Recommandations de sécurité pour l utilisation de Globus dans le Testbed V4 du 22/03/01

Transcription

1 Recommandations de sécurité pour l utilisation de Globus dans le Testbed V4 du 22/03/01! Objectif des recommandations de sécurité Actuellement les stations Globus sont installées sur les réseaux internes des laboratoires. Ce sont des machines de tests souvent plutôt plus ouvertes que le reste des stations du réseau local. Il ne faut pas fragilisée la sécurité du LAN en ouvrant des nouveaux trous de sécurité avec ces stations. Ces recommandations de sécurité ont pour but de restreindre les trous de sécurité occasionnés par la présence de station Globus sur le réseau local du laboratoire. Cf Sécurité et station Globus L utilisation des certificats ne sont pas le sujet de ces recommandations. Recommandations Les recommandations se situent à trois niveaux : 1. Architecture réseau S il existe il est recommandé d installer les stations Globus sur le LAN ou VLAN contenant les machines de tests du laboratoire. Afin d isoler le trafic de ces stations du reste du trafic local. Dans un premier temps, il est recommandé de ne pas inclure les stations dans une administration centralisée du laboratoire (utilisateurs, disques, ). C est à dire pas de NIS, AFS ou NFS, Architecture sécurisée simplifiée Internet Globus γ LAN de tests Routeur filtrant d entrée du laboratoire LANs de production

2 2. Configuration système Il est recommandé de dédier ces stations aux tests Globus. Et de les configurer avec le minimum de services réseau. 2.1 Principales recommandations Les principales recommandations sont : "!Faire le ménage dans l inetd.conf, enlever les services non utiles tels que rlogin, time, chargen Cf annexe A. "!Dans le répertoire rc.d et ses sous-répertoires stopper tous les démons inutiles RPC, NFS, HTTPD Utiliser le setup de Linux. En annexe B, vous trouverez une liste des services à démarrer. "!Configurer TCP_Wrapper pour limiter drastiquement les connexions telnet et ftp (interdiction complète ou limitation au réseau local). Cf annexe C. "!Verrouiller le compte globus. Annexe D "!Si besoin de telnet de l extérieur, utiliser plutôt SSF. "!Vérifier les logs de Globus. 2.2 Fichiers logs de Globus Tous les fichiers logs se trouve dans le répertoire : /deploy-dir/var Attention à la taille de ce répertoire. Voir en annexe D, les diffèrent fichiers de traces de Globus. 3. Filtres en entrée du laboratoire Il est nécessaire de mettre des filtres sur le routeur d accès du laboratoire. Attention, Globus supporte mal la translation d adresse. L équipe Globus recommande de ne pas utiliser NAT. Cf Internet LAN de test du laboratoire ACL Routeur filtrant d entrée du laboratoire La règle d écriture de l ACL à utiliser est du type «Tout ce qui n'est pas explicitement autorisé est interdit».

3 Côté serveur, Globus n utilise que certains ports TCP, seulement ces ports doivent rester ouverts au routeur. Actuellement, les ports référencés sont : 3.1 Globus côté serveur Ports serveurs standard: Gatekeeper TCP 2119 GRIS TCP 2135 Ports serveurs optionnels: GIIS TCP 2137 (configuration recommandée par le WP6) 3.2 Globus côté client Côté client, la station Globus doit être sécurisée comme toute autre station cliente. 3.3 Récapitulatif des ports utilisés Service (démons) Source Destination (ports serveur) (ports client) Gatekeeper 2119/tcp >1023 /tcp Commentaires GRIS 2135/tcp >1023 /tcp Grid Ressource Information Service GIIS 2137/tcp >1023 /tcp Grid Index Information Service Attention, un serveur Globus est généralement AUSSI un client Globus. 3.4 Filtres ACLs Cico en annexe E.

4 ANNEXES Annexe A /etc/inetd.conf inetd.conf This file describes the services that will be available through the INETD TCP/IP super server. To re-configure the running INETD process, edit this file, then send the INETD process a SIGHUP signal /27/93 Authors: Original taken from BSD UNIX 4.3/TAHOE. Fred N. van Kempen, <waltje@uwalt.nl.mugnet.org> Modified for Debian Linux by Ian A. Murdock <imurdock@shell.portal.com> Modified for RHS Linux by Marc Ewing <marc@redhat.com> <service_name> <sock_type> <proto> <flags> <user> <server_path> <args> Echo, discard, daytime, and chargen are used primarily for testing. To re-read this file after changes, just do a 'killall -HUP inetd' echo stream tcp nowait root internal echo dgram udp wait root internal discard stream tcp nowait root internal discard dgram udp wait root internal daytime stream tcp nowait root internal daytime dgram udp wait root internal chargen stream tcp nowait root internal chargen dgram udp wait root internal time stream tcp nowait root internal time dgram udp wait root internal These are standard services. Services autorisés par tcp-wrapper aux stations du réseau local et interdits aux reste du monde ftp stream tcp nowait root /usr/sbin/tcpd in.ftpd -l -a telnet stream tcp nowait root /usr/sbin/tcpd in.telnetd Shell, login, exec, comsat and talk are BSD protocols. shell stream tcp nowait root /usr/sbin/tcpd in.rshd login stream tcp nowait root /usr/sbin/tcpd in.rlogind exec stream tcp nowait root /usr/sbin/tcpd in.rexecd comsat dgram udp wait root /usr/sbin/tcpd in.comsat talk dgram udp wait nobody.tty /usr/sbin/tcpd in.talkd ntalk dgram udp wait nobody.tty /usr/sbin/tcpd in.ntalkd dtalk stream tcp wait nobody.tty /usr/sbin/tcpd in.dtalkd Pop and imap mail services et al pop-2 stream tcp nowait root /usr/sbin/tcpd ipop2d pop-3 stream tcp nowait root /usr/sbin/tcpd ipop3d imap stream tcp nowait root /usr/sbin/tcpd imapd

5 The Internet UUCP service. uucp stream tcp nowait uucp /usr/sbin/tcpd /usr/lib/uucp/uucico -l Tftp service is provided primarily for booting. Most sites run this only on machines acting as "boot servers." Do not uncomment this unless you *need* it. tftp dgram udp wait root /usr/sbin/tcpd in.tftpd bootps dgram udp wait root /usr/sbin/tcpd bootpd Finger, systat and netstat give out user information which may be valuable to potential "system crackers." Many sites choose to disable some or all of these services to improve security. finger stream tcp nowait nobody /usr/sbin/tcpd in.fingerd cfinger stream tcp nowait root /usr/sbin/tcpd in.cfingerd systat stream tcp nowait guest /usr/sbin/tcpd /bin/ps -auwwx netstat stream tcp nowait guest /usr/sbin/tcpd /bin/netstat -f inet Authentication identd is run standalone now auth stream tcp wait root /usr/sbin/in.identd in.identd -e -o linuxconf stream tcp wait root /bin/linuxconf linuxconf --http swat stream tcp nowait.400 root /usr/sbin/swat swat Pour Globus globus-gatekeeper stream tcp nowait root /opt/globus/sbin/globus-gatekeeper ➊ globus-gatekeeper -conf /opt/globus/etc/globus-gatekeeper.conf

6 Annexe B Services à démarrer La commande setup est à exécuter par root. Dans l interface semi-graphique, il vous faut cocher les services à démarrer lors du boot du système. Voici une liste de services à démarrer (donc à cocher dans l interface du setup) : Service à démarrer Brève description Commentaires atd Schéduleur Si nécessaire crond Schéduleur UNIX Indispensable gpm Fonctions supplémentaires pour la souris Pour la facilité d utilisation inet Démon Internet Indispensable keytable Utilitaire clavier Nécessaire pour la plupart des Linux lpd Service d impression Si nécessaire network Active/désactive les interfaces réseau Nécessaire random Générateur de nombre aléatoire Nécessaire ssfd Shell sécurisé version Française Indispensable Syslog Service d accounting Indispensable Xfs Serveur X Si nécessaire xntpd Network Time Protocole Indispensable pour Globus Pour configurer les services qui le nécessite (xntpd, lpd) l on utilise linuxconf.

7 Annexe C Configuration de tcp_wrapper Tcp_wrapper Journalise, contrôle et filtre les requêtes entrantes Concerne uniquement les services de inetd tcpd s intercale entre inetd et le démon surveillé Transparent pour le client et le serveur Efficace pour les services TCP et la mascarade d adresse Limité pour les services UDP et RPC Par défaut sur les Linux les messages de tcp_wrapper sont envoyés par syslogd dans le fichier /var/log/secure Les filtres d accès, déroulement : Autorisation oui /etc/hosts.allow Hôtes autorisés non Autorisation non /etc/hosts.deny Hôtes interdits oui Interdiction Fichier de logs /var/secure Traces de connections autorisées Mar 14 23:03:11 mardg1 in.telnetd[25178]: connect from marad1.in2p3.fr Mar 14 23:03:21 mardg1 in.telnetd[25179]: connect from marad1.in2p3.fr Traces de connections refusées Mar 12 00:41:01 mardg1 in.ftpd[6801]: refused connect from Mar 12 08:41:55 mardg1 in.ftpd[21508]: refused connect from

8 Fichiers de configuration /etc/hosts.allow hosts.allow This file describes the names of the hosts which are allowed to use the local INET services, as decided by the '/usr/sbin/tcpd' server. syntaxe : demon: permission1, permission2 Pour restreindre a: un reseau in.telnetd:.in2p3.fr au reseau local in.telnetd: LOCAL a une adresse IP telnet in.telnetd: LOCAL ftp in.ftpd: LOCAL /etc/hosts.deny hosts.deny This file describes the names of the hosts which are *not* allowed to use the local INET services, as decided by the '/usr/sbin/tcpd' server. The portmap line is redundant, but it is left to remind you that the new secure portmap uses hosts.deny and hosts.allow. In particular you should know that NFS uses portmap! ALL:ALL

9 Annexe D Verrouiller le compte globus Pour verrouiller un compte vous devez root. La commande est passwd l compte-à-verrouiller, ce qui donne : passwd l globus Après avoir effectué cette commande, le champs mot de passe du fichier /etc/shadow commence par un! more /etc/shadow globus:!$1$s5umjql5$m7s8239din6oi9zn8fbxw0:11371:-1:99999:-1:-1:-1:

10 Annexe E Fichiers logs de Globus Tous les fichiers logs se trouve dans le répertoire : /deploy-dir/var Attention à la taille de ce répertoire.!globus-gatekeeper.log Ce fichier contient des informations concernant le gatekeeper, le résultat des demandes d authentification au gatekeeper et le résultat des soumissions de processus effectué par le gatekeeper.!globus-system.log Ce fichier contient les informations (départ/arrêt, erreurs) concernant les démons globusdaemon-master, globus-daemon-monitor, globus-daemons-controller, globus-gatekeepercontroller de Globus.!Globus-daemons.log Ce fichier contient les informations (départ/arrêt, erreurs) concernant les autres démons de Globus.!Grid-info-system.log Ce fichier concerne les logs du MDS.!Globus-daemon-monitors Ce répertoire contient les commandes de démarrage du MDS (GRIS et/ou GIIS).!grid-info-site-regdir Répertoire cache du MDS.!grid-info-site-tree Répertoire cache du MDS.!grid-info-resource-cache Répertoire cache du MDS.!grid-info-site-cache Répertoire cache du MDS.

11 Annexe E ACL Cisco Attention, un serveur Globus est généralement AUSSI un client Globus. Donc, pour un serveur Globus les 2 ACLs ci-dessous sont nécessaires. ACL Cisco. Pour un serveur Globus! ACL Cisco à placer sur l interface d entrée du laboratoire. Trafic de l Internet vers le laboratoire (access-group xxx out). L on peut éventuellement rajouter des logs.! Permettre ICMP access-list xxx permit icmp any any!! Ports serveurs! Gatekeeper access-list xxx permit tcp any eq 2119 log! GRIS access-list xxx permit tcp any eq 2135 log! GIIS si utile access-list xxx permit tcp any eq 2137 log ACL Cisco. Pour un client Globus! Permettre ICMP access-list xxx permit icmp any any!! Ports clients access-list xxx permit tcp any gt 1023 access-list xxx permit tcp any established access-list xxx permit udp any gt 1023