Sécurité sous Mac OS X

[y0p]

Bonjour,

Je suis en train de mettre en place une stratégie de sécurité pour des postes Mac fonctionnant sous OS X (.4).
Je bloque un peu sur deux questions:

1. Comment pourrait-on crypter ou limiter l'utisation de certains fichiers (doc, xls) soit en les cryptant ou une autre gestion de ce type pour que ces fichiers ne soient lisibles que sous certains postes Mac bien définis (l'utilisation de Firevault me parait un peu hasardeuse)

2. Comment pourrait-on bloquer les prises USB pour qu'on ne puisse utiliser que le clavier et la souris et rien d'autre (pour interdire les clef usb, disques externe ...)

Si quelqu'un pourrait m'aider ce serait chouette

Merci d'avance

 

[pascalformac]

bonjour

Fichiers
Sujet abordé à maintes reprises
une des facons les plus simple de protéger un fichier est de tout simplement ne PAS le mettre sur tous les comptes ( sur divers machines ou sur une même machine)

un compte user , n'a , en theorie , PAS accès aux fichiers d'un autre utilisateur ,
RIEN !

sauf si il a en a été décidé autrement , partage de certaines choses ( en lecture ou lecture /écriture) par l'utilisateur du compte où est ce fichier
Un compte = un ordi au contenu autonome

tu crées divers comptes ( sans droits administratifs larges)

Pas étanche à 200% ( rien ne l'est)
un bon spécialiste de OSX peut éventuellement passer outre en trifouillant le corps de l'OS
-
filevault , je touche pas et je déconseille
--
Sinon , évoqué aussi , les divers techniques pour cacher / locker un fichier
ca va de modulation des autorisations du dit fichier ou
image disque verrouillée ( avec mot de passe) jusqu'à faux fichier invisible ( mais ca c'est pas du tout pratique) en passant par divers logiciels qui verrouillent

---
USB
technique simple

le chewing gum à la chlorophylle
( je plaisante)

mais comme l' USB est aussi utilisé par divers périphériques ( clavier -souris et...imprimante !) , difficille de bloquer l'USB en bloc.

 

[y0p]

Merci pour tes réponses, je vais voir si cela va correspondre à ce que je voudrais installer.

Le truc avec les comptes c'est que je ne sais pas si ces autorisations peuvent être partagées par plusieurs utilisateurs.
Je m'explique:
soit un fichier X
il faudrait que ce fichier soit lisible uniquement par:
. l'utilisateur A sur le poste 01
. l'utilisateur B sur le poste 02
si cela marche, je pense qu'il n'aurait aucune difficulté à passer outre la gestion de l'USB

 

[supermoquette]

Tu peux essayer de créer et gérer des groupes d'utilisateurs via NetInfo Manager, mais faut être propre. Bon si c'est que du doc et xls ces applis offrent une protection par mot de passe...

Sinon passe par un serveur

 

[pascalformac]

Question
comment sont liés les comptes A et B poste 1 et2
reseau avec partage du contenu de tous les comptes???

--
Par ailleurs les USB ont d'autres usages comme la synchro des PDA ( Palm ou autre)

A moins d'etre dans un contexte hyper spécifique tu n'as pas le droit d'empêcher ca.
Ou alors avec accord signé des impliqués
( et perso je ne signerai jamais un truc pareil)

 

[bompi]

Depuis Tiger (en fait, depuis Panther 10.3.9) Mac Os X gère les ACLs, du moment qu'on lui dit de le faire [donc : il ne le fait pas par défaut].
Avec les ACLs, il faut faire attention de ne pas trop se compliquer la vie mais cela donne une granularité bien plus fine pour gérer les accès.

Pour éviter clefs USB et disques externes, il faut voir du côté de l'automonteur, à désactiver dans ton cas.
On peut, connaissant un volume (flash ou HD), empêcher qu'il ne se monte. Par contre, si c'est pour tout volume, il faut virer le système d'automontage, incarné entre autres dans le daemon "diskarbitrationd". Il te faudrait donc tester le comportement des machines une fois désactivé ce dernier. Notamment : comment faire pour monter à la main un volume dans ce cas.

 

[Dramis]

Tu peux essayer de supprimer les extensions du kernel pour les ports USB,

je ne suis pas sur un mac présentement, mais regarde le répertoire:

/System/Library/Extensions

Il devrait y avoir une série d'extension ayant un USB dedans, vérifie si il y en a une pour le clavier et la souris et supprime les autres. Ca pourrait le faire.

 

[pascalformac]

tout ca QUE pour empêcher l'accès de certains fichiers précis sur des machines et comptes differents
C'est un peu too much

Ne perdons pas de vue l'objectif présenté par yOp

 

[Dramis]

Il veut aussi empècher les utilisateurs de connecter des clé USB sur le mac, et aussi un disque firewire.

 

[claw59]

dans la documentation apple concernant les 'drivers&hardware', normalement, en utilisant des routines core foundation par exemple, il doit être possible de récupérer en code des dictionnaires qualifiant toutes les caractéristiques des périphériques USB branchés. en utilisant certaines de leur propriété (ID et vendor) à mon avis, il te sera possible de distinguer facilement un clavier USB, d'une clef USB.

à vérifier et à méditer.

 

[supermoquette]

soit un fichier X
il faudrait que ce fichier soit lisible uniquement par:
. l'utilisateur A sur le poste 01
. l'utilisateur B sur le poste 02

Justement pour les fichiers soit OSX server avec ses users & groups, soit à la mano sur netinfo.

 

[claw59]

petite vérification faite, il existe un fichier nommé "USB Device interface guid" dans la documentation apple.

A mon avis d'après la définition des caractéristiques des périphériques branchés, il doit être possible de pouvoir résoudre ton problème d'affection d'autorisation des périphériques USB.

 

[pascalformac]

question USB qui ne semble pas être l'objectif primordial tel que présenté par yOp

d'ailleurs il l'indique lui -même!

il faudrait que ce fichier soit lisible uniquement par:
. l'utilisateur A sur le poste 01
. l'utilisateur B sur le poste 02
si cela marche, je pense qu'il n'aurait aucune difficulté à passer outre la gestion de l'USB

la question étant l'accès à certains fichiers précis

-
tu sais yOp
le moyen très simple de bascule d'un fichier de A à B c'est ...l'email

 

[supermoquette]

http://supinfo-projects.com/fr/2006/acl_on_mac_os_x_fr/

bompi a mentionné les ACl et ça à l'air intéressant.