 |
» |
|
|
|
À partir
de la version HP-UX 11i v2, HP-UX Bastille (B6849AA) est fourni comme logiciel installé par défaut
sur les supports des environnements d’exploitation et peut être
installé à l’aide d’Ignite-UX
ou de Update-UX. HP-UX Bastille est un outil de renforcement et de verrouillage permettant
d’améliorer la sécurité du système
d’exploitation HP-UX. Il permet un verrouillage
personnalisé, système par système, grâce à une fonction
de codage comparable à Bastion Host et à d’autres
listes de contrôles de renforcement/verrouillage. | | | |  | REMARQUE : Pour plus de détails sur HP-UX Bastille, reportez-vous
aux HP-UX 11i Version 2 Release Notes et
au manuel Gestion des systèmes
et des groupes de travail. | | | | |
Lors de l’installation ou de la mise à jour,
vous pouvez choisir l’un des kits de configuration de sécurité suivants
assurant chacun une amélioration supplémentaire
de la sécurité : Tableau 2-2 Kits de configuration de sécurité prédéfinie Nom du kit | Nom du fichier de configuration[1] | Description |
|---|
Sec00Tools[2] | - | Infrastructure de sécurité à l’installation ;
aucune modification de la sécurité | Sec10Host[3] | HOST.config | Verrouillage de l’hôte :
pas de pare-feu ; certains services communs non codés
sont désactivés, à l’exception
de Telnet et de FTP | Sec20MngDMZ[3] | MANDMZ.config | Verrouillage : le pare-feu
IPFilter bloque les connexions entrantes à l’exception
des protocoles de gestion communs et sécurisés. | Sec30DMZ[3] | DMZ.config | Verrouillage complet : IPFilter
bloque toutes les connexions entrantes à l’exception
de HP-UX Secure Shell. |
Dépendance
des choix de sécurité | |
Le
kit d’infrastructure de sécurité Sec00Tools est installé par défaut sur votre
système. Bien que ce kit n’applique aucune modification
de la sécurité lors de l’installation
ou de la mise à jour, il vérifie que les logiciels
nécessaires sont installés (voir la Figure 2-1, « Dépendances des logiciels de sécurité lors
de l’installation »). En installant Sec00Tools, vous pouvez choisir d’exécuter HP-UX
Bastille ultérieurement afin de verrouiller votre système. Vous pouvez également verrouiller votre système à l’aide
de l’un des kits de configuration de sécurité sélectionnables
suivants lors de l’installation ou de la mise à jour : Ces kits dépendent du kit Sec00Tools. Services
et protocoles sécurisés | |
Chaque
kit de configuration de sécurité assure un niveau
supérieur de sécurité en verrouillant
différents protocoles et services. HP-UX Bastille utilise
une série de questions afin de définir les services
et les protocoles à sécuriser. L’utilisation
de l’un des kits de configuration de sécurité à l’installation
applique un profil de sécurité par défaut,
ce qui simplifie le processus de verrouillage. Les tableaux qui suivent indiquent les services et les protocoles concernés
par les kits de sécurité figurant dans le Tableau 2-2, « Kits de configuration de sécurité prédéfinie », si vous décidez d’en
appliquer un lors de l’installation ou de la mise à jour. Tableau 2-3 Paramètres de sécurité de Sec10Host basés sur l’hôte[1] Catégorie | Actions |
|---|
Noms de connexion et mots de passe | | Refuse le nom de connexion
si le répertoire personnel n’existe pas | | Refuse les noms de connexion non-root si le fichier /etc/nologin existe | | Définit un chemin par défaut pour la commande su | | Désactive les noms de connexion root du tty réseau | | Masque les mots de passe codés | | Interdit les connexions système ftpd | | Désactive les connexions X à distance |
| Système de fichiers, réseau et noyau | | Modifie les paramètres ndd[2],[3] | | Restreint l’accès distant à swlist | | Définit umask par défaut | | Active la protection d’exécution sur la
pile basée sur le noyau |
| Démons | | Désactive ptydaemon | | Désactive pwgrd | | Désactive rbootd | | Désactive les démons des clients NFS | | Désactive le serveur NFS | | Désactive les programmes des clients NFS | | Désactive les programmes des serveurs NFS | | Désactive SNMPD |
| Services inetd | | Désactive bootp | | Désactive les services intégrés
de inetd | | Désactive les services d’aide CDE | | Désactive finger | | Désactive ident | | Désactive klogin et kshell | | Désactive ntalk | | Désactive login, shell et exec | | Désactive swat | | Désactive printer | | Désactive recserv | | Désactive tftp | | Désactive time | | Désactive uucp | | Active les noms de connexions pour toutes les connexions inetd |
| sendmail | | Exécute sendmail via cron pour traiter la file d’attente | | Arrête l’exécution de sendmail en mode démon | | Désactive les commandes vrfy et expn |
| Autres paramètres | | Désactive le serveur
Web Apache HP 2.x[4] | | Configure la tâche cron afin d’exécuter Security Patch Check[2] |
|
Tableau 2-4 Paramètres
de sécurité supplémentaires de Sec20MngDMZ[1] Catégorie | Actions |
|---|
Services inetd | Comprend tous les services inetd désactivés du Tableau 2-3, « Paramètres de sécurité de Sec10Host basés sur l’hôte » et :
| Désactive ftp | | Désactive telnet |
| Configuration de IPFilter[2] | | Bloque les connexions de
requêtes DNS entrantes | | Bloque les connexions d’administration HIDS entrantes[3],[4] | | Configure IPFilter pour autoriser le trafic sortant, lorsque
le trafic entrant avec l’ensemble des options IP et le
reste du trafic à l’exception de HP-UX Secure
Shell, des agents HIDS, de WBEM, des connexions d’administration
Web et des connexions de démarrage automatique d’administration
Web.[5] |
|
Tableau 2-5 Paramètres
de sécurité supplémentaires de Sec30DMZ[1] Catégorie | Actions |
|---|
Configuration de IPFilter[2] | Comprend tous les paramètres
IPFilter du Tableau 2-4, « Paramètres
de sécurité supplémentaires de Sec20MngDMZ » et :
| Bloque les connexions agents HIDS entrantes[3],[4] | | Bloque les connexions WBEM entrantes[5] | | Bloque les connexions d’administration Web entrantes | | Bloque les connexions de démarrage automatique
d’administration Web entrantes | | Bloque tout le trafic à l’exception de
HP-UX Secure Shell |
|
|
Version imprimable 
