A.13. Menu « Security options »

L'option « Enable access key retention support » permet d'activer une fonctionnalité de stockage des clefs privées au sein du noyau et non au sein des processus. La réponse recommandée est « N ».

L'option « Enable the /proc/keys file by which all keys may be viewed » permet de prendre en charge le fichier spécial de périphérique /proc/keys grâce auquel les clefs privées peuvent être lues. Chaque processus ne voyant que ses propres clefs, le risque de diffusion des clefs privées est limité et ce fichier ne constitue pas un trou de sécurité. La réponse recommandée est toutefois 'N'.

L'option « Enable different security models » permet d'activer les modèles de sécurité autres que ceux fournis par défaut par Linux (basés essentiellement sur la notion d'utilisateur et de droits d'accès sur les fichiers). Cette option donne accès aux options de configuration de ces modèles de sécurité. La réponse recommandée est 'N'.

L'option « Socket and Networking Security Hooks » permet d'inclure des points d'entrée au niveau des sockets réseau utilisables par des modules de sécurité afin de définir une politique de sécurité plus précise au niveau du réseau. La réponse recommandée est 'N'.

L'option « XFRM (IPSec) Networking Security Hooks » permet d'inclure des points d'entrée au niveau des fonctions de traitement des paquets réseau par des modules de sécurité afin de définir une politique de sécurité définie au niveau de chaque paquet. Cette fonctionnalité n'est pleinement utilisable que pour les paquets des connexions IPSec. La réponse recommandée est 'N'.

L'option « Default Linux Capabilities » permet d'activer la gestion de sécurité au travers de la notion de capacité. Une capacité est un droit particulier sur le système que l'on peut donner explicitement à un processus. Les capacités permettent en particulier de restreindre les droits des processus tournant sous le compte root, alors qu'ils auraient été sans cela tout-puissants. La réponse recommandée est 'Y', car cette fonctionnalité est une fonctionnalité classique de Linux.

L'option « Root Plug Support » est un module de sécurité d'exemple. Il permet d'interdire l'exécution de tous les processus appartenant au groupe root si une clef USB n'est pas connectée au système. Ce module n'ayant pas d'utilité autre que pédagogique, la réponse recommandée pour cette option est 'N'.

L'option « NSA SELinux Support » permet de prendre en charge les extensions de sécurité ajoutées à Linux par la NSA (« National Security Agency » américaine). Cette option donnera accès à des options complémentaires de configuration de ce modèle de sécurité. La réponse recommandée est 'N'.