Il y a une vingtaine d'années que le mécanismes RPC et NFS ont été conçus. À cette époque la sécurité n'était pas une préoccupation aussi présente dans le système d'information. Il a donc fallu appliquer des fonctions de sécurité sur des protocoles qui n'étaient pas prévus pour.
On distingue 2 catégories dans les traitements de sécurisation :
Le service portmap ne
dispose d'aucun mécanisme interne de sécurité. C'est la raison pour
laquelle on lui associe les utilitaires TCP
wrapper qui «encadrent» les accès aux appels
RPC.
Il faut ajouter que l'affectation dynamique de numéro de port pour
les montages NFS ne facilite pas la configuration des
pare-feux. C'est encore une raison pour encadrer le fonctionnement de
portmap. Jusqu'à la version 3 du
protocole NFS on essaie de fixer à l'avance le numéro
de port utilisé par le service mountd. À partir de la version 4,
l'affectation dynamique est abandonnée au profit d'un numéro de port
unique : tcp/2049.
Dans un premier temps, le serveur NFS définit la liste des clients autorisés à accéder à son système de fichiers. Ensuite, une fois l'opération de montage effectuée, les échanges NFS bénéficient «naturellement» du masque de permissions de tous les objets du système de fichiers.
Jusqu'à la version 3 du protocole NFS aucun contrôle de confidentialité ou d'intégrité n'est effectué sur les échanges réseau. À partir de la version 4, des services de chiffrement ont été ajoutés pour chiffrer les flux et garantir l'intégrité des informations échangées.
|
1. |
Quel est le paquet qui contient les outils TCP wrapper ? |
|
Interroger les méta-données dans le cache du gestionnaire de
paquet avec la commande apt-cache en cherchant les
mots clés |
|
|
2. |
Quels sont les fichiers de configuration qui fixent les conditions d'accès aux services contrôlés par les TCP wrappers ? |
|
Consulter les pages de manuels des outils TCP wrapper. |
|
|
3. |
Quel est l'outil qui permet de valider la syntaxe des fichiers de configuration en affichant l'état courant des contrôles d'accès ? |
|
Consulter la liste des fichiers du paquet. |
|
|
4. |
Quel est le fichier de configuration à éditer pour limiter l'accès aux appels RPC au réseau local utilisé ? |
|
Utiliser les pages de manuels et les exemples du support Linux NFS-HOWTO. |
|
|
5. |
Au niveau serveur, quelles sont les options d'exportation à utiliser pour s'assurer que le client ne pourra pas effectuer d'opération d'administration sur les objets de l'arborescence exportée ? |
|
Utiliser les recommandations du support Linux NFS-HOWTO. |
![[Linux France logo]](./../../images/lf-petit.png)
Vous êtes ici : 