JavaScript is required to for searching.
Ignorer les liens de navigation
Quitter l'aperu
Directives de sécurité d'Oracle Solaris 11     Oracle Solaris 11 Information Library (Fran├žais)
search filter icon
search icon

Informations document

Préface

1.  Présentation de la sécurité d'Oracle Solaris 11

2.  Configuration de la sécurité d'Oracle Solaris 11

Installation du SE Oracle Solaris

Sécurisation du système

Vérification des packages

Désactivation des services non utilisés

Désactivation de la possibilité pour les utilisateurs de gérer l'alimentation

Placement d'un message de sécurité dans les fichiers bannière

Placement d'un message de sécurité dans l'écran de connexion au bureau

Sécurisation des utilisateurs

Définition de contraintes de mot de passe renforcées

Activation du verrouillage de compte pour les utilisateurs standard

Définition d'une valeur umask plus restrictive pour les utilisateurs standard

Réalisation d'un audit des événements importants en plus de la connexion/déconnexion

Surveillance en temps réel des événements lo

Suppression de privilèges de base non utilisés des utilisateurs

Sécurisation du noyau

Configuration du réseau

Afficher des messages de sécurité aux utilisateurs ssh et ftp

Désactivation du démon de routage réseau

Désactivation du transfert de paquets de diffusion

Désactivation des réponses aux demandes d'écho

Définition du multiréseau strict

Définition du nombre maximal de connexions TCP incomplètes

Définition du nombre maximal de connexions TCP en attente

Spécification d'un numéro aléatoire fort pour la connexion TCP initiale

Restauration des valeurs sécurisées de paramètres réseau

Protection des systèmes de fichiers et des fichiers

Protection et modification de fichiers

Sécurisation des applications et des services

Création de zones contenant les applications essentielles

Gestion des ressources dans les zones

Configuration d'IPsec et d'IKE

Configuration d'IP Filter

Configuration de Kerberos

Ajout de SMF à un service hérité

Création d'un instantané BART du système

Ajout d'une sécurité (étiquetée) multiniveau

Configuration de Trusted Extensions

Configuration d'IPsec avec étiquettes

3.  Surveillance et maintenance de la sécurité d'Oracle Solaris 11

A.  Bibliographie relative à la sécurité d'Oracle Solaris

Configuration du réseau

A ce stade, vous avez peut-être créé des utilisateurs qui peuvent assumer des rôles et créé les rôles. Seul le rôle root peut modifier les fichiers système.

Parmi les tâches réseau suivantes, effectuez celles qui fournissent une sécurité supplémentaire en fonction des exigences de votre site. Ces tâches réseau notifient les utilisateurs qui se connectent à distance que le système est protégé et renforcent les protocoles IP, ARP et TCP.

Tâche
Description
Voir
Affichage de messages d'avertissement reflétant la stratégie de sécurité de votre site.
Avertit les utilisateurs et les attaquants potentiels que le système est surveillé.
Désactivation du démon de routage du réseau.
Limite l'accès aux systèmes par des renifleurs de réseau
Prévention de la diffusion d'informations sur la topologie du réseau.
Empêche la diffusion de paquets.
Désactivation des réponses aux demandes d'écho de diffusion et aux demandes d'écho multidiffusion.
Pour les systèmes constituant des passerelles vers d'autres domaines, tels qu'un pare-feu ou un noeud de réseau privé virtuel (VPN), activation du multiréseau strict de la source et de la destination.
Empêche les paquets qui ne possèdent pas dans leur en-tête l'adresse de la passerelle de se déplacer au-delà de la passerelle.
Prévention des attaques DOS en contrôlant le nombre de connexions incomplètes au système.
Limite le nombre maximal de connexions TCP incomplètes pour un processus d'écoute TCP.
Prévention des attaques DOS en contrôlant le nombre de connexions entrantes autorisées.
Spécifie le nombre maximal par défaut de connexions TCP en attente pour un processus d'écoute TCP.
Génération de nombres aléatoires forts pour les connexions TCP initiales.
Respecte la valeur de génération de numéro de séquence spécifiée par RFC 1948.
Restauration des valeurs sécurisées par défaut des paramètres réseau.
Renforce la sécurité lorsqu'elle a été réduite par des actions d'administration.
Ajout de wrappers TCP aux services réseau pour limiter l'accès des applications aux utilisateurs légitimes.
Indique les systèmes autorisés à accéder aux services réseau, tels que FTP.

Par défaut, l'application sendmail est protégée à l'aide de wrappers TCP, comme décrit à la section Prise en charge des wrappers TCP à partir de la version 8.12 de sendmail du manuel Administration d’Oracle Solaris : Services réseau.

Pour activer des wrappers TCP pour tous les services inetd, reportez-vous à la section Contrôle d’accès aux services TCP à l’aide des wrappers TCP du manuel Administration d’Oracle Solaris : Services IP.

Pour consulter un exemple illustrant la protection du service réseau FTP par des wrappers TCP, reportez-vous à la section Démarrage d’un serveur FTP à l’aide de SMF du manuel Administration d’Oracle Solaris : Services réseau.

Afficher des messages de sécurité aux utilisateurs ssh et ftp

Utilisez cette procédure pour afficher des messages de sécurité lors de la connexion à distance et du transfert de fichier.

Avant de commencer

Vous devez être dans le rôle root. Vous avez créé le fichier /etc/issue au cours de l'Étape 1 de la section Placement d'un message de sécurité dans les fichiers bannière.

  1. Pour afficher un message de sécurité aux utilisateurs qui se connectent à l'aide de ssh, procédez comme suit :
    1. Annulez la mise en commentaire de la directive de bannière dans le fichier /etc/sshd_config.
      # vi /etc/ssh/sshd_config
      # Banner to be printed before authentication starts.
      Banner /etc/issue
    2. Actualisez le service ssh.
      # svcadm refresh ssh
        

    Pour plus d'informations, reportez-vous aux pages de manuel issue(4) et sshd_config(4).

  2. Pour afficher un message de sécurité aux utilisateurs qui se connectent via ftp, procédez comme suit :
    1. Ajoutez la directive DisplayConnect au fichier proftpd.conf.
      # vi /etc/proftpd.conf
      # Banner to be printed before authentication starts.
      DisplayConnect /etc/issue
    2. Redémarrez le service ftp.
      # svcadm restart ftp

      Pour plus d'informations, reportez-vous au site Web ProFTPD.

Désactivation du démon de routage réseau

Cette procédure permet d'empêcher le routage réseau après l'installation en spécifiant un routeur par défaut. Cette procédure peut aussi être effectuée après une configuration manuelle du routage.


Remarque - De nombreuses procédures de configuration requièrent la désactivation du démon de routage. Vous avez donc peut-être désactivé ce démon dans le cadre d'une procédure de configuration générale.


Avant de commencer

Le profil de droits Network Management (Gestion du réseau) doit vous avoir été attribué.

  1. Assurez-vous que le démon de routage est en cours d'exécution.
    # svcs -x svc:/network/routing/route:default
    svc:/network/routing/route:default (in.routed network routing daemon)
     State: online since April 10, 2011 05:15:35 AM PDT
       See: in.routed(1M)
       See: /var/svc/log/network-routing-route:default.log
    Impact: None.

    Si le service n'est pas en cours d'exécution, vous pouvez vous arrêter ici.

  2. Désactivez le démon de routage.
    # routeadm -d ipv4-forwarding -d ipv6-forwarding
    # routeadm -d ipv4-routing -d ipv6-routing
    # routeadm -u
  3. Vérifiez que le démon de routage est désactivé.
    # svcs -x routing/route:default
    svc:/network/routing/route:default (in.routed network routing daemon)
     State: disabled since April 11, 2011 10:10:10 AM PDT
    Reason: Disabled by an administrator.
       See: http://sun.com/msg/SMF-8000-05
       See: in.routed(1M)
    Impact: This service is not running.

Voir aussi

Page de manuel routeadm(1M)

Désactivation du transfert de paquets de diffusion

Par défaut, Oracle Solaris transmet les paquets de diffusion. Si la stratégie de sécurité de votre site exige une réduction du risque de saturation par diffusions, modifiez la valeur par défaut à l'aide de cette procédure.


Remarque - En désactivant la propriété _forward_directed_broadcasts, vous désactivez les commandes ping des diffusions.


Avant de commencer

Le profil de droits Network Management (Gestion du réseau) doit vous avoir été attribué.

  1. Définissez sur 0 la propriété de transfert des paquets de diffusion pour les paquets IP.
    # ipadm set-prop -p _forward_directed_broadcasts=0 ip
  2. Contrôlez la valeur en cours.
    # ipadm show-prop -p _forward_directed_broadcasts ip
    PROTO  PROPERTY                     PERM CURRENT   PERSISTENT   DEFAULT   POSSIBLE
    ip    _forward_directed_broadcasts  rw   0         --           0         0,1

Voir aussi

Page de manuel ipadm(1M)

Désactivation des réponses aux demandes d'écho

Cette procédure permet d'empêcher la diffusion d'informations sur la topologie du réseau.

Avant de commencer

Le profil de droits Network Management (Gestion du réseau) doit vous avoir été attribué.

  1. Définissez sur 0 la propriété de réponse aux demandes d'écho de diffusion pour les paquets IP, puis contrôlez la valeur en cours.
    # ipadm set-prop -p _respond_to_echo_broadcast=0 ip
    
    # ipadm show-prop -p _respond_to_echo_broadcast ip
    PROTO  PROPERTY                  PERM CURRENT   PERSISTENT   DEFAULT   POSSIBLE
    ip    _respond_to_echo_broadcast rw   0         --           1         0,1
  2. Définissez sur 0 la propriété de réponse aux demandes d'écho multidiffusion pour les paquets IP, puis contrôlez la valeur en cours.
    # ipadm set-prop -p _respond_to_echo_multicast=0 ipv4
    # ipadm set-prop -p _respond_to_echo_multicast=0 ipv6
    
    # ipadm show-prop -p _respond_to_echo_multicast ipv4
    PROTO  PROPERTY                  PERM CURRENT   PERSISTENT   DEFAULT   POSSIBLE
    ipv4  _respond_to_echo_multicast rw   0         --           1         0,1
    # ipadm show-prop -p _respond_to_echo_multicast ipv6
    PROTO  PROPERTY                  PERM CURRENT   PERSISTENT   DEFAULT   POSSIBLE
    ipv6  _respond_to_echo_multicast rw   0         --           1         0,1

Voir aussi

Pour plus d'informations, reportez-vous à la section _respond_to_echo_broadcast et _respond_to_echo_multicast (ipv4 ou ipv6) du manuel Manuel de référence des paramètres réglables Oracle Solaris et à la page de manuel ipadm(1M).

Définition du multiréseau strict

Pour les systèmes constituant des passerelles vers d'autres domaines, tels qu'un pare-feu ou un noeud de réseau privé virtuel (VPN), cette procédure permet d'activer les systèmes multiréseau stricts.

La version Oracle Solaris 11 présente une nouvelle propriété appelée hostmodel pour IPv4 et IPv6. Cette propriété contrôle le comportement d'envoi et de réception de paquets IP sur un système multiréseau.

Avant de commencer

Le profil de droits Network Management (Gestion du réseau) doit vous avoir été attribué.

  1. Définissez la propriété hostmodel sur strong pour les paquets IP.
    # ipadm set-prop -p hostmodel=strong ipv4
    # ipadm set-prop -p hostmodel=strong ipv6
  2. Contrôlez la valeur en cours et notez les valeurs possibles.
    # ipadm show-prop -p hostmodel ip
    PROTO  PROPERTY    PERM CURRENT   PERSISTENT   DEFAULT   POSSIBLE
    ipv6   hostmodel   rw   strong    strong       weak      strong,src-priority,weak
    ipv4   hostmodel   rw   strong    strong       weak      strong,src-priority,weak

Voir aussi

Pour plus d'informations, reportez-vous à la section hostmodel (ipv4 ou ipv6) du manuel Manuel de référence des paramètres réglables Oracle Solaris et à la page de manuel ipadm(1M).

Pour plus d'informations à propos du multiréseau, reportez-vous à la section Procédure de protection d’un VPN avec IPsec en mode Tunnel du manuel Administration d’Oracle Solaris : Services IP.

Définition du nombre maximal de connexions TCP incomplètes

Cette procédure permet d'empêcher les attaques par déni de service en contrôlant le nombre de connexions en attente incomplètes.

Avant de commencer

Le profil de droits Network Management (Gestion du réseau) doit vous avoir été attribué.

  1. Définissez le nombre maximal de connexions entrantes.
    # ipadm set-prop -p _conn_req_max_q0=4096 tcp
  2. Contrôlez la valeur en cours.
    # ipadm show-prop -p _conn_req_max_q0 tcp
    PROTO  PROPERTY         PERM CURRENT   PERSISTENT   DEFAULT   POSSIBLE
    tcp   _conn_req_max_q0  rw   4096      --           128       1-4294967295

Voir aussi

Pour plus d'informations, reportez-vous à la section _conn_req_max_q0 du manuel Manuel de référence des paramètres réglables Oracle Solaris et à la page de manuel ipadm(1M).

Définition du nombre maximal de connexions TCP en attente

Cette procédure permet d'empêcher les attaques par déni de service en contrôlant le nombre de connexions entrantes autorisées.

Avant de commencer

Le profil de droits Network Management (Gestion du réseau) doit vous avoir été attribué.

  1. Définissez le nombre maximal de connexions entrantes.
    # ipadm set-prop -p _conn_req_max_q=1024 tcp
  2. Contrôlez la valeur en cours.
    # ipadm show-prop -p _conn_req_max_q tcp
    PROTO  PROPERTY         PERM CURRENT   PERSISTENT   DEFAULT   POSSIBLE
    tcp   _conn_req_max_q   rw   1024      --           128       1-4294967295

Voir aussi

Pour plus d'informations, reportez-vous à _conn_req_max_q du manuel Manuel de référence des paramètres réglables Oracle Solaris et à la page de manuel ipadm(1M).

Spécification d'un numéro aléatoire fort pour la connexion TCP initiale

Cette procédure définit le paramètre de génération du numéro de séquence initial TCP de manière à ce qu'il soit conforme à RFC 1948.

Avant de commencer

Vous devez être dans le rôle root pour modifier un fichier système.

Restauration des valeurs sécurisées de paramètres réseau

De nombreux paramètres réseau sécurisés par défaut sont réglables et peuvent donc être modifiés. Si les conditions du site le permettent, restaurez les valeurs par défaut des paramètres réglables suivants.

Avant de commencer

Le profil de droits Network Management (Gestion du réseau) doit vous avoir été attribué. La valeur actuelle du paramètre est moins sûre que la valeur par défaut.

  1. Définissez sur 0 la propriété de transfert des packages source pour les paquets IP, puis contrôlez la valeur en cours.

    La valeur par défaut empêche les attaques par déni de service provenant de paquets falsifiés.

    # ipadm set-prop -p _forward_src_routed=0 ipv4
    # ipadm set-prop -p _forward_src_routed=0 ipv6
    # ipadm show-prop -p _forward_src_routed ipv4
    PROTO  PROPERTY             PERM CURRENT   PERSISTENT   DEFAULT   POSSIBLE
    ipv4  _forward_src_routed   rw   0         --           0         0,1
    # ipadm show-prop -p _forward_src_routed ipv6
    PROTO  PROPERTY             PERM CURRENT   PERSISTENT   DEFAULT   POSSIBLE
    ipv6  _forward_src_routed   rw   0         --           0         0,1

    Pour plus d'informations, reportez-vous à la section forwarding (ipv4 ou ipv6) du manuel Manuel de référence des paramètres réglables Oracle Solaris.

  2. Définissez sur 0 la propriété de réponse netmask pour les paquets IP, puis contrôlez la valeur en cours.

    La valeur par défaut empêche la diffusion d'informations sur la topologie du réseau.

    # ipadm set-prop -p _respond_to_address_mask_broadcast=0 ip
    # ipadm show-prop -p _respond_to_address_mask_broadcast ip
    PROTO PROPERTY                           PERM CURRENT   PERSISTENT   DEFAULT   POSSIBLE
    ip    _respond_to_address_mask_broadcast rw   0         --           0         0,1
  3. Définissez sur 0 la propriété de réponse de l'horodatage pour les paquets IP, puis contrôlez la valeur en cours.

    La valeur par défaut supprime les demandes supplémentaires des unités centrales par rapport aux systèmes et empêche la diffusion d'informations sur le réseau.

    # ipadm set-prop -p _respond_to_timestamp=0 ip
    # ipadm show-prop -p _respond_to_timestamp ip
    PROTO  PROPERTY                        PERM CURRENT   PERSISTENT   DEFAULT   POSSIBLE
    ip    _respond_to_timestamp            rw   0         --           0         0,1
  4. Définissez sur 0 la propriété de réponse de diffusion de l'horodatage pour les paquets IP, puis contrôlez la valeur en cours.

    La valeur par défaut supprime les demandes supplémentaires des unités centrales par rapport aux systèmes et empêche la diffusion d'informations sur le réseau.

    # ipadm set-prop -p _respond_to_timestamp_broadcast=0 ip
    # ipadm show-prop -p _respond_to_timestamp_broadcast ip
    PROTO  PROPERTY                        PERM CURRENT   PERSISTENT   DEFAULT   POSSIBLE
    ip    _respond_to_timestamp_broadcast  rw   0         --           0         0,1
  5. Définissez sur 0 la propriété ignorer les réacheminements, puis contrôlez la valeur en cours.

    La valeur par défaut empêche les demandes supplémentaires des unités centrales par rapport aux systèmes.

    # ipadm set-prop -p _ignore_redirect=0 ipv4
    # ipadm set-prop -p _ignore_redirect=0 ipv6
    # ipadm show-prop -p _ignore_redirect ipv4
    PROTO  PROPERTY         PERM CURRENT   PERSISTENT   DEFAULT   POSSIBLE
    ipv4  _ignore_redirect  rw   0         --           0         0,1
    # ipadm show-prop -p _ignore_redirect ipv6
    PROTO  PROPERTY         PERM CURRENT   PERSISTENT   DEFAULT   POSSIBLE
    ipv6  _ignore_redirect  rw   0         --           0         0,1
  6. Empêchez le routage de source IP.

    Si vous avez besoin du routage de source IP à des fins de diagnostic, ne désactivez pas ce paramètre réseau.

    # ipadm set-prop -p _rev_src_routes=0 tcp
    # ipadm show-prop -p _rev_src_routes tcp
    PROTO  PROPERTY         PERM CURRENT   PERSISTENT   DEFAULT   POSSIBLE
    tcp   _rev_src_routes   rw   0         --           0         0,1

    Pour plus d'informations, reportez-vous à la section _rev_src_routes du manuel Manuel de référence des paramètres réglables Oracle Solaris.

  7. Définissez sur 0 la propriété ignorer les réacheminements, puis contrôlez la valeur en cours.

    La valeur par défaut empêche les demandes supplémentaires des unités centrales par rapport aux systèmes. Normalement, les réacheminements ne sont pas nécessaires sur un réseau bien conçu.

    # ipadm set-prop -p _ignore_redirect=0 ipv4
    # ipadm set-prop -p _ignore_redirect=0 ipv6
    # ipadm show-prop -p _ignore_redirect ipv4
    PROTO  PROPERTY           PERM  CURRENT   PERSISTENT   DEFAULT   POSSIBLE
    ipv4   _ignore_redirect   rw    0         --           0         0,1
    # ipadm show-prop -p _ignore_redirect ipv6
    PROTO  PROPERTY           PERM  CURRENT   PERSISTENT   DEFAULT   POSSIBLE
    ipv6   _ignore_redirect   rw    0         --           0         0,1

Voir aussi

Page de manuel ipadm(1M)