 |
» |
|
|
|
HP-UX Bastille (HPUXBastille) est fourni comme logiciel recommandé sur les
supports des environnements d'exploitation et peut être
installé et exécuté à l'aide
d'Ignite-UX ou de Update-UX (voir « Niveaux de sécurité prédéfinis »). HP-UX Bastille est un outil de renforcement et de verrouillage permettant
d'améliorer la sécurité du système
d'exploitation HP-UX. Il permet un verrouillage personnalisé,
système par système, grâce à une fonction
de codage comparable à Bastion Host et à d'autres
listes de contrôles de renforcement et de verrouillage. | | | |  | REMARQUE : Pour plus de détails sur HP-UX Bastille, reportez-vous
aux Notes de mise à jour pour
HP-UX 11i v3 et au manuel Guide de l'administrateur système HP-UX. | | | | |
Niveaux de sécurité prédéfinis | |
Lors de l'installation ou de la mise à jour, vous
pouvez choisir l'un des niveaux de sécurité suivants
assurant chacun une amélioration supplémentaire
de la sécurité dans le Tableau 3-2, « Configuration de sécurité prédéfinie ». Tableau 3-2 Configuration de sécurité prédéfinie Niveau de sécurité | Nom du fichier de configuration[1] | Description |
|---|
Sec00Tools[2] | Sans objet | Infrastructure de sécurité à l'installation ;
aucune modification de la sécurité. | Sec10Host[3] | HOST.config | Verrouillage de l'hôte :
pré-activation de pare-feu ; certains services
communs non codés sont désactivés, à l'exception
de Telnet et de FTP. | Sec20MngDMZ[3] | MANDMZ.config | Verrouillage avec gestion sécurisée :
le pare-feu IPFilter bloque les connexions entrantes à l'exception
des protocoles de gestion communs et relativement sécurisés. | Sec30DMZ[3] | DMZ.config | Verrouillage DMZ réseau :
IPFilter bloque toutes les connexions entrantes à l'exception
de HP-UX Secure Shell. |
| | | | | REMARQUE : Lorsque vous sélectionnez le niveau de sécurité Sec30DMZ ou MngDMZ, IPFilter limite les connexions réseau entrantes.
Pour plus de détails sur l'ajout de ports entrants à votre
fichier /etc/opt/ipf.customerrules, reportez-vous au manuel HP-UX IPFilter (Version
A.03.05.09 and later) Administrator's Guide et au Guide
de l'administrateur système HP-UX. | | | | |
Sélection des niveaux de sécurité lors
de l'installationLors
de l'installation, vous pouvez configurer vos niveaux de sécurité en sélectionnant
l'onglet System ou l'onglet Software de la boîte de dialogue d'installation et de
configuration de l'interface utilisateur graphique Ignite-UX. L'onglet
System vous permet de configurer des informations spécifiques à votre
système, par exemple les niveaux de sécurité,
le nom d'hôte, l'adresse IP, le mot de passe de superutilisateur
et le fuseau horaire. Pour des raisons pratiques, HP recommande d'utiliser l'onglet System pour sélectionner le niveau de sécurité adapté à votre
déploiement, comme indiqué ci-dessous. Effectuez l'une
des opérations suivantes : Si vous
utilisez l'interface utilisateur graphique Ignite-UX, sélectionnez
l'onglet System (dans la boîte
de dialogue d'installation et de configuration d'Ignite-UX), puis
sélectionnez l'option Security
Choices (choix des éléments de sécurité). Si vous utilisez l'assistant
Install HP-UX Wizard d'Ignite, sélectionnez l'écran Additional Software puis l'option Security Choices.
Les quatre niveaux de sécurité s'affichent.
La sélection par défaut est Sec00Tools. Sélectionnez le
niveau de sécurité correspondant à votre
déploiement. Pour plus d'informations, voir « Niveaux de sécurité prédéfinis ». Sélectionnez OK.
Configuration de ServiceGuard (postérieure à l'installation)
en vue d'activer des niveaux de sécurité | |
Configuration
de Sec20MngDMZ ou de Sec30DMZ avec ServiceGuardServiceGuard utilise des ports dynamiques. Pour pouvoir l'utiliser,
vous devez ouvrir la plage des ports possibles SG. L'ouverture de
la plage de ports n'est pas compatible avec les objectifs de sécurité de Sec20MngDMZ (MANDMZ.config) et de Sec30DMZ (DMZ.config), car différents services (notamment d'autres
applications rpc) peuvent également écouter cette plage
de ports. Toutefois, le pare-feu assure tout de même une
sécurité compatible avec le modèle de
déploiement de sécurité de ServiceGuard, conformément à la
description figurant dans le document Securing Serviceguard disponible à l'adresse
suivante : http://docs.hp.com/ Avant d'ouvrir la plage de ports de ServiceGuard, n'oubliez
pas de vérifier les règles IPFilter-SG applicables,
répertoriées dans le manuel HP-UX IPFilter
(Version A.03.05.09 and later) Administrator's Guide à l'adresse suivante : http://docs.hp.com/en/B9901-90021/B9901-90021.pdf Lorsque le correctif de sécurité ServiceGuard
de 2004 est installé, ServiceGuard exige un service supplémentaire, identd. Pour l'activer, procédez comme suit. Éditez
le fichier de configuration HP-UX Bastille /etc/opt/sec_mgmt/bastille/config en changeant la réponse à la question : Should Bastille ensure inetd's ident service does not run on this system? Changez la réponse
de Y à N de la manière suivante : SecureInetd.deactivate_ident="N" Appliquez les modifications
du fichier de configuration. Vous pouvez mettre à jour
la configuration de votre système manuellement ou utiliser
HP-UX Bastille. La première méthode implique moins
de travail sur les systèmes qui ont été configurés
manuellement, après avoir configuré le système à l'aide
de l'outil Bastille ; la deuxième méthode
implique moins de travail sur les systèmes qui n'ont pas été configurés
manuellement, après avoir configuré le système à l'aide
de l'outil Bastille. Effectuez l'une des opérations
suivantes : Mise à jour
manuelle de la configuration système : Éditez
le fichier /etc/inetd.conf en supprimant les commentaires (supprimer les #) des
lignes suivantes : #auth stream tcp6 wait bin /usr/lbin/identd identd Forcez inetd à relire la configuration en exécutant
la commande suivante : # inetd -c Utilisez HP-UX Bastille pour
mettre à jour la configuration : Restaurez la
configuration de HP-UX Bastille précédente ; appliquez
ensuite la nouvelle configuration de HP-UX Bastille.
# bastille -r
# bastille -b
Configuration
de HP-UX Bastille Sec10HostPour configurer le niveau de sécurité HP-UX
Bastille Sec10 Host, reportez-vous au document Securing
Serviceguard à l'adresse suivante : http://docs.hp.com/ Dépendance
des choix de sécurité | |
Le
niveau de sécurité Sec00Tools est installé par défaut sur votre système.
Bien que Sec00Tools n'applique aucune modification de la sécurité lors
de l'installation ou de la mise à jour, il vérifie
que les logiciels nécessaires sont installés (Figure 3-1, « Dépendances des logiciels de sécurité lors
de l'installation »). Le niveau de sécurité
Sec00Tools contient les fichiers de configuration pré-créés
que vous pouvez utiliser pour créer un niveau de sécurité ;
vous pouvez également l'utiliser comme modèle
pour créer une configuration de sécurité personnalisée.
Le niveau de sécurité Sec00Tools garantit également la présence des
logiciels requis par ces niveaux de sécurité. Vous pouvez également verrouiller votre système à l'aide
de l'un des niveaux de sécurité sélectionnables
suivants lors de l'installation ou de la mise à jour : Sec10Host, Sec20MngDMZ et Sec30DMZ dépendent de Sec00Tools. Services
et protocoles sécurisés | |
Chaque
niveau de sécurité assure un niveau supérieur
de sécurité en verrouillant différents
protocoles et services. HP-UX Bastille utilise une série
de questions afin de définir les services et les protocoles à sécuriser. L'utilisation
de l'un des niveaux de sécurité applique un profil
de sécurité par défaut, ce qui simplifie
le processus de verrouillage. Les tableaux qui suivent indiquent les services et les protocoles
concernés par les niveaux de sécurité figurant
dans le Tableau 3-2, « Configuration de sécurité prédéfinie », si vous
décidez d'en appliquer un lors de l'installation ou de
la mise à jour : Tableau 3-3 Paramètres de sécurité de Sec10Host basés sur l'hôte[1] Catégorie | Actions |
|---|
Noms de connexion et mots de passe | | Refuse le nom de connexion
si le répertoire personnel n'existe pas | | Refuse les noms de connexion non-root si le fichier /etc/nologin existe | | Définit un chemin par défaut pour la commande su | | Désactive les noms de connexion root du tty réseau | | Masque les mots de passe codés | | Interdit les connexions système ftpd | | Désactive les connexions X à distance |
| Système de fichiers, réseau et noyau | | Modifie les paramètres ndd[2],[3] | | Restreint l'accès distant à swlist | | Définit umask par défaut | | Active la protection d'exécution sur la pile basée
sur le noyau |
| Démons | | Désactive ptydaemon | | Désactive pwgrd | | Désactive rbootd | | Désactive les démons des clients NFS | | Désactive le serveur NFS | | Désactive les programmes des clients NFS | | Désactive les programmes des serveurs NFS | | Désactive SNMPD |
| Services inetd | | Désactive bootp | | Désactive les services intégrés
de inetd | | Désactive les services d'aide CDE | | Désactive finger | | Désactive ident | | Désactive klogin et kshell | | Désactive ntalk | | Désactive login, shell et exec | | Désactive swat | | Désactive printer | | Désactive recserv | | Désactive tftp | | Désactive time | | Désactive uucp | | Désactive la communication réseau Event
Monitoring Service (EMS) | | Active les noms de connexions pour toutes les connexions inetd |
| sendmail | | Exécute sendmail via cron pour traiter la file d'attente | | Arrête l'exécution de sendmail en mode démon | | Désactive les commandes vrfy et expn |
| Autres paramètres | | Désactive le serveur
Web Apache HP 2.x[4] | | Configure la tâche cron afin d'exécuter Security Patch Check[2] |
|
Tableau 3-4 Paramètres
de sécurité supplémentaires de Sec20MngDMZ[1] Catégorie | Actions |
|---|
Services inetd | Comprend tous les services inetd désactivés du Tableau 3-3, « Paramètres de sécurité de Sec10Host basés sur l'hôte » et :
| Désactive ftp | | Désactive telnet |
| Configuration de IPFilter[2] | | Bloque les connexions de
requêtes DNS entrantes | | Bloque les connexions d'administration HIDS entrantes[3],[4] | | Configure IPFilter pour autoriser le trafic sortant, bloque
le trafic entrant avec l'ensemble des options IP et le reste du
trafic à l'exception de HP-UX Secure Shell, des agents
HIDS, de WBEM, des connexions d'administration Web et des connexions
de démarrage automatique d'administration Web[5], de l'écho ICMP. |
|
Tableau 3-5 Paramètres
de sécurité supplémentaires de Sec30DMZ[1] Catégorie | Actions |
|---|
Configuration de IPFilter[2] | Comprend tous les paramètres
IPFilter du Tableau 3-4, « Paramètres
de sécurité supplémentaires de Sec20MngDMZ » et :
| Bloque les connexions agents HIDS entrantes[3],[4] | | Bloque les connexions WBEM entrantes[5] | | Bloque les connexions d'administration Web entrantes | | Bloque les connexions de démarrage automatique
d'administration Web entrantes | | Bloque tout le trafic à l'exception de HP-UX Secure
Shell | | Bloque l'écho ICMP |
|
|
Version imprimable 
