Sécurisation du système

Il est recommandé d'effectuer les tâches suivantes dans l'ordre. A ce stade, le SE Oracle Solaris est installé et seul l'utilisateur initial qui peut prendre le rôle root a accès au système.

Tâche	Description	Voir
1. Vérification des packages sur le système.	Vérifie que les packages du média d'installation sont identiques aux packages installés.	Vérification des packages
2. Protection des paramètres du matériel sur le système.	Protège le matériel en exigeant un mot de passe pour toute modification de paramètres matériels.	Contrôle de l’accès au matériel du système (tâches) du manuel Administration d’Oracle Solaris 11.1 : Services de sécurité
3. Désactivation des services non utilisés.	Empêche l'exécution des processus qui ne font pas partie des fonctions indispensables pour le système.	Désactivation des services non utilisés
5. Interdiction de la mise hors tension du système par le propriétaire du poste de travail.	Empêche l'utilisateur de la console d'arrêter ou de suspendre le système.	Désactivation de la possibilité pour les utilisateurs de gérer l'alimentation
6. Création d'un message d'avertissement de connexion reflétant la stratégie de sécurité de votre site.	Avertit les utilisateurs et les attaquants potentiels que le système est surveillé.	Placement d'un message de sécurité dans les fichiers bannière Placement d'un message de sécurité dans l'écran de connexion au bureau

Vérification des packages

Immédiatement après l'installation, validez l'installation en contrôlant les packages.

Avant de commencer

Vous devez prendre le rôle root. Pour plus d'informations, reportez-vous à la section Utilisation de vos droits d’administration du manuel Administration d’Oracle Solaris 11.1 : Services de sécurité.

Exécutez la commande pkg verify.
Pour conserver un enregistrement, envoyez le résultat de la commande dans un fichier.
```
# pkg verify > /var/pkgverifylog
```
Consultez le journal pour vérifier s'il y a des erreurs.
Si vous trouvez des erreurs, réinstallez à partir du média ou corrigez les erreurs.

Voir aussi

Pour plus d'informations, reportez-vous aux pages de manuel pkg(1) et pkg(5). Les pages de manuel présentent des exemples d'utilisation de la commande pkg verify.

Désactivation des services non utilisés

Cette procédure permet de désactiver les services qui, selon la finalité du système concerné, ne sont pas nécessaires.

Avant de commencer

Répertoriez les services en ligne.

# svcs | grep network
online         Sep_07   svc:/network/loopback:default
...
online         Sep_07   svc:/network/ssh:default

Désactivez les services qui ne sont pas requis par ce système.
Par exemple, si le système n'est pas un serveur NFS ou un serveur Web et les services sont en ligne, désactivez-les.
```
# svcadm disable svc:/network/nfs/server:default
# svcadm disable svc:/network/http:apache22
```

Voir aussi

Pour plus d'informations, reportez-vous au Chapitre 1, Gestion des services (présentation) du manuel Gestion des services et pannes dans Oracle Solaris 11.1 et à la page de manuel svcs(1).

Désactivation de la possibilité pour les utilisateurs de gérer l'alimentation

Cette procédure permet d'empêcher les utilisateurs de ce système de le suspendre ou de le mettre hors tension.

Avant de commencer

Passez en revue le contenu du profil de droits Console User (Utilisateur de la console).

% getent prof_attr | grep Console
Console User:RO::Manage System as the Console User:
profiles=Desktop Removable Media User,Suspend To RAM,Suspend To Disk,
Brightness,CPU Power Management,Network Autoconf User;
auths=solaris.system.shutdown;help=RtConsUser.html

Créez un profil de droits comprenant tous les droits du profil Console User que les utilisateurs doivent conserver.
Pour plus d'instructions, reportez-vous à la section Création d’un profil de droits du manuel Administration d’Oracle Solaris 11.1 : Services de sécurité.
Mettez en commentaire le profil de droits Console User dans le fichier /etc/security/policy.conf.
```
#CONSOLE_USER=Console User
```
Attribuez aux utilisateurs le profil de droits que vous avez créé au cours de l'Étape 2.
```
# usermod -P +new-profile username
```

Voir aussi

Pour plus d'informations, reportez-vous à la section Fichier policy.conf du manuel Administration d’Oracle Solaris 11.1 : Services de sécurité et aux pages de manuel policy.conf(4) et usermod(1M).

Placement d'un message de sécurité dans les fichiers bannière

Cette procédure permet de créer des messages de sécurité compris dans deux fichiers bannière et reflétant la stratégie de sécurité de votre site. Le contenu de ces fichiers s'affiche lors de la connexion locale et à distance.

Remarque - Les exemples de messages dans cette procédure ne répondent pas aux exigences du gouvernement des Etats-Unis et ne satisfont probablement pas les exigences de votre stratégie de sécurité. La meilleure pratique consiste à consulter le conseil juridique de votre entreprise à propos du contenu du message de sécurité.

Avant de commencer

Vous devez vous connecter en tant qu'administrateur disposant du profil de droits Administrator Message Edit (édition des messages administrateur). Pour plus d'informations, reportez-vous à la section Utilisation de vos droits d’administration du manuel Administration d’Oracle Solaris 11.1 : Services de sécurité.

Ajoutez un message de sécurité au fichier /etc/issue.
```
$ pfedit /etc/issue
      ALERT   ALERT   ALERT   ALERT   ALERT

This machine is available to authorized users only.

If you are an authorized user, continue. 

Your actions are monitored, and can be recorded.
```
La commande login permet d'afficher le contenu du fichier /etc/issue avant l'authentification, à l'instar de la commande telnet et des services FTP. Pour permettre à d'autres applications d'utiliser ce fichier, reportez-vous aux sections Affichage d'un message de sécurité à l'attention des utilisateurs de la commande ssh et Placement d'un message de sécurité dans l'écran de connexion au bureau.
Pour plus d'informations, reportez-vous aux pages de manuel issue(4) et pfedit(1M).
Ajoutez un message de sécurité au fichier /etc/motd.
```
$ pfedit /etc/motd
This system serves authorized users only. Activity is monitored and reported.
```
Dans Oracle Solaris, le shell initial de l'utilisateur affiche le contenu du fichier /etc/motd.

Placement d'un message de sécurité dans l'écran de connexion au bureau

Vous avez le choix entre plusieurs méthodes de création d'un message de sécurité que les utilisateurs pourront consulter lors de la connexion.

Pour plus d'informations, cliquez sur le menu System (Système) → Help (Aide) du bureau pour faire apparaître le navigateur d'aide GNOME. Vous pouvez également utiliser la commande yelp. Les scripts de connexion au bureau sont traités dans la section GDM Login Scripts and Session Files de la page de manuel gdm(1M).

Remarque - L'exemple de message dans cette procédure ne répond pas aux exigences du gouvernement des Etats-Unis et ne satisfait probablement pas les exigences de votre stratégie de sécurité. La meilleure pratique consiste à consulter le conseil juridique de votre entreprise à propos du contenu du message de sécurité.

Avant de commencer

Pour créer un fichier, vous devez prendre le rôle root. Pour modifier un fichier existant, vous devez utiliser un compte administrateur disposant de l'autorisation solaris.admin.edit/path-to-existing-file.

Placez un message de sécurité sur l'écran de connexion du bureau à l'aide de l'une des trois options suivantes :
Les options qui permettent de créer une boîte de dialogue peuvent récupérer le message de sécurité compris dans le fichier /etc/issue, lequel est mentionné à l'Étape 1 de la section Placement d'un message de sécurité dans les fichiers bannière.
- POSSIBILITE 1 : créez un fichier de bureau qui affiche le message de sécurité dans la boîte de dialogue lors de la connexion.
```
# pfedit /usr/share/gdm/autostart/LoginWindow/banner.desktop
[Desktop Entry]
Type=Application
Name=Banner Dialog
Exec=/usr/bin/zenity --text-info --width=800 --height=300 \
--title="Security Message" \
--filename=/etc/issue
OnlyShowIn=GNOME;
X-GNOME-Autostart-Phase=Application
```
  Après s'être authentifié dans la fenêtre de connexion, l'utilisateur doit fermer la boîte de dialogue pour atteindre l'espace de travail. Pour connaître les options de la commande zenity, reportez-vous à la page de manuel zenity(1).
- POSSIBILITE 2 : modifiez un script d'initialisation GDM pour afficher le message de sécurité dans une boîte de dialogue.
  Le répertoire /etc/gdm contient trois scripts d'initialisation qui affichent le message de sécurité avant, pendant et immédiatement après la connexion au bureau. Ces scripts sont également disponibles dans la version Oracle Solaris 10.
  - Affichez le message de sécurité avant l'apparition de l'écran de connexion.
```
$ pfedit /etc/gdm/Init/Default
/usr/bin/zenity --text-info --width=800 --height=300 \
--title="Security Message"  --filename=/etc/issue
```
    Pour plus d'informations sur la modification des systèmes de fichiers en tant qu'utilisateur non-root, reportez-vous à la page de manuel pfedit(1M).
  - Affichez le message de sécurité dans l'espace de travail initial de l'utilisateur après l'authentification.
```
$ pfedit /etc/gdm/PreSession/Default
/usr/bin/zenity --text-info --width=800 --height=300 \
--title="Security Message"  --filename=/etc/issue
```
    Remarque - La boîte de dialogue peut être masquée par des fenêtres de l'espace de travail de l'utilisateur.
- POSSIBILITE 3 : modifiez la fenêtre de connexion pour afficher le message de sécurité au -dessus du champ de saisie.
  La fenêtre de connexion s'agrandit pour s'adapter à votre message. Cette méthode ne pointe pas vers le fichier /etc/issue. Vous devez saisir le texte dans l'interface graphique.
  
  Remarque - La fenêtre de connexion, gdm-greeter-login-window.ui, est écrasée par les commandes pkg fix et pkg update. Pour conserver vos modifications, copiez le fichier vers un répertoire de fichiers de configuration et fusionnez-en les modifications avec le nouveau fichier après la mise à niveau du système. Pour plus d'informations, reportez-vous à la page de manuel pkg(5).
  1. Accédez au répertoire de l'interface utilisateur de la fenêtre de connexion.
```
# cd /usr/share/gdm
```
  2. (Facultatif) Enregistrez une copie de l'interface utilisateur d'origine de la fenêtre de connexion.
```
# cp gdm-greeter-login-window.ui /etc/gdm/gdm-greeter-login-window.ui.orig
```
  3. Ajoutez une étiquette à la fenêtre de connexion à l'aide du concepteur d'interface graphique de GNOME Toolkit.
    Le programme glade-3 ouvre le concepteur d'interface graphique de GTK+. Vous saisissez le message de sécurité dans une étiquette qui s'affiche au-dessus du champ de saisie de l'utilisateur.
```
# /usr/bin/glade-3 /usr/share/gdm/gdm-greeter-login-window.ui
```
    Pour consulter le guide du concepteur d'interface graphique, cliquez sur Development (Développement) dans le navigateur d'aide GNOME. La page de manuel glade-3(1) est répertoriée sous Applications dans les pages de manuel.
  4. (Facultatif) Enregistrez une copie de l'interface utilisateur modifiée de la fenêtre de connexion.
```
# cp gdm-greeter-login-window.ui /etc/gdm/gdm-greeter-login-window.ui.site
```

Exemple 2-1 Création d'un court message d'avertissement qui s'affiche lors de la connexion au bureau

Dans cet exemple, l'administrateur saisit un court message en tant qu'argument de la commande zenity dans le fichier de bureau. L'administrateur utilise également l'option --warning, qui affiche une icône d'avertissement avec le message.

# pfedit /usr/share/gdm/autostart/LoginWindow/bannershort.desktop
[Desktop Entry]
Type=Application
Name=Banner Dialog
Exec=/usr/bin/zenity --warning --width=800  --height=150 --title="Security Message" \
--text="This system serves authorized users only. Activity is monitored and reported."
OnlyShowIn=GNOME;
X-GNOME-Autostart-Phase=Application

Ignorer les liens de navigation
Quitter l'aperu
	Directives de sécurité d'Oracle Solaris 11 Oracle Solaris 11.1 Information Library (Français)