 |
» |
|
|
|
Vous pouvez utiliser HP-UX Bastille de manière interactive ou non interactive pour effectuer les tâches suivantes : Pour verrouiller votre système (créer un fichier de configuration de sécurité ou appliquer un fichier existant), entrez : Pour dupliquer un fichier de configuration de sécurité sur plusieurs ordinateurs, entrez : Pour générer des rapports sur l'état de configuration du système, entrez : Créer des lignes de base de configuration HP-UX Bastille et comparer l'état actuel du système avec une ligne de base enregistrée. Pour enregistrer une ligne de base, entrez : # bastille_drift --save_baseline ligne de base |
Pour comparer l'état du système à la ligne de base spécifiée, entrez : # bastille_drift --from_baseline ligne de base |
Pour plus d'informations, voir les pages de manuel bastille(1M) et bastille_drift(1M). | | | |  | REMARQUE : Réexécutez l'utilitaire bastille_drift chaque fois que de nouveaux logiciels ou correctifs sont installés, afin de vérifier si ces logiciels ou correctifs ont modifié l'état du système. L'utilitaire bastille_drift aide également à identifier les changements d'état système lorsque la commande swverify est exécutée avec l'option -x fix=true ou l'option -F pour exécuter des scripts de correctifs spécifiques aux fournisseurs. | | | | |
Utilisation d'HP-UX Bastille de manière interactive | |
HP-UX Bastille s'exécute de manière interactive à l'aide de l'interface X implémentée par le biais de Perl/Tk. L'interface requiert un serveur X et offre les fonctionnalités suivantes : Accès aléatoire entre les modules de questions. Indicateurs d'achèvement pour indiquer la progression de l'utilisateur. Tunneling du trafic X11 sur un canal chiffré à l'aide de l'option suivante : Pour plus d’informations, voir ssh(1).
La Figure 3-1 montre l'écran principal de l'interface utilisateur d'HP-UX Bastille. L'interface utilisateur guide les utilisateurs tout au long d'une série de questions groupées par modules (voir Tableau 3-1). Chaque question fournit des explications concernant un problème et décrit l'action nécessaire pour verrouiller le système HP-UX. Chaque question décrit également, à un niveau supérieur, le coût et l'avantage de chaque décision, et l'utilisateur décide de la façon dont l'outil doit gérer les problèmes. Une fois que vous avez répondu à toutes les questions, HP-UX Bastille fournit une prise en charge automatisée de chaque étape de verrouillage. Il effectue les actions qu'il peut effectuer automatiquement, puis il génère une liste des actions restantes que l'utilisateur doit effectuer manuellement. Ces actions doivent être exécutées afin d'achever le processus de verrouillage HP-UX Bastille. Tableau 3-1 Modules de questions HP-UX Bastille | Nom du module | Description |
|---|
| Applications de correctifs | Installe et configure les correctifs afin d'assister l'utilisateur pour la vérification de conformité aux bulletins de sécurité. | | Autorisations de fichiers | Exécute un réglage des autorisations SUID et autres. | | Sécurité des comptes | Configure les paramètres de connexion et l'accès à cron. | | inetd sécurisé | Désactive les services inetd inutiles. | | Démons divers | Désactive les services souvent inutilisés ou qui présentent un risque pour la sécurité. | | sendmail | Configure la messagerie pour une sécurité accrue, ou permet à l'utilisateur de la désactiver. | | DNS | Désactive ou configure DNS pour une sécurité accrue. | | Apache | Configure les serveurs Apache Web pour une sécurité accrue. | | FTP | Configure les serveurs FTP pour une sécurité accrue. | | HP-UX | Effectue des actions de configuration de sécurité qui sont uniques à la plate-forme HP-UX. | | IPFilter | Crée un pare-feu basé sur IPFilter. |
Utilisation d'HP-UX Bastille de manière non interactive | |
Le renforcement de la sécurité peut être effectué directement par le biais du moteur de configuration. Cette méthode est utile pour dupliquer une configuration de sécurité sur plusieurs ordinateurs sur lesquels les mêmes systèmes d'exploitation et applications sont installés. Le moteur de configuration utilise le fichier de configuration prédéfini. Cette option peut utiliser le fichier créé à l'emplacement par défaut par une session interactive ou un autre fichier spécifié par l'option -f, comme suit : Configuration d'un système | |
Pour configurer un système ou pour créer un fichier de configuration qui peut être réutilisé ultérieurement sur un autre système, procédez comme suit : Basculez vers l'utilisateur root, car HP-UX Bastille doit modifier des paramètres et la configuration système. Si HP-UX Bastille ne s'exécute pas localement, vous pouvez choisir de tunneler le trafic X11 sur Secure Shell (ssh) ou IPSec afin de limiter l'exposition sur le réseau, ou d'utiliser une solution de partage de bureaux plus complète capable de faire face aux attaques d'utilisateurs locaux et distants. Si vous apportez des modifications au système, décidez s'il faut utiliser HP-UX Bastille de manière interactive ou non. Si vous utilisez HP-UX Bastille pour la première fois, vous devez l'exécuter de manière interactive afin de créer un profil de configuration, à moins que votre distribution n'ait été fournie avec des fichiers de configuration intégrés tels que DMZ.config. Prenez le temps (environ une heure) de lire et de répondre à toutes les questions. Pour plus d'informations sur l'utilisation interactive et non interactive d'HP-UX Bastille, voir la Section . Suivez la procédure appropriée (interactive ou non interactive) en fonction de la décision prise à l'Étape 2.
Procédure interactiveDémarrez HP-UX Bastille Si vous utilisez HP-UX Bastille pour la première fois, exécutez-le de manière interactive afin de créer un profil de configuration. L'outil met à jour la variable d'environnement PATH lors de son installation ; par conséquent, si vous vous êtes déconnecté puis reconnecté après l'installation d'HP-UX Bastille, entrez la commande suivante pour démarrer l'outil : Si votre variable PATH n'a pas été mise à jour, entrez la commande suivante pour démarrer HP-UX Bastille : # /opt/sec_mgmt/bastille/bin/bastille |
Seules les catégories de questions pertinentes à la configuration actuelle seront affichées. Répondez aux questions Les questions sont classées par fonction et des coches sont utilisées comme indicateurs d'achèvement afin de noter si une catégorie est terminée. Cela vous permet d'assurer le suivi de votre progression dans le programme. Lorsque vous répondez aux questions, utilisez le menu Explanation-Detail pour basculer entre les explications brèves et détaillées. Toutes les questions n'exigent pas à la fois des réponses courtes et longues. Enregistrez votre configuration et appliquez les modifications Vous pouvez utiliser la barre de menus à tout moment pour enregistrer ou charger un fichier de configuration. L'option Save As génère un fichier de configuration plus volumineux, puisque l'outil suppose que vous n'avez pas forcément terminé ou que vous risquez de modifier la configuration ultérieurement. L'option Save/Apply indique à l'outil que vous avez terminé et qu'un filtrage supplémentaire peut être effectué. Bien que la taille du fichier de configuration généré puisse être différente, la fonctionnalité d'HP-UX Bastille demeure identique dans les deux cas. L'option Save/Apply enregistre toujours le fichier de configuration à l'emplacement actuel répertorié dans la barre de titre HP-UX Bastille.
Procédure non interactiveExaminez les fichiers journaux Pour afficher les journaux en temps réel, entrez : # tail -f fichier_journal |
Le fichier journal d'action, /var/opt/sec_mgmt/bastille/log/action-log, répertorie les étapes spécifiques effectuées par HP-UX Bastille lors de la modification du système. Il est créé uniquement si vous appliquez les modifications au système. Le fichier journal d'erreurs, /var/opt/sec_mgmt/bastille/log/error-log, répertorie les erreurs rencontrées par HP-UX Bastille lors de la modification du système. Il est créé uniquement si des erreurs se produisent durant l'exécution. Effectuez les étapes répertoriées dans la liste de tâches. Après avoir effectué les actions qu'il peut exécuter automatiquement, l'outil génère une liste de tâches, /var/opt/sec_mgmt/bastille/TODO.txt, qui décrit les actions restantes que l'utilisateur doit effectuer manuellement. Cela comprend les réamorçages si certaines des modifications requièrent un réamorçage. Les actions répertoriées dans la liste de tâches doivent être effectuées afin de sécuriser la configuration. | | | | | REMARQUE : La liste de tâches est créée uniquement lorsque les modifications sont appliquées au système. | | | | |
|
Version imprimable 
