Chapitre 3 Recommandations pour l'installation

Solaris^TM for ISPs^TM fournit une infrastructure principale avec un jeu d'extensions de plate-forme et de services pour ISP. Ce chapitre présente des directives de configuration d'hôte réseau pour l'installation d'extensions et de services Solaris for ISPs. Ces informations de configuration sont essentielles pour réussir l'installation. Veuillez les lire attentivement.

Scénario d'installation

Vous devez concevoir le réseau avant d'installer Solaris for ISPs. Cette section traite deux exemples testés de configuration d'hôtes réseau Solaris for ISPs. Vous pouvez utiliser l'exemple de configuration d'hôtes réseau correspondant le mieux à votre environnement.

Configuration réseau

Cette section décrit un exemple de configuration de réseau de base et étendu, et les caractéristiques et recommandations relatives à la configuration du matériel.

---

Remarque :

Nous ne partons pas du principe qu'il existe un pare-feu dans nos exemples de configuration réseau. Si vous utilisez un produit pare-feu Internet pour contrôler le trafic réseau vers ou depuis n'importe quel hôte Solaris for ISPs, vous devez étudier la politique de sécurité contrôlant cet hôte pour vous assurer que les types de communication appropriés sont autorisés. Ce document ne présente pas de recommandations relatives aux pare-feu Internet.

---

Configuration de base

Cette figure illustre un exemple de configuration de base.

Figure 3-1 Configuration de base

Caractéristiques matérielles de base

• Trois stations de travail haut de gamme.

• Serveurs DNS primaires et secondaires.

• Les hôtes doivent se trouver sur un réseau connecté à l'Internet.

• Vous pouvez choisir n'importe quel serveur sur le réseau devant agir comme hôte client.

• Vous avez besoin d'un navigateur Web sur le client hôte pour Sun Internet Administrator et le logiciel client Sun Internet Services Monitor.

Exemple de conception de configuration de base

Les trois serveurs sont qualifiés d'hôte A, hôte B et hôte C. Par exemple, les serveurs hôte peuvent être configurés de la façon suivante :

• Hôte A : Configurez ce serveur pour qu'il agisse comme hôte de service. Installez SWS et Sun Internet FTP Server, et configurez l'hôte comme serveur DNS primaire.

• Hôte B : Configurez ce serveur pour qu'il agisse comme hôte console. Installez Sun Internet Administrator, Sun Directory Services et Sun Internet Services Monitor.

• Hôte C : Configurez ce serveur pour qu'il agisse comme hôte de service. Installez Sun Internet News Server et configurez l'hôte comme serveur DNS secondaire.

  ---

  Remarque :

  Les configurations de serveur DNS décrites dans cet exemple de configuration ne sont présentées qu'à titre indicatif. Vous ne devez pas installer d'extensions et de services Solaris for ISPs sur un hôte agissant comme serveur DNS. La plupart des extensions et des services nécessitent uniquement la possibilité d'effectuer régulièrement des recherches de noms.

  ---

Configuration étendue

Cette figure illustre un exemple de configuration réseau étendue.

Figure 3-2 Configuration étendue

Caractéristiques matérielles étendues

• Quatre stations de travail haut de gamme.

• Serveurs DNS primaires et secondaires.

• Les hôtes doivent se trouver sur un réseau connecté à l'Internet.

• Vous pouvez choisir n'importe quel serveur sur le réseau devant agir comme hôte client.

• Vous avez besoin d'un navigateur Web sur le client hôte pour Sun Internet Administrator et le logiciel client Sun Internet Services Monitor.

Exemple de conception de configuration étendue

Les quatre serveurs sont qualifiés d'hôte A, hôte B, hôte C et hôte D. Par exemple, les serveurs hôte peuvent être configurés de la façon suivante :

• Hôte A : Configurez ce serveur pour qu'il agisse comme hôte de service. Installez SWS et Sun Internet FTP Server, et configurez l'hôte comme serveur DNS primaire.

• Hôte B : Configurez ce serveur pour qu'il agisse comme hôte console. Installez Sun Internet Services Monitor et configurez l'hôte comme serveur DNS secondaire.

• Hôte C : Configurez ce serveur pour qu'il agisse comme hôte de service. Installez Sun Internet News Server.

• Hôte D : Configurez ce serveur pour qu'il agisse comme hôte console. Installez Sun Internet Administrator et Sun Directory Services sur cet hôte.

  ---

  Remarque :

  Les configurations de serveur DNS illustrées dans cet exemple de configuration ne sont présentées qu'à titre indicatif. Vous ne devez pas installer d'extensions et de services Solaris for ISPs sur un hôte agissant comme serveur DNS. La plupart des extensions et des services nécessitent uniquement la possibilité d'effectuer régulièrement des recherches de noms.

  ---

---

Remarque :

Après la conception de la configuration d'hôtes réseau, préparez les hôtes pour l'installation de Solaris for ISPs. Reportez-vous à "Extensions de plate-forme Solaris for ISPs" pour préparer les hôtes selon la conception définie.

---

Problèmes de sécurité

Tout réseau avec accès Internet est exposé à certains risques concernant la sécurité. En outre, certaines fonctions de Solaris for ISPs introduisent d'autres risques. Dans chaque cas, plusieurs mesures de sécurité peuvent être mises en oeuvre pour protéger votre réseau. Les sections suivantes présentent certaines pratiques d'administration système adaptées et des fonctions de Solaris for ISPs vous permettant de sécuriser votre réseau et de le mettre à l'abri de ce risque.

Risques pour la sécurité Internet standard

La connexion du réseau à d'autres réseaux sur l'Internet l'expose à des interruptions de service potentiels, à une intrusion illicite et à des dommages importants. Cette section vous fait prendre conscience de ce type de risque. Les protections contre ces risques sont décrites dans "Comment renforcer la sécurité?".

• Attaques refus de services : Ces attaques interdisent au système de servir les clients et rend un service non disponible pour les clients. Par exemple, les attaques peuvent encombrer le réseau avec un trafic inutile compromettant la qualité du service aux clients. Très souvent, de telles attaques peuvent bloquer le système ou le ralentir considérablement.

• Exploits (piratage) de dépassement de capacité de tampon : Ces événements incluent l'exploitation des faiblesses logicielles pour ajouter des données arbitraires dans un programme qui, lorsqu'il est exécuté comme racine, peut donner à l'exploiteur un accès racine dans votre système. Cela peut également entraîner une attaque refus de services.

• Attaques usurpation et écoute : Les attaques usurpation impliquent une intrusion d'écoute du trafic entre deux machines sur votre réseau. Le trafic peut inclure l'échange de mots de passe cryptés lors de l'utilisation de telnet, rlogin ou ftp. Cela peut permettre à un individu de s'introduire illicitement dans votre réseau ou de lire des données confidentielles.

• Usurpation IP : Les attaques basées sur l'usurpation IP impliquent un accès non autorisé à des ordinateurs. L'intrus écoutant le trafic de votre réseau trouve une adresse IP d'un hôte de confiance et envoie des messages indiquant que le message provient de cet hôte de confiance.

• Exposition interne : La plupart des intrusions illicites dans des réseaux sont le fait d'un employé actuel ou d'un ancien employé malveillant utilisant à mauvais escient l'accès à des informations ou s'introduisant de façon illicite dans votre réseau.

Risques relatifs à la sécurité dans Solaris for ISPs

Cette section traite de certaines fonctions de Solaris for ISPs pouvant créer des risques de sécurité pour le logiciel. Veuillez vous reporter à "Comment renforcer la sécurité?" pour plus de détails concernant la protection contre ces risques.

• Administration de produits : Les produits d'administration Solaris for ISPs pour services individuels, tels que ftp ou groupes de discussion, offrent de nouvelles possibilités d'accès à des opérations privilégiées. Cet intrus, en connaissant, en devinant ou en déplombant le mot de passe de l'administrateur, peut modifier le comportement des services en exploitant l'interface d'administrateur à travers le réseau. Cependant, Sunscreen^TM SKIP, intégré dans Solaris for ISPs, authentifie le trafic entrant et garantit que les données sortantes ne sont pas visualisées par d'autres personnes en cours de transit.

• Mécanisme d'exécution d'une commande distante : Sun Internet Administrator donne accès à toutes les commandes d'administration de ligne de commande par l'intermédiaire de son mécanisme d'exécution distante de console administrateur. Un intrus peut s'introduire dans ce mécanisme et avoir accès à ces commandes. Cependant, l'accès à ces commandes peut être limité, par racine, uniquement aux administrateurs système enregistrés.

• Sun Directory Services : Ce logiciel Solaris for ISPs peut être utilisé pour stocker et gérer des mots de passe et des informations sur d'autres extensions et services Solaris for ISPs. Un intrus peut s'introduire illicitement et exploiter l'accès à de telles informations privilégiées. Cependant, la plupart des mots de passe dans Sun Directory Services sont cryptés. Les mots de passe non cryptés dans Sun Directory Services nécessitent un accès racine.

Comment renforcer la sécurité?

Pour protéger votre système contre tout accès illicite, corruption ou modification des informations, et pour rendre le réseau disponible pour les utilisateurs autorisés :

• Changez régulièrement les mots de passe et encouragez l'utilisation de mots de passe difficiles à deviner. Le logiciel Solaris for ISPs impose le changement des mots de passe périodiquement si des fichiers locaux sont employés pour la gestion des mots de passe.

• Utilisez une cryptographie à clé publique pour crypter tout le trafic effectué entre hôtes de confiance au niveau IP. SKIP, livré avec Solaris for ISPs, authentifie le trafic IP entrant et s'assure que les données sortantes ne sont ni modifiées ni visualisées par d'autres en cours de transit.

• Utilisez des routeurs pouvant identifier des hôtes de confiance et bloquer les adresses IP usurpées.

• Réparez les vulnérabilités et renforcez la sécurité de votre logiciel.

• Désactivez les services non désirés créant des risques pour la sécurité de votre réseau. Le logiciel de configuration d'hôte de Solaris for ISPs, partie intégrante du processus d'installation initial, peut désactiver certaines commandes 'r' pour assurer une protection pour les mots de passe et pour limiter l'accès aux hôtes pour les individus non autorisés.

• Donnez aux employés uniquement l'accès aux données ou aux infomations dont ils ont besoin pour leur travail.

• Mettez en oeuvre des mécanismes de sécurité tels que la surveillance du réseau et des pare-feu.

Eléments à prendre en compte

Cette section traite de certaines fonctions par défaut de Solaris for ISPs que vous devez envisager pendant la configuration d'hôte. Dans cette section, les rubriques incluent notamment :

• Modifications dans Solaris--Fichiers système modifiés par Solaris for ISPs.

• Gestion de fichier journal--Démon résident de Solaris for ISPs.

• Script utilisateur--Création de scripts de post-installation.

• Paramètre de serveur Web d'administration par défaut--Restauration des valeurs par défaut AWS.

Modifications dans Solaris

Cette section traite des modifications exécutées une seule fois et des modifications reconfigurables pouvant être apportées aux services Solaris pendant la configuration d'hôte. Si vous acceptez les paramètres d'installation par défaut, ces modifications seront apportées à l'hôte où Solaris for ISPs est installé.

---

Remarque :

Vous devez réviser et pouvez modifier, si nécessaire, ces modifications dans Solaris pendant la configuration d'hôte. Ces modifications ne peuvent pas être incorporées dans des versions futures de Solaris for ISPs.

---

Paramètres définis une seul fois

Solaris for ISPs est composé d'une unité de configuration de base s'exécutant seulement une fois pour assurer la sécurité des mots de passe et pour attribuer des autorisations fichier au propriétaire des fichiers. Il effectue un ensemble de modifications par défaut lors du processus d'installation initiale. La fonctionnalité de cette unité est similaire à celle du script dans ftp://ftp.wins.uva.nl:/pub/solaris/fix-modes.tar.gz. Pour annuler ces modifications, passez à "Annulation des modifications".

Cette section examine les opérations d'installation initiale exécutées automatiquement une seule fois dans le progiciel de base. Vous devez étudier cette section avant d'installer Solaris for ISPs.

---

Remarque :

Le script sera exécuté. Cependant, ces modifications seront uniquement effectuées si des modifications aux fichiers en conflit n'ont pas déjà été effectuées par vous.

---

• Il exécute un script qui accroît la sécurité des modes de fichier installés avec les progiciels Solaris. Ces modifications sont les suivantes :

  • Il retire les autorisations de groupe et universelle pour setuid et setgid.

  • Il retire les autorisations d'écriture de groupe et universelle sur tous les fichiers non- setuid répondant à l'un des critères suivants :

    • Le fichier a une autorisation de lecture de groupe et universelle, mais aucune permission d'écriture universelle.

    • Le fichier a une autorisation d'exécution universelle.

    • Le fichier a des autorisations de propriétaire, de groupe et universelle identiques.

    • C'est un répertoire binaire ou un fichier non volatile. Il a des autorisations de lecture et d'exécution de groupe et universelle..

  • Il retire les autorisations d'écriture pour les propriétaires sur les exécutables non possédés par racine.

• Il ajoute umask 077 à /.cshrc et /.profile. Cela rend lisible et inscriptible uniquement par racine les fichiers créés sous un interpréteur de commandes de racine interactif.

• Il ajoute une racine à /etc/ftpusers pour désactiver la possibilité de la racine d'effectuer un accès ftp à l'hôte.

• Il choisit noshell par défaut pour sys, uucp, nuucp et écoute les comptes pour consigner les tentatives de connexion illicites. Cela simplifie la détection d'intrusion dans le système.

• Il définit MAXWEEKS=12 dans /etc/default/passwd. Si des fichiers locaux sont employés pour la gestion des messages, cela impose un changement de mot de passe périodique.

• Il crée S35umask pour attribuer par défaut l'autorisation d'écriture uniquement au propriétaire pour les fichiers créés par des démons système.

• Il interdit les attaques refus de services en ajoutant la ligne ndd-set/dev/ipip_respond_to_echo_broadcast 0 dans le fichier /etc/rc2.d/S69inet.

• Il remplace /etc/syslog.conf par une nouvelle version pour garantir un enregistrement plus granulaire et pour détecter d'éventuelles intrusions. Cette nouvelle version isole des messages par un niveau de facilité et de consignation, et envoie les messages de haut niveau à un serveur d'enregistrement central.

• Il exécute bsmconv et configure /etc/security pour consigner les actions administratives, ainsi que les connexions et les déconnexions. Cela autorise un audit C2, pouvant intercepter des événements omis par syslog.

• Toutes les modifications apportées par cette unité sont consignées par /var/sadm/install/contents. Cela permettra l'installation ultérieure de patchs (logiciels).

Paramètres reconfigurables

L'installation d'extensions de plate-forme et de services Solaris for ISPs avec leur configuration par défaut outrepassera le comportement des services par défaut sur les hôtes où ils sont installés. Cette procédure crée un serveur plus sécurisé en désactivant les utilitaires réseau Solaris qui ne sont pas essentiels au logiciel Solaris for ISPs installé sur le système.

---

Remarque :

Vous devez réviser et pouvez modifier, si nécessaire, la configuration par défaut pendant la configuration de l'hôte.

---

Si vous acceptez la configuration d'installation par défaut, ces services Solaris seront désactivés, sauf indication contraire. La désactivation de ce service n'est pas requise, mais nous la recommandons pour éviter d'éventuelles brèches à la sécurité et pour conserver les ressources. Pour changer la valeur de ces services, inetd.conf sera modifié, sauf indication contraire. Pour annuler ces modifications, passez à "Annulation des modifications"

Fermeture de brèches éventuelles à la sécurité

Nous recommandons de désactiver les services suivants pour assurer la protection des mots de passe et pour empêcher quiconque d'accéder sans autorisation aux hôtes.

---

Remarque :

Si vous acceptez la valeur par défaut, vous ne pourrez plus accéder à l'hôte avec ces commandes "r" désactivées.

---

• rexecd: Désactivez ce service pour arrêter le support d'exécution de commande distante par l'intermédiaire de la fonction rexec(3N), qui passe les mots de passe en clair.

• rlogind: Désactivez ce service pour assurer la sécurité des mots de passe parce qu'il repose sur .rhosts et hosts.equiv pour l'authentification sans mot de passe pendant la connexion à distance.

• rshd: Désactivez ce service pour protéger le mot de passe parce qu'il repose sur .rhosts et hosts.equiv pour une authentification sans mot de passe pendant l'exécution d'une commande à distance.

  ---

  Remarque :

  Si vous acceptez la valeur par défaut, les services suivants seront activés. Vous devez réviser et pouvez modifier le paramètre.

  ---

• telnetd: Si vous acceptez la valeur d'installation par défaut, sachez que ce service est activé et autorise les mécanismes de connexion distante.

• ftpd: Si vous acceptez la valeur d'installation par défaut, sachez que ce service est activé et assure le support du transfert de fichier vers et depuis les sites réseau distants dans un mode plus sécurisé. Ce service sera désactivé si vous sélectionnez Sun Internet FTP Server pour l'installation.

  ---

  Remarque :

  Si vous avez besoin de mécanismes de sécurité pour les services telnet et FTP, configurez votre réseau de façon à ce que les demandes de transfert de fichier soient effectuées à l'intérieur du réseau.

  ---

Nous vous recommandons de désactiver les services suivants pour protéger les informations contre tout utilisateur non autorisé. La désactivation de ces services améliore la sécurité du système et interdit l'accès aux informations du système en empêchant des réponses d'hôte à ces demandes réseau.

• fingerd: Désactivez ce service pour protéger les informations contre les demandes finger réseau.

• netstat: Désactivez ce service pour assurer que le contenu des diverses structures de données associées au réseau ne sont pas exposées à une invocation distante de netstat.

• rstatd: Désactivez ce service pour empêcher l'accès aux statistiques système.

• rusersd: Désactivez ce service pour protéger les informations sur les utilisateurs connectés.

• systat: Désactivez ce service pour arrêter le support de l'exécution à distance de ps sur l'hôte.

• routing: Désactivez ce service pour assurer que l'hôte ne fonctionne pas comme un routeur. Si ce service est désactivé, le fichier /etc/notrouter est créé.

• sendmail: Désactivez ce service pour le protéger contre les attaques refus de services et pour désactiver le support de réception et d'envoi de courrier électronique. S88sendmail est modifié.

• sprayd: Désactivez ce service pour arrêter le support du test du réseau et de l'enregistrement de progiciels envoyés par spray.

Conservation de ressources

Nous recommandons de désactiver les services CDE et OpenWindows suivants, sauf s'ils sont requis dans votre environnement. La désactivation de ces services améliore les performances du système.

• cmsd: Désactivez ce service puisqu'il est requis uniquement si des calendriers CDE se trouvent sur l'hôte.

• dtspcd: Désactivez ce service pour arrêter le support de sessions CDE.

• kcms_server: Désactivez ce service pour arrêter le support d'accès distant aux profils OpenWindows KCMS.

• ttdbserverd: Désactivez ce service pour arrêter le support du serveur de base de données Tooltalk requis pour un fonctionnement correct de CDE.

Nous recommandons la désactivation des services (inetd) réseau suivants, sauf s'ils sont requis dans votre environnement. La désactivation de ces services libérera des ressources et améliorera les performances du système. Modifiez la configuration par défaut si vous avez besoin des utilitaires réseau indiqués ci-dessous.

• chargen: Désactivez ce service pour arrêter le support du test d'inetd et de génération de caractères.

• discard: Désactivez ce service pour arrêter le rejet de toutes les entrées issues du test d'inetd.

• echo: Désactivez ce service pour arrêter le support de l'écho de toutes les entrées du test inetd.

• fs.auto: Désactivez ce service pour désactiver le serveur de polices.

  ---

  Remarque :

  Si vous acceptez la valeur par défaut, le service suivant sera activé. Vous devez réviser et pouvez modifier la valeur.

  ---

• time: Si vous acceptez la valeur d'installation par défaut, sachez que ce service sera activé et que personne ne pourra interroger l'heure du système à distance. Il renvoie l'heure machine.

• cachefsd: Si vous acceptez la valeur d'installation par défaut, sachez que ce service sera activé. Cela correspond au démon cacheFS.

Nous recommandons la désactivation des services suivants, sauf s'ils sont essentiels pour votre environnement. La désactivation de ces services améliore les performances du système. Veuillez modifier la configuration par défaut si vous avez besoin des services indiqués ci-dessous.

• automountd: Désactivez ce service puisqu'il supporte uniquement le montage automatique et non des montages NFS normaux. Pour changer sa valeur, S74autofs sera modifié.

• comsat: Désactivez ce service pour arrêter la notification biff(1) de nouveaux messages sur l'hôte.

• daytime: Désactivez ce service pour arrêter le support de renvoi de l'heure du jour.

• rquotad: Désactivez ce service pour garantir que l'hôte n'est pas utilisé comme un serveur NFS supportant des quotas de disque sur son système de fichiers.

• sadmind: Désactivez ce service pour arrêter le support d'exécution d'opérations d'administration système réparties utilisant Solstice AdminSuite.

• talkd: Désactivez ce service pour arrêter le support d'exécution du programme de parole interactive.

• tnamed: Désactivez ce service pour arrêter le support du protocole de serveur de noms DARPA.

• lpd: Désactivez ce service pour garantir que l'hôte n'est pas utilisé comme un serveur d'impression BSD. Cela ne désactive pas le serveur d'impression système V.

• uucpd: Désactivez ce service et arrêtez le support de copie de fichiers nommés par les arguments de fichier source dans l'argument de fichier destination.

• walld: Désactivez ce service et arrêtez le support d'envoi de message par wall.

• Xaserver: Désactivez ce service et arrêtez le support pour les fonctions audio X.

---

Remarque :

Vous pouvez également consulter l'aide en ligne pendant la configuration de l'hôte pour obtenir de l'aide sur l'activation ou la désactivation des services Solaris.

---

Annulation des modifications

Les modifications apportées pendant la configuration d'hôte, pour durcir et régler le système afin d'accroître sa sécurité et ses performances, peuvent ne pas être incorporées dans la version suivante de Solaris for ISPs. Cette section indique les opérations à effectuer pour annuler les modifications apportées à la configuration de base de Solaris pendant la configuration d'hôte.

Connectez-vous à l'ordinateur où vous souhaitez annuler les modifications et attribuez-vous un accès racine. Déterminez les modifications à annuler et suivez les instructions de la liste de procédure :

• Les services Solaris de base sont réglés pour une sécurité et des performances optimales à partir de l'interface utilisateur graphique de configuration d'hôte. Ces modifications sont reconfigurables et vous pouvez réinitialiser les valeurs en utilisant l'interface utilisateur graphique de configuration d'hôte. Reportez-vous au manuel Guide d'installation de Solaris for ISPs et à l'aide en ligne concernant la configuration d'hôte pour réinitialiser les valeurs de service Solaris.

• Les deux fichiers d'amorçage supplémentaires S35umask et S68echo dans /etc/rc2.d, créés après l'installation, sont automatiquement retirés lors de la désinstallation du composant de plate-forme Solaris for ISPs.

  ---

  Remarque :

  Vous devez annuler manuellement certaines modifications exécutées une seule fois et apportées à la configuration du système. Pour annuler les modifications de durcissement :

  ---

• Entrez : # /opt/SUNWfixm/bin/fixmodes -u pour annuler les modifications exécutées une seule fois.

• Entrez : # bsmunconv pour passer du mode audit C2 au mode C1. Cela désactive les fonctions d'audit activées pour intercepter les événements omis par syslog.

• Comparez la version courante de /.cshrc, /.profile, /.zshenv, /etc/ftpusers, /etc/default/passwd, /etc/syslog.conf avec la version fichier.pre-hcfconfig du fichier. Le fichier actuel contient les modifications de durcissement et toute autre modification qui peut avoir été apportée après l'exécution du durcissement. Déterminez les modifications apportées par le logiciel de configuration d'hôte et utilisez un éditeur de texte pour annuler ces modifications.

  ---

  Remarque :

  Ne copiez pas le fichier.pre-hcfconfig dans la version en cours du fichier sans déterminer les modifications apportées par et après la configuration d'hôte.

  ---

Gestion de fichier journal

Cette section décrit le démon résident, hclfmd, qui effectue la gestion des fichiers journaux. Ce démon résident fonctionne comme racine. Il démarre lors de l'amorçage et effectue les fonctions suivantes :

• Il analyse la liste de fichiers journaux dans /etc/syslog.conf à la recherche de chemins de fichiers qui ne démarrent pas avec /dev (fichiers associés aux dispositifs système) et réalise un nettoyage, un journal et une exploration quotidienne.

  Pour chaque fichier journal écrit par syslogd, il effectue les fonctions suivantes :

  • Il renomme le fichier journal existant et crée un nouveau journal quotidien.

  • Il envoie le signal de redémarrage (-HUP) au démon syslog pour créer un nouveau journal quotidien.

  • Il génère un archive hebdomadaire en compressant des fichiers journaux quotidiens chaque semaine et stocke ces informations dans nom.AAAAMMJJ-AAAAMMJJ.tar.z.

  • Il supprime les archives hebdomadaires datant de plus d'un mois.

• Il obtient l'emplacement des journaux d'audit à partir de /etc/security/audit_control et effectue un nettoyage, un journal et une exploration quotidienne.

  Il effectue les fonctions suivantes pour chaque répertoire d'audit monté localement :

  • Il exécute audit -n pour créer un nouveau journal quotidien. Cela indique au répertoire d'audit de fermer le fichier d'audit courant et d'ouvrir un nouveau fichier d'audit dans le répertoire d'audit courant.

  • Il génère un archive hebdomadaire en compressant des fichiers journaux quotidiens chaque semaine et les stocke dans nom.AAAAMMJJ-AAAAMMJJ.tar.z.

  • Il supprime les archives hebdomadaires datant de plus d'un mois.

• Il effectue un contrôle de détection d'intrusion toutes les 10 minutes.

  • Il détecte et signale tous les échecs d'entrée d'autorisation dans les fichiers syslog.

  • Par défaut, /etc/opt/SUNWisp/hc/hclfmd.conf est configuré pour envoyer du courrier électronique à la racine pour chaque échec de tentative d'autorisation entrée dans syslog.

    ---

    Remarque :

    Vous pouvez reconfigurer ce fichier. Par défaut, il est configuré de la façon suivante : /var/log/badauth:/usr/bin/mailx -s "%f" root < %c où :

    • /var/log/badauth est le fichier où les entrées sont effectuées.

    • /usr/bin/mailx -s est la commande à envoyer à root.

    • "%f" est la ligne de sujet du message, contenant le nom de fichier où les entrées ont été détectées, et

    • "%c" est le nouveau contenu du fichier syslog.

    ---

Création de scripts définis par l'utilisateur

Cette section décrit certaines mises à jour d'installation et/ou de configuration dont vous pouvez prévoir l'exécution après l'installation de Solaris for ISPs. Ces paramètres peuvent être écrits sous forme de script Shell. Par exemple, vous pouvez écrire une commande similaire à : echo "foo" >> /etc/ftpusers

Le chemin à ce script que vous créez peut être enregistré lors de la configuration de l'hôte (écran Post-Configuration Command) pour l'installation de Solaris for ISPs. Vous pouvez également chaîner ces commandes. Cette commande de post-configuration que vous fournissez sera exécutée par un script de post-installation de Solaris for ISPs pendant l'installation en différé.

---

Remarque :

La création de ce script est facultative.

---

Certains exemples de configuration système post-installation dont vous pouvez prévoir l'exécution dans votre script après l'installation sont illustrés dans les paragraphes suivants. Par exemple :

• Ecrivez un programme pour vérifier et confirmer les modifications apportées à la configuration système.

• Ecrivez un programme pour notifier ou imprimer la disponibilité d'espace disque après l'installation.

• Ecrivez un programme pour reconfigurer les messages de notification depuis syslog pour les échecs d'entrée d'autorisation. Reportez-vous à "Gestion de fichier journal".

• Ecrivez un programme pour configurer d'autres logiciels indépendants.

• Ecrivez un programme pour configurer un hôte DNS :

  • Entrer des adresses IP de serveur DNS dans /etc/hosts.

  • Configurer /etc/resolv.conf.

  • Modifier /etc/nsswitch.conf.

    ---

    Remarque :

    Les configurations de serveur DNS traitées dans cette section sont présentées uniquement à titre indicatif. Vous ne devez pas reconfigurer votre serveur DNS existant. Veuillez vous reporter à un document approprié pour reconfigurer votre serveur DNS afin de supporter la demande d'extensions et de services Solaris for ISPs pour des recherches de noms régulières.

    ---

Restauration des paramètres AWS par défaut

Sun Internet Administrator utilise un serveur Web pour les fonctions d'administration effectuées à partir de son interface utilisateur. Ce serveur Web est qualifié d'AWS (Administration Web Server). Vous pouvez, si nécessaire, reconfigurer le serveur Web d'administration en fonction de vos besoins. Reportez-vous à l'aide en ligne pour cette tâche. Pour garantir que vous ne perdez pas la configuration par défaut, cette section décrit l'emplacement des fichiers de configuration de serveur Web d'administration et la méthode permettant de restaurer les valeurs par défaut.

Les fichiers de configuration par défaut du serveur Web d'administration se trouvent dans /etc/opt/SUNWixamc/awsconf/default/* et /var/opt/SUNWixamc/awsconf. Lors de la reconfiguration du serveur Web d'administration, seules les configurations de fichier /var/opt/SUNWixamc/awsconf doivent être changées.

Pour restaurer les valeurs par défaut, copiez /etc/opt/SUNWixamc/awsconf/default/* dans /var/opt/SUNWixamc/awsconf.

---

Remarque :

Pour assurer le fonctionnement effectif de la console Sun Internet Administrator, ne modifiez pas les valeurs par défaut dans aws.conf, site.conf, map.conf, realms.conf et access.acl.

---