| Red Hat Linux 7.1: Guide de référence officiel Red Hat Linux | ||
|---|---|---|
| Précédent | Chapitre 7. Red Hat : la sécurité | Suivant |
Tout système, qu'il s'agisse d'un ordinateur utilisé par une seule personne ou d'un serveur d'entreprise utilisé par des milliers de travailleurs, devrait avoir une politique de sécurité. Une politique de sécurité est un ensemble de lignes directrices servant à déterminer si des tâches données ou des applications doivent ou non être exécutées ou utilisées sur un système, en fonction des objectifs qui lui sont attribués.
Les politiques de sécurité peuvent varier grandement d'un système à l'autre, mais l'important est d'en avoir une pour votre système, qu'elle soit écrite noir sur blanc dans le manuel des politiques de l'entreprise ou tout simplement mémorisée.
Toute politique de sécurité devrait tenir compte des éléments suivants lors de sa conception :
Simplicité plutôt que complexité — plus votre politique de sécurité est simple et directe, plus vous avez de chance que ses lignes directrices soient suivies et que votre système soit sécurisé.
Facilité plutôt que difficulté d'entretien — les méthodes et les outils de sécurité, comme toute chose, peuvent changer en fonction des nouveaux défis et besoins. Votre politique de sécurité doit être conçue de façon à minimiser l'impact que pourraient avoir de tels changements sur le système et ses utilisateurs.
Promouvoir la liberté au moyen de la confiance en l'intégrité du système plutôt qu'une utilisation étouffante du système — évitez d'utiliser des méthodes et outils de sécurité qui diminuent inutilement l'utilité de votre système pour le rendre plus sûr. Les méthodes et outils de sécurité de qualité doivent toujours, dans la mesure du possible, être positifs et rendre le système sécurisé tout en offrant le plus de choix possibles aux utilisateurs.
Reconnaître ses faiblesses plutôt que d'avoir un faux sentiment de sécurité — l'une des meilleures façons d'attirer les problèmes de sécurité est de croire que votre système ne pourrait jamais en être victime. Alors, soyez vigilent en tout temps et ne vous reposez jamais sur vos lauriers.
Vous concentrer sur les vrais problèmes plutôt que de vous préoccuper de problèmes virtuels — consacrez votre temps et vos efforts à la résolution des problèmes réels les plus importants et passez aux autres ensuite. Vos efforts doivent d'abord servir à colmater les plus grandes lacunes. Pour vous aider à déterminer ce sur quoi vous devriez vous pencher en premier, vous pourriez consulter le site Web http://www.sans.org/topten.htm ou d'autres sites semblables, qui soulignent des problèmes de sécurité précis posant un risque réel et vous indiquent comment faire pour les régler.
Agir immédiatement plutôt que d'attendre à plus tard — réglez les problèmes dès que vous les trouvez et que vous jugez qu'ils posent des risques. Ne croyez pas que cela peut attendre. Il n'y a pas de meilleur moment que le moment présent pour le faire, surtout lorsque votre système est en jeu.
Si vous vous rendez compte que votre politique de sécurité est trop restrictive et qu'elle vous empêche d'utiliser votre système comme vous l'entendez, vous devriez peut-être songer à accroître l'accès au système. De même, si vous vous apercevez que la sécurité de votre système est compromise, vous devriez revoir votre politique et restreindre l'accès au système. Par-dessus tout, il ne faut pas oublier qu'une politique de sécurité n'est pas une idée ou un document statique. Elle doit être modifiée en fonction des besoins et des objectifs changeants des utilisateurs. Réévaluez-la continuellement et demandez-vous si elle correspond aux exigences du monde actuel.
| Précédent | Sommaire | Suivant |
| Manière active et manière passive d'aborder la sécurité | Niveau supérieur | Au-delà de la protection root |