Go to main content

Guide de sécurité des serveurs Oracle SuperCluster série M7

Quitter la vue de l'impression

Mis à jour : Février 2016
 
 

Désactivation des services inutiles (serveurs de calcul)

  1. Connectez-vous à l'un des serveurs de calcul et accédez à la console hôte en tant que superutilisateur.

    Voir Connexion à un serveur de calcul et modification du mot de passe par défaut.

  2. Désactivez le moniteur de statut NFS si le système n'est pas un serveur ou un client NFS.

    Ce service interagit avec lockd(1M) pour proposer les fonctions de panne et de récupération pour les services de verrouillage sur NFS.

    # svcadm disable svc:/network/nfs/status
  3. Désactivez le service du gestionnaire de verrous NFS si vous n'utilisez pas NFS ou que vous utilisez NFSv4.

    Le gestionnaire de verrous NFS prend en charge les opérations de verrouillage d'enregistrements sur des fichiers NFS dans NFSv2 et NFSv3.

    # svcadm disable svc:/network/nfs/nlockmgr
  4. Si le système ne monte pas de fichiers, vous pouvez désactiver le service client NFS ou désinstaller son package.

    Le service client NFS est nécessaire uniquement si le système monte des fichiers à partir d'un serveur NFS. Pour plus d'informations, reportez-vous à la page de manuel mount_nfs(1M).

    # svcadm disable svc:/network/nfs/client
  5. Désactivez le service de serveur NFS sur un système qui n'est pas un serveur de fichiers NFS.

    Le service de serveur NFS traite les demandes du système de fichiers client via NFS versions 2, 3 et 4. Si ce système n'est pas un serveur NFS, désactivez le service.

    # svcadm disable svc:/network/nfs/server
  6. Si vous n'utilisez pas FedFS pour les enregistrements DNS SRV ou les références LDAP, désactivez le service.

    Le service client FedFS (système de fichiers fédéré) gère les valeurs par défaut et les informations de connexion pour les serveurs LDAP qui stockent les informations FedFS.

    # svcadm disable svc:/network/nfs/fedfs-client
  7. Désactivez le service rquota.

    Le serveur de quotas remote renvoie des quotas pour un utilisateur d'un système de fichiers local qui est monté via NFS. Les résultats sont utilisés par quota(1M) pour afficher des quotas utilisateur pour les systèmes de fichiers distants. Le démon rquotad(1M) est généralement appelé par inetd(1M). Le démon fournit des informations sur le réseau à d'éventuels utilisateurs malveillants.

    # svcadm disable svc:/network/nfs/rquota
  8. Désactivez le service cbd.

    Le service cbd gère les points d'extrémité de communication pour le protocole NFS version 4. Le démon nfs4cbd(1M) s'exécute sur le client NFS version 4 et crée un port d'écoute pour les rappels.

    # svcadm disable svc:/network/nfs/cbd
  9. Désactivez le service mapid si vous n'utilisez pas NFSv4.

    Le service du démon de mappage d'ID de groupe et d'utilisateur NFS effectue la mise en correspondance avec les attributs d'identification NFS version 4 owner et owner_group et les numéros UID et GID locaux utilisés à la fois par le client et le serveur NFS version 4.

    # svcadm disable svc:/network/nfs/mapid
  10. Désactivez le service ftp.

    Le service FTP fournit un service de transfert de fichiers non chiffré et utilise l'authentification en texte brut. Utilisez le programme de copie sécurisé scp(1) au lieu de ftp, car il fournit une authentification et un transfert de fichiers chiffrés.

    # svcadm disable svc:/network/ftp:default
  11. Désactivez le service du gestionnaire de volumes distants.

    Le gestionnaire de volumes amovibles est un gestionnaire de volumes HAL qui peut automatiquement monter et démonter un média amovible et un périphérique de stockage remplaçable à chaud. Les utilisateurs risquent d'importer des programmes malveillants ou de transférer des données sensibles hors du système. Pour plus d'informations, reportez-vous à la page de manuel rmvolmgr(1M).

    Ce service fonctionne uniquement dans la zone globale.

    # svcadm disable svc:/system/filesystem/rmvolmgr
  12. Désactivez le service smserver.

    Le service smserver permet d'accéder à des périphériques de média amovibles.

    # svcadm disable rpc/smserver:default
  13. Indiquez pam_deny.so.1 comme module pour la pile d'authentification pour les services r-protocol dans le répertoire /etc/pam.d.

    Par défaut, les services hérités tels que r-protocols, rlogin(1) et rsh(1), ne sont pas installés. Toutefois, ces services sont définis dans /etc/pam.d. Si vous supprimez les définitions de service de /etc/pam.d, les services utilisent les autres services (SSH, par exemple) en cas d'activation des services hérités.

    # cd /etc/pam.d
# cp rlogin rlogin.orig
# pfedit rlogin
auth definitive pam_deny.so.1
auth sufficient pam_deny.so.1
auth required pam_deny.so.1
# cp rsh rsh.orig
# pfedit rsh
auth definitive pam_deny.so.1
auth sufficient pam_deny.so.1
auth required pam_deny.so.1
  14. Modifiez le fichier /etc/default/keyserv pour remplacer la valeur de ENABLE_NOBODY_KEYS par NO.

    Le service keyserv ne peut pas utiliser la clé utilisateur nobody. Par défaut, la valeur de ENABLE_NOBODY_KEYS est YES.

    # pfedit /etc/default/keyserv
. . .
ENABLE_NOBODY_KEYS=NO
  15. Ajoutez des utilisateurs au fichier ftpusers pour limiter l'accès ftp.

    Les transferts de fichiers FTP ne doivent pas être accessibles à tous les utilisateurs et doivent nécessiter l'intervention d'utilisateurs qualifiés qui indiquent leur nom et leur mot de passe. En général, les utilisateurs système ne doivent pas être autorisés à utiliser FTP. Cette vérification contrôle que les comptes système sont inclus dans le fichier /etc/ftpd/ftpusers, afin qu'ils ne soient pas autorisés à utiliser FTP.

    Le fichier /etc/ftpd/ftpusers permet d'empêcher des utilisateurs d'utiliser le service FTP. Incluez au minimum tous les utilisateurs système, comme root, bin, adm, etc.

    # pfedit /etc/ftpd/ftpusers
....
root
daemon
bin
...
  16. Définissez un masque de création de fichier par défaut renforcé pour les fichiers créés par le serveur FTP.

    Le serveur FTP n'utilise pas nécessairement le masque de création de fichier système de l'utilisateur. La définition du masque de création de fichier utilisateur FTP garantit que les fichiers transmis via FTP utilisent un masque de création de fichier utilisateur renforcé.

    # pfedit /etc/proftpd.conf
Umask          027
  17. Désactivez les réponses aux demandes de topologie réseau.

    Il est important de désactiver les réponses aux demandes d'écho. Les demandes ICMP sont gérées à l'aide de la commande ipadm.

    Ces paramètres empêchent la dissémination d'informations relatives à la topologie réseau. 

    # ipadm set-prop -p _respond_to_echo_multicast=0 ipv4
# ipadm set-prop -p _respond_to_echo_broadcast=0 ip
  18. Désactivez les messages de redirection ICMP.

    Les routeurs utilisent les messages de redirection ICMP afin d'informer les hôtes de l'existence de routes plus directes vers une destination. Un message de redirection ICMP illicite risque de provoquer une attaque Man-in-the-middle. 

    # ipadm set-prop -p _ignore_redirect=1 ipv4
  19. Désactivez mesg(1) pour empêcher l'accès talk(1) et write(1) aux terminaux distants. 
    # mesg -n
  20. (Facultatif) Passez en revue et désactivez les services inutiles en écoute sur le réseau.

    Par défaut, ssh(1) est le seul service réseau qui peut envoyer et recevoir des paquets réseau.

    # svcadm disable FMRI_of_unneeded_service
Copyright © 2016, Oracle et/ou ses affiliés. Tous droits réservés. 
Précédent
Suivant