Tâches courantes dans Trusted Extensions (liste des tâches)

La liste des tâches ci-dessous décrit des procédures permettant de configurer un environnement de travail pour les administrateurs de Trusted Extensions.

Affectation de l'éditeur de votre choix en tant qu'éditeur de confiance

L'éditeur de confiance utilise comme éditeur la valeur de la variable d'environnement $EDITOR.

Avant de commencer

Vous devez être dans un rôle dans la zone globale.

1. Déterminez la valeur de la variable $EDITOR.

   # echo $EDITOR

   Les valeurs suivantes constituent des possibilités. La variable $EDITOR peut également ne pas être définie.

   • /usr/dt/bin/dtpad : correspond à l'éditeur fourni par CDE.

   • /usr/bin/gedit : correspond à l'éditeur fourni par Java Desktop System, version number. Solaris Trusted Extensions (JDS) est la version de confiance de ce bureau.

   • /usr/bin/vi : correspond à l'éditeur visuel.

2. Définissez la valeur de la variable $EDITOR.
   • Pour définir la valeur définitivement, modifiez la valeur dans le fichier d'initialisation du shell du rôle.

     Par exemple, dans le répertoire personnel du rôle, modifiez le fichier .kshrc pour un shell Korn et le fichier .cshrc pour un shell C.

   • Pour définir la valeur du shell actuel, définissez la valeur dans la fenêtre de terminal.

     Par exemple, dans un shell Korn, utilisez les commandes suivantes :

     # setenv EDITOR=pathname-of-editor
     # export $EDITOR

     Dans un shell C, utilisez la commande suivante :

     # setenv EDITOR=pathname-of-editor

     Dans un shell Bourne, utilisez les commandes suivantes :

     # EDITOR=pathname-of-editor
     # export EDITOR

Exemple 5-1 Spécification de l'éditeur pour l'éditeur de confiance

Le rôle d'administrateur de sécurité veut utiliser vi lors de la modification de fichiers système. Un utilisateur qui a assumé ce rôle modifie le fichier d'initialisation .kshrc dans le répertoire personnel du rôle.

$ cd /home/secadmin
$ vi .kshrc

## Interactive shell
set -o vi
...
export EDITOR=vi

La prochaine fois qu'un utilisateur assumera le rôle d'administrateur de la sécurité, vi sera l'éditeur de confiance.

Modification du mot de passe de root

Le rôle d'administrateur de sécurité est habilité à modifier le mot de passe de n'importe quel compte à tout moment à l'aide de la Console de gestion Solaris. Cependant, la Console de gestion Solaris n'est pas en mesure de modifier le mot de passe d'un compte système. Un compte système est un compte dont l'UID est inférieur à 100. root est un compte système car son UID est 0.

1. Prenez le rôle de superutilisateur.

   Si votre site a fait du superutilisateur le rôle root, assumez le rôle root.

2. Choisissez l'option Change Password (Modifier le mot de passe) dans le menu Trusted Path (Chemin de confiance).
   • Dans Trusted JDS, cliquez sur le symbole de confiance dans la bande de confiance.

     Dans le menu Trusted Path, sélectionnez Change Password.

     
     
   • Dans Solaris Trusted Extensions (CDE), ouvrez le menu Trusted Path.
     1. Cliquez avec le bouton 3 de la souris sur la zone de commutation de l'espace de travail.
     2. Choisissez l'option Change Password dans le menu Trusted Path.
     
     
3. Modifiez le mot de passe et confirmez la modification.

Exemple 5-2 Modification du mot de passe d'un rôle

Tout utilisateur qui peut assumer un rôle défini dans le protocole LDAP peut modifier le mot de passe du rôle par le biais du menu Trusted Path. Le mot de passe est ensuite modifié dans le protocole LDAP pour tous les utilisateurs qui tentent d'assumer le rôle.

Comme dans le SE Oracle Solaris, le rôle d'administrateur principal peut modifier le mot de passe d'un rôle à l'aide de la Console de gestion Solaris. Dans Trusted Extensions, le rôle d'administrateur de sécurité peut modifier le mot de passe d'un autre rôle en utilisant la Console de gestion Solaris.

Reprise du contrôle du focus actuel du bureau

La combinaison de touches de sécurité "Secure Attention" permet d'annuler la préhension d'un pointeur ou d'un clavier par une application non sécurisée. Elle permet également de vérifier si un pointeur ou un clavier a été capté par une application de confiance. Sur un système multiécran victime d'une usurpation et affichant plusieurs bandes de confiance, cette combinaison de touches aligne le pointeur sur la bande de confiance autorisée.

1. Pour reprendre le contrôle d'un clavier Sun, utilisez la combinaison de touches suivante.

   Appuyez sur les touches simultanément pour reprendre le contrôle du focus du bureau actuel. Sur le clavier Sun, la touche Meta est le losange.

   <Meta> <Stop>

   Si la préhension, un pointeur par exemple, n'est pas de confiance, le pointeur se déplace vers la bande. Un pointeur de confiance ne se déplace pas vers la bande de confiance.

2. Si vous n'utilisez pas un clavier Sun, utilisez la combinaison de touches suivante.

   <Alt> <Break>

   Appuyez sur les touches simultanément pour reprendre le contrôle du focus du bureau actuel de votre ordinateur portable.

Exemple 5-3 Test permettant de vérifier si l'invite de mot de passe est de confiance

Sur un système x86 utilisant un clavier Sun, l'utilisateur a été invité à saisir un mot de passe. Le curseur a été capté et se trouve dans la boîte de dialogue du mot de passe. Pour vérifier que l'invite est de confiance, l'utilisateur appuie simultanément sur les touches <Meta> <Stop> . Si le pointeur reste dans la boîte de dialogue, l'utilisateur sait que l'invite de mot de passe est de confiance.

Si le pointeur se déplace vers la bande de confiance, l'utilisateur sait que l'invite de mot de passe n'est pas de confiance et il contacte l'administrateur.

Exemple 5-4 Forcer le pointeur à se déplacer vers la bande de confiance

Dans cet exemple, l'utilisateur n'exécute aucun processus de confiance mais il ne peut pas voir le pointeur de la souris. Pour placer le pointeur au centre de la bande de confiance, l'utilisateur appuie simultanément sur les touches <Meta> <Stop>.

Obtention de l'équivalent hexadécimal d'une étiquette

Cette procédure fournit une représentation hexadécimale interne d'une étiquette. Cette représentation est sûre et permet le stockage dans un annuaire public. Pour plus d'informations, reportez-vous à la page de manuel atohexlabel(1M).

Avant de commencer

Vous devez être administrateur de sécurité dans la zone globale. Pour plus d'informations, reportez-vous à la section Accès à la zone globale dans Trusted Extensions .

• Pour obtenir la valeur hexadécimale d'une étiquette, effectuez l'une des opérations suivantes.
  • Pour obtenir la valeur hexadécimale d'une étiquette de sensibilité, transmettez l'étiquette à la commande.

    $ atohexlabel "CONFIDENTIAL : NEED TO KNOW"
    0x0004-08-68

  • Pour obtenir la valeur hexadécimale d'une autorisation, utilisez l'option -c.

    $ atohexlabel -c "CONFIDENTIAL NEED TO KNOW"
    0x0004-08-68

    ---

    Remarque - Les étiquettes de sensibilité lisibles par l'utilisateur et les étiquettes d'autorisation sont formées conformément aux règles du fichier label_encodings. Chaque type d'étiquette utilise les règles d'une section distincte de ce fichier. Lorsqu'une étiquette de sensibilité et une étiquette d'autorisation expriment toutes les deux le même niveau de sensibilité sous-jacent, leurs formes hexadécimales sont identiques. Toutefois, leurs formes lisibles par l'utilisateur peuvent être différentes. Les interfaces système qui acceptent les étiquettes lisibles par l'utilisateur en tant qu'entrées s'attendent à un type d'étiquette donné. Si les chaînes textuelles des types d'étiquette diffèrent, ces chaînes textuelles ne peuvent pas être utilisées de façon interchangeable.

    Dans le fichier par défaut label_encodings, le texte équivalent à une étiquette d'autorisation n'inclut pas les deux points (:).

    ---

Exemple 5-5 Utilisation de la commande atohexlabel

Lorsque vous transmettez une étiquette valide au format hexadécimal, la commande renvoie l'argument.

$ atohexlabel 0x0004-08-68
0x0004-08-68

Lorsque vous transmettez une étiquette d'administration, la commande renvoie l'argument.

$ atohexlabel admin_high
ADMIN_HIGH
atohexlabel admin_low
ADMIN_LOW

Erreurs fréquentes

Le message d'erreur atohexlabel parsing error found in <string> at position 0 indique que l'argument <string> que vous avez transmis à la commande atohexlabel n'était ni une étiquette valide, ni une autorisation. Vérifiez votre saisie et vérifiez que l'étiquette existe dans votre fichier label_encodings installé.

Obtention d'une étiquette lisible à partir de sa forme hexadécimale

Cette procédure constitue un moyen de réparer des étiquettes stockées dans des bases de données internes. Pour plus d'informations, reportez-vous à la page de manuel hextoalabel(1M).

Avant de commencer

Vous devez être administrateur de sécurité dans la zone globale.

• Pour obtenir l'équivalent textuel d'une représentation interne d'une étiquette, effectuez l'une des opérations suivantes.
  • Pour obtenir l'équivalent textuel d'une étiquette de sensibilité, transmettez la forme hexadécimale de l'étiquette.

    $ hextoalabel 0x0004-08-68
    CONFIDENTIAL : NEED TO KNOW

  • Pour obtenir l'équivalent textuel d'une autorisation, utilisez l'option -c.

    $ hextoalabel -c 0x0004-08-68
    CONFIDENTIAL NEED TO KNOW

Procédure de modification des paramètres de sécurité par défaut dans des fichiers système

Dans Trusted Extensions, c'est l'administrateur de sécurité qui modifie ou accède aux paramètres de sécurité par défaut sur un système.

Les fichiers des répertoires /etc/security et /etc/default contiennent des paramètres de sécurité. Sur un système Oracle Solaris, le superutilisateur peut modifier ces fichiers. Pour obtenir des informations sur la sécurité d'Oracle Solaris, reportez-vous au Chapitre 3, Controlling Access to Systems (Tasks) du System Administration Guide: Security Services.

---

Attention - Assouplissez uniquement les paramètres de sécurité par défaut du système si la stratégie de sécurité du site vous le permet.

---

Avant de commencer

Vous devez être administrateur de sécurité dans la zone globale.

• Utilisez l'éditeur de confiance pour modifier le fichier système.

  Pour plus d'informations, reportez-vous à la section Modification des fichiers d'administration dans Trusted Extensions.

  Le tableau ci-dessous répertorie les fichiers de sécurité et les paramètres de sécurité pouvant être modifiés dans ces fichiers.

  
  

  Fichier Tâche Pour plus d'informations /etc/default/login Réduire le nombre autorisé de tentatives de saisie de mot de passe. Reportez-vous à l'exemple sous How to Monitor All Failed Login Attempts du System Administration Guide: Security Services. Page de manuel passwd(1) etc/default/kbd Désactiver l'arrêt du clavier How to Disable a System’s Abort Sequence du System Administration Guide: Security Services Remarque - Sur les hôtes qui sont utilisés par les administrateurs pour le débogage, le paramètre par défaut pour KEYBOARD_ABORT permet d'accéder au débogueur de noyau kadb. Pour plus d'informations sur le débogueur, reportez-vous à la page de manuel kadb(1M). /etc/security/policy.conf Exiger un algorithme plus puissant pour les mots de passe utilisateur. Supprimer un privilège de base pour tous les utilisateurs de cet hôte. Limiter les utilisateurs de cet hôte aux autorisations utilisateur Solaris de base. Page de manuel policy.conf(4) /etc/default/passwd Exiger des utilisateurs qu'ils modifient fréquemment leur mot de passe. Exiger des utilisateurs qu'ils créent des mots de passe les plus différents possibles. Exiger des mots de passe utilisateur plus longs. Exiger des mots de passe introuvables dans votre dictionnaire. Page de manuel passwd(1)