Guide d'installation de Solaris 10 8/07 : planification d'installation et de mise à niveau

Planification de la sécurité réseau

Depuis la version Solaris 10 11/06, vous pouvez modifier les paramètres de sécurité réseau lors de l'installation initiale. Cela vous permet de désactiver tous les services réseau, à l'exception du Secure Shell, ou de les limiter aux demandes locales. Cette option permet de minimiser les risques d'intrusion à distance par un utilisateur malintentionné. En outre, elle permet aux clients d'activer uniquement les services dont ils ont besoin. Cette opération s'effectue uniquement lors de l'installation initiale. Lors d'une mise à niveau, les services définis précédemment sont conservés. Vous pouvez néanmoins limiter les services réseau au terme d'une mise à niveau à l'aide de la commande netservices.

Selon le programme d'installation utilisé, vous pouvez choisir de limiter les services réseau ou de conserver les services activés par défaut :

Spécificités du niveau de sécurité limité

Si vous choisissez de limiter les services réseau, de nombreux services sont désactivés. D'autres services restent activés, mais sont limités aux connexions locales. Secure Shell reste activé.

Par exemple, le tableau suivant répertorie les services réseau qui, pour la version Solaris 10 11/06, sont limités aux connexions locales.

Tableau 4–6 Services limités via SMF dans Solaris 10 11/06

Service 

FMRI 

Propriétés 

rpcbind 

svc:/network/rpc/bind

config/local_only

syslogd 

svc:/system/system-log

config/log_from_remote

sendmail 

svc:/network/smtp:sendmail

config/local_only

smcwebserver 

svc:/system/webconsole:console

options/tcp_listen

WBEM 

svc:/application/management/wbem

options/tcp_listen

serveur X 

svc:/application/x11/x11-server

options/tcp_listen

dtlogin 

svc:/application/graphical-login/cde-login

dtlogin/args

ToolTalk 

svc:/network/rpccde-ttdbserver:tcp

proto=ticotsord

dtcm 

svc:/network/rpccde-calendar-manager

proto=ticits

BSD print 

svc:/application/print/rfc1179:default

bind_addr=localhost

Révision des paramètres de sécurité après l'installation

Lorsque l'accès réseau aux services est limité, tous les services concernés sont contrôlés par le SMF (Service Management Framework, Structure de gestion de services). Une fois l'installation initiale terminée, chaque service réseau peut être activé à l'aide des commandes svcadm et svccfg.

Pour définir l'accès réseau limité, il suffit d'exécuter la commande netservices à partir du fichier de mise à niveau SMF, situé dans le répertoire /var/svc/profile. La commande netservices permet de modifier le comportement de démarrage des services.

Pour désactiver les services réseau manuellement, exécutez la commande suivante :


# netservices limited

Vous pouvez utiliser cette commande sur les systèmes mis à niveau, auxquels aucune modification n'est apportée par défaut. En outre, cette commande permet de rétablir l'état limité après avoir activé des services individuellement.

De même, comme dans les versions précédentes de Solaris, les services peuvent être activés par défaut à l'aide de la commande suivante :


# netservices open

Pour de plus amples informations sur la révision des paramètres de sécurité, reportez-vous à la section How to Create an SMF Profile du System Administration Guide: Basic Administration. Consultez également les pages de manuel suivantes.