> Tech > Les valeurs par défaut et comment elles doivent être définies

Les valeurs par défaut et comment elles doivent être définies

Tech - Par Renaud ROSSET - Publié le 24 juin 2010
email

Malheureusement, étant donné la manière dont la racine est livrée, elle laisse un trou béant dans la configuration de sécurité du système. Root est livré avec l'équivalent de l'autorité publique (*ALL), c'est-à -dire *RWX pour les autorités donnée et *ALL pour les autorités objet. Cette situation permet à  n'importe qui de

Les valeurs par défaut et comment elles doivent être définies

créer un répertoire directement sous
root et de stocker ce qui lui plaît dans ce répertoire – et
croyez bien que personne ne s’en prive ! Il m’est arrivé de
voir des répertoires avec des sauvegardes de PC, du contenu
pornographique, des images et des graphiques transférés
par Internet, et des copies pirates de films. En tant qu’administrateur,
vous devez contrôler qui peut créer des répertoires,
tout comme vous contrôlez qui
peut créer une bibliothèque. Pour cela, il
faut restreindre l’accès aux commandes
CRTDIR (Create Directory) et MKDIR
(Make Directory).
L’accès grand ouvert de root est démultiplié
chaque fois qu’un répertoire est
créé dans root. Un répertoire ainsi créé
hérite généralement de l’autorité de son
répertoire parent. (Exception : quand on
crée des objets IFS par l’intermédiaire
d’API comme mkdir(), open() ou creat().
Avec ces API, on peut préciser les autorités
donnée pour le propriétaire, le groupe
primaire et les autorités publiques.) Il en est de même quand des fichiers stream, des fichiers texte, ou
d’autres objets sont créés dans un répertoire. Ainsi, la définition
grande ouverte de « / » est propagée continuellement.
Cela signifie aussi que n’importe qui peut mettre à  jour ou
supprimer des objets système de fichiers mal sécurisés. On
voit bien le danger pour un administrateur de sécurité
chargé d’assurer un système stable et disponible et de fournir
des données de production exactes.
Je conseille de réduire l’autorité publique au répertoire
racine (« / »). Et de régler « / » sur DTAAUT(*RX) et OBJAUT(*
NONE). Cela permettra aux applications de traverser
le répertoire racine mais pas d’y créer des répertoires
« voyous ». En général, l’autorité publique des répertoires
IBM est définie correctement. Certains fournisseurs tiers
comprennent qu’ils doivent définir les répertoires et leurs
objets avec une valeur plus responsable, mais d’autres négligent
cet aspect. Et il est rare que les répertoires créés par
quelqu’un sur le système (comme un développeur) soient
soumis à  un accès restreint. Par conséquent,
vous devez vous assurer que les autorités définies
sur les répertoires et les objets sont les
bonnes. Pour juger ce qui est approprié ou
non, voyons quelques idées directrices.
Pour déterminer le paramétrage adéquat
de chaque répertoire, il faut d’abord déterminer
le rôle ou l’objectif de celui-ci. Pour une
application, les utilisateurs ont besoin de l’accès
suivant :

  • OBJAUT(*NONE) et DTAAUT(*X) pour tous les répertoires
    dans le chemin conduisant aux objets de l’application

  • OBJAUT(*NONE) et DTAAUT(*RX) pour un répertoire
    dont le contenu sera lu ou listé

  • OBJAUT(*NONE) et DTAAUT(*RWX) pour le répertoire
    s’ils créent des objets dans celui-ci

  • OBJAUT(*NONE) et DTAAUT(*WX) pour le répertoire s’ils
    renomment ou suppriment des objets

  • OBJAUT(*OBJMGT) au niveau objet
    pour les objets copiés ou renommés

  • OBJAUT(*OBJEXIST) au niveau objet
    pour les objets supprimés

Comme pour les bibliothèques, si le
répertoire contient des informations
sensibles ou d’accès limité, réglez sur
*EXCLUDE l’autorité publique sur le répertoire
et octroyez aux individus ou
aux groupes l’autorité leur donnant accès
à  l’information.

Téléchargez cette ressource

Cybersécurité des collectivités : Enjeux, Perspectives & Solutions

Cybersécurité des collectivités : Enjeux, Perspectives & Solutions

Villes, intercommunalités, métropoles, départements et régions sont particulièrement exposés aux risques de cybersécurité. Ce livre blanc Stormshield présente les défis cyber que rencontrent les collectivités, les solutions et perspectives pour qu’elles puissent assurer leur mission d’utilité publique, en toute sécurité.

Tech - Par Renaud ROSSET - Publié le 24 juin 2010