Gestion de l'accès au shell sécurisé dans Oracle® Solaris 11.2

Quitter la vue de l'impression

 
Mis à jour : Septembre 2014
 
 

Secure Shell et FIPS 140

Shell sécurisé est un consommateur du module OpenSSL FIPS 140. Oracle Solaris fournit une option FIPS 140 pour le côté serveur et le côté client. Pour respecter les exigences de FIPS 140, les administrateurs doivent configurer et utiliser les options FIPS 140.

Mode FIPS, où Shell sécurisé utilise le mode FIPS 140 d'OpenSSL si ce n'est pas le mode par défaut. En tant qu'administrateur, vous devez explicitement autoriser Secure Shell à s'exécuter en mode FIPS 140. Vous pouvez appeler le mode FIPS 140 avec la commande ssh -o "UseFIPS140 yes" remote-host. Vous pouvez également définir un mot-clé dans les fichiers de configuration.

    En résumé, la mise en oeuvre se compose des éléments suivants :

  • Les chiffrements certifiés FIPS 140 suivants sont disponibles sur les côtés serveur et client : aes128-cbc, aes192-cbc et aes256-cbc.

    3des-cbc est disponible par défaut côté client, mais il ne figure pas dans la liste de chiffrements côté serveur en raison des risques de sécurité potentiels.

  • Les codes d'authentification des messages (MAC, Message Authentication Codes) certifiés FIPS 140 suivants sont disponibles :

    • hmac-sha1, hmac-sha1-96

    • hmac-sha2-256, hmac-sha2-256-96

    • hmac-sha2-512, hmac-sha2-512-96

  • Quatre configurations serveur-client sont disponibles :

    • Mode FIPS 140 absent sur le côté client ou serveur

    • Mode FIPS 140 disponible sur les côtés client et serveur

    • Mode FIPS 140 disponible sur le côté serveur, pas sur le côté client

    • Mode FIPS 140 absent sur le côté serveur, mais disponible sur le côté client

  • La commande ssh-keygen comporte une option permettant de générer la clé privée de l'utilisateur au format PKCS #8 requis par les clients Shell sécurisé en mode FIPS. Pour plus d'informations, reportez-vous à la page de manuel ssh-keygen(1).

Pour plus d'informations sur FIPS 140, reportez-vous à Using a FIPS 140 Enabled System in Oracle Solaris 11.2 . Reportez-vous également aux pages de manuel sshd(1M), sshd_config(4), ssh(1) et ssh_config(4).

Lorsque vous utilisez une carte Sun Crypto Accelerator 6000 pour les opérations Shell sécurisé, Shell sécurisé s'exécute avec la prise en charge FIPS 140 au niveau 3. Le matériel de niveau 3 est certifié pour résister au sabotage physique, utiliser l'authentification basée sur l'identité et isoler les interfaces qui gèrent les paramètres de sécurité critique à partir des autres interfaces du matériel.

Copyright © 2002, 2014, Oracle et/ou ses affiliés. Tous droits réservés. Mentions légales
Précédent
Suivant