Protection de vos fichiers sur DFS

Le système de fichier appelé « Distributed File System » (DFS) héberge les répertoires de tous les utilisateurs Nice et beaucoup d’autres données.

 

Ces données sont accessibles de partout via le portail web : http://cern.ch/dfs. Cette facilité d’accès, au sein même du CERN, implique la nécessité de protéger correctement les données sensibles hébergées sur DFS. La gestion des permissions n’est cependant pas évidente pour tous les utilisateurs et des informations privées, telles que des mots de passes, des certificats, etc, pourraient être exposées. Ceci s’est d’ailleurs déjà produit par le passé avec AFS (l’équivalent LINUX de DFS), ce qui a engendré une très mauvaise publicité - notamment suite à la parution d’un article (Sonntags Zeitung 2009/11/08) écrit par un journaliste ayant eu accès à un répertoire supposé « privé» d'AFS. Ce problème a eu un impact non seulement sur l’utilisateur, mais aussi sur la réputation du CERN et de sa sécurité informatique.

De ce fait, tous les départements et expériences du LHC ont récemment décidé d’appliquer des règles de protection plus drastiques sur les dossiers DFS. Le but de cette politique est d’aider les utilisateurs à protéger leurs données hébergées sur DFS (seuls les fichiers sous \\cern.ch\dfs\users sont concernés). Ces règles vont dans le sens du récent effort initié pour améliorer la sécurité sur AFS (voir le bulletin 09-10/11). Les droits d’accès à ces dossiers seront revus et corrigés automatiquement de façon régulière de façon à appliquer les règles suivantes :
Pour tous les utilisateurs anonymes :

  • les droits sur le dossier \\cern.ch\dfs\Users\HOME devront être moins permissifs que la combinaison “List”/“Traverse“.
  • les droits sur le dossier \\cern.ch\dfs\Users\HOME\Public et ses sous-dossiers devront être moins permissifs que les combinaisons “List”/“Read”/“Traverse” ou “Create”/“List”/“Traverse”/“Write”
  • dans tous les autres cas, aucun dossier ne pourra avoir simultanément les droits « read » et « write ».
  • les dossiers non mentionnés ci-dessus ne pourront avoir de droits, quels qu’ils soient.


(Les utilisateurs anonymes sont définis comme tout groupe rassemblant un grand nombre d’utilisateurs, par exemple : « Everyone » ou « Authenticated Users ».)

La mise en place de cette politique commencera par le département IT et concernera d’ici à la fin de l’été tous les départements. Pour plus d’informations sur la gestion des droits sur DFS, vous pouvez consulter : http://cern.ch/go/DFSRightsBestPractice et http://cern.ch/go/DFSManagingACLs.

Votre Service Windows et l’équipe sécurité informatique.

 

par Computer Security Team