Ignorer les liens de navigation | |
Quitter l'aperu | |
Transition d'Oracle Solaris 10 vers Oracle Solaris 11 Oracle Solaris 11 Information Library (Français) |
1. Transition d'Oracle Solaris 10 vers Oracle Solaris 11 (présentation)
2. Transition vers une méthode d'installation d'Oracle Solaris 11
4. Gestion des fonctions de stockage
5. Gestion des systèmes de fichiers
7. Gestion de la configuration réseau
8. Gestion de la configuration système
Modifications apportées aux fonctions de sécurité
Fonctions de sécurité supprimées
Rôles, droits, privilèges et autorisations
Modifications apportées à la sécurité des fichiers et systèmes de fichiers
Réintroduction de la propriété aclmode
10. Gestion des versions d'Oracle Solaris dans un environnement virtuel
11. Modifications apportées à l'environnement et à la gestion des comptes utilisateur
12. Utilisation des fonctionnalités de bureau d'Oracle Solaris
A. Transition de versions antérieures vers Oracle Solaris 11
Les sections suivantes décrivent les modifications apportées à la sécurité des fichiers et des systèmes de fichiers.
La propriété aclmode, qui détermine comment l'opération chmod modifie les autorisations d'ACL d'un fichier, est réintroduite dans Oracle Solaris 11. Les valeurs possibles de la propriété aclmode sont discard, mask et passthrough. La valeur par défaut discard est la plus restrictive ; la valeur passthrough est la moins restrictive.
Exemple 9-2 Interactions entre les ACL et les opérations chmod sur les fichiers ZFS
Les exemples suivants illustrent l'influence de certaines valeurs des propriétés aclmode et aclinherit sur l'interaction entre des ACL existantes et une opération chmod qui réduit ou augmente des autorisations d'ACL existantes afin qu'elles soient cohérentes avec l'appartenance d'un groupe.
Dans cet exemple, la propriété aclmode est définie sur mask et la propriété aclinherit sur restricted. Les autorisations d'ACL sont affichées en mode compact dans cet exemple, ce qui permet de mieux repérer les modifications apportées aux autorisations.
Paramètres de propriété du fichier et des groupes et autorisations d'ACL initiaux :
# zfs set aclmode=mask pond/whoville # zfs set aclinherit=restricted pond/whoville # ls -lV file.1 -rwxrwx---+ 1 root root 206695 Aug 30 16:03 file.1 user:amy:r-----a-R-c---:-------:allow user:rory:r-----a-R-c---:-------:allow group:sysadmin:rw-p--aARWc---:-------:allow group:staff:rw-p--aARWc---:-------:allow owner@:rwxp--aARWcCos:-------:allow group@:rwxp--aARWc--s:-------:allow everyone@:------a-R-c--s:-------:allow
Une opération chown modifie la propriété du fichier file.1 et la sortie est visible par l'utilisateur propriétaire, amy. Par exemple :
# chown amy:staff file.1 # su - amy $ ls -lV file.1 -rwxrwx---+ 1 amy staff 206695 Aug 30 16:03 file.1 user:amy:r-----a-R-c---:-------:allow user:rory:r-----a-R-c---:-------:allow group:sysadmin:rw-p--aARWc---:-------:allow group:staff:rw-p--aARWc---:-------:allow owner@:rwxp--aARWcCos:-------:allow group@:rwxp--aARWc--s:-------:allow everyone@:------a-R-c--s:-------:allow
Les opérations chmod suivantes font passer les autorisations à un mode plus restrictif. Dans cet exemple, les autorisations d'ACL modifiées du groupe sysadmin et du groupe staff n'excèdent pas les autorisations du groupe propriétaire.
$ chmod 640 file.1 $ ls -lV file.1 -rw-r-----+ 1 amy staff 206695 Aug 30 16:03 file.1 user:amy:r-----a-R-c---:-------:allow user:rory:r-----a-R-c---:-------:allow group:sysadmin:r-----a-R-c---:-------:allow group:staff:r-----a-R-c---:-------:allow owner@:rw-p--aARWcCos:-------:allow group@:r-----a-R-c--s:-------:allow everyone@:------a-R-c--s:-------:allow
L'opération chmod suivante fait passer les autorisations à un mode moins restrictif. Dans cet exemple, les autorisations d'ACL modifiées du groupe sysadmin et du groupe staff sont restaurées pour accorder les mêmes autorisations que celles du groupe propriétaire.
$ chmod 770 file.1 $ ls -lV file.1 -rwxrwx---+ 1 amy staff 206695 Aug 30 16:03 file.1 user:amy:r-----a-R-c---:-------:allow user:rory:r-----a-R-c---:-------:allow group:sysadmin:rw-p--aARWc---:-------:allow group:staff:rw-p--aARWc---:-------:allow owner@:rwxp--aARWcCos:-------:allow group@:rwxp--aARWc--s:-------:allow everyone@:------a-R-c--s:-------:allow
Dans les versions précédentes d'Oracle Solaris et dans cette version, la fonction de structure cryptographique fournit les commandes encrypt, decrypt et mac pour chiffrer des fichiers.
Oracle Solaris 10 ne prend pas en charge le chiffrement ZFS, mais Oracle Solaris 11 prend en charge les fonctions de chiffrement ZFS suivantes :
Le chiffrement ZFS est intégré à l'ensemble des commandes ZFS. A l'instar d'autres opérations ZFS, les opérations de modification et de renouvellement de clé sont effectuées en ligne.
Vous pouvez utiliser vos pools de stockage existants pour autant qu'ils aient été mis à niveau. Vous avez la possibilité de chiffrer des systèmes de fichiers spécifiques.
Le chiffrement ZFS peut être transmis aux systèmes de fichiers descendants. La gestion des clés peut être déléguée au moyen de l'administration déléguée de ZFS.
Les données sont chiffrées conformément à la norme AES (Advanced Encryption Standard, norme de chiffrement avancé) avec des longueurs de clés de 128, 192 et 256 dans les modes de fonctionnement CCM et GCM.
Le chiffrement ZFS utilise la fonction de structure cryptographique, qui lui donne accès automatiquement à toute accélération matérielle ou à toute implémentation logicielle optimisée disponible des algorithmes de chiffrement.
Exemple 9-3 Création d'un système de fichiers ZFS chiffré
L'exemple suivant illustre la création d'un système de fichiers ZFS chiffré. La stratégie de chiffrement par défaut consiste à demander une phrase de passe comptant au moins 8 caractères.
# zfs create -o encryption=on tank/data Enter passphrase for 'tank/data': xxxxxxxx Enter again: xxxxxxxx
L'algorithme de chiffrement par défaut est aes-128-ccm lorsque la valeur de chiffrement d'un système de fichiers est on.
Le chiffrement d'un système de fichiers est une opération irréversible. Par exemple :
# zfs set encryption=off tank/data cannot set property for 'tank/data': 'encryption' is readonly
Pour plus d'informations, reportez-vous à la section Chiffrement des systèmes de fichiers ZFS du manuel Administration d’Oracle Solaris : Systèmes de fichiers ZFS.
La nouvelle fonction file-mac-profile d'Oracle Solaris 11 vous permet d'exécuter des zones avec un système de fichiers racine en lecture seule. Grâce à cette fonction, vous pouvez choisir parmi quatre profils prédéfinis qui déterminent quelle portion du système de fichiers divisée en zones est en lecture seule, même pour les processus bénéficiant des privilèges allzone. Reportez-vous à la section Propriété zonecfg file-mac-profile du manuel Administration Oracle Solaris : Oracle Solaris Zones, Oracle Solaris 10 Zones et gestion des ressources.