1. Introduction
L’objet de cette fiche est de présenter les procédures d’activation ou de désactivation des services TCB d’un serveur AIX.
A noter que s’il est possible de désactiver une supervision TCB dans un système possédant l’option, il n’est pas possible d’activer le service si TCB n’a pas été choisi lors de l’installation initiale.
2. Présentation de TCB.
TCb est un outils permettant de sécuriser un serveur AIX en surveillant les modifications d’état des fichiers importants.
Lorsque le système est installé avec TCB activé(enabled), la commande ‘tcbck’ peut être utilisée pour surveiller ET corriger les propriétés de certains fichiers/répertoires.
Par défaut, tous les périphériques et fichiers définis dans /dev sont surveillés par TCB.
D’autres fichiers peuvent être ajoutés, dans la limite du temps nécessaire au contrôle régulier.
Lorsque ‘tcbck’ est lancé, le programme peut éventuellement effectuer des modifications pour revenir à l’état précédent, stocké dans les fichiers de référence créés à un instant donné.
Le fichier de paramétrage ou d’information sur les fichiers contrôlés se nomme ‘/etc/security/sysck.cfg’.
3. Désactiver TCB.
Ce paragraphe concerne uniquement les systèmes ayant eu TCB activé lors de la première installation.
è Pour valider le statut du service :
$ odmget -q attribute=TCB_STATE PdAt
PdAt:
uniquetype = ""
attribute = "TCB_STATE"
deflt = "tcb_enabled"
values = ""
width = ""
type = ""
generic = ""
rep = ""
nls_index = 0
Avant d’effectuer la modification, il est préconisé d’effectuer une sauvegarde système et une sauvegarde des quelques tables ODM :
# cp –p /usr/lib/objrepos /usr/lib/objrepos.save
# cp –p /usr/share/lib/objrepos /usr/share/lib/objrepos.save
# cp –p /etc/objrepos /etc/objrepos.save
è Pour désactiver le service TCB, taper ensuite :
$ odmget -q attribute=TCB_STATE PdAt | \ sed 's/tcb_enabled/tcb_disabled/' | \ odmchange -o PdAt -q attribute=TCB_STATE
è Pour vérifier l’état du service, lancer simplement :
# tcbck -n ALL
3001-101 The Trusted Computing Base is not enabled on this machine.
To enable the Trusted Computing Base, you must reinstall and
set the 'Install Trusted Computing Base' option to YES.
No checking is being performed.
Le service TCB doit être notamment désactivé avant une migration AIX avec la méthode NIMADM.
4. Activer TCB.
Ce paragraphe présente la méthode pour réactiver TCB, lorsque celui a été désactivé temporairement.
Pour rappel, il n’est normalement pas possible d’activer le service TCB si l'option n’a pas été choisie lors de l’installation initiale.
$ odmget -q attribute=TCB_STATE PdAt | sed 's/tcb_disabled/tcb_enabled/' | odmchange -o PdAt -q attribute=TCB_STATE
Pour valider sa bonne activation, lancer la commande suivante :
$ sudo tcbck -n ALL
[…]
Cette commande effectue un contrôle des objets définis dans le fichier de configuration, mais sans apporter les modifications si des changements sont constatés.
5. Gérer les attributs de fichiers spéciaux.
Sur les systèmes ayant TCB activé, certains attributs sont donnés sur des fichiers :
For example :
$ ls -ale /usr/ccs/lib/libc.a
-r-xr-xr-x+ 1 bin bin 9281793 Mar 21 2010 /usr/ccs/lib/libc.a
Si le service TCB a été désactivé sur un serveur, il peut être intéressant de retirer ces attributs en utilisant notamment la commande ‘chtcb’ :
$ ls -ale /usr/ccs/lib/libc.a
-r-xr-xr-x+ 1 bin bin 9281793 Mar 21 2010 /usr/ccs/lib/libc.a
$ chtcb query /usr/ccs/lib/libc.a
/usr/ccs/lib/libc.a is in the TCB
$ chtcb off /usr/ccs/lib/libc.a
$ chtcb query /usr/ccs/lib/libc.a
/usr/ccs/lib/libc.a is not in the TCB
$ ls -ale /usr/ccs/lib/libc.a
-r-xr-xr-x- 1 bin bin 9281793 Mar 21 2010 /usr/ccs/lib/libc.a
