Accéder au contenu France-Français
Accueil HP.com France Produits et Services Support et Pilotes Espaces Comment Acheter
» Contacter HP
Plus d'options
Accueil HP.com France
 Guide de l'administrateur système HP-UX : Gestion de la sécurité : HP-UX 11i version 3 > Chapitre 5 Administration de la sécurité de l'accès à distance

Présentation des services Internet et des services d'accès distant
» 

Documentation technique

Manuel complet en PDF
» Commentaires
Début du contenu

 » Table des matières

 » Glossaire

 » Index

spacerspacerspacer
spacer
spacer
  		 
 

Cette section fournit de brèves descriptions du mécanisme d'authentification et d'autorisation utilisé par différents services Internet, ainsi que des risques pour la sécurité.

Les services Internet HP-UX sont documentés dans les documents HP-UX Internet Services Administrator's Guide et Using HP-UX Internet Services disponibles à l'adresse suivante : http://www.docs.hp.com/en/netcom.html#Internet%20Services

Consultez également le document HP-UX Remote Access Services Administrator's Guide disponible à l'adresse suivante :

http://www.docs.hp.com/en/netcom.html#Internet%20Services

Les services Internet HP-UX fournissent une authentification par le biais d'une vérification de mot de passe ou d'une autorisation définie dans un fichier de configuration. Pour une liste des composants de services Internet et leur mécanisme d'autorisation ou de vérification d'accès, voir le Tableau 5-1.

Tableau 5-1 Composants des services Internet et vérification, autorisation et authentification d'accès

Composant des services InternetMécanisme de vérification, d'autorisation ou d'authentification d'accès
ftp (transfert de fichiers)Vérification du mot de passe. Peut également utiliser le mécanisme d'authentification Kerberos défini dans /etc/inetsvcs.conf. Voir la page de manuel ftp(1).
rcp (copie distante)Entrée dans le fichier $HOME/.rhosts ou /etc/hosts.equiv. Peut également utiliser le mécanisme d'authentification Kerberos défini dans /etc/inetsvcs.conf. Voir rcp(1).
rdist (distribution de fichiers à distance)Entrée dans le fichier $HOME/.rhosts ou /etc/hosts.equiv. Voir la page de manuel rdist(1).
remsh, rexec (exécution à partir d'un shell distant)Entrée dans le fichier $HOME/.rhosts ou /etc/hosts.equiv. Peut également utiliser le mécanisme d'authentification Kerberos défini dans /etc/inetsvcs.conf. Voir la page de manuel remsh(1).
rlogin (connexion à distance)Vérification de mot de passe ou entrée dans le fichier $HOME/.rhosts ou /etc/hosts.equiv. Peut également utiliser le mécanisme d'authentification Kerberos défini dans /etc/inetsvcs.conf. Voir la page de manuel rlogin(1).
telnet (connexion à distance par le biais du protocole TELNET)Vérification du mot de passe. Si l’option TAC User ID est activée par le démon telnetd, telnet utilise le fichier $HOME/.rhosts ou /etc/hosts.equiv. Voir les pages de manuel telnet(1) et telnetd(1M).

 

REMARQUE : Les informations (y compris les mots de passe) sont passés d'un système à l'autre en texte clair (elles ne sont pas chiffrées). Utilisez les services Internet uniquement entre des hôtes qui sont bien connus et définis l'un pour l'autre, et au sein d'un réseau interne privé placé derrière un pare-feu. Lorsque vous communiquez sur un réseau non approuvé, sécurisez les communications avec IPSec ou Kerberos.

Les services d'accès distant connectent des systèmes distants en réseau. Par défaut, ces services fonctionnent dans un environnement non sécurisé. Pour qu'ils fonctionnent dans un environnement sécurisé, vous devez activer l'authentification réseau Kerberos V5. Dans un environnement non sécurisé, vous devez posséder un nom de connexion et un mot de passe pour accéder à un système distant, et le nom de connexion n'est pas soumis à l'authentification ni à l'autorisation. Dans un environnement sécurisé, vous devez avoir un nom de connexion et un mot de passe. Lorsque vous tentez de vous connecter à un système distant, le protocole Kerberos vérifie si l'utilisateur est autorisé à accéder au système distant.

Sécurisation du protocole FTP

Un utilisateur non autorisé peut tenter d'accéder à un système par le biais de la commande ftp. Voici quelques suggestions afin de limiter les risques :

  • Activez la connexion ftp dans /etc/inetd.conf à l'aide de la commande ftpd -l.

  • Vérifiez si les journaux ftp dans /var/adm/syslog/syslog.log et /var/adm/syslog/xferlog ne mentionnent pas de tentatives d'accès distant inhabituelles.

    Voir syslogd(1M) et xferlog(5).

  • Refusez l'accès ftp à guest, root et autres comptes en les répertoriant dans le fichier /etc/ftpd/ftpusers.

    Voir ftpusers(4).

  • Recherchez et supprimez régulièrement les fichiers ~/.netrc des utilisateurs. Le fichier .netrc contient des informations de compte, de connexion et de mot de passe utilisées par le processus de connexion automatique ftp, par la routine de bibliothèque rexec() et par la commande rexec.

    Voir netrc(4).

Sécurisation de l'accès FTP anonyme

Si un fichier $HOME/.rhosts est placé dans /home/ftp, un utilisateur non autorisé peut utiliser rlogin pour se connecter en tant qu'utilisateur ftp. Le fichier .rhosts spécifie les hôtes et les utilisateurs qui sont autorisés à accéder à un compte local avec rcp, remsh ou rlogin sans mot de passe. Pour plus d'informations, voir hosts.equiv(4).

Voici quelques suggestions pour sécuriser l'accès ftp anonyme :

  • Assurez-vous que ni /home/ftp, ni aucun de ses enfants n'est accessible en écriture : 

    $chmod -R a -w /home/ftp

  • Assurez-vous que l'entrée ftp dans /etc/passwd est configurée correctement : 

    ftp:*:500:100:Anonymous FTP user:/var/ftp:/usr/bin/false

  • Assurez-vous que tous les mots de passe dans ~ftp/etc/passwd sont des astérisques (*) : 

    $more ~ftp/etc/passwd
root:*:0:3::/:/usr/bin/false daemon:*:1:5::/:/usr/bin/false

  • Si vous devez avoir un répertoire pub accessible en écriture, utilisez des autorisations 1733 : 

    $chmod 1733 /home/ftp/pub

  • Utilisez des quotas de disques ou une tâche cron pour contrôler la tâche de /home/ftp/pub : 

    0 1 * * * find /home/ftp/pub/* -atime +1 exec rm -rf {} \;

  • Vérifiez l'activité ftp anonyme dans /var/adm/syslog/syslog.log : 

    $tail /var/adm/syslog/syslog.log

Refus de l’accès avec /etc/ftpd/ftpusers

Le démon inetd exécute le serveur de protocole de transfert de fichiers, ftpd, lorsqu'une demande de service est reçue sur le port indiqué dans /etc/services. Le serveur ftpd refuse les connexions distantes aux comptes d'utilisateurs locaux répertoriés dans /etc/ftpusers. Ces comptes d'utilisateurs portent le nom de comptes restreints. Voir ftpd(1M), privatepw(1) et services(4).

Dans le fichier /etc/ftpd/ftpusers, chaque nom de compte restreint doit apparaître tout seul sur une ligne. Vous devez également ajouter les comptes d'utilisateurs avec des shells de connexion restreints qui sont définis dans /etc/passwd, car ftpd accède aux comptes locaux sans utiliser leurs shells de connexion.

Si /etc/ftpd/ftpusers n’existe pas, ftpd n’effectue pas de vérification de sécurité. Pour plus d'informations, voir ftpusers(4).

Sur HP-UX 11i, le démon ftpd est basé sur WU-FTPD. WU-FTPD est l'implémentation HP du démon ftpd développé à l'Université de Washington. WU-FTPD inclut un contrôle d'accès renforcé, des capacités de connexion améliorées, la prise en charge des hôtes virtuels et la prise en charge de RFC1413 (Protocole d'identification). Pour plus d'informations, consultez le document HP-UX Remote Access Services Administrator's Guide disponible à l'adresse suivante :

http://www.docs.hp.com/en/netcom.html#Internet%20Services

Autres solutions de sécurité contre l'emprunt d'identité

L'emprunt d'identité consiste à assumer l'identité d'un utilisateur ou d'un hôte valide dans le but d'accéder au système de manière autorisée. Les adresses IP et les noms d'hôtes étant vulnérables à l'emprunt d'identité, l'utilisation du fichier de sécurité /var/adm/inetd.sec pour inetd (le démon Internet) ne constitue pas une solution de sécurité garantie. Pour plus d'informations sur inetd, voir la Section .

Les fonctionnalités ou produits de sécurité suivants constituent des solutions de sécurité alternatives :

  • IPFilter est un filtre de paquets TCP/IP utilisable en tant que pare-feu système pour la protection des serveurs d'applications. Pour plus d'informations, consultez le document HP-UX IPFilter Administrator's Guide disponible à l'adresse suivante :

    http://www.docs.hp.com/en/internet.html#IPFilter

  • Les wrappers TCP fournissent un démon wrapper TCP, tcpd, appelé par inetd afin de renforcer la sécurité. Voir la Section  et le document HP-UX Internet Services Administrator's Guide disponible à l'adresse suivante :

    http://www.docs.hp.com/en/netcom.html#Internet%20Services

  • Les services Internet sécurisés (Secure Internet Services) permettent d'utiliser l'authentification et l'autorisation Kerberos pour ftp, rcp, remsh , rlogin et telnet. Au lieu de mots de passe utilisateur, des enregistrements d'authentification Kerberos chiffrés sont transmis sur le réseau. Voir la Section , Installing and Administering Internet Services à l'adresse suivante : http://www.docs.hp.com/en/netcom.html#Internet%20Services, ainsi que le document Configuration Guide for Kerberos Client Products on HP-UX à l'adresse suivante :

    http://www.docs.hp.com/en/internet.html#Kerberos

  • IPSec, une suite de protocole de sécurité IP, permet de sécuriser les réseaux IP en ce qui concerne l'intégrité des données, l'authentification, la confidentialité des données, la sécurité transparente pour les applications et le chiffrement.

    Pour plus d'informations, voir le document HP-UX IPSec Administrator's Guide disponible à l'adresse suivante :

    http://www.docs.hp.com/en/internet.html#IPSec



Chapitre 5 Administration de la sécurité de l'accès à distance
  		 


Le démon inetd  
Version imprimable
Respect de la vie privée L'utilisation de ce site implique que vous en acceptez les conditions
© 2008 Hewlett-Packard Development Company, L.P.