Chapitre 6. Sécurité
Traitement autoritaire des correspondances lors des recherches d'entrée d'utilisateurs sudo
L'utilitaire sudo est en mesure de consulter le fichier
/etc/nsswitch.conf
en recherchant des entrées sudo et de les rechercher dans des fichiers ou en utilisant LDAP. Auparavant, lorsqu'une correspondance était trouvée dans la première base de données des entrées sudo, l'opération continuait toujours dans d'autres bases de données (y compris dans des fichiers). Dans Red Hat Enterprise Linux 6.4, une option a été ajoutée au fichier /etc/nsswitch.conf
qui permet aux utilisateurs de spécifier une base de données à partir de laquelle une correspondance d'entrées sudo sera suffisante. Ceci élimine le besoin de rechercher toute autre base de données, améliorant ainsi la performance des recherches d'entrées sudo dans des environnements de grande taille. Ce comportement n'est pas activé par défaut et doit être configuré en ajoutant la chaîne [SUCCESS=return]
après la base de données sélectionnée. Lorsqu'une corresondance est trouvée dans une base de données qui précede directement cette chaîne, la recherche ne d'effectuera dans aucune autre base de données.
Vérifications supplémentaires de mot de passe pour pam_cracklib
Le module
pam_cracklib
a été mis à jour afin d'ajouter de multiples vérifications de la sécurité des mots de passe :
- Certaines stratégies d'authentification n'autorisent pas les mots de passe contenant de longues séquences continues, comme « abcd » ou « 98765 ». Cette mise à jour offre la possibilité de limiter la longueur maximum de ces séquences, grâce à l'utilisation de la nouvelle option
maxsequence
. - Le module
pam_cracklib
permet maintenant de vérifier si un nouveau mot de passe contient des mots du champ GECOS provenant d'entrées dans le fichier/etc/passwd
. Le champ GECOS est utilisé pour stocker des informations supplémentaires sur l'utilisateur, comme le nom et nom de famille de l'utilisateur ou un numéro de téléphone, qui pourraient être utilisés par une personne malveillante dans le but de craquer le mot de passe. - Le module
pam_cracklib
permet maintenant de spécifier le nombre maximum autorisé de caractères consécutifs de la même classe (minuscules, majuscules, chiffres et caractères spéciaux) dans un mot de passe grâce à l'optionmaxrepeatclass
. - Le module
pam_cracklib
prend maintenant en charge l'optionenforce_for_root
, qui applique des restrictions de complexité sur les nouveaux mots de passe du compte root.
Option « Size » (de taille) pour Polyinstantiation tmpfs
Sur un système avec de multiple montages tmpfs, il est nécessaire de limiter leur taille afin de les empêcher d'occuper toute la mémoire système. PAM a été mis à jour pour permettre aux utilisateurs de spécifier la taille maximum du montage du système de fichiers tmpfs lors de l'utilisation de la polyinstantiation tmpfs avec l'option
mntopts=size=<size>
dans le fichier de configuration /etc/namespace.conf
.
Verrouillage de comptes inactifs
Certaines stratégies d'authentification requièrent la prise en charge du verrouillage d'un compte qui n'a pas été utilisé depuis un certain moment. Red Hat Enterprise Linux 6.4 présente une fonction supplémentaire au module
pam_lastlog
, qui permet aux utilisateurs de verrouiller les comptes après un nombre de jours configurable.
Nouveaux modes d'opération pour libica
La bibliothèque
libica
, qui contient un ensemble de fonctions et utilitaires pour accéder au matériel ICA (« IBM eServer Cryptographic Accelerator ») sur IBM System z, a été modifiée pour autoriser l'utilisation de nouveaux algorithmes qui prennent en charge les instructions Message Security Assist Extension 4 dans le CPACF (« Central Processor Assist for Cryptographic Function »). Pour les chiffrements par bloca DES et 3DES, les modes d'opération suivants sont maintenant pris en charge :
- Chaînage de chiffrement de blocs (CBC, « Cipher Block Chaining ») avec vol de texte chiffré (CS, « Ciphertext Stealing »)
- Code d'authentification de messages basé sur chiffrement (CMAC, « Cipher-based Message Authentication Code »)
Pour le chiffrement de blocs AES, les modes d'opération suivants sont maintenant pris en charge :
- Chaînage de chiffrement de blocs (CBC, « Cipher Block Chaining ») avec vol de texte chiffré (CS, « Ciphertext Stealing »)
- « Counter » (contrer) avec le code d'authentification des messages du chaînage de chiffrement de blocs (CCM, « Cipher Block Chaining Message Authentication Code »)
- Galois/Counter (GCM)
Cette accélération d'algorithmes de chiffrement complexe améliore la performance des machines IBM System z de manière significative.
Optimisation et prise en charge de la bibliothèque Compression zlib
pour System z
La bibliothèque zlib, une bibliothèque de compression de données sans perte a utilisation générale, a été mise à jour afin d'améliorer la performance de la compression sur IBM System z.
Configuration du pare-feu de secours
Les services
iptables
et ip6tables
offrent maintenant la possibilité d'assigner une configuration de pare-feu de secours si les configurations par défaut ne peuvent pas être appliquées. Si l'application des règles de pare-feu de /etc/sysconfig/iptables
échoue, le fichier de secours est appliqué, s'il existe. Le fichier de secours est nommé /etc/sysconfig/iptables.fallback
et utilise le format de fichier iptables-save
(comme /etc/sysconfig/iptables
). Si l'application du fichier de secours échoue aussi, alors il n'y aura pas de fichier de secours supplémentaire. Pour créer un fichier de secours, veuillez utiliser les outils de configuration de pare-feu standard et copier ou renommer le fichier sur le fichier de secours. Veuillez utiliser le même processus pour le service ip6tables
, remplacez toutes les occurrences de « iptables » par « ip6tables » uniquement.