Veille Technologique Sécurité - cert devoteam
Veille Technologique Sécurité - cert devoteam
Veille Technologique Sécurité - cert devoteam
Create successful ePaper yourself
Turn your PDF publications into a flip-book with our unique Google optimized e-Paper software.
Avril 2001<br />
La NSA lance à ce sujet un appel à volontariat pour traiter les tâches suivantes dont:<br />
- L'intégration d'IPSEC avec un contrôle d'accès réseau mandataire,<br />
- L'intégration du contrôle d'accès mandataire dans NFS,<br />
- La simplification et amélioration du système de configuration des politiques de sécurité,<br />
- La réalisation des tests de conformité et de performance,<br />
- L'implémentation de l'ensemble contrôles d'accès mandataires décrit dans le document original,<br />
- L'implémentation de la polyinstanciation des répertoires et des ports,<br />
- L'intégration des mécanismes de notification,<br />
- L'intégration d'un système de fichier cryptographique avec contrôle d'accès mandataire,<br />
- L'implémentation des SID,<br />
- …<br />
En pratique, l'utilisateur final d'un système LINUX SE ne verra quasiment aucune différence à l'exception de<br />
l'apparition de la commande 'newrole' et de la modification du comportement de 12 utilitaires 'sensibles': 'chcon' ,<br />
'df' , 'find', 'id', 'install', 'killall', 'ls', 'mkdir', 'mknod', 'mkfifo', 'ps', 'pstree', 'runas' et 'tar'.<br />
Le développeur aura, lui, un travail de remise en cause conséquent, la version courante de Linux SE intégrant 50<br />
nouveaux appels systèmes acceptant pour la plupart un nouvel argument: le SID ou Security Identifier. Les<br />
exemples de programmation fournis avec la distribution permettent de se rendre compte de la complexité des<br />
nouveaux mécanismes d'autorisation.<br />
Linux SE est délivré sous la forme d'une distribution source complète de 31Mo contenant le Noyau 2.4.2 modifié,<br />
les utilitaires, les programmes de test et des exemples de politiques de sécurité. La documentation (1Mo) et les<br />
correctifs élémentaires ( 430Ko) dont ceux applicables aux noyaux 2.2.18 et 2.4.2 peuvent être téléchargés<br />
indépendamment.<br />
* propriété dite '*' permettant d'éviter le problème de la déclassification<br />
Complément d'information<br />
http://www-106.ibm.com/developerworks/library/s-selinux/?n-s-381<br />
http://www.cs.utah.edu/flux/fluke/html/flask.html<br />
http://www.nsa.gov/selinux/docs.html<br />
<strong>Veille</strong> <strong>Technologique</strong> <strong>Sécurité</strong> N°33 Page 8/59<br />
© APOGEE Communications - Tous droits réservés Diffusion restreinte aux clients abonnés aux services VTS-RAPPORT et VTS-ENTREPRISE