Accès au serveur, Authentification, Accès aux ressources unix

SECURITE DE CONNEXION

Sur tous les systèmes :

Les fichiers hosts.equiv et .rhosts :

Le fichier /etc/hosts.equiv et les fichiers nommés .rhosts dans les répertoires d’accueil des utilisateurs indiquent les serveurs et utilisateurs distants qui sont "équivalents" à l’utilisateur ou au serveur local. Les utilisateurs d’un serveur distant peuvent accéder à un compte local en utilisant les commandes rcp, remsh, rlogin sans avoir à donner de mot de passe.

Le fichier /etc/hosts.equivdéfinit une équivalence entre les serveurs au niveau de tout le système, alors que .rhosts définit une équivalence entre l’utilisateur local et les utilisateurs distants auxquels l’utilisateur local souhaite autoriser ou interdire l’accès.

Le fichier hosts.equiv étant lu avant .rhosts, si hosts.equiv contient une entrée, .rhosts n’est pas consulté.

Exemples :

node 1

Tous les utilisateurs de la machine node_1 peuvent se connecter sur node_2 sans entrer de mot de passe.

node 1 idu1

Tous les utilisateurs idu1 de la machine node 1 peuvent se connecter idu2 sur node 2 sans entrer de mot de passe.

Sur HP-UX :

le fichier inetd.sec (dans /var/adm) : Pour mettre en place un contrôle des droits d’accès par service et définir les systèmes autorisés à utiliser ces services par un accès distant :

Le format des entrées dans ce fichier est le suivant :

< service name > < allow|deny > < host/net addresses, host/net names >
avec:
- < service name > Nom du service pour lequel l’accès doit être limité
- < allow|deny > autorisation ou interdiction du service. Pour un même service, on ne peut avoir à la fois des lignes avec allow et des lignes avec deny :
- < host/net addresses, host/net names > Nom de machine, adresse IP ou réseau IP. Le nom des systèmes peur être donné par l’adresse IP ou par le nom complet du système

Exemple :
login allow 10.* 192.54.24.5
Cette ligne permet d’autoriser toutes les machines ayant une adresse IP commençant par 10 et la machine 192.54.24.5 à se connecter sur ce système (toutes les adresses IP autres que celles-ci seront alors interdites d'accès).
Pour les accès distant :
shell allow < host/net addresses, host/net names >
kshell allow < host/net addresses, host/net names >

Pour autoriser les utilisateur à se connecter à un terminal : fichier devassign (dans /tcb/files/auth ou /usr/newconfig/tcb/files) :
exemple :
console:v_devs=/dev/console:v_type=terminal:chkent:
ttyp0:v_devs=/dev/ttyp0:v_type=terminal:chkent:
ttyp1:v_devs=/dev/ttyp1:v_type=terminal:chkent:
ttyp2:v_devs=/dev/ttyp2:v_type=terminal:chkent:
ttyp3:v_devs=/dev/ttyp3:v_type=terminal:chkent:

Acces réseau X25

Le contrôle d’accès X25 peut être mis en place pour les accès PAD et UUCP et pour les accès IP au dessus de X25, et enfin les accès applicatifs.
- Accès PAD
  
  Le contrôle des accès peut être mis en place grâce au fichier /etc/x25/x29hosts. Ce fichier définit les critères de support des accès PAD, et en particulier permet de limiter les accès à certaines adresses appelantes (remote_x121). Ces addresses appelantes autorisées peuvent utiliser des caractères joker de manière à autoriser un groupe d’adresse dans une seule entrée.
  
  Exemple :
```
Une entrée type du fichier x29hosts, pour le support pad ressemble à :
pad_spt {
        interface_name   interface0
        remote_x121   408555120801
        local_x121   1235451
        pty_slave_fname   ptynb01
        application   /bin/login2
        cud   yes
        logging   1
        reverse_charge   disable
        size_parity    8_none
     x3   hp_padsrvr
     }
```
- Accès IP sur X25
  
  Les accès IP sur X25 sont controlés par le fichier /etc/x25/ip_to_x121_map. Ce fichier est construit de la manière suivante :
  Syntaxe pour SVCs.
  IP_address X.121_address [{+URC|-URC}] [{+ARC|-ARC}] [CUG=n]
  
  Syntaxe pour PVCs.
  IP_address X.121_address pvc=n name= prog_access_name
  
  URC=Use Reverse Charge
  ARC=Accept Reverse Charge
  CUG=Closed User Group (Groupe Fermé d’Abonnés, GFA)
  
  Il est recommandé de limiter les entrées dans ce fichier au strict nécessaire. Ce fichier est validé à l’initialisation de la carte x25 par la commande x25init -a /etc/x25/ip_to_x121_map. La vérification du fichier ip_to_x121_map se fait avec la commande x25stat -a.
  
  Exemple :
  x25stat -a
```
IP Address 	Pktsz	Window VCs 	CUG   	SUB-REV 	BAR-REV   	X25Address

192.25.0.1 	   2  	   1   	   1   	-       	     y    		     n   		 0.250107..
192.25.0.2 	   2  	   1   	   1   	G0011	     y    		     n  		 0.250112..
192.25.0.3 	   2  	   1   	   1   	-       	     y    		     n   		 0.250208..

   *   CUG		groupe fermé d’abonné	GOO11 signifie groupe 11
   *   SUB-REV	accepte le Reverse Charge (y=yes, n=no).
   *   BAR-REV	utilise le Reverse Charges (y=stop, n=don't stop).
```
  L'utilisation des GFA est conseillée car elle permet d'améliorer grandement la sécurité.
  
  Remarque : un accès en mode IP au dessus de X25 permet d’accéder à tous les services IP du serveur. En conséquence, toutes les règles de sécurité évoquées pour les controles d’acces RLE s’appliquent également pour ce type d’accès (inetd.sec, /var/adm/syslog/syslog.log, etc ...).
Pour la sécurité d'accès par terminal (heures d'accès,...): fichier ttys (dans /tcb/files/ttys ou /usr/newconfig/tcb/files) :
exemple :
console:t_devname=console:t_maxtries#777:chkent:
tty:t_devname=tty:chkent:
tty00:t_devname=tty00:chkent:
tty01:t_devname=tty01:chkent: