Le principal objectif d’AIX a toujours été d’offrir un environnement sécurisé. AIX 6 est conforme aux normes Common Criteria at Common Access Protection Profile/Evaluation Assurance Level 4+, notamment les normes Role Based Access Control Protection Profile
(RBACPP) et Labelled Security Protection Profile (LSPP).
Il inclut quantité de nouvelles fonctions gages d’une sécuritérenforcée et d’une gestion simplifiée :
●Role Based Access Control (RBAC) :
RBAC allie sécurité renforcée et simplicité de gestion en permettant aux administrateurs d’autoriser des utilisateurs autres que «root» à gérer certaines ressources d’AIX 6. RBAC peut également servir à associer des autorisations de gestion spécifiques à certains programmes pour éviter de les exécuter dans une session «root» ou via setuid. RBAC renforce la sécurité du système en réduisant le nombre d’utilisateurs «root» requis pour le gérer. Il participe ainsi à réduire les coûts administratifs et à optimiser les tâches d’administration en assurant la délégation sécurisée des tâches administratives de routine aux utilisateurs «non-root».
●Trusted AIX :
Trusted AIX étend les fonctions de sécurité d’AIX en intégrant au système d’exploitation un outil de sécurité multi-niveaux (MLS) compartimenté afin de satisfaire aux exigences gouvernementales et privées de sécurité. Cette option d’installation est le gage d’un niveau de sécurité certifié inégalé, en réponse aux besoins de conformité aux normes de sécurité stratégiques des administrations et des entreprises. Elle supporte plusieurs fonctions de sécurité multi-niveaux, notamment les référentiels partitionnés et les réseaux sécurisés.
●Système de fichiers cryptés:
L’IBM Enhanced Journaled Filesystem Extended (JFS2) renforce encore la sécurité des données en les encryptant dans un système de fichiers. Les clients peuvent choisir parmi plusieurs algorithmes de cryptographie. Les données cryptées peuvent être sauvegardées au format crypté, réduisant les risques d’exploitation frauduleuse des informations encas de perte ou de vol du support de sauvegarde. Ce système de fichiers cryptés peut même empêcher les utilisateurs «root» d’accéder aux données. Il ne requiert pas d’efforts particuliers d’administration puisque la plupart de ses fonctions sont automatisées et pleinement intégrées au processus d’authentification des utilisateurs.
AIX Security Expert :
AIX Security Expert fut intégré à AIX 5.3via la mise à niveau Technology Level 5. Il permet de gérer plus de 300 paramètres de sécurité depuis une seule et même interface. Pour configurer la sécurité de votre système, vous pouvez utiliser l’un des modèles de configuration initiale fournis et le personnaliser afin qu’il réponde à vos exigences propres. Security Expert propose quatre modèles: sécurité renforcée, moyenne ou basse, ou sécurité conforme aux exigences de la loi Sarbanes Oxley.Une fois la configuration via Security Expert achevée, vous pouvez exporter ces paramètres de sécurité pour configurer d’autres systèmes à l’identique. AIX 6 vous permet même de stocker ces configurations directement dans un annuaire LDAP (Lightweight Directory Protocol) – vous permettant ainsi d’implémenter la même configuration de sécurité à grande échelle, en toute simplicité.
●Option d’installation Secure by Default :
Le processus d’installation d’AIX 6 offre une nouvelle option, Secure by Default, qui n’installe que le nombre minimum de services système et réseau pour assurer un niveau de sécurité optimal. Il est recommandé de combiner Secure by Default avec AIX Security Expert pour assurer le contrôle strict de la configuration de sécurité de chaque système.
●Trusted Execution:
En mode Trusted Execution, AIX 6vérifie l’intégrité des programmes lors de leur exécution. Ce procédé accroît la sécurité en réduisant les risques d’utilisation frauduleuse des programmes en tampon aux fins d’exploitation de failles de sécurité. Une base de données de signatures (SHA256/RSA) pour les fichiers système importants est créée automatiquement lors d’une installation standard d’AIX 6. L’outil d’exécution sécurisée (Trusted Execution) permet de vérifier l’intégrité du système en le comparant à cette base de données. En outre, l’administrateur peut définir des règles de surveillance du chargement des fichiers référencés dans la base de données, qui empêchent le chargement/l’exécution si les hachages ne correspondent pas. L’administrateur peut également verrouiller la base de données de signatures ou empêcher la modification des fichiers dans la base de données par tout utilisateur du système, y compris par les utilisateurs «root».
Support de longs mots de passe:
AIX 6 et AIX 5.3Technology Level 7supportent les mots de passe utilisateur de plus de huit caractères. Ces versions permettent l’encryptage des mots de passe avant leur stockage via des algorithmes tels que SHA/256/512, MD5,etc. Toutes les commandes du système peuvent être configurées par l’administrateur, qui choisit l’algorithme et la taille des mots de passe (jusqu’à 255caractères). Ce support amélioré inclut également le support des longs mots de passe.
