Protéger vos fichiers sur AFS

«Andrew File System» est un système de fichiers distribué à travers le monde, reliant des centaines d'universités et d'organisations, y compris le CERN. Il est possible d'accéder aux fichiers depuis n'importe où, via des clients AFS dédiés ou via des interfaces Web, lesquelles exportent le contenu des fichiers sur le Web. À cause de cette facilité d'accès à AFS, il est primordial de protéger correctement l'accès aux données sensibles sur AFS. Étant donné que l'utilisation des mécanismes de contrôle d'accès d'AFS n'est pas évidente pour tous les utilisateurs, des mots de passe, clés SSH privées, et certificats ont été exposés par le passé. Dans un cas, cela a aussi conduit à une mauvaise publicité à cause d'un journaliste fouineur, à la recherche de répertoires AFS supposés «privés» (SonntagsZeitung 2009/11/08). Ce problème n'affecte pas seulement les utilisateurs, mais a aussi un mauvais impact sur la réputation du CERN quand cela devient une question de sécurité informatique.

Par conséquent, tous les départements et l'expériences LHC se sont mis d'accord en avril 2010 pour appliquer des protections de répertoires plus draconiennes sur les répertoires AFS des utilisateurs. Le but de cette politique de protection des données est d'assister les utilisateurs pour protéger leurs données sur AFS. Afin d'appliquer cette politique, le service AFS a commencé à effectuer des vérifications régulières de conformité en scannant tous les répertoires «home» au CERN (les répertoires «group», «project» et «scratch» ne sont pas affectés). Les droits d'accès de ces répertoires seront automatiquement et régulièrement revus et corrigés afin de respecter la politique correspondante :

  • Les accès aux répertoires "~/"(home) seront limités de telle sorte que les utilisateurs anonymes puissent seulement lister le contenu;
  • Les accès aux répertoires "~/private" seront complètement bloqués pour les utilisateurs anonymes;
  • Les accès aux répertoires "~/public" seront ouverts en lecture pour les utilisateurs anonymes;
  • Des droits simultanées en lecture et écriture seront interdits pour les utilisateurs anonymes;
  • Une attention particulière sera accordée pour les répertoires "~/www";
  • (Les utilisateurs anonymes peuvent être des groupes de personnes très larges, par exemple tous les utilisateurs CERN ou AFS.)

Le déploiement a déjà commencé pour le département IT et s'adressera par la suite à tous les autres départements durant le printemps 2011. Avant toute action automatique, les utilisateurs recevront une notification par email à propos des modifications à venir. Un script en adéquation avec les règles susmentionnées est disponible. Il permet de corriger intéractivement les ACLs AFS pour les répertoire «home»:
/afs/cern.ch/project/afs/etc/correct_acls

Cordialement,
Le service AFS et l'équipe de sécurité informatique

P.S. Pour les experts, veuillez noter que les protections d'accès AFS sont configurées différemment que pour le système de fichiers Linux/Posix.