libellée avec le compartiment du processus créateur. C'est de cette
façon que les ressources transitoires, telles que les points de terminaison de
communication et la mémoire partagée, sont affectées à un compartiment.
2. Les ressources peuvent être associées à une liste d'accès qui spécifie la manière
dont les processus des différents compartiments peuvent y accéder, pour des
ressources persistantes telles que les fichiers et les répertoires. Autrement dit, les
processus peuvent accéder aux ressources ou communiquer avec des processus
appartenant à un compartiment différent uniquement s'il existe une règle entre ces
compartiments. Les processus qui appartiennent au même compartiment peuvent
communiquer les uns avec les autres et accéder aux ressources de ce compartiment
sans règle.
enregistreur
Tout
gestionnaire
/
gestionnaire
/var/opt/server gestionnaire
re
lectu ure
crit e
re ,é r
lec
tu itu
é cr
,
re
logs ctu
le
Réseau
spool
124 Compartiments
Sur la Figure 7-1, le processus parent est configuré dans un compartiment, le compartiment
A. Dans le cadre de ses opérations, le processus parent crée plusieurs processus de
gestion dans un compartiment différent, le compartiment B. Les processus de gestion
héritent de la configuration de compartiment du processus parent. La carte réseau qui
connecte ce système au réseau local est configurée dans un autre compartiment, le
compartiment C. Le système de fichiers est configuré de façon à accorder un accès
complet au compartiment A, mais seulement un accès partiel au compartiment B. La
communication entre les composants du système dans leurs compartiments distincts est
configurée comme suit :
• Tous les procesuss de gestion sont configurés pour communiquer avec le réseau.
• L'enregistreur peut accéder au système de fichiers.
• Les processus de gestion ont un accès en lecture et en lecture/écriture à certaines
parties du système de fichiers.
• Les processus de gestion peuvent communiquer avec le processus parent, et avec
l'enregistreur par le biais d'IPC et de signaux.
• Le réseau est isolé de l'enregistreur et du processus parent.
Cette configuration de compartiment permet de sécuriser le système de fichiers et
l'enregistreur. Tous deux sont isolés par leur compartiment. Bien que les processus de
gestion puissent communiquer avec le réseau, celui-ci est inaccessible à l'enregistreur et
au procesuss parent.
126 Compartiments
ATTENTION : Ne redéfinissez pas le compartiment INIT. Si vous tentez de modifier
ou de redéfinir le compartiment INIT, toutes les définitions générées automatiquement
seront détruites et les compartiments ne fonctionneront pas correctement.
2. Créez des règles de compartiment. Pour obtenir des instructions sur l'exécution de
cette étape et une description complète de la syntaxe de règle de compartiment,
voir la Section 7.6.
3. (Facultatif) Affichez un aperçu des règles de compartiment en entrant la commande
suivante :
# setrules -p
L'option -p analyse la liste de règles configurées et signale toute incohérence
syntaxique ou sémantique. HP recommande d'effectuer cette étape avant d'activer
les règles de compartiment sur le système.
4. (Facultatif) Effectuez des copies de sauvegarde des fichiers de configuration de
compartiment. Placez ces fichiers à l'extérieur du répertoire /etc/cmpt ou omettez
le suffixe .rules. Il sera alors plus facile de revenir au point de départ en cas de
problème d'édition.
5. Activez la fonctionnalité de compartiment en entrant la commande suivante :
# cmpt_tune -e
6. Réamorcez le système. Cette étape est obligatoire.
ASTUCE : Conservez les fichiers de sauvegarde ; il vous sera ainsi plus facile de revenir
à une configuration antérieure.
128 Compartiments
7.4.2 Modification de noms de compartiments
Vous pouvez modifier les noms des compartiments. Toutefois, la modification du nom
d'un compartiment peut affecter les applications qui sont déjà configurées avec les noms
de compartiments existants. Si vous modifiez le nom d'un compartiment, vous devez
egalement reconfigurer toute application configurée dans ce compartiment.
setfilexsec Définit les attributs de sécurité des fichiers binaires, y compris l'attribut
de compartiment.
vhardlinks Vérifie la cohérence des règles de compartiment pour les fichiers qui
ont plusieurs liens physiques, afin de s'assurer qu'il n'existe aucun conflit
de règles d'accès.
130 Compartiments
7.6 Règles et syntaxe de compartiment
Un compartiment est constitué d'un nom et d'un ensemble de règles. Cette section décrit
les quatre types de règles de compartiment :
• Règles de système de fichiers
• Règles IPC
• Les règles réseau
• Règles diverses
Vous devez ajouter les règles à un fichier de règles que vous créez dans le répertoire
/etc/cmpt. Vous pouvez modifier ce fichier à l'aide de vi ou d'un éditeur de texte
semblable. Le fichier de règles doit avoir une extension .rules.
Pour plus d'informations, voir compartments(5).
REMARQUE : Le nom de compartiment INIT n'est pas sensible à la casse. INIT, init
et Init sont tous traités comme le même compartiment par le système.
Les spécifications de compartiments sont prétraitées avec cpp() avant que l'analyse ne
débute. C'est pourquoi vous devez utiliser des directives cpp() telles que #include,
#define, #ifdef et des commentaires de style C pour organiser et documenter les
fichiers de règles.
132 Compartiments
raisons d'héritage, l'écriture de tous les fichiers situés
sous le répertoire est contrôlée.
• create : contrôle la capacité à créer des objets.
Cela s'applique uniquement aux objets répertoires.
Cet attribut est hérité par tous les répertoires situés
sous le répertoire spécifié.
• unlink : contrôle la capacité à supprimer des
objets. Cela s'applique uniquement aux objets
répertoires. Cet attribut est hérité par tous les
répertoires situés sous le répertoire spécifié.
• nsearch : contrôle la capacité à rechercher un
élément si l'objet_fichier est un répertoire. Cet
attribut n'est pas hérité par les sous-répertoires.
objet_fichier Le nom de chemin d'accès complet au fichier ou au
répertoire.
Par exemple :
/* deny all permissions except read to entire system */
perm read /
134 Compartiments
Direction Indique si les processus du compartiment actuel peuvent voir
et modifier le comportement des processus à partir d'un autre
compartiment spécifié. Les options sont les suivantes :
• send : spécifie une règle orientée sujet. Autorise les
processus du compartiment actuel à envoyer des signaux
et à voir les données de processus du compartiment
nom_compartiment.
• receive : spécifie une règle orientée objet. Autorise les
processus du compartiment nom_compartiment à
envoyer des signaux et à voir les données de processus
du compartiment actuel.
signal Indique que cette règle s'applique aux signaux et à la visibilité
des processus.
nom_compartiment Nom de l'autre compartiment vers ou à partir duquel les
processus du compartiment actuel peuvent voir les informations
de processus.
Par exemple :
/* allow the parent to send signals to children */
send signal server_children
136 Compartiments
/* allow DNS client lookups (both TCP and UDP) through interface labeled lancmpt1 */
grant client tcp port 53 lancmpt1
grant bidir udp port 53 lancmpt1
/* allow only outbound telnet connections through interface labeled ifacelan0 */
grant client tcp peer port 23 ifacelan0
/* allow all TCP traffic except inbound telnet through interface labeled ifacelan0 */
/* the following two lines can be specified in either order */
grant bidir tcp ifacelan0
deny server tcp port 23 ifacelan0
/* allow inbound web server traffic through interface lan1cmpt */
grant server tcp port 80 lan1cmpt
Pour plus d'informations sur les règles réseau, voir compartments(4).
REMARQUE : Pour des stratégies de sécurité plus strictes, configurez les interfaces
réseau dans des compartiments différents de ceux affectés aux processus. Définissez des
règles d'accès réseau pour chaque compartiment en conséquence. Les compartiments
égaux disposent toujours d'un accès complet les uns aux autres.
La syntaxe de règle d'interface réseau est la suivante :
compartment nom_compartiment {
interface interface_ou_ip[,interface_ou_ip][...]
}
où :
interface Indique qu'il s'agit d'une définition d'interface.
interface_ou_ip[,interface_ou_ip][...] Liste de noms d'interfaces, d'adresses IP ou de
plages d'adresses IP séparées par des virgules.
Les adresses IP ou plages d'adresses IP peuvent
être spécifiées sous forme d'adresses IPv4 ou IPv6
avec un masque optionnel.
Par exemple :
compartment iface0 {
/* Define the compartment for the network interface lan0 */
interface lan0
/* All addresses in the range 192.168.0.0-192.168.0.255 */
interface 192.160.0.0/24
}
138 Compartiments
En guise d'alternative, vous pouvez utiliser le contrôle d'accès basé sur les rôles HP-UX
pour configurer une application de sorte qu'elle s'exécute dans un compartiment. Voir
la Section 9.5.5.
8.1 Présentation
Le système d'exploitation UNIX utilise traditionnellement un modèle de privilège "tout
ou rien" dans lequel des superutilisateurs (ceux ayant un UID=0 effectif, tels que
l'utilisateur root) ont des pouvoirs pratiquemment illimités, et les autres utilisateurs n'ont
que peu ou aucun privilège spécial.
HP-UX fournit plusieurs méthodes héritées pour déléguer des pouvoirs limités, y compris
smh(1M) restreint, les groupes de privilèges décrits dans privgrp(4), le fichier
shutdown.allow décrit dans shutdown(1M) et le fichier cron.allow décrit dans
crontab(1).
Ces méthodes héritées peuvent être remplacées par l'utilisation de privilèges à granularité
élevée et par le cadre de contrôle d'accès HP-UX RBAC.
Le modèle de privilèges à granularité élevée HP-UX divise les pouvoirs des superutilisateurs
en un ensemble de privilèges. Les privilèges à granularité élevée sont accordés aux
processus. Chaque privilège accorde à un processus qui possède ce privilège le droit à
un certain ensemble de services restreints fournis par le noyau.
Pour plus d’informations, voir privileges(5).
setfilexsec Définit les attributs de sécurité des fichiers binaires. Ces attributs
comprennent des privilèges retenus, des privilèges autorisés, un
compartiment et l'indicateur de début de privilège.
PRIV_OBJSUID Permet à un processus de définir les bits suid ou sgid sur n'importe
quel fichier si le processus détient le privilège OWNER. Permet
également à un processus de modifier la propriété d'un fichier sans
effacer les bits suid ou sgid, à condition que le processus soit
autorisé à modifier la propriété du fichier.
ASTUCE : HP recommande d'utiliser le contrôle d'accès basé sur les rôles HP-UX pour
configurer les applications dont l'exécution requiert des privilèges variables.
Pour configurer les attributs de sécurité d'une application compatible avec les privilèges,
utilisez la commande setfilexsec comme suit :
# setfilexsec [options] nom_fichier
La commande setfilexsec est supposée affecter des privilèges aux binaires sur un
système de fichiers local. Aucun privilège ne doit être accordé aux binaires obtenus à
partir d'un système de fichiers réseau (NFS), car si le fichier est modifié par un système
8.4 Configuration des applications avec les privilèges à granularité élevée 147
différent (directement sur le serveur NFS), les attributs étendues définis par setfilexsec
ne sont pas supprimés.
Les options de setfilexsec sont les suivantes :
-d Supprime du fichier de configuration et du noyau toute information de sécurité
relative à ce fichier.
-D Supprime du fichier de configuration toute information de sécurité relative à ce
fichier. Cette option est utilisée pour effacer les informations de sécurité relatives à
un fichier supprimé.
-r Ajouter ou modifier des privilèges retenus minimum.
-R Ajouter ou modifier des privilèges retenus maximum.
-p Ajouter ou modifier des privilèges permis minimum.
-P Ajouter ou modifier des privilèges permis maximum.
-f Définit les indicateurs d'attributs de sécurité.
La commande getfilexsec affiche les attributs étendus d'un fichier binaire, définis
avec la commande setfilexsec.
# getfilexsec nom_fichier
8.4 Configuration des applications avec les privilèges à granularité élevée 149
8.5 Implications de sécurité des privilèges à granularité élevée
Les privilèges à granularité élevée ne sont pas propagés sur les systèmes distribués ; ils
sont appliqués uniquement au système local. Par example, un processus sur un système
qui a PRIV_DACREAD et PRIV_DACWRITE ne peut pas outrepasser les restrictions
discrétionnaires sur un autre système afin de lire ou d'écrire dans un fichier.
8.7 Résolution des problèmes liés aux privilèges à granularité élevée 151
152
Partie III Protection de l'identité
Dans les entreprises globales d'aujourd'hui, la gestion de l'identité n'est pas une tâche facile,
en particulier lorsque ses exigences incluent la gestion d'employés, de sous-traitants, de
partenaires et de fournisseurs implantés dans de nombreux pays appliquant différentes lois et
réglementations relatives à la protection de la vie privée. HP-UX 11i simplifie la gestion de
l'authentification et de l'accès utilisateur tout en assurant un audit de toutes les actions privilégiées
qui ont lieu.
Cette section traite des sujets suivants :
• Contrôle d'accès basé sur les rôles HP-UX (Chapitre 9)
• Administration de l'audit (Chapitre 10)
153
154
9 Contrôle d'accès basé sur les rôles HP-UX
Les informations de ce chapitre décrivent le contrôle d'accès basé sur les rôles HP-UX
(HP-UX RBAC). Il traite des sujets suivants :
• Présentation (Section 9.1)
• Principes de base du contrôle d'accès (Section 9.2)
• Composants du contrôle d'accès basé sur les rôles HP-UX (Section 9.3)
• Planification du déploiement HP-UX RBAC (Section 9.4
• Configuration du contrôle d'accès basé sur les rôles HP-UX (Section 9.5)
• Utilisation du contrôle d'accès basé sur les rôles HP-UX (Section 9.6)
• Dépannage du contrôle d'accès basé sur les rôles HP-UX (Section 9.7)
9.1 Présentation
La sécurité, en particulier celle des plates-formes, a toujours constitué un élément important
de l'infrastructure d'entreprise. Malgré tout, de nombreuses organisations ont souvent
négligé ou ignoré dans le passé les concepts de sécurité tels que la responsabilité de
l'individu et les moindres privilèges. Cependant, la législation introduite il y a peu aux
États-Unis, y compris le "Health Insurance Portability and Accountability Act (HIPAA)" et
le "Sarbanes-Oxley Act", a contribué à souligner l'importance de ces concepts de sécurité.
La plupart des environnements d'entreprise ont des systèmes administrés par plusieurs
utilisateurs. En général, on leur procure le mot de passe à un compte commun partagé
appelé root. Bien que le compte root simplifie la gestion du contrôle d'accès en permettant
aux administrateurs qui connaisssent le mot de passe root d'effectuer toutes les opérations,
il présente tout de même certains inconvénients pour la gestion du contrôle d'accès :
• Une fois que les utilisateurs administratifs connaissent le mot de passe root, il est
difficile de les restreindre.
• Dans le meilleur des cas, la révocation de l'accès pour un administrateur spécifique
nécessite de modifier le mot de passe commun et d'en informer les autres
administrateurs. Plus concrètement, la simple modification du mot de passe ne sera
probablement pas suffisante pour vraiment révoquer l'accès, car d'autres mécanismes
d'accès auront peut-être déjà été implémentés.
• La gestion des comptes individuels avec un compte root partagé est pratiquement
impossible. En conséquence, il est difficile, voire impossible, d'effectuer une analyse
correcte après un événement de sécurité.
hpux.user.add
hpux.user.delete
hpux.user.modify
hpux.user.password.modify • • • •
hpux.network.nfs.start •
hpux.network.nfs.stop •
hpux.network.nfs.config •
hpux.fs.backup • •
hpux.fs.restore • •
hpux.user.add • •
hpux.user.delete • •
hpux.user.modify • •
hpux.user.password.modify •
hpux.network.nfs.start • •
hpux.network.nfs.stop • •
hpux.network.nfs.config • •
hpux.fs.backup • •
hpux.fs.restore • •
REMARQUE : Pour plus d'informations sur l'ACPS et ses interfaces, voir acps(4),
acps.conf(4), acps_api(3) et acps_spi(3).
9.3 Composants du contrôle d'accès basé sur les rôles HP-UX 159
9.3.2 Fichiers de configuration HP-UX RBAC
Le Tableau 9-3 répertorie et décrit brièvement les fichiers HP-UX RBAC.
Tableau 9-3 Fichiers de configuration HP-UX RBAC
Fichier de configuration Description
/etc/rbac/cmd_priv Fichier de base de données privrun contenant des autorisations et des privilèges
de fichier et de commande.
/etc/rbac/role_auth Fichier de base de données définissant les autorisations pour chaque rôle.
/etc/rbac/user_role Fichier de base de données définissant les rôles pour chaque utilisateur.
/etc/rbac/aud_filter Fichier de filtre d'audit identifiant les rôles, opérations et objets HP-UX RBAC
spécifiques à auditer.
privrun Appelle une application héritée avec des privilèges après avoir effectué des vérifications
d'autorisation et éventuellement une réauthentification de l'utilisateur.
privedit Permet aux utilisateurs autorisés de modifier des fichiers dont l'accès est contrôlé.
roleadm Permet de modifier des informations de rôle dans les fichiers /etc/rbac/user_role,
/etc/rbac/role_auth et /etc/rbac/roles.
authadm Permet de modifier des informations d'autorisation dans les fichiers /etc/rbac/role_auth
et /etc/rbac/roles.
cmdprivadm Permet de modifier des autorisations et privilèges de commande dans la base de données
/etc/rbac/cmd_priv.
rbacdbchk Permet de vérifier les autorisations et la syntaxe dans les fichiers de base de données HP-UX
RBAC et privrun.
9.3 Composants du contrôle d'accès basé sur les rôles HP-UX 161
Figure 9-1 Architecture du contrôle d'accès basé sur les rôles HP-UX
/usr/sbin/
cmdprivadm
PAM, Commutateur
de service de noms
API ACPS
Module de
Informations utilisateur
service (par exemple /etc/passwd) SPI ACPS
PAM
RBAC local
Autre ACPM stratégie
ACPM
CLÉ :
Commandes wrapper
de privilèges
Base de Base de données
Rôles système Auths
Access Control Switch données autorisations
valides système valides
rôles utilisateur utilisateur
RBAC
Futur
/usr/sbin/ /usr/sbin/ /usr/sbin/
Composants existants rbacdbck roleadm authadm
9.3.6 Exemple d'utilisation et de fonctionnement du contrôle d'accès basé sur les rôles
HP-UX
La Figure 9-2 et les notes de bas de page suivantes illustrent un exemple d'appel de
privrun et des fichiers de configuration utilisés par privrun pour déterminer si un
utilisateur est autoriser à appeler une commande.
Autorisations
PLUSIEURS:PLUSIEURS PLUSIEURS:PLUSIEURS PLUSIEURS:PLUSIEURS Cmd,
Utilisateurs Rôles Opérations
1:1
Objets Privs
/etc/rbac/user_role /etc/rbac/role_auth /etc/rbac/cmd_priv
via
via
ACP
AC
PS 3
S
4
Commande
Processus cmd, args, UID Rejeter tout
(shell )
Privrun sauf privs définis
avec
Privilèges
2 5
1
9.3 Composants du contrôle d'accès basé sur les rôles HP-UX 163
9.4 Planification du déploiement HP-UX RBAC
Avant de déployer le contrôle d'accès basé sur les rôles HP-UX, assurez-vous de suivre
les étapes de planification suivantes :
1. Planifiez les rôles pour les utilisateurs.
2. Planifiez les autorisations pour les rôles.
3. Planifiez les mappages autorisation-à-commande.
Les sections suivantes décrivent ces étapes de manière plus approfondie.
9.4.4 Limitations et restrictions du contrôle d'accès basé sur les rôles HP-UX
Voici une liste d'éléments à prendre en considération avant de déployer le contrôle
d'accès basé sur les rôles HP-UX :
• Le contrôle d'accès basé sur les rôles HP-UX ne prend pas en charge le mode
mono-utilisateur ; par conséquent, le compte root doit être disponible lorsque ce
mode est nécessaire.
• Serviceguard ne prend pas en charge le contrôle d'accès basé sur les rôles HP-UX
et l'utilisation de privrun pour accorder l'accès aux commandes Serviceguard.
Pour plus d'informations sur le contrôle d'accès basé sur les rôles HP-UX et les clusters
Serviceguard, voir la Section 9.6.1.1.
• Comme avec toutes les applications, le contrôle d'accès basé sur les rôles HP-UX
est soumis aux règles qui régissent les compartiments (voir Chapitre 7). N'oubliez
pas les points suivants lors de l'utilisation du contrôle d'accès basé sur les rôles
HP-UX avec des compartiments :
— Vous ne pouvez pas exécuter privedit sur un fichier restreint par une définition
de compartiment.
— Pour fournir à une autre application des privilèges à granularité élevée, la
commande privrun doit s'exécuter avec les mêmes privilèges que ceux qu'elle
souhaite accorder à l'application. Par défaut, privrun est configurée pour
s'exécuter avec tous les privilèges (pour plus d'informations, voir getfilexsec(1M)).
Toutefois, cet ensemble de privilèges par défaut peut parfois être restreint. Par
exemple, si un compartiment est configuré de façon à refuser des privilèges,
cette spécification empêche privrun de fournir les privilèges à l'application
dans ce compartiment car privrun ne possède pas elle-même les privilèges.
Notez que par défaut les compartiments scellés sont configurés de façon à refuser
le privilège composé POLICY.
— Pour que privrun puisse appeler une autre application dans un compartiment,
privrun doit déclarer le privilège CHANGECMPT. Si privrun ne peut pas
déclarer le privilège CHANGECMPT, par exemple si le compartiment est configuré
de façon à refuser les privilèges, privrun échoue. Ce comportement est voulu
et conçu pour renforcer le concept de compartiment scellé.
Cette Section 9.5 utilise les utilisateurs et les résultats de l'exemple de planification du
Tableau 9-6 pour illustrer le processus de configuration des commandes administratives
HP-UX RBAC.
Tableau 9-6 Exemple de résultats de planification
Utilisateurs Rôles Autorisations Commandes typiques
(Remarque : on suppose que les
objets sont *)
9.5 Configuration du contrôle d'accès basé sur les rôles HP-UX 167
9.5.1 Configuration des rôles
La configuration des rôles pour les utilisateurs est un processus en deux étapes :
1. Création des rôles.
2. Affectation des rôles aux utilisateurs et aux groupes.
REMARQUE : Les fichiers de configuration par défaut fournis avec HP-UX RBAC
contiennent un seul rôle préconfiguré : Administrator. Par défaut, le rôle Administrator
dispose de toutes les autorisations système HP-UX (hpux.*, *) et est associé à l'utilisateur
root.
REMARQUE : Le contrôle d'accès basé sur les rôles HP-UX permet d'ajouter un utilisateur
spécial nommé DEFAULT à la base de données /etc/rbac/user_role . L'affectation
d'un rôle à l'utilisateur DEFAULT signifie que tout utilisateur qui n'existe pas sur le système
est affecté à ce rôle.
REMARQUE : Vous pouvez configurer une valeur pour l'objet par défaut. Par défaut,
si vous ne spécifiez pas d'objet, le contrôle d'accès basé sur les rôles HP-UX utilise le
caractère générique * comme objet. Toutefois, si vous avez configuré une valeur pour
le paramètre RBAC_DEFAULT_OBJECT= dans /etc/default/security, le contrôle
d'accès basé sur les rôles HP-UX utilise cette valeur au lieu du caractère générique *
comme objet par défaut.
Utilisez la commande authadm pour modifier des informations d'autorisation dans les
bases de données HP-UX RBAC. La syntaxe authadm est semblable à celle de roleadm.
La syntaxe de la commande authadm est la suivante :
authadm add opération[objet[commentaires]]
| delete opération[objet]
| assign rôle opération[objet]
| revoke [role=nom][operation=nom[object=nom]]
| list [role=nom][operation=nom[object=nom][sys]
Voici la liste et une brève description des arguments de la commande authadm :
add Ajoute une autorisation à la liste système d'autorisations valides dans
/etc/rbac/auths.
delete Supprime une autorisation de la liste système d'autorisations valides dans
/etc/rbac/auths.
assign Affecte une autorisation à un rôle et ajoute l'entrée dans
/etc/rbac/role_auth.
revoke Révoque une autorisation d'un rôle et met à jour /etc/rbac/role_auth.
list Répertorie les autorisations valides par système ou par rôle, et répertorie les
rôles associés à l'opération spécifiée.
|[op=opération]|[object=objet]
|[ruid=ruid]|[euid=euid]
|[rgid=rgid]|[egid=egid]
|[compartment=libellé_compartiment]
|[privs=liste_de_privilèges_séparés_par_des_virgules]
|[re-auth=nom_service_pam]
|[flags=liste_d'indicateurs_séparés_par_des_virgules]
cmdprivadm delete cmd=chemin_d'accès_complet_à_une_commande |
nom_de_chemin_d'accès_complet_à_un_fichier
|[op=opération]|[object=objet]
|[ruid=ruid]|[euid=euid]
|[rgid=rgid]|[egid=egid]
|[compartment=libellé_compartiment]
|[privs=liste_de_privilèges_séparés_par_des_virgules]
|[re-auth=nom_service_pam]
|[flags=liste_d'indicateurs_séparés_par_des_virgules]
Voici la liste et une brève description des deux principaux arguments de la commande
cmdprivadm :
9.5 Configuration du contrôle d'accès basé sur les rôles HP-UX 171
add Ajoute des informations d'autorisation de commande (ou de fichier) dans la
base de données /etc/rbac/cmd_priv.
delete Supprime des informations d'autorisation de commande (ou de fichier) de la
base de données /etc/rbac/cmd_priv.
L'exemple suivant illustre les arguments de cmdprivadm les plus courants :
# cmdprivadm add cmd=/opt/customcmd \
op=companyname.customcommand ruid=0 euid=0 flags=edit \
/opt/customcmd::(companyname.customcommand,*):0/0/-1/-1::::edit
cmdprivadm added the entry to /etc/rbac/cmd_priv
Comme illustré dans l'exemple précédent, le fichier de base de données cmd_priv
contient un champ pour des valeurs d'indicateurs. Assurez-vous de prendre en compte
la valeur des cmdprivadm flags lors de la configuration des informations d'autorisation
et de privilège de commande ou de fichier.
La commande privrun reconnaît un indicateur défini, KEEPENV. Si l'indicateur KEEPENV
est défini dans le fichier cmd_priv pour une commande particulère, aucune des variables
d'environnement ne sera purgée lorsque privrun enveloppera cette commande
spécifique.
Pour privedit, vous pouvez spécifier des valeurs d'indicateurs afin de spécifier si
privedit peut modifier un fichier. Vous pouvez spécifier des valeurs d'indicateurs
supplémentaires pour spécifier si privrun peut exécuter une commande. Les valeurs
d'indicateurs prises en charge sont les suivantes :
flag=vide ou tout autre jeton Indique que le fichier peut uniquement être exécuté
et ne peut pas être modifié.
flag= edit Indique que le fichier peut être modifié et exécuté.
Cet indicateur est destiné principalement aux
scripts.
flag= noexec Indique que le fichier ne peut pas être exécuté et
peut uniquement être modifié avec privedit.
REMARQUE : Pour plus d'informations sur les privilèges à granularité élevée, voir la
page de manuel privileges(5).
Utilisez la commande cmdprivadm et l'option privs pour configurer des commandes
pour que privrun soit enveloppée et s'exécute uniquement avec les privilèges spécifiés.
Voici un exemple de commande cmdprivadm qui configure la commande
/usr/bin/ksh de sorte qu'elle s'exécute avec le privilège composé BASICROOT et
qui requiert l'autorisation (hpux.adm.mount, *) :
# cmdprivadm add cmd=/etc/mount op=hpux.adm.mount object='*' privs=BASICROOT
9.5 Configuration du contrôle d'accès basé sur les rôles HP-UX 173
La commande cmdprivadm ci-dessus crée une entrée dans le fichier
/etc/rbac/cmd_priv comme suit :
#---------------------------------------------------------------------------------------
# Command : Args :Authorizations :U/GID :Cmpt :Privs :Auth :Flags
#----------------:--------:---------------------:------:-------:----------:------:------
/etc/mount :dflt :(hpux.adm.mount,*) :/// :dflt :BASICROOT :dflt :
Une fois que vous avez créé l'entrée avec cmdprivadm et utilisé privrun pour
envelopper la commande,/etc/mount s'exécute avec le privilège élevé du privilège
composé à granularité élevée BASICROOT et sans UID=0 si l'utilisateur a l'autorisation
(hpux.adm.mount, *).
Comme décrit à la Section 9.6.1, l'option de commande privrun -p établit une
correspondance uniquement avec les entrées du fichier de base de données
/etc/rbac/cmd_priv qui ont les privilèges spécifiés par l'option -p. Sachez, lorsque
vous spécifiez un privilège avec l'option privrun -p, que privrun établira une
correspondance avec toutes les entrées qui contiennent le privilège spécifié, y compris
les groupes de privilèges et privilèges composés qui incluent le privilège spécifié -p. La
commande privrun s'exécutera en fonction de la première correspondance dans
/etc/rbac/cmd_priv. Par exemple, voici un exemple de commande privrun -p
et une liste d'entrées pour lesquelles la commande établira une correspondance dans
/etc/rbac/cmd_priv :
La commande :
# privrun -p MOUNT /etc/mount
établit une correspondance avec les entrées /etc/rbac/cmd_priv suivantes :
#---------------------------------------------------------------------------------------------------------
# Command : Args :Authorizations :U/GID :Cmpt :Privs :Auth
:Flags
#----------------:--------:-------------------:------:------:---------------------------------:-----:-----
/etc/mount :dflt :(hpux.adm.mount,*) :/// :dflt :PRIV_CHOWN, MOUNT :dflt
:
/etc/mount :dflt :(hpux.*,nfs) :/// :dflt :MOUNT, PRIV_RTPRIO, PRIV_MLOCK :dflt
:
/etc/mount :dflt :(hpux.adm.*,*) :/// :dflt :BASICROOT :dflt
:
9.5.5 Configuration du contrôle d'accès basé sur les rôles HP-UX avec des compartiments
Le contrôle d'accès basé sur les rôles HP-UX peut également utiliser des compartiments
pour configurer des applications de sorte qu'elles s'exécutent dans un compartiment
spécifique. Avec les compartiments, vous pouvez partitionner logiquement un système
en compartiments de sorte qu'un processus ne puisse pas communiquer ni accéder aux
ressources en dehors de son compartiment (à moins qu'une règle de compartiment ne
soit définie à cet effet).
Voici un exemple de commande cmdprivadm qui configure la commande
/sbin/init.d/hpws_apache de façon à s'exécuter uniquement dans le compartiment
apache, qui est défini par la règle de compartiment /etc/cmpt/apache.rules :
# cmdprivadm add cmd='/sbin/init.d/hpws_apache -a start' \
op=hpux.network.service.start object=apache compartment=apache
La commande cmdprivadm ci-dessus crée une entrée dans le fichier
/etc/rbac/cmd_priv comme suit :
#--------------------------------------------------------------------------------------------------------------
# Command : Args :Authorizations :U/GID :Cmpt :Privs :Auth
:Flags
#-------------------------:--------:------------------------------------:----------------:------:-------:------
/sbin/init.d/hpws_apache :start :(hpux.network.service.start,apache) :/// :apache :dflt :dflt
:
Une fois que vous avez créé l'entrée avec cmdprivadm et utilisé privrun pour
envelopper la commande, les utilisateurs autorisés peuvent exécuter la commande
/sbin/init.d/hpws_apache -start et celle-ci ne s'exécutera que dans le
compartiment apache. L'indicateur de compartiment du processus devient apache et
les propriétés du processus suivront les règles de compartiment apache définies.
9.5 Configuration du contrôle d'accès basé sur les rôles HP-UX 175
REMARQUE : Utilisez uniquement la commande cmdprivadm pour configurer des
compartiments pour des commandes. Ne modifiez pas le fichier de base de données
/etc/rbac/cmd_priv sans utiliser cmdprivadm.
Pour modifier une entrée existante dans le fichier /etc/rbac/cmd_priv, vous devez
d'abord supprimer l'entrée, puis rajouter la version mise à jour. Lorsque vous utilisez
cmdprivadm pour supprimer des entrées, les arguments jouent le rôle de filtres. Par
exemple, si vous spécifiez la commande cmdprivadm delete op=foo, toutes les
entrées dont l'opération est foo sont supprimées. Par conséquent, lorsque vous utilisez
cmdprivadm pour supprimer des entrées, veillez à spécifier des arguments suffisants
pour identifier de manière unique les entrées à supprimer.
9.6.1 Utilisation de la commande privrun pour exécuter des applications avec des
privilèges
La commande privrun permet à un utilisateur d'exécuter des applications héritées avec
différents privilèges, en fonction des autorisations associés à l'utilisateur appelant.
L'utilisateur appelle privrun en spécifiant l'application héritée comme arguments de
ligne de commande. Ensuite, privrun consulte la base de données
/etc/rbac/cmd_priv afin de déterminer l'autorisation nécessaire pour exécuter la
commande avec des privilèges supplémentaires. Si l'utilisateur dispose de l'autorisation
nécessaire, privrun appelle la commande spécifiée après avoir modifié son UID et/ou
GID comme spécifié dans la base de données /etc/rbac/cmd_priv.
La syntaxe de la commande privrun est la suivante :
privrun [options] commande [args]
| [-u eUID|nom_utilisateur]
| [-g eGID|nom_groupe]
| [-U rUID|nom_utilisateur]
| [-G rGID|nom_groupe]
| [-a (opération, objet)]
| [-c compartiment]
| [-p privilège[,privilège,privilège...]]
| [-x]
| [-v [-v]]
| [-h]
| [-t]
La liste suivante explique chacune des options de la commande privrun :
9.6.1.1 Contrôle d'accès basé sur les rôles HP-UX dans les clusters Serviceguard
Serviceguard ne prend pas en charge le contrôle d'accès basé sur les rôles HP-UX et
l'utilisation de privrun pour accorder l'accès aux commandes Serviceguard.
Serviceguard version A.11.16 implémente son propre contrôle d'accès basé sur les rôles
en spécifiant des stratégies de contrôle d'accès par le biais de fichiers de configuration
de package et de cluster, fournissant ainsi des stratégies compatibles avec les clusters
pour les opérations Serviceguard. Le mécanisme Serviceguard doit être utilisé pour le
contrôle d'accès basé sur les rôles HP-UX des opérations Serviceguard. Pour plus de
détails sur les stratégies de contrôle d'accès Serviceguard, consultez la version la plus
récente du document Managing Serviceguard.
9.6.2 Utilisation de la commande privedit pour modifier des fichiers dont l'accès est
contrôlé
La commande privedit permet aux utilisateurs autorisés de modifier des fichiers qu'ils
ne sont normalement pas autorisés à modifier à cause d'autorisations de fichiers ou de
listes de contrôle d'accès. Une fois que vous avez appelé la commande et identifié le
fichier à modifier comme argument, privedit vérifie la base de données
/etc/rbac/cmd_priv, de la même façon que privrun, afin de déterminer
l'autorisation requise pour modifier le fichier spécifié. Si l'utilisateur appelant est autorisé
à modifier le fichier, privedit appelle un éditeur sur une copie du fichier.
9.6 Utilisation du contrôle d'accès basé sur les rôles HP-UX 179
-a autorisation Établit une correspondance uniquement avec les entrées du
fichier /etc/rbac/cmd_priv qui ont l'autorisation spécifiée.
-v Appelle privedit en mode commenté (verbose).
-h Imprime des informations d'aide sur privedit.
-t Vérifie si l'utilisateur dispose de l'autorisation requise pour
modifier le fichier et rapporte le résultat.
-x Si la vérification d'autorisation échoue, le fichier sera modifié
avec les privilèges d'origine de l'appelant.
Voici un exemple d'utilisation de la commande privedit pour modifier le fichier
/etc/default/security avec l'autorisation spécifique de (hpux.sec.edit,
secfile) :
# privedit -a "(hpux.sec.edit, secfile)" /etc/default/security
REMARQUE : Souvenez-vous que les valeurs des indicateurs pour chaque entrée dans
la base de données cmd_priv déterminent si privedit peut modifier ou non un fichier.
Pour plus d'informations sur les indicateurs et sur l'utilisation de la commande privedit,
voir « Configuration d'autorisations et de privilèges de commandes supplémentaires »
et la page de manuel privedit(1M).
[/etc/rbac/cmd_priv]
/opt/cmd:dflt:(newop,*):0/0//:dflt:dflt:dflt:
invalid command: Not found in the system
The value '/opt/cmd' for the Command field is bad.
[Invalid Role in user_role DB. Role 'UserOperator' assigned to user 'chandrika' does not exist in
the roles DB]
9.7 Dépannage du contrôle d'accès basé sur les rôles HP-UX 181
182
10 Administration de l'audit
L’objectif de l'audit est l'enregistrement sélectif des événements afin d'effectuer leur
analyse et de détecter les violations de sécurité. Les données d'audit sont enregistrées
dans des fichiers journaux. Ainsi, le système d'audit assume la fonction de dispositif de
persuasion contre les abus système et expose les éventuelles faiblesses de sécurité.
Il enregistre les instances d'accès par des sujets aux objets sur le système, il détecte toute
tentative répétée de contournement du mécanisme de protection et toute utilisation abusive
des privilèges, et il aide également à exposer les faiblesses de sécurité potentielles du
système.
Lorsqu'un utilisateur se connecte, un ID de session d'audit unique appelé "balise d'audit"
est généré et associé au processus de l'utilisateur. La balise d'audit demeure identique
durant chaque session de connexion. Même si un utilisateur change d'identité durant
une session, tous les événements sont enregistrés avec la même balise d'audit et associés
au nom de connexion d'origine de l'utilisateur.
Des enregistrements d'audit sont générés pour certains événements système liés à la
sécurité. Chaque enregistrement d'audit contient des informations sur l'événement, par
exemple la nature de l'événement, l'heure à laquelle il s'est produit, l'ID de l'utilisateur
qui l'a provoqué, l'ID du processus qui l'a provoqué, et ainsi de suite.
Les enregistrements d'audit sont recueillis dans des journaux/fichiers d'audit au format
binaire. Le système d'audit HP-UX sur HP-UX 11i v3 est capable d'utiliser plusieurs threads
d'écriture pour l'enregistrement des données dans des fichiers. Chaque thread d'écriture
écrit dans un fichier. Cela contribue à augmenter le débit des données. En conséquence,
une trace d'audit est présente sur le système de fichiers sous forme de répertoire contenant
plusieurs fichiers d'audit.
Les enregistrements contenus dans la trace d'audit sont compressés afin d'économiser
l'espace disque. Lorsqu'un processus est audité pour la première fois, un enregistrement
d'identification de processus (PID, Process Identification Record) est écrit dans la trace
d'audit ; il contient des informations qui demeurent constantes pendant toute la durée
de vie du processus. Il s'agit de l'ID de processus, de l'ID du processus parent, de la
balise d'audit, de l'ID de l'utilisateur réel, de l'ID de l'utilisateur effectif, de l'ID de groupe
effectif, de la liste d'ID de groupe, des privilèges effectifs, permis et retenus, de l'ID de
compartiment et de l'ID de terminal. Le PIR est entré une seule fois par processus par
trace d'audit.
Ce chapitre traite des sujets suivants :
• Composants d'audit (Section 10.1)
• Audit du système (Section 10.2)
• Audit des utilisateurs (Section 10.3)
• Audit des événements (Section 10.4)
183
• Traces d'audit (Section 10.5)
• Affichage des fichiers journaux d’audit (Section 10.6)
• Auto-audit (Section 10.7)
• Audit HP-UX RBAC (Section 10.8)
10.1.1 Commandes
Le Tableau 10-1 contient une brève description de chaque commande d'audit.
Tableau 10-1 Commandes d'audit
Commande Description
/etc/default/security Fichier contenant des paramètres d'audit par défaut à l'échelle du système.
Si le système d'audit n'est pas activé, utilisez la commande audsys -n pour le démarrer.
Les modifications d'audit prennent effet à compter de l’ouverture de session suivante.
REMARQUE :
HP recommande d'auditer au moins les événements suivants :
• événement admin
• événement login
• événement d'auto-audit moddac
• execv, execve
• événement pset
Ces événements sont prédéfinis dans le profil de base dans le fichier /etc/audit/
audit.conf.
Configurez les événements que vous souhaitez auditer avant d'activer le système d'audit.
La syntaxe de la commande audevent est la suivante :
# audevent [options]
Les options suivantes sont couramment utilisées avec la commande audevent :
Tableau 10-4 Options de la commande audevent
Options de audevent Description
-r profil Spécifie le profil d'événements à enregistrer. Les profils sont définis dans le
fichier /etc/audit/audit.conf.
aucune option Affiche l'état actuel des événements ou appels système sélectionnés
Pour configurer admin, login et modaccess pour l'audit, entrez la commande suivante :
# audevent -P -F -e admin -e login -e moddac
Pour configurer les événements du profil de base pour l'audit, utilisez la commande
suivante :
# audevent -P -F -r basic
ATTENTION :
• Si le système de fichiers contenant la trace d'audit est plein, tout processus non root
qui génère des données d'audit sera bloqué à l'intérieur du noyau. De même, si un
processus non root est connecté au terminal système, il sera arrêté. Pour plus de
détails, voir la section WARNINGS de audsys(1M).
• Ne placez pas de trace d'audit dans le système de fichiers racine.
10.7 Auto-audit
Certains processus appellent une série d'actions qui peuvent être auditées. Pour réduire
la quantité de données d’audit recueillies et les rendre plus significatives, certains de ces
processus sont programmés pour suspendre l’audit des actions qu’ils appellent et ne
produire qu’une seule entrée qui décrit la totalité du processus déclenché. Les processus
programmés de cette façon portent le nom de programmes à auto-audit ; l'utilisation de
ce type de programme permet de rationnaliser les données de journal d'audit.
Processus à auto-audit
Les processus suivants sont des programmes à auto-audit :
chfn Modifier une entrée finger
chsh Modifier un shell de connexion
login L'utilitaire de connexion
newgrp Modifier un groupe effectif
passwd Modifier un mot de passe
audevent Sélectionner les événements concernés par l’audit
audisp Afficher les données d'audit
REMARQUE : Utilisez un éditeur tel que vi pour modifier directement le fichier /etc/
rbac/aud_filter. Les commandes administratives HP-UX RBAC n'interfacent pas
avec /etc/rbac/aud_filter.
REMARQUE : Pour en savoir plus sur l'audit des systèmes HP-UX, voir audit(5),
audevent(1M), audsys(1M) et audisp(1M).
REMARQUE : Trusted Systems est désormais obsolète. HP-UX 11i v3 est la dernière
version qui prend en charge ce produit.
REMARQUE : Sur HP-UX 11i v3, un système d'audit fonctionne également sur un
système sans que celui-ci ait été converti en système protégé.
Pour plus d’informations, voir le Chapitre 10.
Si vous devez reconvertir en système standard un système protégé, exécutez HP SMH
et utilisez la fenêtre Auditing and Security. Les écrans Audited Events, Audited System
Calls et Audited Users proposent tous une option de reconversion.
Responsabilités de l’utilisateur
Les règles suivantes sont valables pour chaque utilisateur :
• Se souvenir de son mot de passe et le tenir secret en toutes circonstances.
• Remplacer immédiatement le mot de passe initial. Par la suite, changer régulièrement
ce mot de passe.
• Signaler tout changement d’état et toute violation des règles de sécurité.
• Veiller à entrer le mot de passe aussi confidentiellement que possible.
• Choisir un mot de passe différent pour chaque machine où l’utilisateur possède un
compte.
A.2 Audit d’un système protégé 201
A.3.1 Fichiers de mots de passe
Un système protégé possède de nombreux fichiers de mots de passe : le fichier /etc/
passwd et les fichiers de la base de données de mots de passe protégés /tcb/files/
auth/ (voir « Base de données /tcb/files/auth/ »). Il existe pour chaque utilisateur une
entrée dans les deux fichiers, et login recherche les deux entrées pour authentifier les
demandes d’ouverture de session.
Tous les mots de passe sont chiffrés immédiatement après saisie et stockés dans /tcb/
files/auth/user-char/user-name, le fichier de base de données de mots de
passe protégés de l'utilisateur. Seul le mot de passe chiffré est utilisé pour les
comparaisons.
Aucun de ces fichiers de mots de passe ne doit contenir de champ vide. Sur les systèmes
protégés, le champ de mot de passe de /etc/passwd est ignoré. Un utilisateur qui
possède un mot de passe vide devra définir un mot de passe à l’ouverture de sa session
sur un système protégé. Cela présente tout de même un risque pour la sécurité ; toute
personne se connectant à ce compte devra définir le mot de passe.
N’éditez jamais les fichiers de mots de passe directement. Utilisez HP SMH, useradd,
userdel ou usermod pour modifier les entrées des fichiers de mots de passe.
211
authentification Processus qui consiste à identifier un sujet (utilisateur, hôte, périphérique ou autre
entité d'un réseau informatique). L'authentification est souvent un élément prérequis
pour accorder l'accès aux ressources d'un système. Il s'agit également du
processus de vérification de l'intégrité des données ou de l'identité de l'expéditeur
des données.
authentification stimulation-réponse
Forme d'authentification dans laquelle l'authentifiant envoie une valeur aléatoire,
la stimulation, à l'utilisateur ou l'entité soumis à l'authentification. L'utilisateur
renvoie une réponse basée sur la valeur de stimulation et une valeur de secret
partagé précédemment établie avec l'authentifiant, telle qu'une valeur de hachage
MD5.
Contrairement à un échange de mot de passe ordinaire, le dialogue
stimulation-réponse varie, de sorte qu'un intrus ne peut pas relire la réponse d'un
utilisateur en vue d'obtenir l'authentification.
autorisation Procesuss qui consite à évaluer les informations de contrôle d'accès et à déterminer
si un sujet (utilisateur, hôte, périphérique ou autre entité d'un réseau informatique)
est autorisé à effectuer une opération sur une ressource ou un objet particulier.
L'autorisation est généralement effectuée après que l'identité du sujet a été
authentifiée.
Dans le contexte du contrôle d'accès basé sur les rôles (RBAC), l'autorisation fait
référence à la mise en correspondance entre une opération et un objet. Voir
RBAC.
212 Glossaire
clés manuelles Clés cryptographiques configurées manuellement pour IPSec. Il s'agit d'une
alternative à l'utilisation du protocole Internet Key Exchange (IKE) qui permet de
générer des clés cryptographiques et autres informations pour des associations
de sécurité (SA) IPSec.
compartiments Méthode permettent d'isoler les différents composants d'un système. Lorsqu'ils
sont configurés correctement, ils sécurisent de manière efficace le système HP-UX
et les données qui y résident.
confinement Mécanisme ou ensemble de mécanismes qui permettent de restreindre les droits
d'accès des processus.
Dans le contexte du contrôle RBAC, le confinement est une combinaison de
contrôle d'accès obligatoire et de provilèges à granularité élevée. Voir RBAC.
213
L'une des clés doit être privée (connue uniquement du propriétaire), mais la
seconde clé peut être rendue publique, ce qui facilite la gestion de la distribution
des clés. Le chiffrement à clé publique est très gourmand en ressources de calcul,
et ne convient donc pas vraiment aux chiffrement de données en bloc. Au lieu
de cela, la cryptographie à clé publique est généralement utilisée pour authentifier
les données.
Également appelée cryptographie à clé asymétrique (les deux clés sont identiques)
ou cryptographie à clé publique-privée.
EAP Extensible Authentication Protocol. Protocole qui offre un cadre pour l'utilisation
de plusieurs méthodes et protocoles d'authentification, y compris les mots de
passe, Kerberos, et les protocoles de stimulation-réponse.
échange de clé Échange de clé par le biais d'un canal de communication sécurisé différent des
hors de portée canaux de communication informatiques normaux, tel qu'une rencontre en face
à face ou un appel téléphonique.
214 Glossaire
Encapsulating Voir ESP.
Security
Payload
entité Personne, système, périphérique ou autre entité.
ESP Encapsulating Security Payload. ESP fait partie de la suite de protocole IPsec. Il
fournit un service de confidentialité (chiffrement) et d'antirelecture. Il doit être
utilisé avec l'authentification, soit avec le champ d'authentification ESP optionnel
(ESP authentifié), soit imbriqué dans un message à en-tête d'authentification. ESP
authentifié procure également une authentification de l'origine des données et
une intégrité sans connexion. Lorsqu'il est utilisé en mode tunnel, ESP assure
également la confidentialité minimale du flux de trafic.
événement Action, par exemple création d'un fichier, ouverture d'un fichier ou connexion
au système.
Extensible Voir EAP.
Authentication
Protocol
filtre Mécanisme permettant de filtrer les objets indésirables, ou paramètres qui
spécifient les objets pour lesquels l'accès est autorisé ou refusé. En général, un
filtre est utilisé pour détecter les paquets réseau indésirables (filtre de paquets).
filtre de paquet Filtre utilisé pour sélectionner ou restreindre des paquets réseau. Les filtres de
paquets spécifient les caractéristiques des paquets réseau. Ils spécifient en général
les adresses IP source et de destination, les protocoles de couches supérieures
(tels que TCP ou UDP) et les numéros de ports TCP ou UDP. Ils peuvent également
définir d'autes champs de paquets, tels que les types d'en-têtes IPv6, les types
de messages de couche supérieure (par exemple les types de messages ICMP)
et les états de connexion TCP.
filtre de Type de filtrage de paquets qui utilise des champs de protocole et des informations
paquets basé d'état de couche supérieure, telles que les états des connexions TCP.
sur l'état
HMAC Hashed Message Authentication Code. Voir également MAC.
hôte forteresse Système informatique qui protège un réseau interne contre les intrus. Voir
également pare-feu et système renforcé.
IKE Le protocole IKE (Internet Key Exchange) fait partie de la suite de protocoles IPsec.
Il intervient avant les échanges de protocole IPSec ESP ou AH afin de déterminer
les services de chiffrement et/ou d'authentification qui seront utilisés. Il gère
également la distribution et la mise à jour des clés de chiffrement symétriques
(partagées) utilisées par ESP et AH. Voir également ESP et AH.
Kerberos Protocole d'authentification réseau conçu pour fournir une authentification
renforcée pour les applications clientes et serveurs. Kerberos permet aux utilisateurs
de s'authentifier sans transmettre de mots de passe non chiffrés sur le réseau.
LDAP Le protocole LDAP fournit un accès aux répertoires par le biais du réseau. Il utilise
(Lightweight une structure de répertoires semblable au service d'annuaire OSI X.500, mais il
Directory stocke les données sous forme de chaînes et utilise la pile réseau TCP/IP plutôt
Access que la pile réseau OSI.
Protocol)
215
Liste de Voir CRL.
révocation de
certificat
MAC Un code MAC (Message Authentication Code) est une balise d'authentification,
également appelée somme de contrôle, obtenue par l'application d'un algorithme
d'authentification, avec une clé secrète, à un message. Les codes MAC étant
calculés et vérifiés avec la même clé, ils ne peuvent être vérifiés que par le
destinataire prévu, contrairement aux signatures numériques.
Les codes HMAC (Hash Function-based MAC) utilisent une ou plusieurs clés avec
une fonction de hachage afin de produire une somme de contrôlée qui est ajoutée
au message. La méthode MD5 d'authentification de message en constitue un
exemple.
Les codes MAC peuvent également être dérivés de codes en bloc. Les données
sont chiffrées dans des blocs de messages à l'aide de DES CBC et le bloc final
du texte chiffré est utilisé comme somme de contrôle. Le code MAC DES-CBC est
une norme américaine et internationale très répandue.
MD5 Message Digest-5. Algorithme d'authentification développé par RSA. MD5 génère
un message chiffré de128 bits à l'aide d'une clé de 128 bits. IPSec tronque le
message à 96 bits.
mot de passe Structure qui renforce la sécurité des mots de passe utilisateur. La structure de
fantôme mot de passe fantôme (spwd) contient des mots de passe utilisateur chiffrés et
d'autres informations utilisées avec la structure passwd. Elle est stockée dans un
fichier qui est généralement lisible uniquement par des utilisateurs privilégiés.
NAT Network Address Translation. Méthode permettant à plusieurs systèmes d'un
réseau internet et privé de partager une adresse IP Internet publique. Une
passerelle NAT remplace (traduit) des adresses IP et des ports internes en adresse
IP publique lors du transfert de paquets du réseau interne vers le réseau Internet,
et effectue la traduction inverse pour l'itinéraire de retour.
objet Ressource système ou réseau telle qu'un système, un fichier, une imprimante, un
terminal ou un enregistrement de base de données. Dans le contexte de
l'autorisation, celle-ci est accordée pour l'opération d'un sujet sur un objet.
opération Mode d'accès spécifique à un ou plusieurs objets (par exemple l'écriture dans
un fichier). Dans le contexte de l'autorisation, celle-ci est accordée pour l'opération
d'un sujet sur un objet.
Organisme de Voir CA.
certification
PAM Pluggable Authentication Module. Cadre d'authentification qui permet aux
administrateurs système de configurer des services pour l'authentification, la
gestion des comptes, la gestion des sessions et la gestion des mots de passe pour
des utilitaires HP-UX tels que l'utilitaire de connexion système.
pare-feu Un ou plusieurs périphériques ou systèmes informatiques utilisés comme barrière
pour assurer la protection d'un réseau contre les utilisateurs indésirables ou les
applications nuisibles. Voir également hôte forteresse et système renforcé.
Perfect Avec Perfect Forward Secrecy, l'exposition d'une clé permet d'accéder uniquement
Forward aux données protégées par cette clé.
Secrecy (PFS)
216 Glossaire
Pluggable Voir PAM.
Authentication
Module
prison chroot Méthode qui limite les fichiers et répertoires accessibles à un processus et aux
utilisateurs de ce processus. Le processus démarre dans un répertoire de base
spécifié (la racine) et ne peut accéder à aucun répertoire ou fichier situé au-dessus
du répertoire racine.
privilège Autorisation d'effectuer une action sur un système informatique.
privilège à Autorisation d'effectuer une opération de bas niveau spécifique (par exemple
granularité autorisation d'exécuter un appel système spécifique).
élevée
RADIUS Le protocole RADIUS (Remote Authentication Dial-In User Service) est largement
utilisé et implémenté pour gérer l'accès aux services réseau. Il définit une norme
pour l'échange d'informations entre un périphérique d'accès réseau et un serveur
d'authentification, autorisation et comptabilité (serveur AAA) en vue d'effectuer
des opérations d'authentification, d'autorisation et de comptabilité. Un serveur
AAA RADIUS peut gérer des profils utilisateur pour l'authentification (vérification
de nom d'utilisateur et de mot de passe), des informations de configuration qui
spécifient le type de service à délivrer, et des stratégies à appliquer qui peuvent
restreindre l'accès utilisateur.
Le protocole RADIUS ne procure que le cadre pour l'échange d'authentification
et peut être utilisé avec de nombreuses méthodes d'authentification.
RBAC Role-Based Access Control (contrôle de l'accès basé sur les rôles). Mécanisme
HP-UX qui procure un accès à granularité élevée aux ressources système, aux
commandes et aux appels système. Les utilisateurs sont affectés à des rôles et des
privilèges d'accès sont accordés aux utilisateurs en fonction de leur rôle.
relation Extension d'une relation d'approbation par le biais d'autres entités approuvées.
d'approbation Si A et B approuvent tous deux C, A et B peuvent s'approuver grâce à une
transitive approbation transitive par le biais de C. Dans une structure hiérarchique, A et B
peuvent établir une relation d'approbation transitive s'ils peuvent établir une
chaîne d'approbation vers une racine commune.
rôle Tâche professionnelle, dans le contexte d'une organisation, avec une sémantique
associée concernant l'autorité et la responsabilité accordées aux utilisateurs
disposant du rôle.
RSA Rivest, Shamir et Adelman. Cryptosystème à clé publique-privée qui peut être
utilisé à des fins de confidentialité (chiffrement) et d'authentification (signatures).
Pour le chiffrement, le système A peut envoyer des données chiffrées avec la clé
publique du système B. Seule la clé privée du système B est capable de déchiffrer
les données. Pour l'authentification, le système A envoie des données avec une
signature numérique, un digest ou un hachage chiffré avec la clé privée du
système A. Pour vérifier la signature, le système B utilise la clé publique du système
A afin de déchiffrer la signature et il compare le hachage ou digest déchiffré à
celui qu'il calcule pour le message.
SASL Simple Authentication and Security Layer. Protocole utilisé pour ajouter des services
d'authentification à des applications réseau basées sur connexion. L'API SASL
procure un cadre flexible qui permet aux programmeurs d'utiliser une interface
commune pour accéder à plusieurs services d'authentification.
217
secure shell Voir SSH.
Secure Sockets Voir SSL.
Layer
Serveur AAA Serveur d'authentification, d'autorisation et de comptabilité
(Authentication/Authorization/Accounting). Un serveur AAA fournit des services
d'authentification, d'autorisation et de comptabilité de l'accès utilisateur au réseau
aux points d'entrée du réseau. HP-UX fournit des serveurs AAA basés sur le
protocole RADIUS et le protocole Diameter Base.
SHA1 Secure Hash Algorithm-1. Algorithme d'authentification qui génère un message
digest de 160 bits à l'aide d'une clé de 160 bits.
signature Les signatures numériques sont une variante des algorithmes de hachage de clés
numérique qui utilisent des paires de clés privées/publiques. L'expéditeur envoie sa clé
privée et les données en tant qu'entrée afin de créer une valeur de signature
numérique.
SSH Secure Shell. Ensemble de services réseau qui fournit des remplacements sécurisés
pour la connexion à distance, le transfert de fichiers et l'exécution de commandes
à distance. SSH procure également des fonctionnalités de tunneling sécurisé, un
transfert de port et un agent SSH assurant la maintenance des clés privées sur le
client.
SSL Secure Sockets Layer. Protocole utilisé pour chiffrer des données réseau. Le
protocole SSL se situe au-dessus du protocole TCP dans la pile de données. Il
utilise des clés publiques-privées pour authentifier des entités et échanger une clé
privée (partagée), puis il utilise la clé privée pour chiffrer les données.
Stratégie IPSec Les stratégies IPSec spécifient les règles en fonction desquelles les données sont
transférées de manière sécurisée. Elles contiennent généralement des informations
de filtre de paquets et une action. Le filtre de paquets est utilisé pour sélectionner
une stratégie pour un paquet et l'action est appliquée aux paquets soumis à la
stratégie.
sujet Utilisateur, hôte, périphérique ou autre entité d'un réseau informatique. Dans le
contexte de l'autorisation, il s'agit de l'initiateur d'une opération sur un objet
exigeant une décision d'autorisation.
système Système informatique avec des fonctionnalités de système d'exploitation, des
renforcé utilisateurs et des applications minimum, utilisé comme barrière pour assurer la
protection d'un réseau contre les utilisateurs indésirables ou les applications
nuisibles. Également appelé hôte forteresse.
VPN Virtual Private Network. Réseau privé au sein d'un réseau public tel qu'Internet.
Un VPN est virtuel car il utilise des tunnels pour créer de manière effective un
réseau logique distinct au sein du réseau physique. Un VPN est privé car les
utilisateurs extérieurs ne peuvent ni voir ni modifier les données transmises. Les
VPN qui utilisent l'authentification de l'identité de l'hôte fournissent également
une protection contre l'emprunt d'adresses IP.
218 Glossaire
Index
sécurisation, 79
Symboles accès par modem
recommandations de sécurité pour la gestion, 55
/etc/d_passwd, fichier
accès par superutilisateur
contrôle de l'accès avec, 56
contrôle, 58
/etc/default/security, 21
/etc/dialups, fichier examen, 59
protection, 58
contrôle de l'accès avec, 56
utilisation de Restricted SMH Builder pour l'accès limité, 59
/etc/ftpd/ftpusers, fichier
accès racine
modification de l'accès avec, 80
obtention, 20
/etc/group, fichier, 202
accès root
/etc/inetd.sec, fichier, 83
contrôle, 58
/etc/pam_user.conf, fichier, 32
examen, 59
/etc/pam.conf, fichier, 32
utilisation de Restricted SMH Builder pour l'accès limité, 59
configuration à l'échelle du système avec, 34
accès utilisateur
/etc/passwd, fichier, 199, 201–202
gestion, 25
compte restreint, 27
Access Control Policy Switch, 159
comptes d'utilisateurs d'applications, 27
interfaces, 159
exemple de compte fictif dans, 43
personnalisation, 180
format, 41
ACL
modification, 40
comparaison de JFS et HFS, 116
récupération, 24
définition, 104
/etc/rbac/aud_filter, 197
définition HFS, 104
/etc/rbac/cmd_priv, 172
définition JFS, 108
entrées, 174
entrées JFS par défaut, 113
/etc/security.dsc, fichier, 46
et NFS, 117
/etc/shadow, fichier de mot de passe fantôme, 41
exemple de modification de liste minimale JFS, 111
/sbin/rc2.d/S760auditing, 200
sauvegarde et récupération de système protégé, 207
/tcb/files/auth/, base de données de mots de passe protégés,
ACL HFS
201–202
commandes et appels compatibles avec, 106
/tcb/files/auth/*/*, 199, 203, 206–207
comparaison avec les listes ACL JFS, 116
/tcb/files/ttys, 206
définition, 104
/tmp, 208
et NFS, 117
/var.adm/userdb, fichier, 47, 73
ACL JFS
/var/adm/inetd.sec, fichier
comparaison avec les listes ACL HFS, 116
configuration, 82
définition, 108
et NFS, 117
A exemple de modification de liste minimale, 111
accès modification avec la commande setacl, 114
accès basé sur l’heure, 204, 206 utilisation d'entrées par défaut, 113
accès basé sur les périphériques, 206 administration réseau, 86
contrôle du terminal, 204 contrôle de la sécurité des fichiers, 120
mot de passe, 204 gestion de domaine administratif, 85
accès à distance administration système
recommandations de sécurité pour la gestion, 55 audit des utilisateurs, 183
accès au système authentification des utilisateurs avec PAM, 31
recommandations de sécurité pour l'accès distant, 55 authentification des utilisateurs durant la connexion, 28
accès au terminal, 204 contrôle de la sécurité des fichiers sur un réseau, 120
accès aux fichiers définition des attributs de sécurité, 45, 72
définition des autorisations d’accès, 101 définition des options de sécurité lors de l'installation, 22
accès aux répertoires gestion de domaine administratif, 85
sécurisation, 101 gestion de l'accès à distance, 55
accès FTP anonyme gestion de l'accès utilisateur, 25
219
gestion des mots de passe, 38 utilisée par SSH, 92
gestion des programmes setuid et setgid, 49 authentification utilisateur
installation de HP-UX de manière sécurisée, 19 avec PAM, 31
installation des correctifs de sécurité, 22 durant la connexion, 28
montage et démontage sécurisés d'un système de fichiers, exemple de connexion PAM, 36
119 auto-audit, programme, 195
prévention des attaques de débordement de tampon de pile, autorisations, 156
52 configuration, 170
protection de l'accès root, 58 objet, 156
protection des terminaux et des stations de travail sans opération, 156
personnel, 53 vérification du fichier de contrôle réseau, 120
recommandations de sauvegarde, 23 vérification pour les fichiers de contrôle réseau, 86
recommandations pour l'audit, 188
sécurisation d'inetd, 82 B
sécurisation des bannières de connexion, 57 bannières de connexion
sécurisation des services Internet, 77 sécurisation, 57
sécurisation du protocole FTP, 78 base de données d'affectation de périphériques
sécurisation du système de fichiers HP-UX, 99 système protégé, 206
utilisation de l'authentification d'amorçage pour prévenir tout base de données de contrôle de terminaux
accès non autorisé, 21 système protégé, 206
violations de sécurité, 20 base de données de mots de passe protégés, 206
AES (Advanced Encryption Standard), 211 /tcb/files/auth/, 201–202
AH (Authentication Header) Bastille (voir HP-UX Bastille)
définition, 211 Bastion Host, 61
altération de fichier batch, 200
repérage et correction avec la commande fsck, 103 bit de protection
amorçage définition, 102
prévention des violations de sécurité durant l'amorçage, 20 btmp, fichier
at, commande, 200 suivi des échecs de connexion avec, 29
attribut de sécurité
définition, 45, 72
audisp, commande C
affichage de la sortie de journal d'audit avec, 194 CA (certificate authority)
audit définition, 212
activation, 184 CA (Certificate Authority)
activation après la récupération, 24 définition, 215
commandes, 184 champ de mot de passe chiffré, 202–203
profil de base, 190 chfn, 202
utilisateurs, 183 chiffrement
authadm, 170 définition, 212, 214, 218
exemples, 171 chmod, commande
syntaxe, 170 effets sur les entrées class, 111
authentification, 201 modification des autorisations d’accès aux fichiers avec, 101
avec l'amorçage, 21 chown, 24, 202, 208
avec PAM, 31 chsh, 202
durant la connexion, 28 clés prépartagées
exemple de connexion PAM, 36 définition, 212–213, 215, 217
utilisée par SSH, 91 cmdprivadm, 171
authentification basée sur l'hôte exemples, 172
et authentification par clé publique, 93 syntaxe, 171
utilisée par SSH, 93 commande
authentification d'amorçage login, 202
utilisation, 21 swlist, 200
authentification PAM compartiments, 123
exemple de connexion, 36 activation, 127
authentification par clé publique création de règles, 131
et authentification basée sur l'hôte, 93 dépannage, 139, 150
220 Index
modification de règles, 131 délai d'expiration de mot de passe, 205
planification d'une structure, 125
règles d'interface réseau, 137 E
règles de limitation de privilège, 138 emprunt d'identité
règles de système de fichiers, 132 définition, 80
règles IPC, 133 protection à l'aide de wrappers TCP, 83
règles réseau, 135 ensemble de fichiers
compte d'utilisateur SecurityMon, 200
restreint, 27 ESP (Encapsulating Security Payload)
compte de groupe définition, 215
gestion, 27 /etc/ftpd/ftpusers, 80
compte fictif /etc/inetd.sec, 83
exemple, 43 /etc/passwd, 24
compte invité événement d'audit
contrôle, 26 type, 191
compte root événement d’audit, 189
protection, 58
compte temporaire
désactivation, 26 F
connexion mobile fbackup, commande, 23
sécurisation, 56 sauvegarde protégée, 207
contrôle accès basé sur l’heure, 206 fichier
contrôle d'accès basé sur les rôles /etc/group, 202
configuration de compartiments, 175 /etc/passwd, 199, 201–202
fichiers de configuration, 160 fichier de contrôle réseau
contrôle d'accès basé sur les rôles HP-UX vérification des autorisations sur, 86, 120
architecture, 161 fichier de périphérique de terminal
audit, 196 protection, 54
commandes, 160 fichier de suivi de connexions, 29
enveloppement, 167 fichier journal
composants, 158 audit, 191
dépannage, 180 fichier journal d'audit, 191
fonctionnement, 162 affichage, 194
pages de manuel, 161 rationalisation des données dans, 195
utilisateur par défaut, 169 remplacement du fichier existant, 193
contrôle d’accès basé sur les périphériques, 206 fichier journal d'audit auxiliaire, 192
correctifs de sécurité fichier journal d'audit principal, 192
installation, 22 fichier spécial de périphérique /dev
crontab, 200 considérations de sécurité pour, 117
Cryptosystème RSA, 217 filtre
définition, 215, 217
fonction
D getdvagent, 206
délai d’expiration getprdfent, 206
délai d'expiration de mot de passe, 205 getprpwent, 206
démon Internet getprtcent, 207
Voir inetd, démon, 81 getpwent, 207
démontage sécurisé d’un système de fichiers, 119 getspwent, 207
DES (Data Encryption Standard), 211, 213–214 putprpwnam, 207
Diffie-Hellman, 214 putpwent, 207
groupe, 214 putspwent, 207
domaine frecover, commande, 23
gestion de domaine administratif, 85 récupération protégée, 207
domaine administratif fsck, commande
gestion, 85 correction des altérations de fichiers avec, 103
durée de vie FTP
délai d'expiration de mot de passe, 205 sécurisation, 78
durée minimale
221
sécurisation de l'accès anonyme, 79 utilisation non interactive, 64
ftpd, serveur, 80 HP-UX, installation
conseils de sécurité postinstallation, 23
G considérations de sécurité, 19
définition des options de sécurité lors de l'installation, 22
générateur de nombres aléatoires, 95
installation des correctifs de sécurité, 22
gestion de l'accès aux fichiers, 99
prévention des violations de sécurité durant l'amorçage, 20
gestion des mots de passe, 38
gestionnaire de session CDE
connexion avec, 28 I
gestionnaire de verrou CDE ID d'audit (aid), 200, 202, 204
configuration, 55 ID de groupe (gid), 202
getacl, commande ID utilisateur (uid), 202, 204
affichage de listes ACL avec, 110 IKE (Internet Key Exchange)
getdvagent, fonction, 206 protocole, 215
getfilexsec, commande, 130, 144 indicateur d’audit, 204
getprdfent fonction, 206 inetd, démon
getprocxsec, commande, 130, 144 présentation, 81
getprpwent, fonction, 206 sécurisation, 82
getprtcent, fonction, 207 wrappers TCP et, 83
getpwent, fonction, 207 installation de correctifs
getspwent, fonction, 207 à l'aide de Software Assistant, 22
GSS-API installation de HP-UX
SSH, 92 conseils de sécurité postinstallation, 23
considérations de sécurité, 19
H définition des options de sécurité lors de l'installation, 22
installation des correctifs de sécurité après, 22
HFS, 104
prévention des violations de sécurité durant l'amorçage, 20
High Performance File System
installation des correctifs de sécurité
Voir HFS, 104
utilisation de Software Assistant, 22
historique
mot de passe, 205
HP-UX Bastille, 61 J
annulation des modifications, 67 JFS, 104
conseils et dépannage, 69 Journaled File System
décalage Voir JFS, 104
accès au fichier de décalage de configuration, 69
comparaison d'états, 62 L
utilisation de bastille_drift, 62 last, commande
fichier de configuration exemples d'utilisation, 30
création, 62, 65 liste de contrôle d'accès
duplication, 62 Voir ACL, 104
fichiers Liste de révocation de certificat (CRL), 213
affichage des fichiers journaux, 66 Logical Volume Manager
emplacement et description, 68 Voir LVM, 118
installation, 62 login, commande, 28, 202
liste de tâches à effectuer lost+found, répertoire, 24, 208
exécution, 64 LVM, 118
utilisation, 67
rapports
accès aux fichiers, 68 M
génération, 62 MAC, 216
suppression, 70 mode mono-utilisateur
téléchargement, 62 amorçage, 20
utilisation montage sécurisé d’un système de fichiers, 119
de manière interactive, 63 mot de passe, 204
de manière non interactive, 64 authentification
utilisation interactive, 63 utilisée par SSH, 93
222 Index
base de données, 199, 201, 203 présentation, 31
/tcb/files/auth/, 201–202 PAM, bibliothèque, 32
caractéristiques d’un bon mot de passe, 39 PAM, module de service, 31
champ chiffré, 202–203 panne de courant, 24, 208
chiffrement, 202 perte de fichiers, 24
délai d'expiration, 201, 204–205 parameter
durée minimale, 205 PASSWORD_HISTORY_DEPTH, 205
délai d’expiration partition de disque
délai d’expiration, 205 considérations de sécurité pour, 118
durée de vie, 205 passwd, commande, 202
entrée exemples d’utilisation, 40
manipulation, 206 password
fantôme, 41 délai d'expiration, 202
fichier PASSWORD_HISTORY_DEPTH parameter, 205
base de données de mots de passe protégés, 199, 201, Perfect Forward Secrecy (PFS)
203 définition, 216
champs, 202 prison chroot, 95
génération, 204 privedit, 179
gestion, 38 options, 179
historique, 205 syntaxe, 179
intégrité, 201 privilèges à granularité élevée, 143
réutilisation, 205 configuration, 173
sécurité, 201 privrun, 176
types, 204 -p, 174
mot de passe fantôme, 41 exemples, 178
mot de passe protégé, 204 opération, 162
options, 176
N syntaxe, 176
processus d'amorçage
NFS, 121
obtention, 20
et ACL, 117
processus de connexion
protection des fichiers montés en mode NFS, 122
explication, 28
sécurisation du client, 122
propriété de fichier
sécurisation du serveur, 121
définition, 101
NIS
protection contre les débordements de tampon de pile, 52
sécurisation des mots de passe stockés dans, 44
protégé, 204
niveau d'exécution
prpwd, 203
contrôle de l'accès avec, 53
putprpwnam, fonction, 207
niveau d’exécution
putpwent, fonction, 207
modification, 53
putspwent, fonction, 207
niveau de sécurité
choix durant l'installation, 22
nom d'utilisateur R
création de noms uniques, 28 récupération
nom d'utilisateur unique recommandations de sécurité pour, 23
importance, 28 Remote Procedure Calls
numéro d’autorisation, 201 Voir RPC, 84
renforcement de la sécurité (voir HP-UX Bastille)
O réutilisation
mot de passe, 205
opérations
roleadm, 168
recommandations pour la création, 165
exemples, 168–169
outil de verrouillage (voir HP-UX Bastille)
syntaxe, 168
rôles
P configuration, 168
PAM groupes, 169
authentification des utilisateurs avec, 31 par défaut, 168
configuration à l'échelle du système, 34 recommandations pour la création, 164
223
root authentification par clé publique, 92
inconvénients, 155 authentification par mot de passe, 93
RPC chiffrement, 87
et wrappers TCP, 84 composants logiciels, 88
rsh, commande exécution, 89
limitation de l'accès système avec, 26 exécution du client scp, 90
exécution du client sftp, 90
S exécution du client ssh, 89
exécution en mode privilégié, 90
sauvegarde
recommandations de sécurité pour, 23 fonctionnalités, 87
GSS-API, 92
système protégé, 199, 207
prise en charge des wrappers TCP, 95
Sec00Tools, niveau de sécurité, 22
sécurisation des sessions distantes, 87
Sec20MngDMZ, niveau de sécurité, 22
strong random number generator, 95
Sec30DMZ, niveau de sécurité, 22
système HP-UX, 94
Secure Shell
technologies associées, 95
Voir SSH, 87
transfert de port, 88
sécurisation des sessions distantes, 87
SSH-1, protocole, 93
sécurité des fichiers
SSH-2, protocole, 93
considérations relatives aux fichiers spéciaux /dev, 117
station de travail
contrôle de l'accès aux fichiers, 99
protection des stations sans personnel, 53
contrôle sur un réseau, 120
stratégie IPSec
protection des fichiers liés aux comptes d'utilisateurs, 102
définition, 218
protection des fichiers montés en mode NFS, 122
strong random number generator, 95
protection des partitions de disques et des volumes logiques,
support de sauvegarde
118
sécurité de, 207
sécurité système
swlist, commande, 200
définition des attributs de sécurité, 45, 72
système de fichiers
sécurité utilisateur
recommandations de sécurité pour le montage et le
gestion, 25
démontage, 119
SecurityMon, ensemble de fichiers, 200
système protégé
sélection et génération, 204
bases de données, 206
serveur d'annuaire LDAP
conversion à partir de, 200
sécurisation des mots de passe stockés sur, 45
conversion en, 199
Services d'accès distant, 77
système, niveau d'exécution
présentation, 77
contrôle de l'accès avec, 53
services Internet, 77
système, niveau d’exécution
Services Internet
modification, 53
présentation, 77
sessions distantes
sécurisation avec SSH, 87 T
set group ID, programme téléphone
Voir setgid, programmes, 49 sécurisation, 56
set user ID, programme terminal
Voir setuid, programmes, 49 configuration du verrouillage d'écran pour, 54
setacl, commande protection des terminaux sans personnel, 53
modification de listes ACL avec, 110 TMOUT, variable
modification de listes ACL JFS avec, 114 configuration, 54
setfilexsec, commande, 129, 144
setgid, programmes, 24, 208 U
gestion, 49 umask, commande
setuid, programmes, 24, 208 modification des autorisations de fichiers par défaut avec,
gestion, 49 101
SIS, 84 userdbset, commande
Software Assistant exemples de définition d'attributs spécifiques aux utilisateurs
utilisation, 22 avec, 48
SSH, 44
authentification, 87, 91
224 Index
V
/var/adm/inetd.sec, 82
vérification des autorisations sur les fichiers de contrôle réseau,
86
verrouillage d'écran
configuration, 54
volume logique
considérations de sécurité pour, 118
W
who, commande
obtention d'informations de connexion utilisateur avec, 30
wrappers TCP
et SSH, 95
protection contre l'emprunt d'identité avec, 83
wtmp, fichier
suivi des connexions réussies avec, 29
WU-FTPD, 80
225