Notes de version de Solaris Security Toolkit 4.2
|
|
Notes de version de Solaris Security Toolkit 4.2
|
Ce document contient les notes de version relatives à la version 4.2 du logiciel Solaris Security Toolkit, également connu sous l'appellation JumpStart Architecture and Security Scripts (JASS). Il aborde les sujets suivants :
- Modifications apportées à la version 4.2 de Solaris Security Toolkit
- Détails de la prise en charge du SE Solaris 10
- Systèmes matériels pris en charge
- Versions du SE Solaris prises en charge
- Versions de SMS prises en charge
- Limitations connues du logiciel Solaris Security Toolkit 4.2
- Remarques générales et problèmes connus
- Bogues relatifs au logiciel Solaris Security Toolkit 4.2
- Bogues affectant le logiciel Solaris Security Toolkit 4.2
Modifications apportées à la version 4.2 de Solaris Security Toolkit
Cette section des notes de version décrit les modifications majeures apportées à la version 4.2 du logiciel Solaris Security Toolkit. Pour plus d'informations et de détails sur ces modifications, reportez-vous au manuel Solaris Security Toolkit 4.2 Reference Manual.
Remarque - Le fichier intitulé CHANGES, qui se trouvait dans le répertoire Documentation dans les versions antérieures du logiciel Solaris Security Toolkit, n'est plus fourni. Les modifications sont désormais indiquées dans le présent document.
|
Modifications concernant la prise en charge du SE Solaris 10
La version 4.2 du logiciel Solaris Security Toolkit prend en charge le système d'exploitation (SE) Solaris 10.
Le logiciel Solaris Security Toolkit 4.2 vous permet de durcir et de contrôler la sécurité des systèmes en procédant comme dans les versions antérieures. De même, vous pouvez toujours utiliser cette version du logiciel en mode JumpStart ou autonome, comme auparavant.
Les paragraphes qui suivent décrivent les principales modifications apportées à cette version en vue de prendre en charge le SE Solaris 10. Pour plus d'informations, reportez-vous à la section « Détails de la prise en charge du SE Solaris 10 ».
- Services prêts pour SMF - offre la possibilité à de nombreux scripts Solaris Security Toolkit d'utiliser l'interface de services SMF (Service Management Facility, dispositif de gestion de services), les FMRI (Fault Management Resource Identifiers, identificateurs de ressources de gestion des pannes) et les scripts de démarrage et d'arrêt.
- Services hérités - permet à SMF de reconnaître comme services hérités certains scripts Solaris Security Toolkit non prêts pour SMF.
- Zones - offre la possibilité de durcir et de contrôler des zones du SE Solaris 10.
- Wrappers TCP - offre des configurations de wrappers TCP (Transmission Control Protocol, protocole de contrôle des transmissions) conçues pour les pilotes Solaris Security Toolkit.
- MD5 - prend en charge la fonctionnalité d'algorithme message_digest 5 (md5) du SE Solaris 10 via la commande digest -a md5, rendant inutile le package SUNBEmd5 sur les systèmes exécutant le SE Solaris 10.
- Gestion du routage - fournit de nouveaux scripts permettant de gérer le routage dans le SE Solaris 10.
- Nouveau répertoire racine (root) d'accueil - offre un nouveau répertoire racine d'accueil de /root au lieu du / standard.
- Logiciel IP Filter - offre une fonctionnalité de pare-feu par le biais de l'intégration du freeware Internet Protocol (IP) Filter.
- BART - prend en charge l'outil BART (Basic Audit Reporting Tool), qui permet, entre autres, d'identifier sur les systèmes les modifications apportées au niveau des fichiers.
- Codage souple - prend en charge l'utilisation de plusieurs nouveaux réglages dans le SE Solaris 10, qui contrôlent les algorithmes utilisés pour le chiffrement des mots de passe.
- Verrouillage des comptes - prend en charge la capacité du SE Solaris 10 de verrouiller un compte après l'échec d'un nombre prédéfini de tentatives de connexion.
- Vérification paramétrée des mots de passe - prend en charge la vérification des mots de passe stricte du SE Solaris 10.
- Historique des mots de passe - prend en charge les vérifications de sécurité des mots de passe ajoutées au SE Solaris 10.
- Appel de procédure à distance (RPC) BIND - prend en charge la désactivation ou l'activation de l'appel de procédure à distance du domaine de noms Internet Berkeley (rpcbind).
- Perl - prend en charge la création de scripts Solaris Security Toolkit en langage Perl (Practical Extraction and Report Language) à utiliser avec le SE Solaris 10.
- XFS - prend en charge la désactivation ou l'activation du serveur de polices X Font Server. Les clients XFS se connectent au serveur afin de demander un jeu de polices. Le serveur lit alors les fichiers de polices à partir du disque et les transmet aux clients. Le démon du serveur X Font Server est géré par SMF.
- GNOME - permet d'activer et de désactiver la prise en charge de l'environnement GNOME (GNU Network Object Model Environment) de même que l'environnement CDE (Common Desktop Environment).
Modifications d'ordre général
Outre les modifications relatives au SE Solaris 10, cette version se caractérise également par les changements d'ordre général suivants :
- Package réadressable - offre un package Solaris Security Toolkit 4.2 réadressable, pouvant être installé dans le répertoire de votre choix grâce aux options appropriées de la commande pkgadd.
- Suppression des fichiers de sauvegarde - offre la possibilité de supprimer les fichiers de sauvegarde de Solaris Security Toolkit.
- Fonctionnalités combinées de pilotes - intègre les fonctionnalités de desktop-{secure|config|hardening}.driver, sunfire_15k_domain-{secure|config|hardening}.driver et jumpstart-{secure|config|hardening}.driver dans le pilote server-{secure|config|hardening}.driver
- Paramètres par défaut sophistiqués - prend en charge les paramètres par défaut intelligents, autrement dit, l'utilisateur peut appuyer sur la touche Retour pour spécifier un paramètre par défaut lorsque cela s'y prête.
- Verbosité - prend en charge la sortie à verbosité réduite pour les commandes jass-execute et jass-check-sum.
- IIim - prend en charge l'activation et la désactivation de la méthode Internet-Intranet Input Method (IIim), qui traite les entrées en langues asiatiques pour le logiciel Solaris.
- Homogénéité des valeurs renvoyées et des pages d'aide générées - offre des valeur de renvoi et des pages d'aide homogènes pour toutes les commandes de Solaris Security Toolkit.
- Apache 2 - offre la prise en charge d'apache2.
Détails de la prise en charge du SE Solaris 10
La section suivante détaille davantage les modifications relatives à la prise en charge du SE Solaris 10 que comporte cette version.
Nouvelles fonctions de structure pour Solaris Security Toolkit 4.2
Les fonctions suivantes sont disponibles pour la première fois dans cette version. Elles sont uniquement compatibles avec les systèmes exécutant le SE Solaris 10. Ces fonctions sont décrites au chapitre 2 du manuel Solaris Security Toolkit 4.2 Reference Manual.
Ces fonctions de consignation dans le journal ont été ajoutées au logiciel Solaris Security Toolkit 4.2 :
- logNotGlobalZone
- logScore
- logScriptFailure
- logServiceDisabled and logServiceEnabled
- logServiceInstalled et logServiceNotInstalled
- logServiceOptionDisabled et logServiceOptionEnabled
- logServiceProcessList
- logServicePropDisabled et logServicePropEnabled
- logServiceRunning et logServiceNotRunning
- logUserLocked et logUserNotlocked
- logUndoBackupWarning
Ces diverses fonctions courantes ont été ajoutées au logiciel Solaris Security Toolkit 4.2 :
- get_driver_report
- get_lists_conjunction
- get_lists_disjunction
Ces fonctions de pilote public ont été développées afin de prendre en charge SMF dans la structure de Solaris Security Toolkit 4.2 :
- add_option_to_ftpd_property
- change_group
- change_mode
- change_owner
- check_serviceDisabled
- check_serviceEnabled
- check_serviceInstalled
- check_serviceNotInstalled
- check_serviceNotRunning
- check_serviceOptionEnabled
- check_servicePropDisabled
- check_serviceRunning
- check_serviceOptionDisabled
- check_userLocked
- check_userNotLocked
- convert_inetd_service_to_fmri
- disable_service
- enable_service
- is_service_enabled
- is_service_installed
- is_service_running
- is_user-account_extant
- is_user_account_locked
- is_user_account_login_not_set
- lock_user_account
- make_link
- set_service_property_value
- set_stored_keyword_val
- unlock_user_account
- update_inetcon_in_upgrade
Nouveaux scripts pour Solaris Security Toolkit 4.2
La liste suivante répertorie les nouveaux scripts de fin (.fin) et d'audit (.aud) conçus pour Solaris Security Toolkit 4.2 dont les fonctions sont respectivement décrites au chapitres 5 (scripts de fin) et 6 (scripts d'audit ) du manuel Solaris Security Toolkit 4.2 Reference Manual.
- disable-apache2.{fin|aud}
- disable-appserv.{fin|aud}
- disable-IIim.{fin|aud}
- disable-routing.{fin|aud}
- enable-account-lockout.{fin|aud}
- enable-bart.{fin|aud}
- enable-ipfilter.{fin|aud}
- enable-password-history.{fin|aud}
- set-root-home-dir.{fin|aud}
- set-strict-password-checks.{fin|aud}
Scripts non utilisés avec le SE Solaris 10
Le TABLEAU 1 dresse la liste des scripts Solaris Security Toolkit non utilisés lors du durcissement du SE Solaris 10.
TABLEAU 1 Scripts Solaris Security Toolkit non utilisés avec le SE Solaris 10
Nom du script
|
Systèmes d'exploitation compatibles
|
disable-ab2
|
Solaris 2.5.1 à 8
|
disable-aspp
|
Solaris 2.5.1 à 8
|
disable-picld
|
Solaris 8 et 9
|
install-fix-modes
|
Solaris 2.5.1 à 9
|
install-newaliases
|
Solaris 2.5.1 à 8
|
install-openssh
|
Solaris 2.5.1 à 8
|
install-sadmind-options
|
Solaris 2.5.1 à 9
|
install-strong-permissions
|
Solaris 2.5.1 à 9
|
remove-unneeded-accounts
|
Solaris 2.5.1 à 9
|
Nouvelles variables d'environnement pour Solaris Security Toolkit 4.2
Cette section dresse la liste des variables d'environnement de structure et de comportement de script introduites dans cette version et uniquement compatibles avec les systèmes exécutant le SE Solaris 10. Les fonctions de ces variables d'environnement sont décrites au chapitre 7 du manuel Solaris Security Toolkit 4.2 Reference Manual.
Nouvelles variables de structure
- JASS_DISPLAY_HOST_LENGTH
- JASS_DISPLAY_SCRIPT_LENGTH
- JASS_DISPLAY_TIME_LENGTH
- JASS_FILE_COPY_KEYWORD
- JASS_ROOT_HOME_DIR
- JASS_RUN_CLEAN_LOG
- JASS_RUN_VALUES
- JASS_SAVED_BACKUP
- JASS_SCRIPT
- JASS_SCRIPT_FAIL_LOG
- JASS_SCRIPT_NOTE_LOG
- JASS_SCRIPT_WARN_LOG
- JASS_UNDO_TYPE
Nouvelles variables de comportement de script
- JASS_CRYPT_ALGORITHMS_ALLOW
- JASS_CRYPT_ALGORITHMS_DEFAULT
- JASS_CRYPT_DEFAULT
- JASS_CRYPT_FORCE_EXPIRE
- JASS_PASS_DICTIONLIST
- JASS_PASS_DICTIONDBDIR
- JASS_PASS_HISTORY
- JASS_PASS_MAX_REPEATS
- JASS_PASS_MIN_ALPHA
- JASS_PASS_MINDIFF
- JASS_PASS_MINDIGIT
- JASS_PASS_MINLOWER
- JASS_PASS_MINNONALPHA
- JASS_PASS_MINSPECIAL
- JASS_PASS_MINUPPER
- JASS_PASS_NAMECHECK
- JASS_PASS_WHITESPACE
- JASS_ZONE_NAME
Variables d'environnement non utilisées avec le SE Solaris 10
Les variables d'environnement suivantes ne sont pas utilisées avec le SE Solaris 10 :
- JASS_ISA_CAPABILITY (supprimée du logiciel Solaris Security Toolkit 4.2)
- JASS_DISABLE_MODE
Fonctions supprimées dans la version 4.2 de Solaris Security Toolkit
Les fichiers et les scripts relatifs aux fonctions suivantes ont été supprimés du logiciel Solaris Security Toolkit 4.2 car ils étaient devenus inutiles :
- Installation du module de noyau misc/klmmod sur des domaines destinés aux systèmes haut de gamme Sun Fire
- Installation du serveur Sun ONE Web Server
- sunfire_mf_msp-{config|hardening|secure}.driver
- Fonctionnalité 32 bits
- Sun Enterprise 1000 (Starfire), ce produit se trouvant en fin de vie
Désactivation automatique de rpcbind
À l'instar des versions antérieures de la boîte à outils, les pilotes secure.driver et sunfire-15k_sc-secure.driver du logiciel Solaris Security Toolkit 4.2 désactivent rpcbind. Or, le SE Solaris 10 dispose de services dépendant de rpcbind comme, par exemple, les services NIS (Network Information Services, services d'information sur le réseau), NFS (Network File System, système de fichiers réseau), de même que des gestionnaires de fenêtres tels que l'environnement CDE (Common Desktop Environment, interface graphique unifiée) et l'environnement GNOME (GNU Network Object Model Environment, environnement de modélisation d'objets réseau GNU). Par défaut, la configuration des pilotes secure.driver et sunfire-15k_sc-secure.driver désactive ces services. Par conséquent, vous devez activer rpcbind afin de pouvoir les utiliser.
Remarque - Les pilotes server-secure.driver et suncluster3x-secure.driver ne désactivent pas la commande rpcbind.
|
Pour activer rpcbind
|
1. Annulez le durcissement du système.
2. Copiez les pilotes secure.driver et hardening.driver et renommez-les respectivement new-secure.driver et new-hardening.driver, new-secure.driver étant le nom que vous choisissez pour le nouveau pilote secure.driver personnalisé et new-hardening.driver désignant le nouveau pilote hardening.driver personnalisé.
3. Modifiez new-secure.driver en remplaçant la référence à hardening.driver par new-hardening.driver.
4. Mettez en commentaire le script disable-rpc.fin du pilote new-hardening.driver.
5. Exécutez à nouveau le durcissement à l'aide des copies de pilotes personnalisées. Pour ce faire, lancez Solaris Security Toolkit avec new-secure.driver.
6. Redémarrez le système.
|
Attention - Une fois que le service rpcbindest activé, il se peut que des services supplémentaires démarrent automatiquement et que les ports correspondants s'ouvrent. La fonction de contrôle (audit) de Solaris Security Toolkit interprète ces services comme des échecs.
|
Systèmes matériels pris en charge
Le logiciel Solaris Security Toolkit 4.2 prend en charge les systèmes SPARC® (version 64 bits uniquement) et x86.
Versions du SE Solaris prises en charge
Le support du logiciel Solaris Security Toolkit est assuré par Sun uniquement dans le cadre des systèmes d'exploitation Solaris 8, Solaris 9 et Solaris 10.
Remarque - Pour le logiciel Solaris Security Toolkit 4.2, le SE Solaris 10 s'utilise exclusivement sur les domaines de systèmes haut de gamme Sun Fire, pas sur le contrôleur système (SC).
|
Bien que le logiciel fonctionne sur les systèmes d'exploitation Solaris 2.5.1, Solaris 2.6 et Solaris 7, le support Sun est uniquement disponible pour les systèmes d'exploitation susmentionnés.
Le logiciel Solaris Security Toolkit détecte automatiquement la version du système d'exploitation Solaris installée, puis exécute les tâches adaptées à cette version.
D'après les exemples fournis tout au long de ce document, vous observerez que lorsqu'un script vérifie la version du SE, il recherche les versions de SunOS, autrement dit 5.x, et pas les versions du SE Solaris (2.x, 7, 8, 9 ou 10). Le TABLEAU 2 montre la corrélation entre les versions de SunOS et du SE Solaris.
TABLEAU 2 Corrélation entre les versions de SunOS et du SE Solaris
Version de SunOS
|
Version du SE Solaris
|
5.5.1
|
2.5.1
|
5.6
|
2.6
|
5.7
|
7
|
5.8
|
8
|
5.9
|
9
|
5.10
|
10
|
Versions de SMS prises en charge
Si vous utilisez System Management Services (SMS) pour exécuter le contrôleur système (SC) sur des systèmes haut de gamme Sun Fire, sachez que le logiciel Solaris Security Toolkit 4.2 est pris en charge par toutes les versions du SE Solaris 8 et 9 avec les versions 1.4, 1.4.1 et 1.5 de SMS. En revanche, aucune version de SMS n'est compatible avec le SE Solaris 10 assorti du logiciel Solaris Security Toolkit 4.2.
Remarque - Pour le logiciel Solaris Security Toolkit 4.2, le SE Solaris 10 s'utilise exclusivement sur les domaines et pas sur le contrôleur système (SC).
|
Limitations connues du logiciel Solaris Security Toolkit
Cette section décrit les limitations connues relatives au logiciel Solaris Security Toolkit 4.2.
- Bien que le logiciel Solaris Security Toolkit 4.2 permette toujours de désactiver des comptes système (voir le script de fin disable-system-accounts.fin), il ne peut plus modifier le système en vue d'enregistrer les tentatives de connexion aux comptes ainsi désactivés.
Remarques générales et problèmes connus
Cette section traite des remarques générales et problèmes connus liés au logiciel Solaris Security Toolkit 4.2.
Version distribuée exclusivement sous forme de package
Le logiciel Solaris Security Toolkit 4.2 est exclusivement distribué sous forme de package.
Possibilité de réadresser les packages SUNWjass et JASScustm
À partir de la version 4.2 de Solaris Security Toolkit, les packages SUNWjass et JASScustm sont désormais réadressables, à l'instar des normes de conditionnement de Sun. Pour réadresser ces packages, exécutez la commande pkgadd(1M) -R.
Solaris Security Toolkit et CTRL+C
L'utilisation de CTRL+C lors d'opérations d'annulation (undo) et de durcissement par Solaris Security Toolkit peut aboutir à un état incohérent du système. Il est recommandé de mener à terme les opérations de durcissement avant d'effectuer une annulation (undo) plutôt que d'interrompre le durcissement en cours. Abstenez-vous d'utiliser la combinaison de touches CTRL+C pour la gestion des erreurs ou d'interrompre une exécution de la boîte à outils. Patientez jusqu'au terme de l'opération, puis recommencez les opérations de durcissement ou undo.
Bogues relatifs au logiciel Solaris Security Toolkit 4.2
Cette section présente un récapitulatif des bogues que vous êtes susceptible de rencontrer et qui n'ont pas été corrigés dans le logiciel Solaris Security Toolkit 4.2.
Possibles erreurs de contrôle suite à de multiples redémarrages lorsque le service NIS est utilisé (Bug ID 6222181)
rpcbind est désactivé par défaut dans le pilote secure.driver. Si le service NIS est activé, il se peut que, suite à des redémarrages répétés, le système laisse les services généralement démarrés à l'aide de inetd dans un état non initialisé et que les services hérités ne fonctionnent pas. Ce problème se présente dans Solaris Security Toolkit sous la forme d'une incohérence entre les résultats des contrôles effectués avant et après un redémarrage, dans les services démarrés à l'aide de inetd.
Ce bogue sera résolu par le Bug ID 6223370 relatif au SE Solaris 10. Vous trouverez la description de ce bogue à la section « Bogues affectant le logiciel Solaris Security Toolkit 4.2 ».
Palliatifs
- Si vous souhaitez utiliser NIS, activez rpcbind et redémarrez. Reportez-vous au chapitre 1 du manuel Solaris Security Toolkit 4.2 Reference Manual.
- Si vous ne voulez pas utiliser le service NIS, désactivez-le. (Reportez-vous au document portant sur le service de dénomination du SE Solaris 10 pour connaître la procédure de désactivation du service NIS.)
svcs non initialisé et échec du contrôle portant sur nddconfig suite à de multiples redémarrages (Bug ID 6284872)
Des redémarrages répétés consécutifs à la procédure de durcissement entraînent la non-initialisation de svcs et l'échec du contrôle portant sur nddconfig. Autrement dit, le contrôle nddconfig contiendra des erreurs après de multiples redémarrages système.
Conséquence : milestone/name-services ne pourra pas être mis en ligne si rpcbind est désactivé et que le système est configuré de manière à utiliser NIS. De ce fait, /etc/rc2.d (svc:/milestone/multi-user:default) n'est pas exécuté et le script nddconfig n'est donc pas lancé.
Ce bogue sera résolu par le Bug ID 6223370 relatif au SE Solaris 10.
Palliatifs
- Si vous souhaitez utiliser NIS, activez rpcbind et redémarrez. Reportez-vous au chapitre 1 du manuel Solaris Security Toolkit 4.2 Reference Manual.
- Si vous ne voulez pas utiliser le service NIS, désactivez-le. Reportez-vous au document portant sur le service de dénomination du SE Solaris 10 pour connaître la procédure de désactivation du service NIS.
Bogues affectant le logiciel Solaris Security Toolkit 4.2
Cette section présente un récapitulatif des bogues que vous êtes susceptible de rencontrer et qui n'ont pas été corrigés dans des logiciels tiers affectant Solaris Security Toolkit.
Possibilité de divergence au niveau du paramètre de ip6_send_redirects entre deux contrôles (Bug ID 6222001)
Ce bogue du SE Solaris 10 risque de se répercuter sur le fonctionnement du logiciel Solaris Security Toolkit 4.2. Il peut arriver qu'un paramètre soit défini différemment pour ip6_send_redirects d'un contrôle à l'autre alors qu'il devrait être identique. Supposons que vous contrôliez un système qui n'a pas subi de durcissement (Contrôle n° 1). Vous procédez ensuite au durcissement du système, vous redémarrez, vous annulez le durcissement et vous redémarrez à nouveau. Vous procédez ensuite à un nouveau contrôle du système (Contrôle n° 2).
Les résultats du contrôle devraient être identiques, à l'exception de l'horodatage. Cependant, il arrive que les deux contrôles montrent une valeur différente pour le paramètre ip6_send_redirects situé dans le fichier nddconfig. Lors du premier contrôle, le message indique que la vérification a échoué, car le paramètre est différent de 0. Lors du second contrôle, le message vous informe que la vérification a réussi, car le paramètre est égal à 0, ce qui est exact.
Palliatif : aucun.
/etc/motd devrait être installé en tant que fichier volatile (Bug ID 6222495)
Ce bogue du SE Solaris 10 risque de se répercuter sur le fonctionnement du logiciel Solaris Security Toolkit 4.2. Le fichier /etc/motd est inclus dans le package SUNWcsr et est doté du type de fichier f. Les pilotes de Solaris Security Toolkit 4.2 remplacent ce fichier, ce qui peut entraîner des erreurs et des avertissements lors de l'installation de zones et de packages au sein de ces zones.
Palliatifs
Effectuez l'une des opérations suivantes :
- Supprimez le fichier de la liste JASS_FILES afin de ne pas l'installer.
- Modifiez le type du fichier en le remplaçant par v, ce qui éliminera cette erreur.
Dysfonctionnements de svc.startd avec optional_all (Bug ID 6223370)
Si vous désactivez rpcbind puis redémarrez, les services milestone/name-services ne sont pas mis en ligne, inetd et d'autres services risquant eux aussi de ne pas se mettre en ligne. Pour connaître les manières dont ce bogue du SE Solaris 10 risque d'affecter le fonctionnement du logiciel Solaris Security Toolkit 4.2, reportez-vous aux descriptions des bogues Bug ID 6284872 et Bug ID 6222181.
Palliatifs
- Si vous souhaitez utiliser NIS, activez rpcbind et redémarrez. Reportez-vous au chapitre 1 du manuel Solaris Security Toolkit 4.2 Reference Manual.
- Si vous ne voulez pas utiliser le service NIS, désactivez-le. Reportez-vous au document portant sur le service de dénomination du SE Solaris 10 pour connaître la procédure de désactivation du service NIS.
Notes de version de Solaris Security Toolkit 4.2
|
819-3795-10
|
|
Copyright © 2005, Sun Microsystems, Inc. Tous droits réservés.