Page suivante
Page pr�c�denteTable des mati�res
J'essaie de couvrir ici les trous de s�curit� naissant de cette mise en oeuvre en particulier, et des VPNs en g�n�ral. Tous les commentaires seront vivement appreci�s.
- sudo : en fait, j'utilise sudo de mani�re excessive. Je crois que c'est toujours plus s�r que d'utiliser les bits setuid. C'est encore un inconv�nient de Linux de n'avoir pas un contr�le d'acc�s plus rigoureux. On attend la compatibilit� avec POSIX.6 <http://www.xarius.demon.co.uk/software/posix6/>. Ce qui est pire, c'est qu'il y a des scripts shell qui vont �tre lanc�s avec sudo. Plut�t mauvais. Quelqu'un a une idee ?
- pppd : lui aussi lance suid root. Il peut �tre configur� par le .ppprc de l'utilisateur. Il se pourrait qu'il y ait de beaux d�passements de la m�moire tampon. Ligne de d�fense : s�curisez votre compte esclave autant que possible.
- ssh : faites attention au fait que les versions de ssh ant�rieures � la 1.2.20 contiennent des trous de s�curit�. Pire, nous avons �tabli une configuration telle que lorsque le compte ma�tre a �t� compromis, le compte esclave l'est lui aussi, et est grand ouvert aux attaques utilisant des programmes lanc�s avec sudo. C'est parce que j'ai choisi de ne pas avoir de mot de passe sur la cl� secr�te du ma�tre pour permettre la configuration automatique du VPN.
- firewall : avec des r�gles de firewall incorrectes sur un des bastions, vous ouvrez les deux intranets. Je recommande d'utiliser le camouflage d'adresse IP (car l'installation de routes incorrectes est un peu moins �vidente), et faire des contr�les tr�s s�rieux sur les interfaces VPN.
Page suivante
Page pr�c�denteTable des mati�resHosting by: Hurra Communications GmbH
Generated: 2007-01-26 18:01:38