Ignorer les liens de navigation | |
Quitter l'aperu | |
Administration d'Oracle Solaris 11.1 : Services de sécurité Oracle Solaris 11.1 Information Library (Français) |
Partie I Présentation de la sécurité
1. Services de sécurité (présentation)
Partie II Sécurité du système, des fichiers et des périphériques
2. Gestion de la sécurité de la machine (présentation)
3. Contrôle de l'accès aux systèmes (tâches)
4. Service d'analyse antivirus (tâches)
5. Contrôle de l'accès aux périphériques (tâches)
6. Vérification de l'intégrité des fichiers à l'aide de BART (tâches)
7. Contrôle de l'accès aux fichiers (tâches)
Partie III Rôles, profils de droits et privilèges
8. Utilisation des rôles et des privilèges (présentation)
9. Utilisation du contrôle d'accès basé sur les rôles (tâches)
10. Attributs de sécurité dans Oracle Solaris (référence)
Partie IV Services cryptographiques
11. Structure cryptographique (présentation)
Introduction à la structure cryptographique
Terminologie utilisée dans la structure cryptographique
Champ d'application de la structure cryptographique
Commandes d'administration dans la structure cryptographique
Commandes au niveau de l'utilisateur dans la structure cryptographique
Services cryptographiques et zones
Structure cryptographique et FIPS-140
Structure cryptographique et serveurs SPARC T de cette version
12. Structure cryptographique (tâches)
13. Structure de gestion des clés
Partie V Services d'authentification et communication sécurisée
14. Utilisation de modules d'authentification enfichables
15. Utilisation de Secure Shell
17. Utilisation de l'authentification simple et de la couche de sécurité
18. Authentification des services réseau (tâches)
19. Introduction au service Kerberos
20. Planification du service Kerberos
21. Configuration du service Kerberos (tâches)
22. Messages d'erreur et dépannage de Kerberos
23. Administration des principaux et des stratégies Kerberos (tâches)
24. Utilisation des applications Kerberos (tâches)
25. Service Kerberos (référence)
Partie VII Audit dans Oracle Solaris
La structure offre des commandes aux administrateurs, utilisateurs et développeurs qui approvisionnent les fournisseurs :
Commandes d'administration : la commande cryptoadm fournit une sous-commande list pour répertorier les fournisseurs disponibles et leurs capacités. Les utilisateurs standard peuvent exécuter les commandes cryptoadm list et cryptoadm --help.
Toutes les autres sous-commandes cryptoadm exigent que vous preniez un rôle incluant le profil de droits Crypto Management (gestion de la cryptographie) ou que vous vous connectiez en tant que superutilisateur. Les sous-commandes telles que disable, install et uninstall sont disponibles pour l'administration de la structure. Pour plus d'informations, reportez-vous à la page de manuel cryptoadm(1M).
La commande svcadm est utilisée pour gérer le démon kcfd et actualiser la stratégie cryptographique dans le noyau. Pour plus d'informations, reportez-vous à la page de manuel svcadm(1M).
Commandes au niveau de l'utilisateur : les commandes digest et mac fournissent des services d'intégrité des fichiers. Les commandes encrypt et decrypt protègent les fichiers des risques d'écoute informatique. Pour utiliser ces commandes, reportez-vous à la section Protection de fichiers avec la structure cryptographique (liste des tâches).
La commande cryptoadm administre une structure cryptographique en cours d'exécution. La commande fait partie du profil de droits Crypto Management (gestion de la cryptographie). Ce profil peut être attribué à un rôle pour l'administration sécurisée de la structure cryptographique. La commande cryptoadm gère ce qui suit :
Affichage des informations du fournisseur cryptographique
Désactivation ou activation de mécanismes du fournisseur
Désactivation ou activation du metaslot
La commande svcadm est utilisée pour activer, actualiser et désactiver le démon des services cryptographiques, kcfd. Cette commande fait partie de l'utilitaire de gestion des services (SMF) d'Oracle Solaris. svc:/system/cryptosvcs est l'instance de service pour la structure cryptographique. Pour plus d'informations, reportez-vous aux pages de manuel smf(5) et svcadm(1M).
La structure cryptographique fournit des commandes au niveau de l'utilisateur pour vérifier l'intégrité des fichiers et les chiffrer/déchiffrer. Une commande distincte, elfsign, permet aux fournisseurs de signer les binaires pour les utiliser avec la structure.
digest (commande) : calcule une synthèse de message pour un ou plusieurs fichiers ou pour stdin. Une synthèse permet de vérifier l'intégrité d'un fichier. SHA1 et MD5 sont des exemples de fonctions digest.
mac (commande) : calcule un MAC pour un ou plusieurs fichiers ou pour stdin. Un code MAC associe des données à un message authentifié. Un MAC permet à un destinataire de vérifier que le message provient de l'expéditeur et qu'il n'a pas été altéré. Les mécanismes sha1_mac et md5_hmac peuvent calculer un MAC.
encrypt (commande) : chiffre des fichiers ou stdin avec un chiffrement symétrique. La commande encrypt -l répertorie les algorithmes disponibles. Les mécanismes répertoriés dans une bibliothèque au niveau de l'utilisateur sont disponibles pour la commande encrypt. La structure offre les mécanismes AES, DES, 3DES (triple DES) et ARCFOUR pour le chiffrement utilisateur.
decrypt (commande) : déchiffre des fichiers ou stdin qui ont été chiffrés avec la commande encrypt. La commande decrypt utilise les mêmes clé et même mécanisme que ceux utilisés pour chiffrer le fichier d'origine.
La commande elfsign fournit un moyen de signer les fournisseurs à utiliser avec la structure cryptographique. En règle générale, cette commande est exécutée par le développeur d'un fournisseur.
La commande elfsign dispose de sous-commandes pour demander un certificat, signer des fichiers binaires et vérifier la signature d'un fichier binaire. Les binaires non signés ne peuvent pas être utilisés par la structure cryptographique. Les fournisseurs qui disposent de binaires signés vérifiables peuvent utiliser la structure.
Des tiers peuvent inclure leurs fournisseurs dans la structure cryptographique. Un fournisseur tiers peut être l'un des objets suivants :
Module de logiciel noyau chargeable, comme un algorithme de chiffrement, la fonction MAC ou la fonction digest
Pilote de périphérique de noyau pour un accélérateur matériel
Les objets d'un fournisseur doivent être signés avec un certificat d'Oracle. La demande de certificat se base sur une clé privée sélectionnée par le tiers et un certificat fourni par Oracle. La demande de certificat est envoyée à Oracle, qui enregistre le tiers, puis émet le certificat. Le tiers signe ensuite son objet fournisseur à l'aide du certificat Oracle.
Les modules de logiciels noyau chargeables et les pilotes de périphériques de noyau pour les accélérateurs matériels doivent également s'enregistrer dans le noyau. L'enregistrement s'effectue par l'intermédiaire de l'interface du fournisseur de services (SPI) de la structure cryptographique.