# Recommendations ANSSI [gouv.fr], USE=pam... [résolu]

## CaptainBlood

Anonyme vers gouv.fr: Recommendations ANSSI

Je l'ai lu rapidement.

N'étant pas spécialiste en sécurité informatique, et pensant que PAM y participait, la recommendation R30 promouvant la réduction de son utilisation me laisse perplexe:

Si cela s'avère vrai, USE=pam mérite-t-il d'etre restreint parmi certaines des applications suivantes?:

```
grep -R  " pam" /var/db/pkg/*/*/USE

/var/db/pkg/app-admin/sudo-1.9.2/USE:abi_x86_64 amd64 elibc_glibc kernel_linux pam userland_GNU

/var/db/pkg/app-misc/screen-4.8.0/USE:abi_x86_64 amd64 elibc_glibc kernel_linux pam userland_GNU

/var/db/pkg/dev-db/postgresql-10.14/USE:abi_x86_64 amd64 elibc_glibc icu kernel_linux pam readline server threads userland_GNU

/var/db/pkg/dev-db/postgresql-12.4/USE:abi_x86_64 amd64 elibc_glibc icu kernel_linux pam readline server threads userland_GNU

/var/db/pkg/gnome-base/gnome-keyring-3.36.0-r1/USE:abi_x86_64 amd64 caps elibc_glibc kernel_linux pam userland_GNU

/var/db/pkg/gui-apps/swaylock-9999/USE:abi_x86_64 amd64 elibc_glibc gdk-pixbuf kernel_linux man pam userland_GNU

/var/db/pkg/lxde-base/lxdm-0.5.3-r2/USE:abi_x86_64 amd64 elibc_glibc elogind kernel_linux nls pam userland_GNU

/var/db/pkg/media-sound/jack2-9999/USE:abi_x86_64 alsa amd64 dbus doc elibc_glibc kernel_linux libsamplerate pam python_single_target_python3_7 userland_GNU

/var/db/pkg/net-dialup/ppp-2.4.8/USE:abi_x86_64 amd64 elibc_glibc ipv6 kernel_linux pam userland_GNU

/var/db/pkg/net-mail/mailbase-1.5-r1/USE:abi_x86_64 amd64 elibc_glibc kernel_linux pam userland_GNU

/var/db/pkg/net-misc/openssh-8.1_p1-r4/USE:abi_x86_64 amd64 elibc_glibc kernel_linux pam ssl userland_GNU

/var/db/pkg/sys-apps/busybox-1.31.1-r2/USE:abi_x86_64 amd64 elibc_glibc kernel_linux pam userland_GNU

/var/db/pkg/sys-apps/kbd-2.2.0-r2/USE:abi_x86_64 amd64 elibc_glibc kernel_linux pam userland_GNU

/var/db/pkg/sys-apps/openrc-0.42.1/USE:abi_x86_64 amd64 elibc_glibc kernel_linux netifrc newnet pam split-usr unicode userland_GNU

/var/db/pkg/sys-apps/shadow-4.8-r5/USE:abi_x86_64 amd64 elibc_glibc kernel_linux pam split-usr su userland_GNU

/var/db/pkg/sys-apps/util-linux-2.35.2/USE:abi_x86_64 amd64 caps elibc_glibc kernel_linux pam split-usr userland_GNU

/var/db/pkg/sys-auth/elogind-243.7/USE:abi_x86_64 amd64 elibc_glibc kernel_linux pam policykit userland_GNU

/var/db/pkg/sys-auth/polkit-0.116-r1/USE:abi_x86_64 amd64 elibc_glibc elogind gtk introspection kernel_linux pam userland_GNU

/var/db/pkg/sys-libs/libcap-2.43/USE:abi_x86_64 amd64 elibc_glibc kernel_linux pam split-usr userland_GNU

/var/db/pkg/sys-process/cronie-1.5.5/USE:abi_x86_64 amd64 elibc_glibc kernel_linux pam userland_GNU

/var/db/pkg/x11-misc/sddm-0.18.1-r3/USE:abi_x86_64 amd64 elibc_glibc elogind kernel_linux pam userland_GNU
```

Sauf erreur de ma part, la recommendation R23 ignore la signature SHA<=512 des modules.

Elle n'est pas écartée; Peut-etre est-elle jugée trop faible...

Ici ces clés sont regénérées à chaque création de noyau, puis détruites à son achèvement.

Merci de votre attention, intéret & support.Last edited by CaptainBlood on Thu Sep 24, 2020 3:54 am; edited 1 time in total

----------

## El_Goretto

Alors, pour ceux qui ont la flemme de choper le PDF, voici la R30:

 *Quote:*   

> Le nombre d’applications utilisant PAM doit être réduit au strict nécessaire afin de limiter l’exposition d’éléments d’authentification sensibles. 

 

Edit: Ce qui suit est "mon humble avis", bien entendu, j'ai la flemme de changer mon texte  :Wink: 

Je pense que ton interprétation déforme le sens de la recommandation: il n'est pas dit qu'il faut réduire l'usage de PAM (supposant un défaut inhérent ou une meilleure alternative), mais en limiter l'accès car derrière PAM se trouve des données sensibles.

Je reconnais que ce n'est pas forcément super évident, mais on est plutôt dans le sens "contrôler l'accès à un composant sensible" que "éviter d'utiliser un composant dangereux".

----------

## CaptainBlood

+1

J'ai relu entre-temps...  :Wink: 

A noter la relative ancienneté, c.à.d. 2015.

Merci de votre attention, interet & support.

----------

