Ignorer les liens de navigation | |
Quitter l'aperu | |
Guide d'administration système : Services de sécurité |
Partie I Présentation de la sécurité
1. Services de sécurité (présentation)
Partie II Sécurité du système, des fichiers et des périphériques
2. Gestion de la sécurité de la machine (présentation)
3. Contrôle de l'accès aux systèmes (tâches)
4. Contrôle de l'accès aux périphériques (tâches)
5. Utilisation de l'outil de génération de rapports d'audit de base (tâches)
6. Contrôle de l'accès aux fichiers (tâches)
Utilisation des autorisations UNIX pour protéger les fichiers
Commandes d'affichage et de sécurisation des fichiers
Propriété des fichiers et des répertoires
Autorisations des fichiers UNIX
Autorisations de fichiers spéciales (setuid, setgid et sticky bit)
Modes d'autorisation de fichier
Utilisation des ACL pour protéger les fichiers UFS
Entrées d'ACL pour les fichiers UFS
Entrées d'ACL pour les répertoires UFS
Commandes pour l'administration des ACL d'UFS
Prévention des problèmes de sécurité causés par les fichiers exécutables
Protection des fichiers (liste des tâches)
Protection des fichiers avec des autorisations UNIX (liste des tâches)
Affichage des informations de fichier
Modification du propriétaire d'un fichier local
Modification de la propriété de groupe d'un fichier
Modification des autorisations de fichier en mode symbolique
Modification des autorisations de fichier en mode absolu
Modification des autorisations de fichier spéciales en mode absolu
Protection de fichiers UFS à l'aide des ACL (liste des tâches)
Vérification de la présence d'une ACL dans un fichier
Ajout d'entrées d'ACL à un fichier
Modification d'entrées d'ACL sur un fichier
Protection contre les programmes présentant des risques de sécurité (liste des tâches)
Recherche de fichiers avec des autorisations de fichier spéciales
Désactivation de l'utilisation de piles exécutables par les programmes
7. Utilisation d'Automated Security Enhancement Tool (Tâches)
Partie III Rôles, profils de droits et privilèges
8. Utilisation des rôles et des privilèges (présentation)
9. Utilisation du contrôle d'accès basé sur les rôles (tâches)
10. Contrôle d'accès basé sur les rôles (référence)
Partie IV Services cryptographiques
13. Structure cryptographique Oracle Solaris (présentation)
14. Structure cryptographique Oracle Solaris (tâches)
15. Structure de gestion des clés Oracle Solaris
Partie V Services d'authentification et communication sécurisée
16. Utilisation des services d'authentification (tâches)
19. Utilisation d'Oracle Solaris Secure Shell (tâches)
20. Oracle Solaris Secure Shell (référence)
21. Introduction au service Kerberos
22. Planification du service Kerberos
23. Configuration du service Kerberos (tâches)
24. Messages d'erreur et dépannage de Kerberos
25. Administration des principaux et des stratégies Kerberos (tâches)
26. Utilisation des applications Kerberos (tâches)
27. Service Kerberos (référence)
Partie VII Audit Oracle Solaris
28. Audit Oracle Solaris (présentation)
29. Planification de l'audit Oracle Solaris
30. Gestion de l'audit Oracle Solaris (tâches)
La liste des tâches suivante présente les procédures qui répertorient les ACL sur un système de fichiers UFS, modifient les ACL et copient les ACL dans un autre fichier.
|
% ls -l filename
Où filename spécifie le fichier ou répertoire.
Dans la sortie, un signe plus (+) à la droite du champ mode indique que le fichier possède une ACL.
Exemple 6-6 Vérification de la présence d'une ACL dans un fichier
Dans l'exemple suivant, le fichier ch1.sgm dispose d'une ACL. L'ACL est indiquée par le signe plus (+) à la droite du champ mode.
% ls -l ch1.sgm -rwxr-----+ 1 stacey techpubs 167 Nov 11 11:13 ch1.sgm
% setfacl -s user::perms,group::perms,other:perms,mask:perms,acl-entry-list filename ...
Définit une ACL sur le fichier. Si un fichier possède déjà une ACL, elle est remplacé. Cette option nécessite au moins les entrées user::, group:: et other::.
Spécifie les autorisations du propriétaire du fichier.
Spécifie les autorisations de propriété de groupe.
Spécifie les autorisations pour les utilisateurs autres que le propriétaire du fichier ou les membres du groupe.
Spécifie les autorisations pour le masque d'ACL. Le masque indique les autorisations maximales accordées aux utilisateurs (autres que le propriétaire) et aux groupes.
Spécifie la liste d'une ou plusieurs entrées d'ACL à définir pour des utilisateurs et groupes spécifiques sur le fichier ou le répertoire. Vous pouvez également définir des entrées d'ACL par défaut sur un répertoire. Les entrées d'ACL valides sont répertoriées dans le Tableau 6-7 et le Tableau 6-8.
Spécifie un ou plusieurs fichiers ou répertoires sur lesquels définir l'ACL. S'il y a plusieurs filename, ils sont séparés par des espaces.
Attention - Si une ACL existe déjà sur le fichier, l'option -s remplace l'intégralité de l'ACL par la nouvelle ACL. |
Pour plus d'informations, reportez-vous à la page de manuel setfacl(1).
% getfacl filename
Pour plus d'informations, reportez-vous à la section Vérification de la présence d'une ACL dans un fichier.
Exemple 6-7 Définition d'une ACL sur un fichier
Dans l'exemple suivant, les autorisations du propriétaire du fichier sont définies sur lecture et écriture, celles du groupe de fichiers sont définies sur lecture seule et celles des autres sont définies sur aucun pour le fichier ch1.sgm. En outre, l'utilisateur anusha dispose d'autorisations de lecture et d'écriture sur le fichier. Les autorisations du masque d'ACL sont définies sur lecture et écriture, ce qui signifie qu'aucun utilisateur ni groupe ne dispose d'autorisation d'exécution.
% setfacl -s user::rw-,group::r--,other:---,mask:rw-,user:anusha:rw- ch1.sgm % ls -l total 124 -rw-r-----+ 1 stacey techpubs 34816 Nov 11 14:16 ch1.sgm -rw-r--r-- 1 stacey techpubs 20167 Nov 11 14:16 ch2.sgm -rw-r--r-- 1 stacey techpubs 8192 Nov 11 14:16 notes % getfacl ch1.sgm # file: ch1.sgm # owner: stacey # group: techpubs user::rw- user:anusha:rw- #effective:rw- group::r-- #effective:r-- mask:rw- other:---
Dans l'exemple suivant, le propriétaire du fichier définit les autorisations de lecture, d'écriture et d'exécution, les autorisations du groupe de fichiers sont définies sur lecture seule et celles des autres sont définies sur la valeur aucun. En outre, les autorisations du masque d'ACL sont définies en lecture sur le fichier ch2.sgm. Enfin, l'utilisateur anusha dispose d'autorisations de lecture et d'écriture. Cependant, en raison du masque d'ACL, les autorisations pour anusha sont de lecture seule.
% setfacl -s u::7,g::4,o:0,m:4,u:anusha:7 ch2.sgm % getfacl ch2.sgm # file: ch2.sgm # owner: stacey # group: techpubs user::rwx user:anusha:rwx #effective:r-- group::r-- #effective:r-- mask:r-- other:---
% getfacl filename1 | setfacl -f - filename2
Spécifie le fichier à partir duquel vous souhaitez copier l'ACL.
Spécifie le fichier sur lequel vous voulez définir l'ACL copiée.
Exemple 6-8 Copie d'une ACL
Dans l'exemple suivant, l'ACL sur ch2.sgm est copiée sur ch3.sgm.
% getfacl ch2.sgm | setfacl -f - ch3.sgm
% setfacl -m acl-entry-list filename ...
Modifie l'entrée d'ACL existante.
Spécifie la liste d'une ou plusieurs entrées d'ACL à modifier dans le fichier ou le répertoire. Vous pouvez également modifier les entrées d'ACL par défaut dans un répertoire. Les entrées d'ACL valides sont répertoriées dans le Tableau 6-7 et le Tableau 6-8.
Spécifie un ou plusieurs fichiers ou répertoires, séparés par un espace.
% getfacl filename
Exemple 6-9 Modification d'entrées d'ACL sur un fichier
Dans l'exemple ci-dessous, les autorisations de l'utilisateur anusha sont modifiées sur lecture et écriture.
% setfacl -m user:anusha:6 ch3.sgm % getfacl ch3.sgm # file: ch3.sgm # owner: stacey # group: techpubs user::rw- user::anusha:rw- #effective:r-- group::r- #effective:r-- mask:r-- other:r-
Dans l'exemple suivant, les autorisations par défaut pour le groupe staff sont modifiées en lecture sur le répertoire book. En outre, les autorisations du masque d'ACL par défaut sont modifiées en lecture et écriture.
% setfacl -m default:group:staff:4,default:mask:6 book
% setfacl -d acl-entry-list filename ...
Supprime les entrées d'ACL spécifiées.
Spécifie la liste des entrées d'ACL (sans spécifier les autorisations) à supprimer dans le fichier ou répertoire. Vous pouvez supprimer les entrées d'ACL et les entrées d'ACL par défaut pour des utilisateurs et des groupes spécifiques. Les entrées d'ACL valides sont répertoriées dans le Tableau 6-7 et le Tableau 6-8.
Spécifie un ou plusieurs fichiers ou répertoires, séparés par un espace.
Vous pouvez également utiliser la commande setfacl -s pour supprimer toutes les entrées d'ACL sur un fichier et les remplacer par les nouvelles entrées d'ACL spécifiées.
% getfacl filename
Exemple 6-10 Suppression d'entrées d'ACL sur un fichier
Dans l'exemple ci-dessous, l'utilisateur anusha est supprimé du fichier ch4.sgm.
% setfacl -d user:anusha ch4.sgm
% getfacl [-a | -d] filename ...
Affiche le nom du fichier, son propriétaire, le groupe de fichiers, et les entrées d'ACL pour le fichier ou le répertoire spécifié.
Affiche le nom du fichier, son propriétaire, le groupe de fichiers, et les entrées d'ACL par défaut, si elles existent, pour le répertoire spécifié.
Spécifie un ou plusieurs fichiers ou répertoires, séparés par un espace.
Si vous spécifiez plusieurs noms de fichier sur la ligne de commande, les entrées d'ACL sont affichées avec une ligne vide entre chaque entrée.
Exemple 6-11 Affichage des entrées d'ACL d'un fichier
Dans l'exemple ci-dessous, toutes les entrées d'ACL pour le fichier ch1.sgm s'affichent. La note #effective: en regard des entrées d'utilisateur et de groupe indique quels sont les autorisations après modification par le masque d'ACL.
% getfacl ch1.sgm # file: ch1.sgm # owner: stacey # group: techpubs user::rw- user:anusha:r- #effective:r-- group::rw- #effective:rw- mask:rw- other:---
Dans l'exemple suivant, les entrées d'ACL par défaut pour le répertoire book s'affichent.
% getfacl -d book # file: book # owner: stacey # group: techpubs user::rwx user:anusha:r-x #effective:r-x group::rwx #effective:rwx mask:rwx other:--- default:user::rw- default:user:anusha:r-- default:group::rw- default:mask:rw- default:other:---