Sécurité Du Démon Vcad; Pour Configurer Le Démon Vcad De Façon À Ce Qu'il S'exécute Sous Un Nom D'utilisateur Différent - Sun Microsystems Crypto Accelerator 4000 Guide De L'utilisateur Et D'installation

Sécurité du démon vcad
Le démon vcad utilisant un port TCP, certaines recommandations de sécurité
doivent être prises en compte.
Lors de l'exécution de vcad, le processus doit être lancé sous le nom d'un utilisateur
ne possédant pas les droits d'un superutilisateur, c'est-à-dire pas un compte UID0. Il
ne doit pas être possible de se connecter à ce compte utilisateur depuis le réseau. Ce
compte ne doit avoir ni mot de passe ou mot de passe verrouillé ni aucun shell de
connexion. L'entrée se trouvant dans le fichier /etc/shadow pour ce compte doit
comprendre NP ou *LK*.
Par défaut, le démon vcad tâche de démarrer avec son compte utilisateur. Le démon
vcad démarre correctement même si ce compte est désactivé, du moment que ce
dernier est présent sur le système. Exécutez les tâches suivantes pour configurer
manuellement vcad de façon à ce qu'il s'exécute sous un nom d'utilisateur différent.
Pour configurer le démon vcad de façon à ce qu'il s'exécute
sous un nom d'utilisateur différent
1. Configuration de l'accès en lecture/écriture pour /dev/vcactl.
Le démon vcad communique directement avec /dev/vcactl pour retransmettre
les données de commande et obtenir du microprogramme Crypto Accelerator 4000
de Sun les commandes d'entrée/sortie de stockage de clés. Les autorisations et la
propriété doivent être définies de façon à ce que seul le compte utilisateur dans
lequel s'exécute vcad puisse accéder à /dev/vcactl en lecture et en écriture. Par
défaut, le module vcactl est ajouté de façon à ce que les nœuds mineurs soient
détenus par le démon avec un droit d'accès en lecture et en écriture uniquement.
La façon la plus sûre de changer ces droits d'accès est d'utiliser rem_drv(1m) et
add_drv(1m) pour ré-enregistrer le module vcactl :
rem_drvvcactl
add_drv-m '* MODE USERGROUP' vcactl
Les désignateurs USER et GROUP doivent contenir les propriétés d'utilisateur et de
groupe désirées pour le nœud mineur du périphérique. MODE est le mode de fichier
du nœud mineur du périphérique. 0600 est le mode recommandé pour le module
vcactl. Voir les pages man de add_drv(1m) pour plus d'informations.
2. Configuration de l'accès aux stockages de clés en lecture/écriture
Afin que le démon vcad puisse exécuter des opérations d'E/S de stockage de clés, il
doit pouvoir accéder au répertoire de stockage spécifié dans sa configuration. Ce
répertoire de stockage de clés doit être accessible en lecture, écriture et exécution
Chapitre 4 Administration de la Carte Crypto Accelerator 4000 de Sun 93