Accéder au contenu France-Français
Accueil HP.com France Produits et Services Support et Pilotes Espaces Comment Acheter
» Contacter HP
Plus d'options
Accueil HP.com France
 Guide de l'administrateur système HP-UX : Gestion de la sécurité : HP-UX 11i version 3 > Chapitre 2 Administration de la sécurité système et utilisateur

Protection contre l'accès au système par des périphériques distants
» 

Documentation technique

Manuel complet en PDF
» Commentaires
Début du contenu

 » Table des matières

 » Glossaire

 » Index

spacerspacerspacer
spacer
spacer
  		 
 

Pour vous protéger contre les pénétrations système par accès à distance, observez les précautions suivantes :

  • Exigez l’utilisation d’un système de rappel physique pour tous les modems interactifs.

  • Exigez des utilisateurs de modem qu’ils entrent un mot de passe supplémentaire, en ajoutant une entrée pour le modem dans /etc/dialups et, éventuellement, dans /etc/d_passwd. Voir Section .

  • Exigez de vos utilisateurs qu’ils renouvellent régulièrement leurs comptes d'accès à distance.

  • Lorsqu’un employé quitte l’entreprise, désactivez immédiatement son accès au système.

  • Établissez un planning régulier d’audit pour examiner les utilisations à distance.

  • Connectez les modems et les équipements de rappel à un unique système HP-UX, et faites en sorte que les services réseau puissent accéder au système de destination à partir de ce point.

  • Créez des exceptions au rappel pour l'accès UUCP. Les procédures de configuration UUCP vous permettent de définir des restrictions supplémentaires. Pour plus d’informations, voir uucp(1).

    Une autre exception possible est le transfert de fichiers par l’intermédiaire de kermit. Pour plus d’informations, voir kermit(1).

  • En cas d’effraction, fermez immédiatement les accès réseau et téléphonique et prévenez immédiatement l’administrateur réseau.

  • Lorsque vous configurez un système de rappel par modem, vous pouvez accroître la sécurité en configurant le mécanisme d’appel sortant pour qu’il n’accepte aucune autre tâche, et surtout pas la gestion des appels entrants. Pour ces derniers, utilisez un autre modem sur une autre ligne téléphonique.

  • Faites en sorte que les numéros de téléphone des modems ne figurent sur aucune liste et soient sur un système différent des autres téléphones professionnels. Ne mettez pas les numéros de téléphone d'accès à distance à disponibilité du public.

  • Sécurisez physiquement les modems.

  • Utilisez l'ID de l'appelant pour identifier tous les appels entrants vers les modems.

  • N'autorisez pas le transfert d'appels ou autres services téléphoniques sur les lignes de modem. N'utilisez pas de modems téléphoniques cellulaires.

  • Pour l'accès local et à distance, envisagez d'installer un produit de serveur AAA HP-UX. Grâce au protocole RADIUS (Remote Authentication Dial-In User Service) de norme industrielle, le serveur AAA HP-UX fournit une authentification, une autorisation et une comptabilité de l'accès réseau utilisateur au point d'entrée au réseau. Pour plus d'informations, voir le document HP-UX AAA Server Administrator's Guide.

  • Pour les connexions mobiles avec Mobile IPv6, utilisez HP-UX IPSec pour chiffrer et authentifier les messages de protocoles Mobile IPv6 entre le client Mobile IPv6 et le Home Agent. Pour plus d'informations, voir le document HP-UX IPSec Administrator's Guide.

Contrôle de l'accès avec /etc/dialups et /etc/d_passwd

Pour une sécurité accrue dans l'identification des utilisateurs distants, ajoutez des entrées aux fichiers /etc/dialups et /etc/d_passwd. Ces fichiers permettent de contrôler la fonctionnalité de sécurité d'accès à distance de login. Pour plus d'informations, voir dialups(4) et login(1).

Si le fichier /etc/dialups existe, le processus de connexion compare le terminal à ceux répertoriés dans /etc/dialups. Si le terminal existe dans /etc/dialups, un mot de passe est demandé par login. Ce mot de passe est comparé à ceux répertoriés dans /etc/d_passwd.

De plus, le fichier /etc/passwd est utilisé pour vérifier le mot de passe.

Voici un exemple de configuration du fichier /etc/dialups :

# vi /etc/dialups (répertorie les terminaux qui sont autorisés)

/dev/ttyd0p1

/dev/ttyd0p2

# vi /etc/d_passwd

/usr/bin/sh:xxxencrypted-passwordxxxxxxxxx:comments

/usr/bin/ksh:xxxencrypted-passwordxxxxxxxx:comments

/sbin/sh:xxxencrypted-passwordxxxxxxxxx:comments

L'utilisateur voit :

Login:
Password:

Dialup password:

Pour modifier les mots de passe dans /etc/d_passwd, utilisez la commande passwd comme suit :

# passwd -F /etc/d_passwd chemin_accès_shell

Le chemin_accès_shell est le chemin d'accès de shell répertorié dans /etc/d_passwd.



Protection des terminaux et des stations de travail sans personnel
  		 


Sécurisation des bannières de connexion  
Version imprimable
Respect de la vie privée L'utilisation de ce site implique que vous en acceptez les conditions
© 2008 Hewlett-Packard Development Company, L.P.