Ignorer les liens de navigation | |
Quitter l'aperu | |
Administration d'Oracle Solaris 11.1 : Services de sécurité Oracle Solaris 11.1 Information Library (Français) |
Partie I Présentation de la sécurité
1. Services de sécurité (présentation)
Partie II Sécurité du système, des fichiers et des périphériques
2. Gestion de la sécurité de la machine (présentation)
Contrôle de l'accès à un système informatique
Maintenance de la sécurité physique
Gestion du contrôle de connexion
Gestion des informations de mot de passe
Contrôle de l'accès aux ressources de la machine
Randomisation du format d'espace d'adressage
Limitation et contrôle de l'accès superutilisateur
Configuration du contrôle d'accès basé sur les rôles pour remplacer le superutilisateur
Prévention des mauvaises utilisations involontaires des ressources système
Définition de la variable PATH
Affectation d'un shell restreint à des utilisateurs
Restriction de l'accès aux données dans les fichiers
Restriction des fichiers exécutables setuid
Utilisation de la configuration Secure by Default
Utilisation des fonctions de gestion des ressources
Utilisation des zones Oracle Solaris
Surveillance de l'utilisation des ressources de la machine
Surveillance de l'intégrité des fichiers
Contrôle de l'accès aux fichiers
Protection des fichiers par chiffrement
Utilisation des listes de contrôle d'accès
Partage de fichiers entre des machines
Restriction de l'accès root aux fichiers partagés
Authentification et autorisation pour l'accès à distance
Chiffrement et systèmes pare-feu
Génération de rapports sur les problèmes de sécurité
3. Contrôle de l'accès aux systèmes (tâches)
4. Service d'analyse antivirus (tâches)
5. Contrôle de l'accès aux périphériques (tâches)
6. Vérification de l'intégrité des fichiers à l'aide de BART (tâches)
7. Contrôle de l'accès aux fichiers (tâches)
Partie III Rôles, profils de droits et privilèges
8. Utilisation des rôles et des privilèges (présentation)
9. Utilisation du contrôle d'accès basé sur les rôles (tâches)
10. Attributs de sécurité dans Oracle Solaris (référence)
Partie IV Services cryptographiques
11. Structure cryptographique (présentation)
12. Structure cryptographique (tâches)
13. Structure de gestion des clés
Partie V Services d'authentification et communication sécurisée
14. Utilisation de modules d'authentification enfichables
15. Utilisation de Secure Shell
17. Utilisation de l'authentification simple et de la couche de sécurité
18. Authentification des services réseau (tâches)
19. Introduction au service Kerberos
20. Planification du service Kerberos
21. Configuration du service Kerberos (tâches)
22. Messages d'erreur et dépannage de Kerberos
23. Administration des principaux et des stratégies Kerberos (tâches)
24. Utilisation des applications Kerberos (tâches)
25. Service Kerberos (référence)
Partie VII Audit dans Oracle Solaris
Les périphériques reliés à un système informatique représentent un risque pour la sécurité. Les microphones peuvent capter des conversations, puis les transmettre à des systèmes distants. Les CD-ROM peuvent laisser des informations pouvant être lues par l'utilisateur suivant de l'unité de CD-ROM. Les imprimantes sont accessibles à distance. Les périphériques qui font partie intégrante du système peuvent également présenter des problèmes de sécurité. Par exemple, des interfaces réseau telles que bge0 sont considérées comme des périphériques intégrés.
Le logiciel Oracle Solaris offre plusieurs méthodes de contrôle d'accès aux périphériques.
Définir la stratégie de périphériques : vous pouvez exiger que le processus accédant à un périphérique particulier s'exécute avec un ensemble de privilèges. Les processus ne disposant pas de ces privilèges ne peuvent pas utiliser le périphérique. Au moment de l'initialisation, le logiciel Oracle Solaris configure la stratégie de périphériques. Les pilotes tiers peuvent être configurés avec la stratégie de périphériques au cours de l'installation. Après l'installation, vous pouvez, en tant qu'administrateur, ajouter une stratégie de périphériques à un périphérique.
Rendre des périphériques allouables : vous pouvez exiger que l'utilisateur doive allouer un périphérique avant de pouvoir l'utiliser. L'allocation limite l'utilisation d'un périphérique à un utilisateur à la fois. Vous pouvez en outre exiger que l'utilisateur soit autorisé à utiliser le périphérique.
Empêcher l'utilisation de périphériques : vous pouvez empêcher l'utilisation d'un périphérique, tel qu'un microphone, quel que soit l'utilisateur sur un système informatique. Un ordinateur kiosque peut être un candidat approprié pour rendre certains périphériques indisponibles pour l'utilisation.
Confiner un périphérique dans une zone particulière : vous pouvez affecter l'utilisation d'un périphérique à une zone non globale. Pour plus d'informations, reportez-vous à la section Utilisation de périphériques dans les zones non globales du manuel Administration d’Oracle Solaris 11.1 : Oracle Solaris Zones, Oracle Solaris 10 Zones et gestion des ressources. Pour une analyse plus générale des périphériques et des zones, reportez-vous à la section Système de fichiers /dev dans les zones non globales du manuel Administration d’Oracle Solaris 11.1 : Oracle Solaris Zones, Oracle Solaris 10 Zones et gestion des ressources.
Le mécanisme de la stratégie de périphériques vous permet d'indiquer que des processus permettant d'ouvrir un périphérique nécessitent certains privilèges. Les périphériques protégés par une stratégie de périphériques ne sont accessibles que par les processus s'exécutant avec les privilèges spécifiés par la stratégie correspondante. Oracle Solaris fournit une stratégie de périphériques par défaut. Par exemple, des interfaces réseau telles que bge0 exigent que les processus accédant à l'interface s'exécutent avec le privilège net_rawaccess. L'exigence est appliquée dans le noyau. Pour plus d'informations sur les privilèges, reportez-vous à la section Privilèges (présentation).
Dans Oracle Solaris, les périphériques sont protégés par des autorisations de fichier et par une stratégie de périphériques. Par exemple, le fichier /dev/ip a 666 autorisations. Cependant, le périphérique peut uniquement être ouvert par un processus disposant des privilèges appropriés.
La configuration de la stratégie de périphériques peut être auditée. L'événement d'audit AUE_MODDEVPLCY enregistre les modifications apportées à la stratégie de périphériques.
Pour plus d'informations sur la stratégie de périphériques, reportez-vous aux sections suivantes :
Le mécanisme d'allocation des périphériques vous permet de limiter l'accès à un périphérique, tel qu'un CD-ROM. Si l'allocation des périphériques n'est pas activée, les périphériques ne sont protégés que par les autorisations de fichier. Par exemple, par défaut, les périphériques sont disponibles pour les utilisations suivantes :
Tous les utilisateurs peuvent lire et écrire sur une unité de CD-ROM ou une disquette.
Tous les utilisateurs peuvent connecter un microphone.
Tous les utilisateurs peuvent accéder à une imprimante connectée.
L'allocation des périphériques peut limiter l'utilisation d'un périphérique aux utilisateurs autorisés. L'allocation des périphériques peut également empêcher tout accès à un périphérique. Un utilisateur qui alloue un périphérique bénéficie d'un usage exclusif jusqu'à ce que l'utilisateur libère le périphérique. Lorsqu'un périphérique est libéré, des scripts de nettoyage de périphériques effacent toutes les données résiduelles. Vous pouvez écrire un script de nettoyage de périphériques pour supprimer des informations sur des périphériques ne disposant pas de script. Pour un exemple, reportez-vous à la section Ecriture de nouveaux scripts de nettoyage de périphériques.
Les tentatives visant à allouer ou libérer un périphérique et à répertorier les périphériques allouables peuvent être auditées. Les événements d'audit font partie de l'autre classe d'audit.
Pour plus d'informations sur l'allocation de périphériques, reportez-vous aux sections suivantes :