Tâches courantes dans Trusted Extensions (liste des tâches)

La liste des tâches ci-dessous décrit les procédures d'administration dans Trusted Extensions.

Modification du mot de passe pour root

Trusted Extensions fournit une interface graphique permettant de modifier votre mot de passe.

1. Prenez le rôle root.

   Pour connaître la procédure à suivre, reportez-vous à la section Accès à la zone globale dans Trusted Extensions .

2. Ouvrez le menu Trusted Path (Chemin de confiance) en cliquant sur le symbole de confiance dans la bande de confiance.
3. Choisissez Change Login Password (Changer de mot de passe de connexion).

   Si des mots de passe distincts sont créés par zone, le menu peut lire l'option Change Workspace Password (Changer de mot de passe d'espace de travail).

4. Modifiez le mot de passe et confirmez la modification.

Procédure d'application d'un nouveau mot de passe utilisateur local dans une zone étiquetée

Les zones étiquetées doivent être réinitialisées lorsque les conditions suivantes sont remplies :

• Un ou plusieurs utilisateurs locaux ont changé leurs mots de passe.

• Toutes les zones utilisent une instance unique du démon de cache de service de noms (nscd).

• Le système est géré avec des fichiers et non avec LDAP.

Avant de commencer

Le profil de droits Zone Security doit vous être affecté.

• Pour appliquer la modification du mot de passe, réinitialisez les zones étiquetées auxquelles les utilisateurs peuvent accéder.

  Utilisez l'une des méthodes suivantes :

  • Utilisez l'interface graphique utilisateur txzonemgr.

    # txzonemgr &

    Dans le gestionnaire de zones étiquetées (Labeled Zone Manager), accédez à la zone étiquetée et, dans la liste des commandes, sélectionnez Halt (Arrêter), puis Boot (Init).

  • Dans une fenêtre de terminal de la zone globale, utilisez les commandes d'administration de la zone.

    Vous pouvez choisir d'éteindre ou d'arrêter le système.

    • La commande zlogin permet d'arrêter correctement la zone.

      # zlogin labeled-zone shutdown -i 0
      # zoneadm -z labeled-zone boot

    • La sous-commande halt permet d'ignorer les scripts de fermeture.

      # zoneadm -z labeled-zone halt
      # zoneadm -z labeled-zone boot

Erreurs fréquentes

Pour mettre à jour automatiquement les mots de passe des utilisateurs des zones étiquetées, vous devez soit configurer LDAP, soit configurer un service de noms par zone. Vous pouvez également configurer les deux.

• Pour configurer LDAP, reportez-vous au Chapitre 5, Configuration de LDAP pour Trusted Extensions (tâches).

• La configuration d'un service de noms par zone requiert des compétences avancées en matière de gestion de réseaux. Pour plus d'informations sur cette procédure, reportez-vous à la section Configuration d'un service de noms distinct pour chaque zone étiquetée.

Reprise du contrôle du focus actuel du bureau

La combinaison de touches de sécurité "Secure Attention" permet d'annuler la préhension d'un pointeur ou d'un clavier par une application non sécurisée. Elle permet également de vérifier si un pointeur ou un clavier a été capté par une application de confiance. Sur un système multiécran victime d'une usurpation et affichant plusieurs bandes de confiance, cette combinaison de touches aligne le pointeur sur la bande de confiance autorisée.

1. Pour reprendre le contrôle d'un clavier Sun, utilisez la combinaison de touches suivante.

   Appuyez sur les touches simultanément pour reprendre le contrôle du focus du bureau actuel. Sur le clavier Sun, la touche Meta est le losange.

   <Meta> <Stop>

   Si la préhension, un pointeur par exemple, n'est pas de confiance, le pointeur se déplace vers la bande. Un pointeur de confiance ne se déplace pas vers la bande de confiance.

2. Si vous n'utilisez pas un clavier Sun, utilisez la combinaison de touches suivante.

   <Alt> <Break>

   Appuyez sur les touches simultanément pour reprendre le contrôle du focus du bureau actuel de votre ordinateur portable.

Exemple 9-1 Test permettant de vérifier si l'invite de mot de passe est de confiance

Sur un système x86 utilisant un clavier Sun, l'utilisateur a été invité à saisir un mot de passe. Le curseur a été capté et se trouve dans la boîte de dialogue du mot de passe. Pour vérifier que l'invite est de confiance, l'utilisateur appuie simultanément sur les touches <Meta> <Stop> . Si le pointeur reste dans la boîte de dialogue, l'utilisateur sait que l'invite de mot de passe est de confiance.

Si le pointeur se déplace vers la bande de confiance, l'utilisateur sait que l'invite de mot de passe n'est pas de confiance et il contacte l'administrateur.

Exemple 9-2 Forcer le pointeur à se déplacer vers la bande de confiance

Dans cet exemple, l'utilisateur n'exécute aucun processus de confiance mais il ne peut pas voir le pointeur de la souris. Pour placer le pointeur au centre de la bande de confiance, l'utilisateur appuie simultanément sur les touches <Meta> <Stop>.

Obtention de l'équivalent hexadécimal d'une étiquette

Cette procédure fournit une représentation hexadécimale interne d'une étiquette. Cette représentation est sûre et permet le stockage dans un annuaire public. Pour plus d'informations, reportez-vous à la page de manuel atohexlabel(1M).

Avant de commencer

Vous devez être dans le rôle d'administrateur de sécurité dans la zone globale. Pour plus d'informations, reportez-vous à la section Accès à la zone globale dans Trusted Extensions .

• Pour obtenir la valeur hexadécimale d'une étiquette, effectuez l'une des opérations suivantes :
  • Pour obtenir la valeur hexadécimale d'une étiquette de sensibilité, transmettez l'étiquette à la commande.

    $ atohexlabel "CONFIDENTIAL : INTERNAL USE ONLY"
    0x0004-08-48

    La chaîne n'est pas sensible à la casse mais les espaces doivent être respectés. Par exemple, les chaînes entre guillemets suivantes renvoient une étiquette hexadécimale :

    • "CONFIDENTIAL : INTERNAL USE ONLY"

    • "cnf : Internal"

    • "confidential : internal"

    Les chaînes entre guillemets suivantes renvoient une erreur d'analyse syntaxique :

    • "confidential:internal"

    • "confidential:internal"

  • Pour obtenir la valeur hexadécimale d'une autorisation, utilisez l'option -c.

    $ atohexlabel -c "CONFIDENTIAL NEED TO KNOW"
    0x0004-08-68

    ---

    Remarque - Les étiquettes de sensibilité lisibles par l'utilisateur et les étiquettes d'autorisation sont formées conformément aux règles du fichier label_encodings. Chaque type d'étiquette utilise les règles d'une section distincte de ce fichier. Lorsqu'une étiquette de sensibilité et une étiquette d'autorisation expriment toutes les deux le même niveau de sensibilité sous-jacent, leurs formes hexadécimales sont identiques. Toutefois, leurs formes lisibles par l'utilisateur peuvent être différentes. Les interfaces système qui acceptent les étiquettes lisibles par l'utilisateur en tant qu'entrées s'attendent à un type d'étiquette donné. Si les chaînes textuelles des types d'étiquette diffèrent, ces chaînes textuelles ne peuvent pas être utilisées de façon interchangeable.

    Dans le fichier label_encodings, le texte équivalent à une étiquette d'autorisation n'inclut pas les deux-points (:).

    ---

Exemple 9-3 Utilisation de la commande atohexlabel

Lorsque vous transmettez une étiquette valide au format hexadécimal, la commande renvoie l'argument.

$ atohexlabel 0x0004-08-68
0x0004-08-68

Lorsque vous transmettez une étiquette d'administration, la commande renvoie l'argument.

$ atohexlabel admin_high
ADMIN_HIGH
atohexlabel admin_low
ADMIN_LOW

Erreurs fréquentes

Le message d'erreur atohexlabel parsing error found in <string> at position 0 indique que l'argument <string> que vous avez transmis à la commande atohexlabel n'était ni une étiquette valide, ni une autorisation. Vérifiez votre saisie et vérifiez que l'étiquette existe dans votre fichier label_encodings installé.

Obtention d'une étiquette lisible à partir de sa forme hexadécimale

Cette procédure constitue un moyen de réparer des étiquettes stockées dans des bases de données internes. Pour plus d'informations, reportez-vous à la page de manuel hextoalabel(1M).

Avant de commencer

Vous devez être dans le rôle d'administrateur de sécurité dans la zone globale.

• Pour obtenir l'équivalent textuel d'une représentation interne d'une étiquette, effectuez l'une des opérations suivantes.
  • Pour obtenir l'équivalent textuel d'une étiquette de sensibilité, transmettez la forme hexadécimale de l'étiquette.

    $ hextoalabel 0x0004-08-68
    CONFIDENTIAL : NEED TO KNOW

  • Pour obtenir l'équivalent textuel d'une autorisation, utilisez l'option -c.

    $ hextoalabel -c 0x0004-08-68
    CONFIDENTIAL NEED TO KNOW

Modification des paramètres de sécurité par défaut dans des fichiers système

Les répertoires /etc/security et /etc/default contiennent les valeurs de sécurité. Pour plus d'informations, reportez-vous au Chapitre 3, Contrôle de l’accès aux systèmes (tâches) du manuel Administration d’Oracle Solaris 11.1 : Services de sécurité.

---

Attention - Assouplissez uniquement les paramètres de sécurité par défaut du système si la stratégie de sécurité du site vous le permet.

---

Avant de commencer

Vous êtes dans la zone globale et vous disposez de l'autorisation solaris.admin.edit/ filename. Par défaut, le rôle root dispose de cette autorisation.

• Modifiez le fichier système.

  Le tableau ci-dessous répertorie les fichiers de sécurité et les valeurs de sécurité pouvant être modifiées dans ces fichiers. Les deux premiers fichiers sont spécifiques à Trusted Extensions.

  
  

  Fichier Tâche Voir sel_config dans /usr/share/gnome/ Indique la façon dont le système se comporte lorsque les informations sont déplacées vers une autre étiquette. Page de manuel sel_config(4) TrustedExtensionsPolicy dans /usr/lib/xorg/ Modifie l'application de la stratégie de sécurité SUN_TSOL de la séparation d'étiquette dans le serveur X. Page de manuel TrustedExtensionsPolicy(4). /etc/default/login Réduire le nombre autorisé de tentatives de saisie de mot de passe. Reportez-vous à l'exemple sous la section Procédure de contrôle de toutes les tentatives de connexion ayant échoué du manuel Administration d’Oracle Solaris 11.1 : Services de sécurité. Page de manuel passwd(1) etc/default/kbd Désactiver l'arrêt du clavier Procédure de désactivation de la séquence d’abandon d’un système du manuel Administration d’Oracle Solaris 11.1 : Services de sécurité Remarque - Sur les hôtes qui sont utilisés par les administrateurs pour le débogage, le paramètre par défaut pour KEYBOARD_ABORT permet d'accéder au débogueur de noyau kadb. Page de manuel kadb(1M) /etc/security/policy.conf Exiger un algorithme plus puissant pour les mots de passe utilisateur. Supprimer un privilège de base pour tous les utilisateurs de cet hôte. Limiter les utilisateurs de cet hôte aux autorisations utilisateur Solaris de base. Page de manuel policy.conf(4) /etc/default/passwd Exiger des utilisateurs qu'ils modifient fréquemment leur mot de passe. Exiger des utilisateurs qu'ils créent des mots de passe les plus différents possibles. Exiger des mots de passe utilisateur plus longs. Exiger des mots de passe introuvables dans votre dictionnaire. Page de manuel passwd(1)