Accéder au contenu France-Français
Accueil HP.com France Produits et Services Support et Pilotes Espaces Comment Acheter
» Contacter HP
Plus d'options
Accueil HP.com France
 Guide de l'administrateur système HP-UX : Gestion de la sécurité : HP-UX 11i version 3 > Chapitre 2 Administration de la sécurité système et utilisateur

Protection des terminaux et des stations de travail sans personnel
» 

Documentation technique

Manuel complet en PDF
» Commentaires
Début du contenu

 » Table des matières

 » Glossaire

 » Index

spacerspacerspacer
spacer
spacer
  		 
 

Les stations de travail et les terminaux sans personnel sont extrêmement vulnérables aux utilisateurs non autorisés. Comme une porte d'entrée laissée ouverte, ils sont accessibles à tout le monde. Cette section décrit plusieurs façons de réduire les risques :

  • Contrôlez l'accès avec /etc/inittab et les niveaux d'exécution. Modifiez /etc/inittab afin d'identifier quels périphériques doivent s'exécuter aux différents niveaux d'exécution.

  • Protégez les fichiers de périphériques de terminaux en refusant à tout le monde l'accès aux sessions de terminal utilisateur.

  • Configurez le verrouillage d'écran.

Contrôle de l'accès avec /etc/inittab et les niveaux d'exécution

Un niveau d’exécution est un état système autorisant l’exécution d’un ensemble spécifique de processus. Les processus et les niveaux d’exécution par défaut sont définis dans le fichier /etc/inittab. Les niveaux d'exécution possibles sont 0 à 6, s et S. Si un processus n'est pas au même niveau d'exécution que le système, il est arrêté. Si un processus est au même niveau d'exécution, il est démarré ou il continue de s'exécuter.

Voici un exemple qui autorise l'exécution de terminaux et de modems à des niveaux d'exécution sélectionnés. ttp1 et ttp2 sont tous deux aux niveaux d'exécution 2 et 3.

ttp1:23:respawn:/usr/sbin/getty -h tty0p1 9600
ttp2:23:respawn:/usr/sbin/uugetty -h ttypd0p2 9600

Voici un exemple de modifications de niveaux d'exécution après les heures de bureau normales afin d'empêcher les terminaux et les modems d'utiliser un travail cron. Durant la journée, le niveau d'exécution est 3 et les terminaux ttp1 et ttp2 peuvent être utilisés car ils sont aux niveaux d'exécution 2 et 3. À 8 heures du lundi au vendredi, le niveau d'exécution du système est défini à 3 :

# crontab -e

0 8 * * 1-5 /sbin/init 3

0 17 * * * /sbin/init 4

À 17 heures tous les jours (indiqué par le chiffre 17), le niveau d'exécution du système est défini à 4. Les terminaux ttp1 et ttp2 ne peuvent pas fonctionner après 17 heures, car ils sont aux niveaux d'exécution 2 et 3.

Protection des fichiers de périphériques de terminaux

Si un intrus parvient à accéder à un terminal ouvert, il peut rediriger une commande vers une autre fenêtre de terminal. Dans l'exemple suviant, une commande de suppression (rm) est redirigée vers /dev/tty0p0 :

# echo "\r rm -r / \r\033d" > /dev/tty0p0

Pour empêcher l'écriture de messages sur un terminal, vous pouvez utiliser la commande mesg -n (ou mesg n). Cette commande révoque les autorisations d'écriture des utilisateurs qui ne disposent pas des privilèges appropriés. Pour plus d'informations, voir mesg(1) et write(1).

# vi ~/.shrc

mesg n

Une autre manière de protéger la station de travail ou le terminal consiste à utiliser la commande xhost. Pour plus d’informations, voir xhost(1). La commande xhost définit les noms des hôtes et des utilisateurs qui sont autorisés à établir des connexions à la station de travail.

# xhost +Another.system

Pour autoriser tous les systèmes et tous les utilisateurs à accéder à la station de travail, et par conséquent désactiver le contrôle d'accès, utilisez la commande suivante :

# xhost +

Configuration du verrouillage d'écran

Cette section explique comment configurer le verrouillage d'écran à l'aide de la variable TMOUT et du gestionnaire de verrou CDE.

Configuration de la variable TMOUT

Vous pouvez configurer la variable TMOUT de façon à verrouiller automatiquement les terminaux inactifs.

Si vous utilisez d'autres systèmes et si vous copiez le fichier .profile d'un système à un autre, il est plus commode d'ajouter la variable TMOUT au fichier .profile. Si vous restez généralement sur un seul système, vous pouvez utiliser l'une ou l'autre méthode de verrouillage de terminal.

Pour configurer la variable TMOUT, modifiez le fichier .profile comme dans l'exemple suivant :

# vi ~/.profile

export TMOUT=600 # (verrouillage après 600 secondes d'inactivité)

Vous pouvez remplacer 600 par la valeur souhaitée.

Configuration du gestionnaire de verrou CDE

Vous pouvez configurer le gestionnaire de verrou CDE de façon à verrouiller votre écran après un certain délai d'inactivité. Pour configurer le gestionnaire de verrou CDE afin de verrouiller l'écran après 10 minutes d'inactivité, entrez les commandes suivantes :

# cp /usr/dt/config/C/sys.resources /etc/dt/config/C/sys.resources
# vi /etc/dt/config/C/sys.resources
dtsession*lockTimeout: 10

Vous pouvez également utiliser le volet de tâches Style Manager pour régler le gestionnaire de verrou CDE. Pour cela, cliquez sur l'icône écran.



Prévention des attaques de débordement de tampon de pile
  		 


Protection contre l'accès au système par des périphériques distants  
Version imprimable
Respect de la vie privée L'utilisation de ce site implique que vous en acceptez les conditions
© 2008 Hewlett-Packard Development Company, L.P.