Julien Thomas - TELECOM Bretagne
|
|
Julien Thomas - TELECOM Bretagne
|
|
|
Informations
Déploiement d'applications
Sécurité des applications
Sécurité SELinux
|
Contrôle des accès aux répertoires partagés (NFS)Afin d'améliorer les contrôles au niveau du serveur NFS, le principe de moindre énoncé dans l'analyse de la sécurité est à appliquer au niveau de l'exportation. En effet, il n'est par exemple pas nécessaire d'exporter /home-nfs/mailbox sur le serveur mv1. De ce fait, un blocage du montage (i.e. 10.133.14.11 n'appartient pas à la liste des adresses IP autorisées) permet donc de protéger le serveur NFS contre une quelconque corruption de ce serveur (même au niveau root, ce qui n'est pas le cas sinon). #/etc/exports: NFS filesystems being exported. See exports (5) . # #HOME directories /home-nfs/accounts 10.133.14.11 (rw , subtree_check , sync ) /home-nfs/accounts 10.133.14.12 ( rw , subtree_check , sync ) /home-nfs/accounts 10.133.14.13 ( rw , subtree_check , sync ) # #mails /home-nfs/mailbox 10.133.14.12 ( rw , subtree_check , sync ) /home-nfs/mailbox 10.133.14.13 ( rw , subtree_check , sync ) Il est toutefois à noter qu'en raison des limitations actuelles, différentes propriétés de sécurité ne sont pas respectées par le serveur NFS. Il s'agit de l'authentification du serveur (les destinataires sont identifiés par leur adresse IP) et de la confidentialité des données.
«Design-by-assumption works as long as assumptions hold. Assumptions are
shortcuts to useful efficiencies, provided they are not violated. »
|