next up previous contents Next: Problèmes d'impression. Up: Services du système et Previous: PostScript et filtre d'impression.   Table des matières  

22.7 Contrôle d'accès.

Vous devriez être très prudent en exécutant la commande lpd sur des machines exposées à l'internet. lpd est l'objet de nombreuses alertes de sécurité [voir le chapitre 45] et ne devrait donc être utilisé que sur des réseaux LAN de confiance.

Pour empêcher que des machines distantes ne s'emparent de votre imprimante, lpd analyse d'abord le fichier /etc/hosts.equiv. Celui-ci contient une simple liste des machines autorisées à imprimer sur telle ou telle imprimante. Le fichier /etc/hosts.equiv de la machine de l'auteur contient l'information suivante:
192.168.3.8 
192.168.3.9 
192.168.3.10 
192.168.3.11 


Le fichier /etc/hosts.lpd présente les mêmes propriétés mais il ne donne pas à ces machines le contrôle des files d'impression. Notez qu'un autre service comme sshd ou rshd (ou in.rshd) analyse aussi le fichier /etc/hosts.equiv et considère toute machine listée comme equivalente. Ceci signifie que le service leur fait pleine confiance et rshd ne requerra pas d'identification à la connexion entre machines authentifiées. Ce comportement est donc un défaut de sécurité grave. sshd requiert une identification et donc présente une fiabilité incomparablement plus grande.

LPRng sur RedHat 7.0 offre un contrôle d'accès différent. Ce paquet peut restreindre l'accès de diverses manières selon l'utilisateur distant et l'action entreprise (concernant l'utilisateur distant, il s'agira de déterminer qui est autorisé à manipuler des files). Le fichier /etc/lpd.perms contient la configuration. Le format du fichier est simple, bien que les capacités de LPRng soient plutôt complexes. Pour être bref, le fichier hosts.equiv devient lpd.perms.

ACCEPT SERVICE=* REMOTEIP=192.168.3.8 
ACCEPT SERVICE=* REMOTEIP=192.168.3.9 
ACCEPT SERVICE=* REMOTEIP=192.168.3.10 
ACCEPT SERVICE=* REMOTEIP=192.168.3.11 
DEFAULT REJECT 


Les professionnels des grandes entreprises, ayant à faire à de nombreux utilisateurs auxquels on ne peut faire pleine confiance, devraient analyser de plus près le fichier LPRng-HOWTO de /usr/share/doc/LPRng-n.n.nn. Il explique comment limiter l'accès selon des modalités plus complexes que celles décrites ici.


next up previous contents Next: Problèmes d'impression. Up: Services du système et Previous: PostScript et filtre d'impression.   Table des matières  
1-01-2006