JavaScript is required to for searching.
Ignorer les liens de navigation
Quitter l'aperu
Directives de sécurité d'Oracle Solaris 11     Oracle Solaris 11 Information Library (Fran├žais)
search filter icon
search icon

Informations document

Préface

1.  Présentation de la sécurité d'Oracle Solaris 11

Protections de sécurité Oracle Solaris 11

Technologies de sécurité d'Oracle Solaris 11

Service d'audit

Utilitaire BART (Basic Audit Reporting Tool)

Services cryptographiques

Autorisations de fichiers et entrées de contrôle d'accès

Filtrage des paquets

IP Filter

Wrappers TCP

Mots de passe et contraintes de mot de passe

Module d'authentification PAM

Privilèges dans Oracle Solaris

Accès distant

IPsec et IKE

Secure Shell

Service Kerberos

Contrôle d'accès basé sur les rôles (RBAC)

Utilitaire de gestion des services (SMF)

Système de fichiers ZFS Oracle Solaris

Zones Oracle Solaris

Trusted Extensions

Valeurs par défaut de la sécurité Oracle Solaris 11

Accès au système limité et contrôlé

Les protections du noyau, du fichier et du bureau sont en place

Des fonctions de sécurité supplémentaires sont en place

Stratégie de sécurité du site et pratiques

2.  Configuration de la sécurité d'Oracle Solaris 11

3.  Surveillance et maintenance de la sécurité d'Oracle Solaris 11

A.  Bibliographie relative à la sécurité d'Oracle Solaris

Valeurs par défaut de la sécurité Oracle Solaris 11

Après l'installation, Oracle Solaris protège le système contre les intrusions et surveille les tentatives de connexion, entre autres fonctions de sécurité.

Accès au système limité et contrôlé

Comptes de l'utilisateur initial et du rôle root : le compte de l'utilisateur initial peut se connecter à partir de la console. Le rôle root est affecté à ce compte. Au départ, le mot de passe de ces deux comptes est identique.

Exigences relatives au mot de passe : les mots de passe utilisateur doivent comporter six caractères au minimum et comprendre au moins un caractère alphabétique et un caractère numérique. Les mots de passe sont hachés à l'aide de l'algorithme SHA256. Tous les utilisateurs, y compris le rôle root, doivent respecter ces exigences relatives au mot de passe.

Accès au réseau limité : après l'installation, le système est protégé contre les intrusions via le réseau. La connexion à distance par l'utilisateur initial est autorisée par le biais d'une connexion chiffrée authentifiée à l'aide du protocole ssh. Ce protocole est le seul protocole réseau acceptant les paquets entrants. La clé ssh est encapsulée à l'aide de l'algorithme AES128. Une fois le chiffrement et l'authentification en place, l'utilisateur peut accéder au système sans interception, modification ou usurpation d'adresse IP.

Tentatives de connexion enregistrées : le service d'audit est activé pour tous les événements login/logout (connexion, déconnexion, changement d'utilisateur, démarrage et arrêt d'une session ssh et verrouillage de l'écran) et pour toutes les connexions non attribuables (ayant échoué). Etant donné que le rôle root ne peut pas se connecter, le nom de l'utilisateur jouant le rôle root peut être retrouvé dans la piste d'audit. L'utilisateur initial peut consulter les journaux d'audit grâce à un droit accordé par le biais du profil de droits System Administrator (Administrateur système).

Les protections du noyau, du fichier et du bureau sont en place

Une fois l'utilisateur initial connecté, le noyau, les systèmes de fichiers et les applications de bureau sont protégés par le principe du moindre privilège, les autorisations et le contrôle d'accès basé sur les rôles (RBAC).

Protections du noyau : de nombreux démons et commandes d'administration se voient attribuer uniquement les privilèges qui leur permettent d'aboutir. De nombreux démons sont exécutés à partir de comptes d'administration spéciaux qui ne disposent pas de privilèges root (UID=0) et qui ne peuvent pas être détournés pour effectuer d'autres tâches. Ces comptes d'administration spéciaux ne peuvent pas se connecter. Les périphériques sont protégés par des privilèges.

Systèmes de fichiers : par défaut, tous les systèmes de fichiers sont des systèmes de fichiers ZFS. La valeur umask de l'utilisateur est 022, de sorte que lorsqu'un utilisateur crée un nouveau fichier ou répertoire, seul cet utilisateur est autorisé à le modifier. Les membres du groupe de l'utilisateur sont autorisés à lire et à effectuer une recherche dans le répertoire ainsi qu'à lire le fichier. Les connexions externes au groupe de l'utilisateur peuvent lister le répertoire et lire le fichier. Les autorisations du répertoire sont drwxr-xr-x (755). Les autorisations du fichier sont -rw-r--r-- (644).

Applets de bureau : les applets de bureau sont protégés par RBAC. Par exemple, seul l'utilisateur initial ou le rôle root peuvent utiliser l'applet Gestionnaire de packages pour installer de nouveaux packages. Le Gestionnaire de packages n'est pas visible pour les utilisateurs standard ne disposant pas des droits nécessaires pour l'utiliser.

Des fonctions de sécurité supplémentaires sont en place

Oracle Solaris 11 fournit des fonctions de sécurité permettant de configurer les systèmes et les utilisateurs afin de satisfaire les exigences de sécurité du site.