Accéder au contenu France-Français
Accueil HP.com France Produits et Services Support et Pilotes Espaces Comment Acheter
» Contacter HP
Plus d'options
Accueil HP.com France
 Guide de l'administrateur système HP-UX : Présentation : HP-UX 11i version 3 > Chapitre 3 Principaux composants de HP-UX

Sécurité et contrôle d'accès
» 

Documentation technique

Manuel complet en PDF
» Commentaires
Début du contenu

 » Table des matières

 » Glossaire

 » Index

spacerspacerspacer
spacer
spacer
  		 
 

HP-UX propose de nombreux outils pour sécuriser vos serveurs et vos données. Les menaces envers vos serveurs et vos données peuvent être malveillantes ou accidentelles, physiques (incendies, tremblements de terre, pannes matérielles, etc) ou logiques (comportement incorrect de logiciel, piratage, etc.).

Pour plus d'informations sur les outils disponibles pour protéger vos serveurs et vos données contre les pertes dues aux menaces mentionnées ci-dessus, voir « Outils de protection des données ».

Contrôle de l'accès aux données à l'aide des privilèges et de la propriété de fichiers Unix hérités

HP-UX offre la capacité à contrôler l'accès aux répertoires et aux fichiers à l'aide d'une combinaison de :

  • Propriété de fichiers et de répertoires par des utilisateurs et des groupes

  • Mode fichier et répertoire

Un fichier ou un répertoire est affecté d'un propriétaire, d'un groupe et d'un masque d'accès nommé mode, qui déterminent collectivement :

Fichiers

Qui peut lire, écrire ou tenter d'exécuter le fichier.

Répertoires

Qui peut effectuer des recherches dans le contenu du répertoire, ajouter des fichiers, supprimer des fichiers ou renommer des fichiers dans le répertoire, et qui peut exécuter une commande cd dans ce répertoire.

Le concept de la propriété et des privilèges de fichiers est beaucoup plus complexe, et il existe d'autres mécanismes plus puissants qui vous permettent de contrôler étroitement qui accède aux fichiers et aux répertoires de votre système. Un volume entier du Guide de l'administrateur système HP-UX est dédié à la sécurité. Pour des informations complètes sur le contrôle de l'accès aux fichiers et aux répertoires de votre système et d'autres rubriques relatives à la sécurité, voir le document Guide de l'administrateur système HP-UX : Gestion de la sécurité.

Contrôle de l'accès aux données à l'aide de technologies de confinement de sécurité

Les mécanismes d'accès aux fichiers UNIX traditionnels conviennent à de nombreuses installations de base, mais les exigences du monde actuel en termes de sécurité et de confidentialité requièrent un contrôle beaucoup plus étroit sur l'accord de l'accès aux différentes données.

Avec les méthodes de sécurité traditionnelles, l'une des liaisons les plus faibles dans le mécanisme est le superutilisateur (ou utilisateur root). Le terme superutilisateur fait référence à tout compte avec un ID utilisateur (ou tout programme ou processus avec un ID utilisateur effectif) de « 0 » (zéro). Ces comptes spéciaux accordent à quiconque y ayant accès un accès complet à chaque fichier local sur l'ensemble du serveur. Si le mot de passe d'un superutilisateur tombe entre de mauvaises mains, la sécurité de l'ensemble du serveur devient compromise.

Dans de nombreuses installations, il est préférable de n'accorder à personne un accès à tous les fichiers d'un serveur. En particulier, le rôle d'administrateur système peut être sous-divisé en rôles plus spécifiques affectés à différentes personnes. D'autres peuvent avoir besoin d'administrer des applications spécifiques, ou une base de données ou autre entité. Pour des raisons de sécurité, il peut être souhaitable d'accoder à une personne l'accès à certains fichiers ou capacités uniquement durant certaines heures de la journée.

Technologies pour un contrôle d'accès accru

HP-UX 11i version 3 offre des technologies de sécurité qui, lorsqu'elles sont combinées, procurent un contrôle d'accès beaucoup plus étroit des fichiers de données et des privilèges utilisateur sur vos serveurs lorsque HP-UX s'exécute en mode standard : [6]

Compartiments

Les compartiments isolent des ressources non liées sur un serveur afin d'éviter tout dommage catastrophique au serveur en cas de violation d'un compartiment.

Lorsqu'elle est configurée dans un compartiment, une application a un accès restreint aux ressources (processus, binaires, fichiers de données et canaux de communication utilisés) en dehors de son compartiment. Cette restriction est appliquée par le noyau HP-UX et ne peut pas être outrepassée, sauf en cas de configuration spécifique. Si l'application est compromise, elle ne risque pas d'endommager d'autres parties du système car elle est isolée par la configuration de compartiment.

Privilèges à granularité élevée

Les privilèges UNIX traditionnels accordent des privilèges administratifs "tout ou rien" basés sur l'UID effectif du processus qui s'exécute. Si le processus s'exécute avec l'UID effectif =0, elle bénéficie de tous les privilèges. Avec les privilèges à granularité élevée, seuls les privilèges nécessaires pour la tâche sont accordés aux processus et, éventuellement, uniquement pour la durée nécessaire pour accomplir la tâche. Les applications compatibles avec les privilèges peuvent élever leur privilège au niveau requis pour l'opération et l'abaisser une fois l'opération terminée.

Contrôle de l'accès basé sur les rôles

En général, les commandes d'administration système UNIX doivent être exécutées par un superutilisateur (utilisateur root). Comme pour l'accès d'appel système de niveau noyau, l'accès est en général de type "tout ou rien" et basé sur l'UID effectif de l'utilisateur.

Le Contrôle d'accès basé sur les rôles HP-UX (HP-UX RBAC, ou Role-Based Access Control) vous permet de grouper des tâches communes ou connexes dans un rôle. Administration d'utilisateurs et de groupes constitue un exemple de rôle commun. Une fois le rôle créé, vous affectez à des utilisateurs spécifiques un rôle ou ensemble de rôles qui leur permet d'exécuter les commandes définies par ces rôles.

Lorsque vous implémentez HP-UX RBAC, vous permettez aux utilisateurs non-root d'effectuer des tâches qui exigeaient auparavant des privilèges de superutilisateur sans accorder à ces utilisateurs des privilèges de superutilisateur complets.

Audit

Le système d'audit HP-UX enregistre les événements liés à la sécurité pour analyse ultérieure. Les administrateurs utilisent l'audit pour détecter et analyser les failles de sécurité. L'audit est disponible sur les systèmes HP-UX en mode standard et en mode protégé.

Base de données utilisateur

Auparavant, tous les attributs de sécurité et toutes les restrictions de stratégie de mot de passe HP-UX en mode standard étaient définis à l'échelle du système. L'introduction de la base de données utilisateur vous permet de définir des attributs de sécurité par utilisateur qui remplacent les paramètres système par défaut.

Informations complémentaires

Pour plus d'informations sur les fonctionnalités de confinement de sécurité améliorées présentées ci-dessus, reportez-vous aux ressources suivantes :

  • Guide de l'administrateur système HP-UX : Gestion de la sécurité

  • HP-UX 11i Security Containment Administrators Guide

  • Page de manuel privileges(5)


[6] Ces technologies de sécurité sont également disponibles dans HP-UX 11i version 2. Pour plus d'informations sur les différences entre le mode standard et le mode protégé, voir « Protection contre l'accès non autorisé à vos serveurs et données ».



Impression
  		 


Démarrage et arrêt  
Version imprimable
Respect de la vie privée L'utilisation de ce site implique que vous en acceptez les conditions
© 2008 Hewlett-Packard Development Company, L.P.