Ignorer les liens de navigation | |
Quitter l'aperu | |
Directives de sécurité d'Oracle Solaris 11 Oracle Solaris 11.1 Information Library (Français) |
1. Présentation de la sécurité d'Oracle Solaris
2. Configuration de la sécurité d'Oracle Solaris
Installation du SE Oracle Solaris
Désactivation des services non utilisés
Désactivation de la possibilité pour les utilisateurs de gérer l'alimentation
Placement d'un message de sécurité dans les fichiers bannière
Placement d'un message de sécurité dans l'écran de connexion au bureau
Définition de contraintes de mot de passe renforcées
Activation du verrouillage de compte pour les utilisateurs standard
Définition d'une valeur umask plus restrictive pour les utilisateurs standard
Réalisation d'un audit des événements importants en plus de la connexion/déconnexion
Surveillance en temps réel des événements lo
Suppression de privilèges de base non utilisés des utilisateurs
Affichage d'un message de sécurité à l'attention des utilisateurs de la commande ssh
Protection des systèmes de fichiers et des fichiers
Limitation de la taille du système de fichiers tmpfs
Protection et modification de fichiers
Sécurisation des applications et des services
Création de zones contenant les applications essentielles
Gestion des ressources dans les zones
Configuration d'IPsec et d'IKE
Ajout de SMF à un service hérité
Création d'un instantané BART du système
Ajout d'une sécurité (étiquetée) multiniveau
Configuration de Trusted Extensions
Configuration d'IPsec avec étiquettes
3. Surveillance et maintenance de la sécurité d'Oracle Solaris
A ce stade, seul l'utilisateur initial qui peut prendre le rôle root a accès au système. Il est conseillé d'effectuer les tâches suivantes dans l'ordre avant que les utilisateurs standard ne puissent se connecter.
|
Cette procédure permet de modifier les valeurs par défaut si elles ne satisfont pas aux exigences de sécurité du site. Les étapes suivent la liste des entrées du fichier /etc/default/passwd.
Avant de commencer
Avant de modifier les valeurs par défaut, assurez-vous que les modifications permettent à tous les utilisateurs de s'authentifier auprès de leurs applications et sur d'autres systèmes du réseau.
Vous devez prendre le rôle root. Pour plus d'informations, reportez-vous à la section Utilisation de vos droits d’administration du manuel Administration d’Oracle Solaris 11.1 : Services de sécurité.
## /etc/default/passwd ## MAXWEEKS= MINWEEKS= MAXWEEKS=4 MINWEEKS=3
#PASSLENGTH=6 PASSLENGTH=8
#HISTORY=0 HISTORY=10
#MINDIFF=3 MINDIFF=4
#MINUPPER=0 MINUPPER=1
#MINDIGIT=0 MINDIGIT=1
Voir aussi
Pour la liste des variables qui restreignent la création des mots de passe, reportez-vous au fichier /etc/default/passwd. Les valeurs par défaut sont indiquées dans le fichier.
Pour les contraintes de mot de passe en vigueur après l'installation, reportez-vous à la rubrique Accès au système limité et surveillé.
Page de manuel passwd(1)
Cette procédure permet de verrouiller des comptes d'utilisateurs standard après un certain nombre d'échecs de tentatives de connexion.
Remarque - N'activez pas le verrouillage de compte pour les utilisateurs qui peuvent prendre des rôles car vous pouvez verrouiller le rôle.
Avant de commencer
Ne définissez pas cette protection à l'échelle du système sur un système que vous utilisez pour des activités d'administration.
Vous devez prendre le rôle root. Pour plus d'informations, reportez-vous à la section Utilisation de vos droits d’administration du manuel Administration d’Oracle Solaris 11.1 : Services de sécurité.
# pfedit /etc/security/policy.conf ... #LOCK_AFTER_RETRIES=NO LOCK_AFTER_RETRIES=YES ...
# usermod -K lock_after_retries=yes username
# pfedit /etc/default/login ... #RETRIES=5 RETRIES=3 ...
Voir aussi
Pour une description des attributs de sécurité des utilisateurs et des rôles, reportez-vous au Chapitre 10, Attributs de sécurité dans Oracle Solaris (référence) du manuel Administration d’Oracle Solaris 11.1 : Services de sécurité.
Pages de manuel connexes : policy.conf(4) et user_attr(4).
Si la valeur umask par défaut, 022, n'est pas assez restrictive, la procédure décrite ici permet de définir un masque plus restrictif à l'aide de la procédure décrite ici.
Avant de commencer
Vous devez prendre le rôle root. Pour plus d'informations, reportez-vous à la section Utilisation de vos droits d’administration du manuel Administration d’Oracle Solaris 11.1 : Services de sécurité.
Oracle Solaris fournit des répertoires dans lesquels les administrateurs peuvent personnaliser les valeurs par défaut des shells utilisateur. Les répertoires squelette incluent des fichiers tels que des fichiers .profile, .bashrc et .kshrc.
Choisissez l'une des valeurs suivantes :
umask 026 : offre une protection modérée des fichiers
(741) : r pour le groupe, x pour les autres
umask 027 : offre une protection avancée des fichiers
(740) : r pour le groupe, pas d'accès pour les autres
umask 077 : offre une protection complète des fichiers
(700) : pas d'accès pour le groupe ni d'autres personnes
Voir aussi
Pour plus d'informations, reportez-vous aux références suivantes :
Valeur umask par défaut du manuel Administration d’Oracle Solaris 11.1 : Services de sécurité
Pages de manuel connexes : usermod(1M) et umask(1).
Cette procédure permet d'effectuer un audit des commandes d'administration, des tentatives de pénétration du système et d'autres événements importants spécifiés dans la stratégie de sécurité du site.
Remarque - Les exemples présentés dans cette procédure peuvent ne pas être suffisants pour satisfaire la stratégie de sécurité de votre entreprise.
Avant de commencer
Vous devez prendre le rôle root. Pour plus d'informations, reportez-vous à la section Utilisation de vos droits d’administration du manuel Administration d’Oracle Solaris 11.1 : Services de sécurité.
Ajoutez l'événement d'audit AUE_PFEXEC au masque de présélection de tous les utilisateurs et rôles.
# usermod -K audit_flags=lo,ps:no username
# rolemod -K audit_flags=lo,ps:no rolename
# auditconfig -setpolicy +argv
# auditconfig -setpolicy +arge
Voir aussi
Pour plus d'informations sur la stratégie d'audit, reportez-vous à la section Stratégie d’audit du manuel Administration d’Oracle Solaris 11.1 : Services de sécurité.
Pour consulter des exemples de configuration des indicateurs d'audit, reportez-vous aux sections Configuration du service d’audit (tâches) du manuel Administration d’Oracle Solaris 11.1 : Services de sécurité et Dépannage du service d’audit (tâches) du manuel Administration d’Oracle Solaris 11.1 : Services de sécurité.
Pour configurer l'audit, reportez-vous à la page de manuel auditconfig(1M).
Cette procédure permet d'activer le plug-in audit_syslog pour les événements que vous souhaitez surveiller au moment même où ils se produisent.
Avant de commencer
Vous devez prendre le rôle root pour modifier le fichier syslog.conf. D'autres étapes nécessitent le profil de droits Audit Configuration (Configuration d'audit). Pour plus d'informations, reportez-vous à la section Utilisation de vos droits d’administration du manuel Administration d’Oracle Solaris 11.1 : Services de sécurité.
# auditconfig -setplugin audit_syslog active p_flags=lo
# svcs system-log STATE STIME FMRI disabled 13:11:55 svc:/system/system-log:rsyslog online 13:13:27 svc:/system/system-log:default
Astuce - Si l'instance de service rsyslog est en ligne, modifiez le fichier rsyslog.conf.
L'entrée par défaut inclut l'emplacement du fichier journal.
# cat /etc/syslog.conf … audit.notice /var/adm/auditlog
# touch /var/adm/auditlog
# svcadm refresh system-log:default
Remarque - Actualisez l'instance de service system-log:rsyslog si le service rsyslog est en ligne.
Le service d'audit lit les modifications apportées au plug-in d'audit lors de l'actualisation.
# audit -s
Voir aussi
Pour envoyer les récapitulatifs d'audit à un autre système, reportez-vous à l'exemple suivant Configuration des journaux d’audit syslog du manuel Administration d’Oracle Solaris 11.1 : Services de sécurité.
Le service d'audit peut générer une sortie volumineuse. Pour gérer les journaux, reportez-vous à la page de manuel logadm(1M).
Pour surveiller la sortie, reportez-vous à Contrôle des récapitulatifs d'audit audit_syslog.
Dans certaines circonstances, il est possible de supprimer un ou plusieurs des trois privilèges suivants faisant partie de l'ensemble des privilèges de base des utilisateurs standard.
file_link_any : permet à un processus de créer des liens physiques vers des fichiers appartenant à un ID utilisateur différent de l'ID utilisateur effectif du processus.
proc_info : permet à un processus d'examiner l'état des processus autres que ceux auxquels il peut envoyer des signaux. Les processus qui ne peuvent pas être examinés ne sont pas visibles dans /proc et sont considérés comme inexistants.
proc_session : permet à un processus d'envoyer des signaux ou de suivre des processus externes à sa propre session.
Avant de commencer
Vous devez prendre le rôle root. Pour plus d'informations, reportez-vous à la section Utilisation de vos droits d’administration du manuel Administration d’Oracle Solaris 11.1 : Services de sécurité.
# usermod -K 'defaultpriv=basic,!file_link_any' user
# usermod -K 'defaultpriv=basic,!proc_info' user
# usermod -K 'defaultpriv=basic,!proc_session' user
# usermod -K 'defaultpriv=basic,!file_link_any,!proc_info,!proc_session' user
Voir aussi
Pour plus d'informations, reportez-vous au Chapitre 8, Utilisation des rôles et des privilèges (présentation) du manuel Administration d’Oracle Solaris 11.1 : Services de sécurité et à la page de manuel privileges(5).