Ignorer les liens de navigation | |
Quitter l'aperu | |
Transition d'Oracle Solaris 10 vers Oracle Solaris 11.1 Oracle Solaris 11.1 Information Library (Français) |
1. Transition d'Oracle Solaris 10 vers une version d'Oracle Solaris 11 (présentation)
2. Transition vers une méthode d'installation d'Oracle Solaris 11
4. Gestion des fonctions de stockage
5. Gestion des systèmes de fichiers
6. Gestion des logiciels et des environnements d'initialisation
7. Gestion de la configuration réseau
8. Gestion de la configuration système
Modifications apportées aux fonctions de sécurité
Rôles, droits, privilèges et autorisations
A propos des profils de droits
Affichage des privilèges et autorisations
Modifications apportées à la sécurité des fichiers et systèmes de fichiers
Réintroduction de la propriété aclmode
Chiffrement des systèmes de fichiers ZFS
10. Gestion des versions d'Oracle Solaris dans un environnement virtuel
11. Gestion des comptes et des environnements utilisateur
Oracle Solaris 11 introduit les modifications clé suivantes en matière de sécurité :
Randomisation du format d'espace d'adressage (ASLR) : à partir d'Oracle Solaris 11.1, ASLR crée de manière aléatoire les adresses utilisées par un fichier binaire donné. ASLR empêche certains types d'attaques basées sur la connaissance de l'emplacement exact de certains intervalles de mémoire et détecte l'opération lorsque l'exécutable est arrêté. Exécutez la commande sxadm pour configurer ASLR. Exécutez la commande elfedit pour modifier le balisage d'un fichier binaire. Voir les pages de manuel sxadm(1M) et elfedit(1).
Editeur d'administration : à partir d'Oracle Solaris 11.1, vous pouvez utiliser la commande pfedit pour modifier les fichiers système. Si elle est définie par l'administrateur système, la valeur de cet éditeur est $EDITOR. Si l'éditeur n'est pas défini, sa valeur par défaut est la commande vi. Démarrez l'éditeur comme suit :
$ pfedit system-filename
Reportez-vous à la page de manuel pfedit(1M) et au Chapitre 3, Contrôle de l’accès aux systèmes (tâches) du manuel Administration d’Oracle Solaris 11.1 : Services de sécurité.
Audit : l'audit est désormais un service activé par défaut. Il est inutile de réinitialiser après désactivation ou activation de ce service. La commande auditconfig permet d'afficher des informations sur la stratégie d'audit et de modifier celle-ci. L'audit des objets publics génère moins de bruit dans la piste d'audit. En outre, l'audit d'événements non noyau n'a aucun impact sur les performances du système.
Pour plus d'informations sur la création d'un système de fichiers ZFS destiné aux fichiers d'audit, reportez-vous à la section Création de systèmes de fichiers ZFS pour les fichiers d’audit du manuel Administration d’Oracle Solaris 11.1 : Services de sécurité.
Serveur d'audit à distance (ARS) : ARS est une fonction qui reçoit et stocke les enregistrements d'audit d'un système audité et configuré avec un plug-in audit_remote actif. Pour différencier un système audité d'un ARS, le système audité peut être appelé le système audité localement. Cette fonctionnalité a été introduite dans Oracle Solaris 11.1. Reportez-vous aux informations relatives à l'option -setremote de la page de manuel auditconfig(1M).
Outil BART : l'algorithme de hachage par défaut utilisé par l'outil de rapport d'audit de base BART (Basic Audit Reporting Tool) est désormais SHA256, et non MD5. En outre, vous pouvez sélectionner l'algorithme de hachage. Reportez-vous au Chapitre 6, Vérification de l’intégrité des fichiers à l’aide de BART (tâches) du manuel Administration d’Oracle Solaris 11.1 : Services de sécurité.
Structure cryptographique : cette fonction inclut maintenant davantage d'algorithmes, de mécanismes, de plug-ins et de prise en charge de l'accélération matérielle Intel et SPARC T4. En outre, Oracle Solaris 11 présente un meilleur alignement à la cryptographie NSA Suite B.
Fournisseurs Kerberos DTrace : un nouveau fournisseur DTrace USDT a été ajouté afin de fournir des sondes pour les messages Kerberos (Protocol Data Unit, unité de données de protocole). Les sondes sont modélisées d'après les types de messages Kerberos décrits dans RFC4120.
Principales améliorations en matière de gestion :
Prise en charge de keystore PKCS#11 pour les clés RSA dans le module de plate-forme de confiance TPM (Trusted Platform Module)
Accès PKCS#11 au gestionnaire de clés Oracle (Oracle Key Manager) pour la gestion centralisée des clés d'entreprise
Modification de la commande lofi : la commande lofi prend désormais en charge le chiffrement des périphériques en mode bloc. Reportez-vous à la page de manuel lofi(7D).
Modifications de la commande profiles : dans Oracle Solaris 10, cette commande permet uniquement de répertorier les profils d'un utilisateur ou rôle particulier, ou bien les privilèges d'un utilisateur concernant certaines commandes. Dans Oracle Solaris 11, vous pouvez également créer et modifier des profils dans les fichiers et dans LDAP par le biais de la commande profiles. Reportez-vous à la page de manuel profiles(1).
Commande sudo : la commande sudo est une nouvelle commande d'Oracle Solaris 11. Elle génère des enregistrements d'audit Oracle Solaris lors de l'exécution de commandes. La commande supprime également le privilège de base proc_exec, si l'entrée de commande sudoers est marquée NOEXEC.
Chiffrement des systèmes de fichiers ZFS : cette fonction permet de sécuriser vos données. Reportez-vous à la section Chiffrement des systèmes de fichiers ZFS.
Propriété rstchown : le paramètre réglable rstchown utilisé dans les versions précédentes et permettant de restreindre les opérations chown correspond maintenant à la propriété de système de fichier ZFS rstchown, qui est également une option de montage de systèmes de fichiers générale. Reportez-vous à la section Administration d’Oracle Solaris 11.1 : Systèmes de fichiers ZFS et à la page de manuel mount(1M).
Si vous tentez de définir ce paramètre obsolète dans le fichier /etc/system, le message suivant s'affiche :
sorry, variable 'rstchown' is not defined in the 'kernel'
Les fonctionnalités de sécurité du réseau suivantes sont prises en charge :
IKE et IPsec : la fonction d'échange de clé Internet IKE (Internet Key Exchange) inclut maintenant davantage de groupes Diffie-Hellman et peut également utiliser les groupes à cryptographie de courbe elliptique ECC (Elliptic Curve Cryptography). IPsec inclut les modes AES-CCM et AES-GCM et peut désormais protéger le trafic réseau pour la fonction d'extensions de confiance Trusted Extensions d'Oracle Solaris.
Pare-feu IPfilter : le pare-feu IPfilter, similaire à la fonction IPfilter open source, est compatible, gérable et maintenant fortement intégré avec SMF. Cette fonctionnalité permet un accès sélectif à des ports, reposant sur l'adresse IP.
Kerberos : Kerberos permet désormais l'authentification mutuelle des clients et des serveurs. En outre, la prise en charge de l'authentification initiale à l'aide de certificats X.509 avec le protocole PKINIT a été introduite. Reportez-vous à la Partie VI, Service Kerberos du manuel Administration d’Oracle Solaris 11.1 : Services de sécurité.
Secure by Default : cette fonction a été introduite sous Oracle Solaris 10, mais était limitée aux netservices et désactivée par défaut. Sous Oracle Solaris 11, cette fonction est activée. La fonction de sécurisation par défaut Secure by Default est utilisée pour désactiver plusieurs services réseau, les protéger contre des attaques et réduire l'exposition générale du réseau. Notez que seul SSH est activé.
SSH : l'authentification des hôtes et des utilisateurs au moyen de certificats X.509 est désormais prise en charge.
Les modifications suivantes du module d'authentification enfichable (PAM) ont été ajoutées :
Module autorisant les piles PAM par utilisateur : vous permet de configurer la stratégie d'authentification PAM sur une base par utilisateur, lorsqu'elle est utilisée conjointement à la nouvelle clé RBAC pam_policy (user_attr(4)). Le fichier pam.conf par défaut a également été mis à jour pour vous permettre d'utiliser cette fonction en spécifiant pam_policy dans des attributs étendus d'un utilisateur ou dans un profil assigné à un utilisateur. Par exemple :
# usermod -K pam_policy=krb5_only username
Reportez-vous à la section pam_user_policy(5).
Configuration de PAM dans /etc/pam.d : ajoute un support pour la configuration de PAM à l'aide de fichiers par service. Par conséquent, le contenu du fichier /etc/pam.conf a été migré vers plusieurs fichiers au sein du répertoire /etc/pam.d/, selon le nom de service PAM approprié. Ce mécanisme constitue désormais la méthode de configuration de PAM dans Oracle Solaris et la méthode par défaut utilisée pour toutes les nouvelles installations. Le fichier /etc/pam.conf est toujours consulté, de sorte que les modifications nouvelles ou existantes apportées à ce fichier soient toujours reconnues.
Si vous n'avez jamais modifié le fichier /etc/pam.conf , le fichier contient uniquement des commentaires qui vous redirigent vers les équivalents par service dans le répertoire /etc/pam.d/. Si vous avez préalablement modifié le fichier /etc/pam.conf, par exemple, pour activer LDAP ou Kerberos, un nouveau nom de fichier nommé /etc/pam.conf.new est fourni avec les modifications apportées. Reportez-vous à la page de manuel pam.conf(4).
Indicateur definitive ajouté à pam.conf : le fichier pam.conf inclut désormais le control_flag definitive. Reportez-vous à la page de manuel pam.conf(4).
Les fonctions de sécurité suivantes sont exclues d'Oracle Solaris 11 :
Outil ASET (Automated Security Enhancement Tool, outil de renforcement de sécurité automatisé) : la fonctionnalité ASET est remplacée par une combinaison d'IPfilter incluant svc.ipfd , BART, SMF et d'autres fonctions de sécurité prises en charge par Oracle Solaris 11.
Carte à puce : les cartes à puce ne sont plus prises en charge.