Accéder au contenu France-Français
Accueil HP.com France Produits et Services Support et Pilotes Espaces Comment Acheter
» Contacter HP
Plus d'options
Accueil HP.com France
 Guide d'installation et de mise à jour de HP-UX 11i v3 : Serveurs en lame HP Integrity, serveurs HP Integrity et serveurs HP 9000 > Chapitre 3 Choix d'une méthode d'installation

Considérations relatives à la sécurité
» 

Documentation technique

Manuel complet en PDF
» Commentaires
Début du contenu

 » Table des matières

 » Index

spacerspacerspacer
spacer
spacer
  		 
 

HP-UX Bastille (HPUXBastille) est fourni comme logiciel recommandé sur les supports des environnements d'exploitation et peut être installé et exécuté à l'aide d'Ignite-UX ou de Update-UX (voir « Niveaux de sécurité prédéfinis »).

HP-UX Bastille est un outil de renforcement et de verrouillage permettant d'améliorer la sécurité du système d'exploitation HP-UX. Il permet un verrouillage personnalisé, système par système, grâce à une fonction de codage comparable à Bastion Host et à d'autres listes de contrôles de renforcement et de verrouillage.

REMARQUE : Pour plus de détails sur HP-UX Bastille, reportez-vous aux Notes de mise à jour pour HP-UX 11i v3 et au manuel Guide de l'administrateur système HP-UX.

Niveaux de sécurité prédéfinis

Lors de l'installation ou de la mise à jour, vous pouvez choisir l'un des niveaux de sécurité suivants assurant chacun une amélioration supplémentaire de la sécurité dans le Tableau 3-2.

Tableau 3-2 Configuration de sécurité prédéfinie

Niveau de sécurité

Nom du fichier de configuration[1]

Description

Sec00Tools[2]

Sans objetInfrastructure de sécurité à l'installation ; aucune modification de la sécurité.

Sec10Host[3]

HOST.config

Verrouillage de l'hôte : pré-activation de pare-feu ; certains services communs non codés sont désactivés, à l'exception de Telnet et de FTP.

Sec20MngDMZ[3]

MANDMZ.config

Verrouillage avec gestion sécurisée : le pare-feu IPFilter bloque les connexions entrantes à l’exception des protocoles de gestion communs et relativement sécurisés.

Sec30DMZ[3]

DMZ.config

Verrouillage DMZ réseau : IPFilter bloque toutes les connexions entrantes à l'exception de HP-UX Secure Shell.

[1] Les fichiers de configuration se trouvent dans /etc/opt/sec_mgmt/bastille/configs/defaults.

[2] Sec00Tools est installé par défaut.

[3] Sec10Host, Sec20MngDMZ et Sec30DMZ sont sélectionnables.

 

REMARQUE : Lorsque vous sélectionnez le niveau de sécurité Sec30DMZ ou MngDMZ, IPFilter limite les connexions réseau entrantes. Pour plus de détails sur l'ajout de ports entrants à votre fichier /etc/opt/ipf.customerrules, reportez-vous au manuel HP-UX IPFilter (Version A.03.05.09 and later) Administrator's Guide et au Guide de l'administrateur système HP-UX.

Sélection des niveaux de sécurité lors de l'installation

Lors de l'installation, vous pouvez configurer vos niveaux de sécurité en sélectionnant l'onglet System de la boîte de dialogue d'installation et de configuration de l'interface utilisateur graphique Ignite-UX. L'onglet System vous permet de configurer des informations spécifiques à votre système, par exemple les niveaux de sécurité, le nom d'hôte, l'adresse IP, le mot de passe de superutilisateur et le fuseau horaire.

Pour des raisons pratiques, HP recommande d'utiliser l'onglet System pour sélectionner le niveau de sécurité adapté à votre déploiement, comme indiqué ci-dessous.

  1. Effectuez l’une des opérations suivantes :

    • Si vous utilisez l'interface utilisateur graphique Ignite-UX, sélectionnez l'onglet System (dans la boîte de dialogue d'installation et de configuration d'Ignite-UX), puis sélectionnez l'option Security Choices (choix des éléments de sécurité).

    • Si vous utilisez l'assistant Install HP-UX Wizard d'Ignite, sélectionnez l'écran Additional Software puis l'option Security Choices.

    Les quatre niveaux de sécurité s'affichent. La sélection par défaut est Sec00Tools.

  2. Sélectionnez le niveau de sécurité correspondant à votre déploiement. Pour plus d'informations, voir « Niveaux de sécurité prédéfinis ».

  3. Sélectionnez OK.

Configuration de Serviceguard (postérieure à l'installation) en vue d'activer des niveaux de sécurité

Configuration de Sec20MngDMZ ou de Sec30DMZ avec Serviceguard

Serviceguard utilise des ports dynamiques. Pour pouvoir l'utiliser, vous devez ouvrir la plage des ports possibles SG. L'ouverture de la plage de ports n'est pas compatible avec les objectifs de sécurité de Sec20MngDMZ (MANDMZ.config) et de Sec30DMZ (DMZ.config), car différents services (notamment d'autres applications rpc) peuvent également écouter cette plage de ports. Toutefois, le pare-feu assure tout de même une sécurité compatible avec le modèle de déploiement de sécurité de Serviceguard, conformément à la description figurant dans le document Securing Serviceguard disponible à l'adresse suivante :

http://docs.hp.com/

Avant d'ouvrir la plage de ports de Serviceguard, n'oubliez pas de vérifier les règles IPFilter-SG applicables, répertoriées dans le manuel HP-UX IPFilter (Version A.03.05.09 and later) Administrator's Guide à l'adresse suivante :

http://docs.hp.com/en/B9901-90021/B9901-90021.pdf

Lorsque le correctif de sécurité Serviceguard de 2004 est installé, Serviceguard exige un service supplémentaire, identd. Pour l'activer, procédez comme suit.

  1. Éditez le fichier de configuration HP-UX Bastille /etc/opt/sec_mgmt/bastille/config en changeant la réponse à la question :

    Should Bastille ensure inetd's ident service does not run on this system?

  2. Changez la réponse de Y à N de la manière suivante :

    SecureInetd.deactivate_ident="N"

  3. Appliquez les modifications du fichier de configuration. Vous pouvez mettre à jour la configuration de votre système manuellement ou utiliser HP-UX Bastille. La première méthode implique moins de travail sur les systèmes qui ont été configurés manuellement, après avoir configuré le système à l'aide de l'outil Bastille ; la deuxième méthode implique moins de travail sur les systèmes qui n'ont pas été configurés manuellement, après avoir configuré le système à l'aide de l'outil Bastille.

  4. Effectuez l’une des opérations suivantes :

    • Mise à jour manuelle de la configuration système : Éditez le fichier /etc/inetd.conf en supprimant les commentaires (supprimer les #) des lignes suivantes :

      #auth stream tcp6 wait bin /usr/lbin/identd identd

      Forcez inetd à relire la configuration en exécutant la commande suivante :

      # inetd -c

    • Utilisez HP-UX Bastille pour mettre à jour la configuration : Restaurez la configuration de HP-UX Bastille précédente ; appliquez ensuite la nouvelle configuration de HP-UX Bastille.

      # bastille -r

      # bastille -b

Configuration de HP-UX Bastille Sec10Host

Pour configurer le niveau de sécurité HP-UX Bastille Sec10 Host, reportez-vous au document Securing Serviceguard à l'adresse suivante :

http://docs.hp.com/

ATTENTION : Lorsque vous restaurez la configuration antérieure à l'utilisation de HP-UX Bastille, prenez les précautions suivantes :

  • Les modifications de la configuration de sécurité seront annulées temporairement.

  • D'autres modifications dues à la configuration manuelle ou à l'installation de logiciels supplémentaires depuis la première mise en marche de HP-UX Bastille peuvent nécessiter la fusion manuelle des paramètres de configuration de HP-UX Bastille.

  • Pour plus de détails sur les interactions précises, consultez le texte relatif à Bastille dans le Guide de l'administrateur système HP-UX ou dans l'interface utilisateur graphique de Bastille.

Dépendance des choix de sécurité

Le niveau de sécurité Sec00Tools est installé par défaut sur votre système. Bien que Sec00Tools n'applique aucune modification de la sécurité lors de l'installation ou de la mise à jour, il vérifie que les logiciels nécessaires sont installés (Figure 3-1). Le niveau de sécurité Sec00Tools contient les fichiers de configuration pré-créés que vous pouvez utiliser pour créer un niveau de sécurité ; vous pouvez également l'utiliser comme modèle pour créer une configuration de sécurité personnalisée. Le niveau de sécurité Sec00Tools garantit également la présence des logiciels requis par ces niveaux de sécurité.

Vous pouvez également verrouiller votre système à l'aide de l'un des niveaux de sécurité sélectionnables suivants lors de l'installation ou de la mise à jour :

  • Sec10Host

  • Sec20MngDMZ

  • Sec30DMZ

Sec10Host, Sec20MngDMZ et Sec30DMZ dépendent de Sec00Tools.

Figure 3-1 Dépendances des logiciels de sécurité lors de l'installation

Dépendances des logiciels de sécurité lors de l'installation

Services et protocoles sécurisés

Chaque niveau de sécurité assure un niveau supérieur de sécurité en verrouillant différents protocoles et services. HP-UX Bastille utilise une série de questions afin de définir les services et les protocoles à sécuriser. L'utilisation de l'un des niveaux de sécurité applique un profil de sécurité par défaut, ce qui simplifie le processus de verrouillage.

Les tableaux qui suivent indiquent les services et les protocoles concernés par les niveaux de sécurité figurant dans le Tableau 3-2, si vous décidez d'en appliquer un lors de l'installation ou de la mise à jour :

  • Le Tableau 3-3 indique les paramètres de sécurité de Sec10Host. Ces paramètres s'appliquent également à Sec20MngDMZ et à Sec30DMZ.

  • Le Tableau 3-4 indique les paramètres de sécurité appliqués par Sec20MngDMZ, en plus des paramètres du Tableau 3-3.

  • Le Tableau 3-5 indique les paramètres de sécurité appliqués par Sec30DMZ, en plus des paramètres du Tableau 3-3 et du Tableau 3-4.

IMPORTANT : Étudiez attentivement ces tableaux. Certains services et protocoles verrouillés peuvent être utilisés par d’autres applications et risquent d’avoir un effet négatif sur le comportement ou les fonctionnalités de ces applications. Par exemple, HP Systems Insight Manager et ParMgr dépendent de WBEM pour les communications entre les hôtes ; Sec30DMZ bloque toutes les connexions WBEM entrantes via IPFilter, mais les communications locales et sortantes ne sont pas bloquées. En outre, certains scripts d'installation tiers risquent de ne pas traiter correctement la valeur umask plus prudente de 027 définie par les niveaux de sécurité.

Vous pouvez modifier les paramètres de sécurité configurés lors de l'installation standard ou de la mise à jour en exécutant HP-UX Bastille après l'installation ou la mise à jour de votre système. Pour plus d'informations sur l'utilisation de HP-UX Bastille, reportez-vous au Guide de l'administrateur système HP-UX, ou au document HP-UX Bastille User's Guide figurant sur votre système dans le répertoire : /opt/sec_mgmt/bastille/docs/user_guide.txt.

Tableau 3-3 Paramètres de sécurité de Sec10Host basés sur l’hôte[1]

Catégorie

Actions

Noms de connexion et mots de passe

Refuse le nom de connexion si le répertoire personnel n'existe pas
Refuse les noms de connexion non-root si le fichier /etc/nologin existe
Définit un chemin par défaut pour la commande su
Désactive les noms de connexion root du tty réseau
Masque les mots de passe codés
Interdit les connexions système ftpd
Désactive les connexions X à distance

Système de fichiers, réseau et noyau

Modifie les paramètres ndd [2],[3]
Restreint l'accès distant à swlist
Définit umask par défaut
Active la protection d'exécution sur la pile basée sur le noyau

Démons

Désactive ptydaemon
Désactive pwgrd
Désactive rbootd
Désactive les démons des clients NFS
Désactive le serveur NFS
Désactive les programmes des clients NFS
Désactive les programmes des serveurs NFS
Désactive SNMPD

Services inetd

Désactive bootp
Désactive les services intégrés de inetd
Désactive les services d'aide CDE
Désactive finger
Désactive ident
Désactive klogin et kshell
Désactive ntalk
Désactive login, shell et exec
Désactive swat
Désactive printer
Désactive recserv
Désactive tftp
Désactive time
Désactive uucp
Désactive la communication réseau Event Monitoring Service (EMS)
Active les noms de connexions pour toutes les connexions inetd

sendmail

Exécute sendmail via cron pour traiter la file d'attente
Arrête l'exécution de sendmail en mode démon
Désactive les commandes vrfy et expn

Autres paramètres

Désactive le serveur Web Apache HP 2.x[4]
Configure la tâche cron afin d’exécuter Software Assistant[2]

[1] Les paramètres de sécurité indiqués ici s’appliquent également à Sec20MngDMZ et à Sec30DMZ.

[2] Il peut être nécessaire de terminer la configuration manuellement. Pour plus d'informations après une installation ou une mise à jour, voir /etc/opt/sec_mgmt/bastille/TODO.txt.

[3] Les modifications suivantes seront appliquées à ndd :

ip_forward_directed_broadcasts=0
ip_forward_src_routed=0
ip_forwarding=0
ip_ire_gw_probe=0
ip_pmtu_strategy=1
ip_send_source_quench=0
tcp_conn_request_max=4096
tcp_syn_rcvd_max=1000

[4] Paramètres applicables uniquement si le logiciel est installé.

 

Tableau 3-4 Paramètres de sécurité supplémentaires de Sec20MngDMZ[1]

Catégorie

Actions

Services inetd

Comprend tous les services inetd désactivés du Tableau 3-3 et :

Désactive ftp
Désactive telnet
Limite le démon syslog aux connexions locales

Configuration de IPFilter[2]

Bloque les connexions de requêtes DNS entrantes
Bloque les connexions d'administration HIDS entrantes[3],[4]
Configure IPFilter pour autoriser le trafic sortant, bloque le trafic entrant avec l’ensemble des options IP et le reste du trafic à l’exception de HP-UX Secure Shell, des agents HIDS, de WBEM, des connexions d’administration Web et des connexions de démarrage automatique d’administration Web.[5], écho ICMP.

[1] Applique tous les paramètres de configuration de sécurité du Tableau 3-3.

[2] Des règles IPFilter supplémentaires peuvent être appliquées via des fichiers de règles personnalisés situés dans /etc/opt/sec_mgmt/bastille/ipf.customrules.

[3] HP-UX Host IDS est un kit logiciel sélectionnable disponible uniquement pour les serveurs commerciaux.

[4] Paramètres applicables uniquement si le logiciel est installé.

[5] Il peut être nécessaire de terminer la configuration manuellement. Pour plus d'informations après une installation ou une mise à jour, voir /var/opt/sec_mgmt/bastille/TODO.txt.

 

Tableau 3-5 Paramètres de sécurité supplémentaires de Sec30DMZ[1]

Catégorie

Actions

Configuration de IPFilter[2]

Comprend tous les paramètres IPFilter du Tableau 3-4 et :

Bloque les connexions agents HIDS entrantes[3],[4]
Bloque les connexions WBEM entrantes[5]
Bloque les connexions d'administration Web entrantes
Bloque les connexions de démarrage automatique d'administration Web entrantes
Bloque tout le trafic à l'exception de HP-UX Secure Shell
Bloque l'écho ICMP

[1] Applique tous les paramètres de configuration de sécurité du Tableau 3-3 et du Tableau 3-4.

[2] Des règles IPFilter supplémentaires peuvent être appliquées via des fichiers de règles personnalisés situés dans /etc/opt/sec_mgmt/bastille/ipf.customrules.

[3] Paramètres applicables uniquement si le logiciel est installé.

[4] HP-UX Host IDS est un kit logiciel sélectionnable disponible uniquement pour les serveurs commerciaux.

[5] WBEM est requis par plusieurs applications de gestion HP, dont HP Systems Insight Manager et ParMgr.

 



Fichiers spéciaux (DSF) HP-UX 11i v3
  		 


Diagnostics en ligne  
Version imprimable
Respect de la vie privée L'utilisation de ce site implique que vous en acceptez les conditions
© 2000-2008 Hewlett-Packard Development Company, L.P.