JavaScript is required to for searching.
Ignorer les liens de navigation
Quitter l'aperu
Directives de sécurité d'Oracle Solaris 11     Oracle Solaris 11 Information Library (Fran├žais)
search filter icon
search icon

Informations document

Préface

1.  Présentation de la sécurité d'Oracle Solaris 11

2.  Configuration de la sécurité d'Oracle Solaris 11

Installation du SE Oracle Solaris

Sécurisation du système

Vérification des packages

Désactivation des services non utilisés

Désactivation de la possibilité pour les utilisateurs de gérer l'alimentation

Placement d'un message de sécurité dans les fichiers bannière

Placement d'un message de sécurité dans l'écran de connexion au bureau

Sécurisation des utilisateurs

Définition de contraintes de mot de passe renforcées

Activation du verrouillage de compte pour les utilisateurs standard

Définition d'une valeur umask plus restrictive pour les utilisateurs standard

Réalisation d'un audit des événements importants en plus de la connexion/déconnexion

Surveillance en temps réel des événements lo

Suppression de privilèges de base non utilisés des utilisateurs

Sécurisation du noyau

Configuration du réseau

Afficher des messages de sécurité aux utilisateurs ssh et ftp

Désactivation du démon de routage réseau

Désactivation du transfert de paquets de diffusion

Désactivation des réponses aux demandes d'écho

Définition du multiréseau strict

Définition du nombre maximal de connexions TCP incomplètes

Définition du nombre maximal de connexions TCP en attente

Spécification d'un numéro aléatoire fort pour la connexion TCP initiale

Restauration des valeurs sécurisées de paramètres réseau

Protection des systèmes de fichiers et des fichiers

Protection et modification de fichiers

Sécurisation des applications et des services

Création de zones contenant les applications essentielles

Gestion des ressources dans les zones

Configuration d'IPsec et d'IKE

Configuration d'IP Filter

Configuration de Kerberos

Ajout de SMF à un service hérité

Création d'un instantané BART du système

Ajout d'une sécurité (étiquetée) multiniveau

Configuration de Trusted Extensions

Configuration d'IPsec avec étiquettes

3.  Surveillance et maintenance de la sécurité d'Oracle Solaris 11

A.  Bibliographie relative à la sécurité d'Oracle Solaris

Sécurisation du système

Il est recommandé d'effectuer les tâches suivantes dans l'ordre. A ce stade, le SE Oracle Solaris 11 est installé et seul l'utilisateur initial qui peut assumer le rôle root a accès au système.

Tâche
Description
Voir
1. Vérification des packages sur le système.
Vérifie que les packages du média d'installation sont identiques aux packages installés.
2. Protection des paramètres du matériel sur le système.
Protège le matériel en exigeant un mot de passe pour toute modification de paramètres matériels.
3. Désactivation des services non utilisés.
Empêche l'exécution des processus qui ne font pas partie des fonctions indispensables pour le système.
4. Activation obligatoire de l'allocation de périphériques.
Empêche l'utilisation de médias amovibles sans autorisation explicite. Les périphériques incluent les microphones, les lecteurs USB et les CD.
5. Interdiction de la mise hors tension du système par le propriétaire du poste de travail.
Empêche l'utilisateur de la console d'arrêter ou de suspendre le système.
6. Création d'un message d'avertissement de connexion reflétant la stratégie de sécurité de votre site.
Avertit les utilisateurs et les attaquants potentiels que le système est surveillé.

Vérification des packages

Immédiatement après l'installation, validez l'installation en contrôlant les packages.

Avant de commencer

Vous devez être dans le rôle root.

  1. Exécutez la commande pkg verify.

    Pour conserver un enregistrement, envoyez le résultat de la commande dans un fichier.

    # pkg verify > /var/pkgverifylog
  2. Consultez le journal pour vérifier s'il y a des erreurs.
  3. Si vous trouvez des erreurs, réinstallez à partir du média ou corrigez les erreurs.

Voir aussi

Pour plus d'informations, reportez-vous aux pages de manuel pkg(1) et pkg(5). Les pages de manuel présentent des exemples d'utilisation de la commande pkg verify.

Désactivation des services non utilisés

Cette procédure permet de désactiver les services qui, selon la finalité du système concerné, ne sont pas nécessaires.

Avant de commencer

Vous devez être dans le rôle root.

  1. Répertoriez les services en ligne.
    # svcs | grep network
    online         Sep_07   svc:/network/loopback:default
    ...
    online         Sep_07   svc:/network/ssh:default
  2. Désactivez les services qui ne sont pas requis par ce système.

    Par exemple, si le système n'est pas un serveur NFS ou un serveur Web et les services sont en ligne, désactivez-les.

    # svcadm disable svc:/network/nfs/server:default
    # svcadm disable svc:/network/http:apache22

Voir aussi

Pour plus d'informations, reportez-vous au Chapitre 6, Gestion des services (présentation) du manuel Administration d’Oracle Solaris : Tâches courantes et à la page de manuel svcs(1).

Désactivation de la possibilité pour les utilisateurs de gérer l'alimentation

Cette procédure permet d'empêcher les utilisateurs de ce système de le suspendre ou de le mettre hors tension.

Avant de commencer

Vous devez être dans le rôle root.

  1. Passez en revue le contenu du profil de droits Console User (Utilisateur de la console).
    % getent prof_attr | grep Console
    Console User:RO::Manage System as the Console User:
    profiles=Desktop Removable Media User,Suspend To RAM,Suspend To Disk,
    Brightness,CPU Power Management,Network Autoconf User;
    auths=solaris.system.shutdown;help=RtConsUser.html
  2. Créez un profil de droits comprenant tous les droits du profil Console User que les utilisateurs doivent conserver.

    Pour plus d'instructions, reportez-vous à la section Procédure de création ou de modification d’un profil de droits du manuel Administration d’Oracle Solaris : services de sécurité.

  3. Mettez en commentaire le profil de droits Console User dans le fichier /etc/security/policy.conf.
    #CONSOLE_USER=Console User
  4. Attribuez aux utilisateurs le profil de droits que vous avez créé au cours de l'Étape 2.
    # usermod -P +new-profile username

Voir aussi

Pour plus d'informations, reportez-vous à la section Fichier policy.conf du manuel Administration d’Oracle Solaris : services de sécurité et aux pages de manuel policy.conf(4) et usermod(1M).

Placement d'un message de sécurité dans les fichiers bannière

Cette procédure permet de créer des messages d'avertissement reflétant la stratégie de sécurité de votre site. Le contenu de ces fichiers s'affiche lors de la connexion locale et à distance.


Remarque - Les exemples de messages dans cette procédure ne répondent pas aux exigences du gouvernement des Etats-Unis et ne satisfont probablement pas les exigences de votre stratégie de sécurité.


Avant de commencer

Vous devez être dans le rôle root. La meilleure pratique consiste à consulter le conseil juridique de votre entreprise à propos du contenu du message de sécurité.

  1. Saisissez un message de sécurité dans le fichier /etc/issue.
    # vi /etc/issue
          ALERT   ALERT   ALERT   ALERT   ALERT
    
    This machine is available to authorized users only.
    
    If you are an authorized user, continue. 
    
    Your actions are monitored, and can be recorded.

    Pour plus d'informations, reportez-vous à la page de manuel issue(4).

    Le programme telnet affiche le contenu du fichier /etc/issue en tant que message de connexion. Pour plus d'informations sur l'utilisation de ce fichier par d'autres applications, reportez-vous aux sections Afficher des messages de sécurité aux utilisateurs ssh et ftp et Placement d'un message de sécurité dans l'écran de connexion au bureau.

  2. Ajoutez un message de sécurité au fichier /etc/motd.
    # vi /etc/motd
    This system serves authorized users only. Activity is monitored and reported.

Placement d'un message de sécurité dans l'écran de connexion au bureau

Vous avez le choix entre plusieurs méthodes de création d'un message de sécurité que les utilisateurs pourront consulter lors de la connexion.

Pour plus d'informations, cliquez sur le menu System (Système) > Help (Aide) du bureau pour faire apparaître le navigateur d'aide GNOME. Vous pouvez également utiliser la commande yelp. Les scripts de connexion au bureau sont traités dans la section GDM Login Scripts and Session Files de la page de manuel gdm(1M).


Remarque - L'exemple de message dans cette procédure ne répond pas aux exigences du gouvernement des Etats-Unis et ne satisfait probablement pas les exigences de votre stratégie de sécurité.


Avant de commencer

Vous devez être dans le rôle root. La meilleure pratique consiste à consulter le conseil juridique de votre entreprise à propos du contenu du message de sécurité.

Exemple 2-1 Création d'un court message d'avertissement qui s'affiche lors de la connexion au bureau

Dans cet exemple, l'administrateur saisit un court message en tant qu'argument de la commande zenity dans le fichier de bureau. L'administrateur utilise également l'option --warning, qui affiche une icône d'avertissement avec le message.

# vi /usr/share/gdm/autostart/LoginWindow/bannershort.desktop
[Desktop Entry]
Type=Application
Name=Banner Dialog
Exec=/usr/bin/zenity --warning --width=800  --height=150 --title="Security Message" \
--text="This system serves authorized users only. Activity is monitored and reported."
OnlyShowIn=GNOME;
X-GNOME-Autostart-Phase=Application