Retour à la page d'accueil Cours d'administration HP-UX

Retrouvez ce cours en téléchargement

L'icône dans le menu permet de basculer en mode pleine page

Initialisation et démarrage Affichage pleine page
Les fichiers spéciaux Affichage pleine page
Gestion file system Affichage pleine page
Logical volume manager Affichage pleine page
Gestion des disquettes Affichage pleine page
Gestion des utilisateurs Affichage pleine page
Gestion des packages Affichage pleine page
Imprimantes et traceurs Affichage pleine page
Gestion du réseau Affichage pleine page
Notion de sécurité Affichage pleine page
Installation système Affichage pleine page
 
   
Les fichiers systèmes relatifs à la sécurité
[ les fichiers système ( rhosts , inetd.sec , exports ) | les fichiers de log ( syslog , sulog , wtmp , btmp ) ]

Notion de sécurité



Les fichiers système

Le fichier .rhosts

Le fichier /.rhosts permet à certains utilisateurs distants de pouvoir faire un rlogin ou un rcp sans donner de mot de passe.

Si l'on veut par exemple permettre à athila, déclaré sur la station moselle, de faire un rlogin sur loiret sans donner son mot de passe. Il faut que la ligne suivante soit présent dans le /.rhosts de loiret.

moselle athila

NOTE: Il faut qu'athila soit déclaré (dans la table passwd) de loiret.

CONSEIL: Réduisez ce fichier au minimum avec uniquement les machines connectées et les utilisateurs autorisées susceptibles de travailler sur la machine.

NOTE : Chaque utilisateur peut créer dans sa propre home directory un .rhosts ($HOME/.rhosts) qui permet ainsi à un autre utilisateur de pouvoir faire un rlogin ou un rcp avec les droits du propriétaire du .rhosts. C'est un risque fort d'intrusion sur le système.

Le fichier /var/adm/inetd.sec

Avec ce fichier vous pouvez autoriser uniquement certaines stations à pourvoir faire un remsh, ftp, rcp, rlogin ou telnet. La syntaxe est la suivante:

telnet deny obelix

Cette ligne autorise tout le monde à faire un telnet sur la station sauf la station obelix.

login deny * allow 191.10.26

Cette ligne autorise les machines dont l'adresse IP commence par 191.10.26 à faire un rlogin ou un rcp.

Le fichier /etc/exports

Vous pouvez spécifier les accès à certains répertoires exportés. La ligne suivante exporte le répertoire racine en lecture écriture vers dinan et rennes et uniquement vers ces deux machines.

/disc -rw=dinan:rennes

La ligne suivante permet la consultation en lecture seule de /disc par loiret:

/disc -ro=loiret

CONSEIL: Dans la mesure du possible, précisez toujours les machines vers lesquels vous voulez exporter vos répertoires.

NOTE: si /disc est un disque monté, le fait d'exporter la racine ne va pas exporter /disc, il faut le spécifier en plus, exemple:

/ -access=redon

/disc -access=redon

[Retour haut de la page]

Les fichiers de log

Le fichier /var/spool/mqueue/syslog

Le daemon (le daemon est un processus qui tourne en permanence sur une machine) inetd est un " super daemon " car il appelle les autres serveurs Internet nécessaires comme ftpd (qui gère ftp), telnetd (telnet), tftpd (tftp pour les TX), rlogind (pour rlogin) et remshd (pour remsh).

On peut activer une fonction de logging pour inetd, inetd enregistrera les tentatives de connexion aux services. Il enregistre également les tentatives de connexion ayant échoué pour des raisons de sécurité. Ceci peut s'avérer utile lorsque vous cherchez à savoir si quelqu'un tente de forcer l'accès à votre système.

La commande d'activation de la fonction logging de inetd est:

inetd -l

Les informations sont enregistrées dans le fichier log /var/spool/mqueue/syslog.

CONSEIL: A chaque démarrage de la station, il est bon de taper cette commande et de vérifier régulièrement le fichier syslog pour vérifier les tentatives d'intrusion sur le système.

Le fichier /var/adm/sulog

Ce fichier consigne les appels à la commande su.

Le fichier /var/adm/wtmp

Ce fichier consigne les tentatives d'ouverture de session qui ont réussi. Si ce fichier n'existe pas, créez le avec la commande:

touch /var/adm/wtmp

Le fichier /var/adm/btmp

Ce fichier consigne les tentatives d'ouverture de session qui ont échoué. Si ce fichier n'existe pas, créez le avec la commande:

touch /var/adm/btmp


[Retour page d'accueil FUNIX]
[Retour haut de la page]