Sécurisation des systèmes et des périphériques connectés dans Oracle® Solaris 11.2

Quitter la vue de l'impression

 
Mis à jour : Septembre 2014
 
 

Restriction et contrôle des connexions root

Cette méthode détecte immédiatement les tentatives de root d'accéder au système local.

Avant de commencer

Vous devez prendre le rôle root. Pour plus d'informations, reportez-vous à la section A l’aide de vos droits administratifs attribués du manuel Sécurisation des utilisateurs et des processus dans Oracle Solaris 11.2 .

  1. Affichez l'entrée CONSOLE dans le fichier /etc/default/login.
    CONSOLE=/dev/console

    Par défaut, le périphérique de console est défini sur /dev/console. Avec ce paramètre, root peut se connecter à la console. root ne peut pas se connecter à distance.

  2. Vérifiez que root ne peut pas se connecter à distance.

    A partir d'un système distant, essayez de vous connecter en tant que root.

    mach2 % ssh -l root mach1
Password: <Type root password of mach1>
Password:
Password:
Permission denied (gssapi-keyex,gssapi-with-mic,publickey,keyboard-interactive).

    Dans la configuration par défaut, root correspond à un rôle et les rôles ne peuvent pas se connecter. De plus, dans la configuration par défaut, le protocole ssh empêche la connexion de l'utilisateur root.

  3. Surveillez les tentatives de devenir root.

    Par défaut, les tentatives de devenir root sont imprimées sur la console par l'utilitaire SYSLOG.

    1. Ouvrez une console de terminal sur le bureau.
    2. Dans une autre fenêtre, utilisez la commande su pour devenir l'utilisateur root.
      % su -
Password: <Type root password>
#

      Un message est imprimé sur la console de terminal.

      Sep 7 13:22:57 mach1 su: 'su root' succeeded for jdoe on /dev/pts/6
Exemple 3-5  Journalisation des tentatives d'accès root

Dans cet exemple, les tentatives root ne sont pas consignées par SYSLOG. Par conséquent, l'administrateur consigne ces tentatives en retirant le commentaire de l'entrée #CONSOLE=/dev/console dans le fichier /etc/default/su.

# CONSOLE determines whether attempts to su to root should be logged
# to the named device
#
CONSOLE=/dev/console

Lorsqu'un utilisateur tente de devenir l'utilisateur root, la tentative est imprimée sur la console de terminal.

SU 09/07 16:38 + pts/8 jdoe-root

Dépannage

Pour devenir l'utilisateur root à partir d'un système distant lorsque le fichier /etc/default/login contient l'entrée CONSOLE par défaut, les utilisateurs doivent préalablement se connecter avec leur nom d'utilisateur. Après la connexion avec leur nom d'utilisateur, les utilisateurs peuvent utiliser la commande su pour devenir l'utilisateur root.

Si la console affiche une entrée similaire à Last login: Wed Sep 7 15:13:11 2011 from mach2, le système est configuré pour autoriser les connexions root à distance. Pour empêcher l'accès root à distance, remplacez l'entrée #CONSOLE=/dev/console par CONSOLE=/dev/console dans le fichier /etc/default/login. Pour rétablir la valeur par défaut du protocole ssh, reportez-vous à la page de manuel sshd_config(4).

Copyright © 2002, 2014, Oracle et/ou ses affiliés. Tous droits réservés. Mentions légales
Précédent
Suivant