Ignorer les liens de navigation | |
Quitter l'aperu | |
Administration d'Oracle Solaris : services de sécurité Oracle Solaris 11 Information Library (Français) |
Partie I Présentation de la sécurité
1. Services de sécurité (présentation)
Partie II Sécurité du système, des fichiers et des périphériques
2. Gestion de la sécurité de la machine (présentation)
Contrôle de l'accès à un système informatique
Maintenance de la sécurité physique
Gestion du contrôle de connexion
Gestion des informations de mot de passe
Contrôle de l'accès aux périphériques
Stratégie de périphériques (présentation)
Allocation des périphériques (présentation)
Contrôle de l'accès aux ressources de la machine
Limitation et surveillance du superutilisateur
Configuration du contrôle d'accès basé sur les rôles pour remplacer le superutilisateur
Prévention des mauvaises utilisations involontaires des ressources système
Définition de la variable PATH
Affectation d'un shell restreint à des utilisateurs
Restriction de l'accès aux données dans les fichiers
Restriction des fichiers exécutables setuid
Utilisation de la configuration Secure by Default
Utilisation des fonctions de gestion des ressources
Utilisation des zones Oracle Solaris
Surveillance de l'utilisation des ressources de la machine
Surveillance de l'intégrité des fichiers
Contrôle de l'accès aux fichiers
Protection des fichiers par chiffrement
Utilisation des listes de contrôle d'accès
Authentification et autorisation pour l'accès à distance
Chiffrement et systèmes pare-feu
Génération de rapports sur les problèmes de sécurité
3. Contrôle de l'accès aux systèmes (tâches)
4. Service d'analyse antivirus (tâches)
5. Contrôle de l'accès aux périphériques (tâches)
6. Utilisation de l'outil de génération de rapports d'audit de base (tâches)
7. Contrôle de l'accès aux fichiers (tâches)
Partie III Rôles, profils de droits et privilèges
8. Utilisation des rôles et des privilèges (présentation)
9. Utilisation du contrôle d'accès basé sur les rôles (tâches)
10. Attributs de sécurité dans Oracle Solaris (référence)
Partie IV Services cryptographiques
11. Structure cryptographique (présentation)
12. Structure cryptographique (tâches)
13. Structure de gestion des clés
Partie V Services d'authentification et communication sécurisée
14. Authentification des services réseau (tâches)
17. Utilisation de Secure Shell (tâches)
19. Introduction au service Kerberos
20. Planification du service Kerberos
21. Configuration du service Kerberos (tâches)
22. Messages d'erreur et dépannage de Kerberos
23. Administration des principaux et des stratégies Kerberos (tâches)
24. Utilisation des applications Kerberos (tâches)
25. Service Kerberos (référence)
Partie VII Audit dans Oracle Solaris
Oracle Solaris est un environnement multiutilisateur. Dans un environnement multiutilisateur, tous les utilisateurs connectés à un système peuvent lire des fichiers appartenant à d'autres utilisateurs. Les utilisateurs disposant des autorisations de fichiers appropriées peuvent également utiliser des fichiers appartenant à d'autres utilisateurs. Pour plus d'informations, reportez-vous au Chapitre 7, Contrôle de l'accès aux fichiers (tâches). Pour obtenir des instructions détaillées sur la définition des autorisations de fichiers appropriées, reportez-vous à la section Protection des fichiers (tâches).
Vous pouvez assurer la sécurité d'un fichier en le rendant inaccessible aux autres utilisateurs. Par exemple, un fichier avec des autorisations de 600 ne peut être lu que par son propriétaire et le superutilisateur. Un répertoire disposant d'autorisations de 700 est également inaccessible. Cependant, quiconque devine votre mot de passe ou découvre le mot de passe root peut accéder à ce fichier. De même, un fichier inaccessible autrement est conservé sur une bande de sauvegarde chaque fois que les fichiers système sont sauvegardés sur un média hors ligne.
La structure cryptographique fournit les commandes digest, mac et encrypt pour protéger les fichiers. Pour plus d'informations, reportez-vous au Chapitre 11, Structure cryptographique (présentation).
Les listes de contrôle d'accès (ACL), qui se prononce "ackkls" en anglais, peuvent offrir un plus grand contrôle sur les autorisations de fichier. Vous ajoutez des ACL lorsque les protections de fichier UNIX conventionnelles ne sont pas suffisantes. Les protections de fichier UNIX conventionnelles fournissent des autorisations de lecture, d'écriture et d'exécution pour les trois classes d'utilisateur : propriétaire, groupe et autre. Une ACL permet d'affiner la sécurité des fichiers.
Les ACL vous permettent de définir des autorisations de fichier précises, notamment :
Autorisations de fichier de propriétaire
Autorisations de fichier pour le groupe du propriétaire
Autorisations de fichier pour d'autres utilisateurs n'appartenant pas au groupe du propriétaire
Autorisations de fichier pour des utilisateurs spécifiques
Autorisations de fichier pour des groupes spécifiques
Autorisations par défaut pour chacune des catégories précédentes
Pour plus d'informations sur l'utilisation des ACL, reportez-vous à la section Utilisation des ACL pour protéger les fichiers UFS. Pour protéger les fichiers ZFS avec des ACL (listes de contrôle d'accès), reportez-vous au Chapitre 8, Utilisation des ACL et des attributs pour protéger les fichiers Oracle Solaris ZFS du manuel Administration d’Oracle Solaris : Systèmes de fichiers ZFS.
Un serveur de fichiers réseau peut contrôler les fichiers disponibles pour le partage. Un serveur de fichiers réseau peut également déterminer quels clients ont accès aux fichiers et quel type d'accès est autorisé pour ces clients. En général, le serveur de fichiers peut accorder un accès en lecture-écriture ou un accès en lecture seule à tous les clients ou à des clients spécifiques. Le contrôle d'accès est spécifié lorsque des ressources sont mises à disposition à l'aide de la commande share.
Lorsque vous créez un partage NFS d'un système de fichiers ZFS, le système de fichiers est partagé définitivement jusqu'à ce que vous supprimiez le partage. SMF gère automatiquement le partage lorsque le système est redémarré. Pour plus d'informations, reportez-vous au Chapitre 3, Différences entre les systèmes de fichiers Oracle Solaris ZFS et classiques du manuel Administration d’Oracle Solaris : Systèmes de fichiers ZFS.
En général, le superutilisateur ne dispose pas d'un accès root aux systèmes de fichiers partagés sur le réseau. Le système NFS empêche l'accès root aux systèmes de fichiers montés en modifiant l'utilisateur du demandeur en utilisateur nobody avec l'ID utilisateur 60001. Les droits d'accès de l'utilisateur nobody sont identiques à ceux donnés à public. L'utilisateur nobody dispose des droits d'accès d'un utilisateur sans informations d'identification. Par exemple, si public ne dispose que d'une autorisation d'exécution pour un fichier, l'utilisateur nobody peut uniquement exécuter ce fichier.
Un serveur NFS peut accorder l'accès root à un système de fichiers partagé en fonction de l'hôte. Pour accorder ces privilèges, utilisez l'option root=hostname avec la commande share. Vous devez utiliser cette option avec précaution. Pour une description des options de sécurité avec NFS, reportez-vous au Chapitre 6, Accès aux systèmes de fichiers réseau (référence) du manuel Administration d’Oracle Solaris : Services réseau.