Ignorer les liens de navigation | |
Quitter l'aperu | |
Directives de sécurité d'Oracle Solaris 11 Oracle Solaris 11.1 Information Library (Français) |
1. Présentation de la sécurité d'Oracle Solaris
2. Configuration de la sécurité d'Oracle Solaris
Installation du SE Oracle Solaris
Désactivation des services non utilisés
Désactivation de la possibilité pour les utilisateurs de gérer l'alimentation
Placement d'un message de sécurité dans les fichiers bannière
Placement d'un message de sécurité dans l'écran de connexion au bureau
Définition de contraintes de mot de passe renforcées
Activation du verrouillage de compte pour les utilisateurs standard
Définition d'une valeur umask plus restrictive pour les utilisateurs standard
Réalisation d'un audit des événements importants en plus de la connexion/déconnexion
Surveillance en temps réel des événements lo
Suppression de privilèges de base non utilisés des utilisateurs
Affichage d'un message de sécurité à l'attention des utilisateurs de la commande ssh
Protection des systèmes de fichiers et des fichiers
Limitation de la taille du système de fichiers tmpfs
Protection et modification de fichiers
Sécurisation des applications et des services
Création de zones contenant les applications essentielles
Gestion des ressources dans les zones
Configuration d'IPsec et d'IKE
Ajout de SMF à un service hérité
Création d'un instantané BART du système
Ajout d'une sécurité (étiquetée) multiniveau
Configuration de Trusted Extensions
Configuration d'IPsec avec étiquettes
3. Surveillance et maintenance de la sécurité d'Oracle Solaris
Il est recommandé d'effectuer les tâches suivantes dans l'ordre. A ce stade, le SE Oracle Solaris est installé et seul l'utilisateur initial qui peut prendre le rôle root a accès au système.
|
Immédiatement après l'installation, validez l'installation en contrôlant les packages.
Avant de commencer
Vous devez prendre le rôle root. Pour plus d'informations, reportez-vous à la section Utilisation de vos droits d’administration du manuel Administration d’Oracle Solaris 11.1 : Services de sécurité.
Pour conserver un enregistrement, envoyez le résultat de la commande dans un fichier.
# pkg verify > /var/pkgverifylog
Voir aussi
Pour plus d'informations, reportez-vous aux pages de manuel pkg(1) et pkg(5). Les pages de manuel présentent des exemples d'utilisation de la commande pkg verify.
Cette procédure permet de désactiver les services qui, selon la finalité du système concerné, ne sont pas nécessaires.
Avant de commencer
Vous devez prendre le rôle root. Pour plus d'informations, reportez-vous à la section Utilisation de vos droits d’administration du manuel Administration d’Oracle Solaris 11.1 : Services de sécurité.
# svcs | grep network online Sep_07 svc:/network/loopback:default ... online Sep_07 svc:/network/ssh:default
Par exemple, si le système n'est pas un serveur NFS ou un serveur Web et les services sont en ligne, désactivez-les.
# svcadm disable svc:/network/nfs/server:default # svcadm disable svc:/network/http:apache22
Voir aussi
Pour plus d'informations, reportez-vous au Chapitre 1, Gestion des services (présentation) du manuel Gestion des services et pannes dans Oracle Solaris 11.1 et à la page de manuel svcs(1).
Cette procédure permet d'empêcher les utilisateurs de ce système de le suspendre ou de le mettre hors tension.
Avant de commencer
Vous devez prendre le rôle root. Pour plus d'informations, reportez-vous à la section Utilisation de vos droits d’administration du manuel Administration d’Oracle Solaris 11.1 : Services de sécurité.
% getent prof_attr | grep Console Console User:RO::Manage System as the Console User: profiles=Desktop Removable Media User,Suspend To RAM,Suspend To Disk, Brightness,CPU Power Management,Network Autoconf User; auths=solaris.system.shutdown;help=RtConsUser.html
Pour plus d'instructions, reportez-vous à la section Création d’un profil de droits du manuel Administration d’Oracle Solaris 11.1 : Services de sécurité.
#CONSOLE_USER=Console User
# usermod -P +new-profile username
Voir aussi
Pour plus d'informations, reportez-vous à la section Fichier policy.conf du manuel Administration d’Oracle Solaris 11.1 : Services de sécurité et aux pages de manuel policy.conf(4) et usermod(1M).
Cette procédure permet de créer des messages de sécurité compris dans deux fichiers bannière et reflétant la stratégie de sécurité de votre site. Le contenu de ces fichiers s'affiche lors de la connexion locale et à distance.
Remarque - Les exemples de messages dans cette procédure ne répondent pas aux exigences du gouvernement des Etats-Unis et ne satisfont probablement pas les exigences de votre stratégie de sécurité. La meilleure pratique consiste à consulter le conseil juridique de votre entreprise à propos du contenu du message de sécurité.
Avant de commencer
Vous devez vous connecter en tant qu'administrateur disposant du profil de droits Administrator Message Edit (édition des messages administrateur). Pour plus d'informations, reportez-vous à la section Utilisation de vos droits d’administration du manuel Administration d’Oracle Solaris 11.1 : Services de sécurité.
$ pfedit /etc/issue ALERT ALERT ALERT ALERT ALERT This machine is available to authorized users only. If you are an authorized user, continue. Your actions are monitored, and can be recorded.
La commande login permet d'afficher le contenu du fichier /etc/issue avant l'authentification, à l'instar de la commande telnet et des services FTP. Pour permettre à d'autres applications d'utiliser ce fichier, reportez-vous aux sections Affichage d'un message de sécurité à l'attention des utilisateurs de la commande ssh et Placement d'un message de sécurité dans l'écran de connexion au bureau.
Pour plus d'informations, reportez-vous aux pages de manuel issue(4) et pfedit(1M).
$ pfedit /etc/motd This system serves authorized users only. Activity is monitored and reported.
Dans Oracle Solaris, le shell initial de l'utilisateur affiche le contenu du fichier /etc/motd.
Vous avez le choix entre plusieurs méthodes de création d'un message de sécurité que les utilisateurs pourront consulter lors de la connexion.
Pour plus d'informations, cliquez sur le menu System (Système) → Help (Aide) du bureau pour faire apparaître le navigateur d'aide GNOME. Vous pouvez également utiliser la commande yelp. Les scripts de connexion au bureau sont traités dans la section GDM Login Scripts and Session Files de la page de manuel gdm(1M).
Remarque - L'exemple de message dans cette procédure ne répond pas aux exigences du gouvernement des Etats-Unis et ne satisfait probablement pas les exigences de votre stratégie de sécurité. La meilleure pratique consiste à consulter le conseil juridique de votre entreprise à propos du contenu du message de sécurité.
Avant de commencer
Pour créer un fichier, vous devez prendre le rôle root. Pour modifier un fichier existant, vous devez utiliser un compte administrateur disposant de l'autorisation solaris.admin.edit/path-to-existing-file.
Les options qui permettent de créer une boîte de dialogue peuvent récupérer le message de sécurité compris dans le fichier /etc/issue, lequel est mentionné à l'Étape 1 de la section Placement d'un message de sécurité dans les fichiers bannière.
# pfedit /usr/share/gdm/autostart/LoginWindow/banner.desktop [Desktop Entry] Type=Application Name=Banner Dialog Exec=/usr/bin/zenity --text-info --width=800 --height=300 \ --title="Security Message" \ --filename=/etc/issue OnlyShowIn=GNOME; X-GNOME-Autostart-Phase=Application
Après s'être authentifié dans la fenêtre de connexion, l'utilisateur doit fermer la boîte de dialogue pour atteindre l'espace de travail. Pour connaître les options de la commande zenity, reportez-vous à la page de manuel zenity(1).
Le répertoire /etc/gdm contient trois scripts d'initialisation qui affichent le message de sécurité avant, pendant et immédiatement après la connexion au bureau. Ces scripts sont également disponibles dans la version Oracle Solaris 10.
$ pfedit /etc/gdm/Init/Default /usr/bin/zenity --text-info --width=800 --height=300 \ --title="Security Message" --filename=/etc/issue
Pour plus d'informations sur la modification des systèmes de fichiers en tant qu'utilisateur non-root, reportez-vous à la page de manuel pfedit(1M).
$ pfedit /etc/gdm/PreSession/Default /usr/bin/zenity --text-info --width=800 --height=300 \ --title="Security Message" --filename=/etc/issue
Remarque - La boîte de dialogue peut être masquée par des fenêtres de l'espace de travail de l'utilisateur.
La fenêtre de connexion s'agrandit pour s'adapter à votre message. Cette méthode ne pointe pas vers le fichier /etc/issue. Vous devez saisir le texte dans l'interface graphique.
Remarque - La fenêtre de connexion, gdm-greeter-login-window.ui, est écrasée par les commandes pkg fix et pkg update. Pour conserver vos modifications, copiez le fichier vers un répertoire de fichiers de configuration et fusionnez-en les modifications avec le nouveau fichier après la mise à niveau du système. Pour plus d'informations, reportez-vous à la page de manuel pkg(5).
# cd /usr/share/gdm
# cp gdm-greeter-login-window.ui /etc/gdm/gdm-greeter-login-window.ui.orig
Le programme glade-3 ouvre le concepteur d'interface graphique de GTK+. Vous saisissez le message de sécurité dans une étiquette qui s'affiche au-dessus du champ de saisie de l'utilisateur.
# /usr/bin/glade-3 /usr/share/gdm/gdm-greeter-login-window.ui
Pour consulter le guide du concepteur d'interface graphique, cliquez sur Development (Développement) dans le navigateur d'aide GNOME. La page de manuel glade-3(1) est répertoriée sous Applications dans les pages de manuel.
# cp gdm-greeter-login-window.ui /etc/gdm/gdm-greeter-login-window.ui.site
Exemple 2-1 Création d'un court message d'avertissement qui s'affiche lors de la connexion au bureau
Dans cet exemple, l'administrateur saisit un court message en tant qu'argument de la commande zenity dans le fichier de bureau. L'administrateur utilise également l'option --warning, qui affiche une icône d'avertissement avec le message.
# pfedit /usr/share/gdm/autostart/LoginWindow/bannershort.desktop [Desktop Entry] Type=Application Name=Banner Dialog Exec=/usr/bin/zenity --warning --width=800 --height=150 --title="Security Message" \ --text="This system serves authorized users only. Activity is monitored and reported." OnlyShowIn=GNOME; X-GNOME-Autostart-Phase=Application