| View previous topic :: View next topic |
| Author |
Message |
CaptainBlood
Advocate
Joined: 24 Jan 2010
Posts: 3624
|
 Posted: Mon Sep 21, 2020 8:43 pm Post subject: Recommendations ANSSI [gouv.fr], USE=pam... [résolu] |
 |
|
Anonyme vers gouv.fr: Recommendations ANSSI
Je l'ai lu rapidement.
N'étant pas spécialiste en sécurité informatique, et pensant que PAM y participait, la recommendation R30 promouvant la réduction de son utilisation me laisse perplexe:
Si cela s'avère vrai, USE=pam mérite-t-il d'etre restreint parmi certaines des applications suivantes?: | Code: | grep -R " pam" /var/db/pkg/*/*/USE
/var/db/pkg/app-admin/sudo-1.9.2/USE:abi_x86_64 amd64 elibc_glibc kernel_linux pam userland_GNU
/var/db/pkg/app-misc/screen-4.8.0/USE:abi_x86_64 amd64 elibc_glibc kernel_linux pam userland_GNU
/var/db/pkg/dev-db/postgresql-10.14/USE:abi_x86_64 amd64 elibc_glibc icu kernel_linux pam readline server threads userland_GNU
/var/db/pkg/dev-db/postgresql-12.4/USE:abi_x86_64 amd64 elibc_glibc icu kernel_linux pam readline server threads userland_GNU
/var/db/pkg/gnome-base/gnome-keyring-3.36.0-r1/USE:abi_x86_64 amd64 caps elibc_glibc kernel_linux pam userland_GNU
/var/db/pkg/gui-apps/swaylock-9999/USE:abi_x86_64 amd64 elibc_glibc gdk-pixbuf kernel_linux man pam userland_GNU
/var/db/pkg/lxde-base/lxdm-0.5.3-r2/USE:abi_x86_64 amd64 elibc_glibc elogind kernel_linux nls pam userland_GNU
/var/db/pkg/media-sound/jack2-9999/USE:abi_x86_64 alsa amd64 dbus doc elibc_glibc kernel_linux libsamplerate pam python_single_target_python3_7 userland_GNU
/var/db/pkg/net-dialup/ppp-2.4.8/USE:abi_x86_64 amd64 elibc_glibc ipv6 kernel_linux pam userland_GNU
/var/db/pkg/net-mail/mailbase-1.5-r1/USE:abi_x86_64 amd64 elibc_glibc kernel_linux pam userland_GNU
/var/db/pkg/net-misc/openssh-8.1_p1-r4/USE:abi_x86_64 amd64 elibc_glibc kernel_linux pam ssl userland_GNU
/var/db/pkg/sys-apps/busybox-1.31.1-r2/USE:abi_x86_64 amd64 elibc_glibc kernel_linux pam userland_GNU
/var/db/pkg/sys-apps/kbd-2.2.0-r2/USE:abi_x86_64 amd64 elibc_glibc kernel_linux pam userland_GNU
/var/db/pkg/sys-apps/openrc-0.42.1/USE:abi_x86_64 amd64 elibc_glibc kernel_linux netifrc newnet pam split-usr unicode userland_GNU
/var/db/pkg/sys-apps/shadow-4.8-r5/USE:abi_x86_64 amd64 elibc_glibc kernel_linux pam split-usr su userland_GNU
/var/db/pkg/sys-apps/util-linux-2.35.2/USE:abi_x86_64 amd64 caps elibc_glibc kernel_linux pam split-usr userland_GNU
/var/db/pkg/sys-auth/elogind-243.7/USE:abi_x86_64 amd64 elibc_glibc kernel_linux pam policykit userland_GNU
/var/db/pkg/sys-auth/polkit-0.116-r1/USE:abi_x86_64 amd64 elibc_glibc elogind gtk introspection kernel_linux pam userland_GNU
/var/db/pkg/sys-libs/libcap-2.43/USE:abi_x86_64 amd64 elibc_glibc kernel_linux pam split-usr userland_GNU
/var/db/pkg/sys-process/cronie-1.5.5/USE:abi_x86_64 amd64 elibc_glibc kernel_linux pam userland_GNU
/var/db/pkg/x11-misc/sddm-0.18.1-r3/USE:abi_x86_64 amd64 elibc_glibc elogind kernel_linux pam userland_GNU |
Sauf erreur de ma part, la recommendation R23 ignore la signature SHA<=512 des modules.
Elle n'est pas écartée; Peut-etre est-elle jugée trop faible...
Ici ces clés sont regénérées à chaque création de noyau, puis détruites à son achèvement.
Merci de votre attention, intéret & support.
Last edited by CaptainBlood on Thu Sep 24, 2020 3:54 am; edited 1 time in total |
|
| Back to top |
|
 |
El_Goretto
Moderator
Joined: 29 May 2004
Posts: 3169
Location: Paris
|
| Posted: Tue Sep 22, 2020 1:00 pm Post subject: |
|
|
Alors, pour ceux qui ont la flemme de choper le PDF, voici la R30:
| Quote: | | Le nombre d’applications utilisant PAM doit être réduit au strict nécessaire afin de limiter l’exposition d’éléments d’authentification sensibles. |
Edit: Ce qui suit est "mon humble avis", bien entendu, j'ai la flemme de changer mon texte 
Je pense que ton interprétation déforme le sens de la recommandation: il n'est pas dit qu'il faut réduire l'usage de PAM (supposant un défaut inhérent ou une meilleure alternative), mais en limiter l'accès car derrière PAM se trouve des données sensibles.
Je reconnais que ce n'est pas forcément super évident, mais on est plutôt dans le sens "contrôler l'accès à un composant sensible" que "éviter d'utiliser un composant dangereux".
_________________
-TrueNAS & jails: µ-serv Gen8 E3-1260L, 16Go ECC + µ-serv N40L, 10Go ECC
-Réseau: APU2C4 (OpenWRT) + GS726Tv3 + 2x GS108Tv2 + Archer C5v1 (OpenWRT) |
|
| Back to top |
|
|
CaptainBlood
Advocate
Joined: 24 Jan 2010
Posts: 3624
|
| Posted: Thu Sep 24, 2020 3:50 am Post subject: |
|
|
+1
J'ai relu entre-temps...
A noter la relative ancienneté, c.à.d. 2015.
Merci de votre attention, interet & support. |
|
| Back to top |
|
|
|
|
You cannot post new topics in this forum
You cannot reply to topics in this forum
You cannot edit your posts in this forum
You cannot delete your posts in this forum
You cannot vote in polls in this forum
|
|
French
