Sécurisation des systèmes et des périphériques connectés dans Oracle® Solaris 11.2

Quitter la vue de l'impression

 
Mis à jour : Septembre 2014
 
 

Spécification d'un algorithme de chiffrement de mot de passe

Avant de commencer

Vous devez prendre le rôle root. Pour plus d'informations, reportez-vous à la section A l’aide de vos droits administratifs attribués du manuel Sécurisation des utilisateurs et des processus dans Oracle Solaris 11.2 .

  1. Dans le fichier /etc/security/polic.conf, spécifiez l'identifiant de l'algorithme de chiffrement, sous forme de valeur de la variable CRYPT_DEFAULT.
  2. (Facultatif) Ajouter un commentaire sur la suppression des fichier afin d'expliquer votre choix.

    Par exemple :

    # cat  /etc/security/policy.conf# Sets the SHA256 (5) algorithm as default.
# SHA256 supports 255-character passwords.
# Passwords previously encrypted with MD5 (1) will be encrypted
# with SHA256 (5) when users change their passwords.
#CRYPT_DEFAULT=1
CRYPT_DEFAULT=5

    Dans cet exemple, la nouvelle valeur de CRYPT_DEFAULT est 5, ce qui correspond à SHA256, l'algorithme SHA256. SHA est l'acronyme de Secure Hash Algorithm (algorithme de hachage sécurisé). Cet algorithme est un membre de la famille SHA-2. SHA256 prend en charge des mots de passe à 255 caractères.

  3. (Facultatif) Supprimez l'algorithme précédent de CRYPT_ALGORITHM_ALLOWED pour que le nouvel algorithme s'applique également aux utilisateurs existants.

    Par exemple, pour vous assurer que l'algorithme SHA256 s'applique également aux utilisateurs existants, CRYPT_ALGORITHM_ALLOWED doit exclure l'identificateur prédédent pour MD5, 1.

    Remarque -  En outre, pour promouvoir la sécurité FIPS 140, excluez l'algorithme Blowfish (2a) de l'entrée. 
    CRYPT_ALGORITHMS_ALLOW=5,6
Exemple 3-4  Contrainte des algorithmes de chiffrement de mot de passe dans un environnement hétérogène

Dans cet exemple, l'administrateur sur un réseau qui inclut les systèmes BSD et Linux configure les mots de passe de sorte qu'ils soient utilisables sur tous les systèmes. Etant donné que certaines applications de réseau ne peuvent pas gérer le chiffrement SHA512, l'administrateur n'inclut pas son identificateur dans la liste des algorithmes autorisés. L'administrateur conserve l'algorithme SHA256, 5, en tant que valeur de la variable CRYPT_DEFAULT. La variable CRYPT_ALGORITHMS_ALLOW contient l'identificateur MD5 qui est compatible avec les systèmes BSD et Linux et l'identificateur Blowfish qui est compatible avec les systèmes BSD. Etant donné que 5 est l'algorithme CRYPT_DEFAULT, il n'a pas besoin d'être répertorié dans la liste CRYPT_ALGORITHMS_ALLOW. Cependant, pour des raisons de maintenance, l'administrateur place 5 dans la liste CRYPT_ALGORITHMS_ALLOW et les identificateurs inutilisés dans la liste CRYPT_ALGORITHMS_DEPRECATE.

CRYPT_ALGORITHMS_ALLOW=1,2a,5
#CRYPT_ALGORITHMS_DEPRECATE=__unix__,md5,6
CRYPT_DEFAULT=5
Copyright © 2002, 2014, Oracle et/ou ses affiliés. Tous droits réservés. Mentions légales
Précédent
Suivant