Les utilisateurs autorisés accèdent au système en donnant un nom d'utilisateur valide (nom de connexion) et un mot de passe. Chaque utilisateur est défini par une entrée dans le fichier /etc/passwd. Utilisez HP System Management Homepage (HP SMH) pour ajouter, supprimer, désactiver, réactiver ou modifier un compte d'utilisateur.
Pour plus d’informations sur les mots de passe, voir les pages de manuel passwd(4), passwd(1) et voir la Section dans ce document.
Contrôle des comptes d'utilisateurs |
 |
Voici quelques recommandations concernant le contrôle des comptes d'utilisateurs :
Examinez régulièrement la sortie des commandes last, lastb et who pour vérifier si elles mentionnent des connexions inhabituelles.
Vérifiez que tous les utilisateurs ayant un compte ont un réel besoin professionnel d'y accéder.
Assurez-vous que plusieurs utilisateurs ne partagent pas le même compte d'utilisateur.
Vérifiez qu'aucun ID utilisateur (UID) n'est partagé par plusieurs comptes d'utilisateurs.
Assurez-vous que tous les comptes ont des mots de passe sécurisés qui changent régulièrement.
Vérifiez que tous les répertoires personnels des utilisateurs ont les autorisations appropriées. La plupart des répertoires personnels ont un accès en lecture mais aucun accès en écriture pour les autres utilisateurs. Pour une protection accrue, définissez les autorisations de lecture, d'écriture et d'exécution pour le propriétaire du répertoire uniquement.
Assurez-vous que tous les utilisateurs comprennent bien les stratégies de sécurité. Placez un fichier de stratégie de sécurité d'entreprise dans chaque répertoire personnel.
Examinez le fichier /etc/passwd ou autre base de données utilisateur appropriée pour vérifier s'il ou elle contient des comptes inutilisés, en particulier pour des utilisateurs qui ont quitté l'entreprise.
Examinez les comptes root pour voir qui a un accès racine.
Considérez l'implémentation du contrôle d'accès basé sur les rôles HP-UX afin de minimiser les risques associés au fait que plusieurs utilisateurs ont accès au compte root. Pour plus d'informations, voir le Chapitre 9.
Examinez les comptes invités afin de déterminer leur fréquence d'utilisation.
Contrôle des comptes invités |
|
Pour bénéficier du plus haut niveau de sécurité, n'autorisez pas les comptes invités ou ouverts. Si vous avez des comptes invités, effectuez les actions suivantes :
Modifiez fréquemment le mot de passe invité. Vous pouvez spécifier le mot de passe.
Utilisez un shell restreint (rsh) pour limiter l'accès au système. Pour plus d'informations sur la commande rsh, voir sh(1) et sh-posix(1).
Les comptes invités sont souvent oubliés. Appliquez l'une des méthodes suivantes pour désactiver le compte invité lorsqu'il n'est pas utilisé :
Utilisez des attributs de sécurité par utilisateur afin de désactiver automatiquement le compte après un certain nombre de jours d'inactivité. Pour plus d'informations, voir security(4) et la Section .
Utilisez la commande suivante pour verrouiller le compte invité :
Utilisez la commande suivante pour supprimer le compte invité :
Planifiez un travail at afin de verrouiller automatiquement les comptes temporaires :
# at now +14 days passwd -l tempacct
|
Examinez régulièrement les fichiers /var/adm/wtmp et /var/adm/sulog pour voir s'ils contiennent des comptes inutilisés.
Pour plus d'informations, voir sh(1) et su(1).
Création de comptes d'utilisateurs d'applications |
|
Si des utilisateurs utilisent uniquement HP-UX pour démarrer une application, ils ne requièrent aucun accès à un shell. Ces utilisateurs ne devraient utiliser que l'application, par exemple un système de gestion de base de données, et ne devraient pas avoir besoin d'accéder aux fonctionnalités HP-UX.
Pour restreindre l'accès à HP-UX, modifiez le fichier /etc/passwd de sorte que seule une commande spécifique soit exécutée après que l'utilisateur s'est connecté. Le fichier /etc/passwd contient des informations essentielles nécessaires durant la connexion :
En général, le programme de connexion est un shell, tel que /bin/sh, mais cela n'est pas obligatoire. Vous pouvez créer un compte captif (compte qui connecte un utilisateur directement à une application) en identifiant l'application comme shell de connexion.
Voici un exemple qui permet de limiter un utilisateur à l'exécution de la commande date uniquement. L'entrée dans /etc/passwd est la suivante :
nom_utilisateur:rc70x.4,sx2:20:1:run only date command:/home/date:/usr/bin/date |
À l'invite de connexion un utilisateur entre nom_utilisateur et le mot de passe approprié. La commande date est exécutée, puis l'utilisateur est déconnecté immédiatement.
login:
nom_utilisateur
Password:
xxxxxx
Tue Nov 14 18:38:38 PDT 2006
Gestion des comptes de groupes |
|
Lorsqu'un groupe doit partager ou accéder à des fichiers de projet, effectuez les étapes suivantes afin de garantir la sécurité :
Vérifiez que chaque membre a une entrée dans le fichier /etc/passwd.
Créez une entrée pour le groupe dans le fichier /etc/group.
Créez un répertoire partagé pour le groupe.
drwxrwx-- root project /home/projects
Définissez le umask dans le fichier ~/.profile de chaque membre du groupe. Dans l'exemple suivant, seuls les utilisateurs du groupe peuvent lire, écrire et exécuter des fichiers :
umask u=rwx,g=rwx, o=
Version imprimable 
