Sécurité en MAC OS X
[Nom du professeur]
Pauline Donon
1
Table des matières
Open Directory ... 3
MAC OS X Server ... 4
Server maître Open Directory ... 4
Intégration en environnement hétérogène ... 5
Intégration de SMB : ... 5
Active Directory : ... 5
Exchange : ... 5
Intégration d’AFP ... 5
Active Directory ... 5
Gestion des problèmes ... 5
Les types de polices ... 5
2
Sécurité en MAC OS X
[Nom du professeur]
Les dossiers n’ont pas les mêmes noms en fonction de la langue du système. L’administrateur, c’est un sudoer.
Comptes : Standard
Contrôlé (protection parentale) Administrateur
root pas dans l’interface graphique
Le trousseau : stockage des mots de passes utilisés couramment. Fichier chiffré (par quoi ? il ne sait pas !)
Gérer le trousseau en ligne de commande : %security.
FileVault : chiffrer le contenu du dossier de départ (~) en AES-128. Il faut un administrateur pour le créer. Le mot de passe maître permet à l’administrateur d’ouvrir le dossier. Ce mot de passe est stocké dans le trousseau système. Pas beaucoup utilisé.
Programme sous MAC est en .app, c’est un paquet.
Dans le firewall applicatif, les ports sont gérés par application.
Les ACL sont implémentées depuis la version 10.4. On a aussi la signature numérique des programmes.
La NSA nous dit comment rendre notre MAC sécurisé : http://tinyurl.com/macnsa Sur MAC, il n’y a pas de virus. (pffff)
Sophos antivirus pour les boites.
Les sauvegardes :
Dossiers utilisateurs Dossier /Bibliothèque/
/var /etc
/Applications Sauvegarde en GUI :
3 Time Machine
Retrospect (plus trop utilisé migration MAC OS 10 mal passée) Atempo Time Navigator (axé entreprise)
Backbone NetVault (axé entreprise)
BRU il faut connaître la ligne de commande. L’interface graphique est pourrie.
La configuration réseau est basée sous FreeBSD mais n’est pas pareil.
AppleTalk Plus trop utilisé.
Configuration en ligne de commande : networksetup.
Les configurations réseau sont stockées dans : /Library/Preferences/SystemConfiguration Bonjour : détection de services.
Chaque MAC va avoir un nom DNS local (nom de l’ordinateur). On peut le pinger.
mDNS multicast DNS. Ca correspond à Bonjour.
WideAreaBonjour : Affichage d’information par Internet. En gros, on voit ses bornes à travers Internet.
Bonjour est souvent vu comme un problème de sécurité mais il est désactivable.
VPN : géré en standard. En commercial : VPNTracker, MAC OS X Server, Cisco VPN Client, Zyxel NetExtender
Open Directory
C’est le nom marketing pour designer toutes les technologies de service d’annuaire de MAC OS 10. C’est une architecture ouverte à plugins. On fait des recherches d’information dans des bases aussi bien locale que réseau. Il y a une possibilité d’intégration dans des domaines hétérogènes.
Tout est géré par un seul service : DirectoryService.
C’est un démon. Si on le tue, il se redémarre tout seul. L’authentification locale est toujours prioritaire par rapport au réseau. On peut toutefois désactiver le compte administrateur local.
Commandes utiles : dsconfigldap, dsconfigad, dscl, dscacheutil On a 4 types de comptes :
Locaux /var/db/dslocal/Nodes/Default/users (compte) et /var/db/Shadow/hash (pass) Réseau dans un annuaire réseau (dans un serveur de fichier)
Mobiles défini dans l’annuaire réseau mais peut être dupliqué dans la base local (mais avec les politiques de sécurité de l’annuaire). Données synchronisées avec les serveur (un home doit être défini sur le réseau)
4 Externes comme un compte mobile mais les données d’authentification peuvent être sur un disque externe.
MAC OS X Server
Buts :
Echange de fichiers (AFP, FTP, SMB, NFS, WebDAV)
Partage d’informations (iChat, Contacts, Calendriers, Wiki, Blog)
Centralisation et sécurisation de services (Kerberos, Open Directory, etc.) Gérer le réseau (DHCP, DNS, etc.)
Ces services sont inclus dans la version standard de MAC OS X Server. On peut installer MAC OS X Server aussi bien en local qu’à distance.
Il y a 3 modes d’installation :
Standard (OpenDirectory par défaut) Groupe de travail
Avancé (on ne peut plus rétrograder après)
Le modèle d’ACL utilisé est le même que celui de Windows Compatibilité parfaite.
Server maître Open Directory
C’est du Open LDAP (slapd Berkeley DB), Password Server, Kerberos Pour la replication, c’est du slupd.
Quand on monte un serveur maître Open Directory, il faut un DNS qui tourne bien derrière ! Dans Password Server : Pour chaque compte, on a :
UUID de l’utilisateur
Mot de passe stocké sous forme texte clair ou chiffré Nom court de l’utilisateur
Horodatage, Autres infos…
Politique de mot de passe
pwpolicy permet de visualiser et définir des politiques de mot de passe.
Sous Windows : GPO, sous Apple : MCX (Manage Client for X).
Ce sont des fichiers plist (protégés XML) qui sont mis en cache (/Library/Managed PReferences).
La gestion est gérée par le Workgroup Manager. Le manifeste de préférence est intégré aux applications. Il y a une application dans /System/library/CoreServices/ManagedClient pour augmenter les possibilités de gestion.
5
Intégration en environnement hétérogène Intégration de SMB :
Partage de fichiers Accès aux serveurs Imprimantes Samba ! /etc/smb.conf
Peu de modifications pour Mac OS X
MAC OS X Server : Primary Data Controler et BDC (il faut qu’il soit une réplique de serveur Open Directory)
Active Directory :
Intégration via plug-in Open Directory Respect des configurations de sécurité AD Trusted Binding
dsconfigad Pour aller plus loin dans la liaison Pas de DFS ADmitMac est une bonne solution
Il est bien de faire une branche spéciale pour les macs dans l’AD.
Dans AD, il n’y pas de gestion des MCX. Pour gérer le support étendu il y a un produit : Centrify.
Le triangle magique permet d’apporter la partie manquante de la gestion des macs (on s’authentifie sur le serveur AD mais on récupère les préférences sur le serveur mac).
Exchange :
Support partiel dans le mail. Si on veut plus, on a Microsoft Entourage (m’ai c’est quand même pas 100%).
Serveur Exchange 2007 obligatoire pour que ça marche.
Intégration d’AFP
Active Directory
Compatible Kerberos
Gestion des problèmes Les types de polices
Le PostScript est un langage pour imprimante basé sur les courbes des Beziers. C’est du Adobe.
TrueType Apple et Miscrosoft. Un seul fichier qui gère toutes les tailles et imprimante/écran.
DataFont : Polices où toutes les plages de données sont regroupées.
6 OpenType Microsoft et Adobe. Polices codées en minicode. Multiplateforme.
Les polices sont des logiciels ! Elles sont soumises à des licences logicielles.
Elles endommagent la stabilité des systèmes.
La gestion des licences est hyper compliquée.
Les caches de police peuvent créer des problèmes.
Elles sont stockées dans /Library/Fonts/
Gestion des polices : http://tinyurl.com/policesmac atsutil permet de gérer les polices en ligne de commande.
Gérer les disques : diskutil Gérer les images disques : hdiutil Gestion de l’énergie : pmset
Dire qu’un système est bootable : bless
Gérer les fichiers de préférences : pmutil et defaults.