• Aucun résultat trouvé

Sécurité en MAC OS X [Nom du professeur]

N/A
N/A
Info
Télécharger
Protected

Academic year: 2022

Partager "Sécurité en MAC OS X [Nom du professeur]"

Copied!
7
0
0

Chargement.... (Voir le texte intégral maintenant)

Texte intégral

(1)

Sécurité en MAC OS X

[Nom du professeur]

Pauline Donon

(2)

1 

Table des matières

Open Directory ... 3

MAC OS X Server ... 4

Server maître Open Directory ... 4

Intégration en environnement hétérogène ... 5

Intégration de SMB : ... 5

Active Directory : ... 5

Exchange : ... 5

Intégration d’AFP ... 5

Active Directory ... 5

Gestion des problèmes ... 5

Les types de polices ... 5

(3)

2 

Sécurité en MAC OS X

[Nom du professeur]

Les dossiers n’ont pas les mêmes noms en fonction de la langue du système. L’administrateur, c’est un sudoer.

Comptes : Standard

Contrôlé (protection parentale) Administrateur

root  pas dans l’interface graphique

Le trousseau : stockage des mots de passes utilisés couramment. Fichier chiffré (par quoi ? il ne sait pas !)

Gérer le trousseau en ligne de commande : %security.

FileVault : chiffrer le contenu du dossier de départ (~) en AES-128. Il faut un administrateur pour le créer. Le mot de passe maître permet à l’administrateur d’ouvrir le dossier. Ce mot de passe est stocké dans le trousseau système.  Pas beaucoup utilisé.

Programme sous MAC est en .app, c’est un paquet.

Dans le firewall applicatif, les ports sont gérés par application.

Les ACL sont implémentées depuis la version 10.4. On a aussi la signature numérique des programmes.

La NSA nous dit comment rendre notre MAC sécurisé : http://tinyurl.com/macnsa Sur MAC, il n’y a pas de virus. (pffff)

Sophos  antivirus pour les boites.

Les sauvegardes :

Dossiers utilisateurs Dossier /Bibliothèque/

/var /etc

/Applications Sauvegarde en GUI :

(4)

3  Time Machine

Retrospect (plus trop utilisé  migration MAC OS 10 mal passée) Atempo Time Navigator (axé entreprise)

Backbone NetVault (axé entreprise)

BRU  il faut connaître la ligne de commande. L’interface graphique est pourrie.

La configuration réseau est basée sous FreeBSD mais n’est pas pareil.

AppleTalk  Plus trop utilisé.

Configuration en ligne de commande : networksetup.

Les configurations réseau sont stockées dans : /Library/Preferences/SystemConfiguration Bonjour : détection de services.

Chaque MAC va avoir un nom DNS local (nom de l’ordinateur). On peut le pinger.

mDNS  multicast DNS. Ca correspond à Bonjour.

WideAreaBonjour : Affichage d’information par Internet. En gros, on voit ses bornes à travers Internet.

Bonjour est souvent vu comme un problème de sécurité mais il est désactivable.

VPN : géré en standard. En commercial : VPNTracker, MAC OS X Server, Cisco VPN Client, Zyxel NetExtender

Open Directory

C’est le nom marketing pour designer toutes les technologies de service d’annuaire de MAC OS 10. C’est une architecture ouverte à plugins. On fait des recherches d’information dans des bases aussi bien locale que réseau. Il y a une possibilité d’intégration dans des domaines hétérogènes.

Tout est géré par un seul service : DirectoryService.

C’est un démon. Si on le tue, il se redémarre tout seul. L’authentification locale est toujours prioritaire par rapport au réseau. On peut toutefois désactiver le compte administrateur local.

Commandes utiles : dsconfigldap, dsconfigad, dscl, dscacheutil On a 4 types de comptes :

Locaux  /var/db/dslocal/Nodes/Default/users (compte) et /var/db/Shadow/hash (pass) Réseau  dans un annuaire réseau (dans un serveur de fichier)

Mobiles  défini dans l’annuaire réseau mais peut être dupliqué dans la base local (mais avec les politiques de sécurité de l’annuaire). Données synchronisées avec les serveur (un home doit être défini sur le réseau)

(5)

4  Externes  comme un compte mobile mais les données d’authentification peuvent être sur un disque externe.

MAC OS X Server

Buts :

Echange de fichiers (AFP, FTP, SMB, NFS, WebDAV)

Partage d’informations (iChat, Contacts, Calendriers, Wiki, Blog)

Centralisation et sécurisation de services (Kerberos, Open Directory, etc.) Gérer le réseau (DHCP, DNS, etc.)

Ces services sont inclus dans la version standard de MAC OS X Server. On peut installer MAC OS X Server aussi bien en local qu’à distance.

Il y a 3 modes d’installation :

Standard (OpenDirectory par défaut) Groupe de travail

Avancé (on ne peut plus rétrograder après)

Le modèle d’ACL utilisé est le même que celui de Windows  Compatibilité parfaite.

Server maître Open Directory

C’est du Open LDAP (slapd Berkeley DB), Password Server, Kerberos Pour la replication, c’est du slupd.

Quand on monte un serveur maître Open Directory, il faut un DNS qui tourne bien derrière ! Dans Password Server : Pour chaque compte, on a :

UUID de l’utilisateur

Mot de passe stocké sous forme texte clair ou chiffré Nom court de l’utilisateur

Horodatage, Autres infos…

Politique de mot de passe

pwpolicy permet de visualiser et définir des politiques de mot de passe.

Sous Windows : GPO, sous Apple : MCX (Manage Client for X).

Ce sont des fichiers plist (protégés XML) qui sont mis en cache (/Library/Managed PReferences).

La gestion est gérée par le Workgroup Manager. Le manifeste de préférence est intégré aux applications. Il y a une application dans /System/library/CoreServices/ManagedClient pour augmenter les possibilités de gestion.

(6)

5 

Intégration en environnement hétérogène Intégration de SMB :

Partage de fichiers Accès aux serveurs Imprimantes Samba ! /etc/smb.conf

Peu de modifications pour Mac OS X

MAC OS X Server : Primary Data Controler et BDC (il faut qu’il soit une réplique de serveur Open Directory)

Active Directory :

Intégration via plug-in Open Directory Respect des configurations de sécurité AD Trusted Binding

dsconfigad  Pour aller plus loin dans la liaison Pas de DFS  ADmitMac est une bonne solution

Il est bien de faire une branche spéciale pour les macs dans l’AD.

Dans AD, il n’y pas de gestion des MCX. Pour gérer le support étendu il y a un produit : Centrify.

Le triangle magique permet d’apporter la partie manquante de la gestion des macs (on s’authentifie sur le serveur AD mais on récupère les préférences sur le serveur mac).

Exchange :

Support partiel dans le mail. Si on veut plus, on a Microsoft Entourage (m’ai c’est quand même pas 100%).

Serveur Exchange 2007 obligatoire pour que ça marche.

Intégration d’AFP

Active Directory

Compatible Kerberos

Gestion des problèmes Les types de polices

Le PostScript est un langage pour imprimante basé sur les courbes des Beziers. C’est du Adobe.

TrueType  Apple et Miscrosoft. Un seul fichier qui gère toutes les tailles et imprimante/écran.

DataFont : Polices où toutes les plages de données sont regroupées.

(7)

6  OpenType  Microsoft et Adobe. Polices codées en minicode. Multiplateforme.

Les polices sont des logiciels ! Elles sont soumises à des licences logicielles.

Elles endommagent la stabilité des systèmes.

La gestion des licences est hyper compliquée.

Les caches de police peuvent créer des problèmes.

Elles sont stockées dans /Library/Fonts/

Gestion des polices : http://tinyurl.com/policesmac atsutil permet de gérer les polices en ligne de commande.

Gérer les disques : diskutil Gérer les images disques : hdiutil Gestion de l’énergie : pmset

Dire qu’un système est bootable : bless

Gérer les fichiers de préférences : pmutil et defaults.

Références

Télécharger maintenant ( PDF - 7 Page - 159.68 KB )

Documents relatifs

Mac OS ® X

Applications that you installed simply by dragging a folder or icon into your hard drive most likely only have a Preferences file. Move the files found in Steps 2 and 3 to the

ANNUAIRE SANTÉ ET BIEN-ÊTRE

Ce document rassemble de manière volontaire des professionnels libéraux et des professionnels du secteur public afin de donner au patient la vision la plus

ANNUAIRE DU RÉSEAU 2020

Annuaire Réseau Infor Jeunes - Édition 2020 15 Laura ROSSI Chargée de communication. et

Eléments de base de la sécurité des bases de données

Ainsi, outre les méca- nismes de sécurité qui peuvent être mis en place sur un site par un administrateur système et réseau, la sécurité au sein d’un serveur de données

Annuaire Annuaire

Les Services de Soins Infirmiers A Domicile (SSIAD) assurent, sur prescription médicale, les soins infirmiers et d’hygiène générale et l’aide dans les actes essentiels de

Annuaire Annuaire

Ces Structures qui prennent en charge Enfants et Adolescents se répartissent selon la nécessité ou non d’une orientation par la Commission des Droits et de l’Autonomie des

Installation serveur sur Mac Os X

Si vous souhaitez que votre serveur BIMoffice se lance automatiquement au démarrage de la machine serveur, effectuez un clic droit dans le Dock sur l’icône de

Î Î ANNUAIRE ANNUAIRE

Crue maximale observde Pluviométrie moyenne Volume écould.