Guide d'administration de Solaris for ISPs

Eléments à prendre en compte

Cette section traite de certaines fonctions par défaut de Solaris for ISPs que vous devez envisager pendant la configuration d'hôte. Dans cette section, les rubriques incluent notamment :

Modifications dans Solaris--Fichiers système modifiés par Solaris for ISPs.
Gestion de fichier journal--Démon résident de Solaris for ISPs.
Script utilisateur--Création de scripts de post-installation.
Paramètre de serveur Web d'administration par défaut--Restauration des valeurs par défaut AWS.

Modifications dans Solaris

Cette section traite des modifications exécutées une seule fois et des modifications reconfigurables pouvant être apportées aux services Solaris pendant la configuration d'hôte. Si vous acceptez les paramètres d'installation par défaut, ces modifications seront apportées à l'hôte où Solaris for ISPs est installé.

Remarque :

Vous devez réviser et pouvez modifier, si nécessaire, ces modifications dans Solaris pendant la configuration d'hôte. Ces modifications ne peuvent pas être incorporées dans des versions futures de Solaris for ISPs.

Paramètres définis une seul fois

Solaris for ISPs est composé d'une unité de configuration de base s'exécutant seulement une fois pour assurer la sécurité des mots de passe et pour attribuer des autorisations fichier au propriétaire des fichiers. Il effectue un ensemble de modifications par défaut lors du processus d'installation initiale. La fonctionnalité de cette unité est similaire à celle du script dans ftp://ftp.wins.uva.nl:/pub/solaris/fix-modes.tar.gz. Pour annuler ces modifications, passez à "Annulation des modifications".

Cette section examine les opérations d'installation initiale exécutées automatiquement une seule fois dans le progiciel de base. Vous devez étudier cette section avant d'installer Solaris for ISPs.

Remarque :

Le script sera exécuté. Cependant, ces modifications seront uniquement effectuées si des modifications aux fichiers en conflit n'ont pas déjà été effectuées par vous.

Il exécute un script qui accroît la sécurité des modes de fichier installés avec les progiciels Solaris. Ces modifications sont les suivantes :
- Il retire les autorisations de groupe et universelle pour setuid et setgid.
- Il retire les autorisations d'écriture de groupe et universelle sur tous les fichiers non- setuid répondant à l'un des critères suivants :
  - Le fichier a une autorisation de lecture de groupe et universelle, mais aucune permission d'écriture universelle.
  - Le fichier a une autorisation d'exécution universelle.
  - Le fichier a des autorisations de propriétaire, de groupe et universelle identiques.
  - C'est un répertoire binaire ou un fichier non volatile. Il a des autorisations de lecture et d'exécution de groupe et universelle..
- Il retire les autorisations d'écriture pour les propriétaires sur les exécutables non possédés par racine.
Il ajoute umask 077 à /.cshrc et /.profile. Cela rend lisible et inscriptible uniquement par racine les fichiers créés sous un interpréteur de commandes de racine interactif.
Il ajoute une racine à /etc/ftpusers pour désactiver la possibilité de la racine d'effectuer un accès ftp à l'hôte.
Il choisit noshell par défaut pour sys, uucp, nuucp et écoute les comptes pour consigner les tentatives de connexion illicites. Cela simplifie la détection d'intrusion dans le système.
Il définit MAXWEEKS=12 dans /etc/default/passwd. Si des fichiers locaux sont employés pour la gestion des messages, cela impose un changement de mot de passe périodique.
Il crée S35umask pour attribuer par défaut l'autorisation d'écriture uniquement au propriétaire pour les fichiers créés par des démons système.
Il interdit les attaques refus de services en ajoutant la ligne ndd-set/dev/ipip_respond_to_echo_broadcast 0 dans le fichier /etc/rc2.d/S69inet.
Il remplace /etc/syslog.conf par une nouvelle version pour garantir un enregistrement plus granulaire et pour détecter d'éventuelles intrusions. Cette nouvelle version isole des messages par un niveau de facilité et de consignation, et envoie les messages de haut niveau à un serveur d'enregistrement central.
Il exécute bsmconv et configure /etc/security pour consigner les actions administratives, ainsi que les connexions et les déconnexions. Cela autorise un audit C2, pouvant intercepter des événements omis par syslog.
Toutes les modifications apportées par cette unité sont consignées par /var/sadm/install/contents. Cela permettra l'installation ultérieure de patchs (logiciels).

Paramètres reconfigurables

L'installation d'extensions de plate-forme et de services Solaris for ISPs avec leur configuration par défaut outrepassera le comportement des services par défaut sur les hôtes où ils sont installés. Cette procédure crée un serveur plus sécurisé en désactivant les utilitaires réseau Solaris qui ne sont pas essentiels au logiciel Solaris for ISPs installé sur le système.

Remarque :

Vous devez réviser et pouvez modifier, si nécessaire, la configuration par défaut pendant la configuration de l'hôte.

Si vous acceptez la configuration d'installation par défaut, ces services Solaris seront désactivés, sauf indication contraire. La désactivation de ce service n'est pas requise, mais nous la recommandons pour éviter d'éventuelles brèches à la sécurité et pour conserver les ressources. Pour changer la valeur de ces services, inetd.conf sera modifié, sauf indication contraire. Pour annuler ces modifications, passez à "Annulation des modifications"

Fermeture de brèches éventuelles à la sécurité

Nous recommandons de désactiver les services suivants pour assurer la protection des mots de passe et pour empêcher quiconque d'accéder sans autorisation aux hôtes.

Remarque :

Si vous acceptez la valeur par défaut, vous ne pourrez plus accéder à l'hôte avec ces commandes "r" désactivées.

rexecd: Désactivez ce service pour arrêter le support d'exécution de commande distante par l'intermédiaire de la fonction rexec(3N), qui passe les mots de passe en clair.
rlogind: Désactivez ce service pour assurer la sécurité des mots de passe parce qu'il repose sur .rhosts et hosts.equiv pour l'authentification sans mot de passe pendant la connexion à distance.
rshd: Désactivez ce service pour protéger le mot de passe parce qu'il repose sur .rhosts et hosts.equiv pour une authentification sans mot de passe pendant l'exécution d'une commande à distance.

Remarque :
Si vous acceptez la valeur par défaut, les services suivants seront activés. Vous devez réviser et pouvez modifier le paramètre.
telnetd: Si vous acceptez la valeur d'installation par défaut, sachez que ce service est activé et autorise les mécanismes de connexion distante.
ftpd: Si vous acceptez la valeur d'installation par défaut, sachez que ce service est activé et assure le support du transfert de fichier vers et depuis les sites réseau distants dans un mode plus sécurisé. Ce service sera désactivé si vous sélectionnez Sun Internet FTP Server pour l'installation.

Remarque :
Si vous avez besoin de mécanismes de sécurité pour les services telnet et FTP, configurez votre réseau de façon à ce que les demandes de transfert de fichier soient effectuées à l'intérieur du réseau.

Nous vous recommandons de désactiver les services suivants pour protéger les informations contre tout utilisateur non autorisé. La désactivation de ces services améliore la sécurité du système et interdit l'accès aux informations du système en empêchant des réponses d'hôte à ces demandes réseau.

fingerd: Désactivez ce service pour protéger les informations contre les demandes finger réseau.
netstat: Désactivez ce service pour assurer que le contenu des diverses structures de données associées au réseau ne sont pas exposées à une invocation distante de netstat.
rstatd: Désactivez ce service pour empêcher l'accès aux statistiques système.
rusersd: Désactivez ce service pour protéger les informations sur les utilisateurs connectés.
systat: Désactivez ce service pour arrêter le support de l'exécution à distance de ps sur l'hôte.
routing: Désactivez ce service pour assurer que l'hôte ne fonctionne pas comme un routeur. Si ce service est désactivé, le fichier /etc/notrouter est créé.
sendmail: Désactivez ce service pour le protéger contre les attaques refus de services et pour désactiver le support de réception et d'envoi de courrier électronique. S88sendmail est modifié.
sprayd: Désactivez ce service pour arrêter le support du test du réseau et de l'enregistrement de progiciels envoyés par spray.

Conservation de ressources

Nous recommandons de désactiver les services CDE et OpenWindows suivants, sauf s'ils sont requis dans votre environnement. La désactivation de ces services améliore les performances du système.

cmsd: Désactivez ce service puisqu'il est requis uniquement si des calendriers CDE se trouvent sur l'hôte.
dtspcd: Désactivez ce service pour arrêter le support de sessions CDE.
kcms_server: Désactivez ce service pour arrêter le support d'accès distant aux profils OpenWindows KCMS.
ttdbserverd: Désactivez ce service pour arrêter le support du serveur de base de données Tooltalk requis pour un fonctionnement correct de CDE.

Nous recommandons la désactivation des services (inetd) réseau suivants, sauf s'ils sont requis dans votre environnement. La désactivation de ces services libérera des ressources et améliorera les performances du système. Modifiez la configuration par défaut si vous avez besoin des utilitaires réseau indiqués ci-dessous.

chargen: Désactivez ce service pour arrêter le support du test d'inetd et de génération de caractères.
discard: Désactivez ce service pour arrêter le rejet de toutes les entrées issues du test d'inetd.
echo: Désactivez ce service pour arrêter le support de l'écho de toutes les entrées du test inetd.
fs.auto: Désactivez ce service pour désactiver le serveur de polices.

Remarque :
Si vous acceptez la valeur par défaut, le service suivant sera activé. Vous devez réviser et pouvez modifier la valeur.
time: Si vous acceptez la valeur d'installation par défaut, sachez que ce service sera activé et que personne ne pourra interroger l'heure du système à distance. Il renvoie l'heure machine.
cachefsd: Si vous acceptez la valeur d'installation par défaut, sachez que ce service sera activé. Cela correspond au démon cacheFS.

Nous recommandons la désactivation des services suivants, sauf s'ils sont essentiels pour votre environnement. La désactivation de ces services améliore les performances du système. Veuillez modifier la configuration par défaut si vous avez besoin des services indiqués ci-dessous.

automountd: Désactivez ce service puisqu'il supporte uniquement le montage automatique et non des montages NFS normaux. Pour changer sa valeur, S74autofs sera modifié.
comsat: Désactivez ce service pour arrêter la notification biff(1) de nouveaux messages sur l'hôte.
daytime: Désactivez ce service pour arrêter le support de renvoi de l'heure du jour.
rquotad: Désactivez ce service pour garantir que l'hôte n'est pas utilisé comme un serveur NFS supportant des quotas de disque sur son système de fichiers.
sadmind: Désactivez ce service pour arrêter le support d'exécution d'opérations d'administration système réparties utilisant Solstice AdminSuite.
talkd: Désactivez ce service pour arrêter le support d'exécution du programme de parole interactive.
tnamed: Désactivez ce service pour arrêter le support du protocole de serveur de noms DARPA.
lpd: Désactivez ce service pour garantir que l'hôte n'est pas utilisé comme un serveur d'impression BSD. Cela ne désactive pas le serveur d'impression système V.
uucpd: Désactivez ce service et arrêtez le support de copie de fichiers nommés par les arguments de fichier source dans l'argument de fichier destination.
walld: Désactivez ce service et arrêtez le support d'envoi de message par wall.
Xaserver: Désactivez ce service et arrêtez le support pour les fonctions audio X.

Remarque :

Vous pouvez également consulter l'aide en ligne pendant la configuration de l'hôte pour obtenir de l'aide sur l'activation ou la désactivation des services Solaris.

Annulation des modifications

Les modifications apportées pendant la configuration d'hôte, pour durcir et régler le système afin d'accroître sa sécurité et ses performances, peuvent ne pas être incorporées dans la version suivante de Solaris for ISPs. Cette section indique les opérations à effectuer pour annuler les modifications apportées à la configuration de base de Solaris pendant la configuration d'hôte.

Connectez-vous à l'ordinateur où vous souhaitez annuler les modifications et attribuez-vous un accès racine. Déterminez les modifications à annuler et suivez les instructions de la liste de procédure :

Les services Solaris de base sont réglés pour une sécurité et des performances optimales à partir de l'interface utilisateur graphique de configuration d'hôte. Ces modifications sont reconfigurables et vous pouvez réinitialiser les valeurs en utilisant l'interface utilisateur graphique de configuration d'hôte. Reportez-vous au manuel Guide d'installation de Solaris for ISPs et à l'aide en ligne concernant la configuration d'hôte pour réinitialiser les valeurs de service Solaris.
Les deux fichiers d'amorçage supplémentaires S35umask et S68echo dans /etc/rc2.d, créés après l'installation, sont automatiquement retirés lors de la désinstallation du composant de plate-forme Solaris for ISPs.

Remarque :
Vous devez annuler manuellement certaines modifications exécutées une seule fois et apportées à la configuration du système. Pour annuler les modifications de durcissement :
Entrez : # /opt/SUNWfixm/bin/fixmodes -u pour annuler les modifications exécutées une seule fois.
Entrez : # bsmunconv pour passer du mode audit C2 au mode C1. Cela désactive les fonctions d'audit activées pour intercepter les événements omis par syslog.
Comparez la version courante de /.cshrc, /.profile, /.zshenv, /etc/ftpusers, /etc/default/passwd, /etc/syslog.conf avec la version fichier.pre-hcfconfig du fichier. Le fichier actuel contient les modifications de durcissement et toute autre modification qui peut avoir été apportée après l'exécution du durcissement. Déterminez les modifications apportées par le logiciel de configuration d'hôte et utilisez un éditeur de texte pour annuler ces modifications.

Remarque :
Ne copiez pas le fichier.pre-hcfconfig dans la version en cours du fichier sans déterminer les modifications apportées par et après la configuration d'hôte.

Gestion de fichier journal

Cette section décrit le démon résident, hclfmd, qui effectue la gestion des fichiers journaux. Ce démon résident fonctionne comme racine. Il démarre lors de l'amorçage et effectue les fonctions suivantes :

Il analyse la liste de fichiers journaux dans /etc/syslog.conf à la recherche de chemins de fichiers qui ne démarrent pas avec /dev (fichiers associés aux dispositifs système) et réalise un nettoyage, un journal et une exploration quotidienne.

Pour chaque fichier journal écrit par syslogd, il effectue les fonctions suivantes :
- Il renomme le fichier journal existant et crée un nouveau journal quotidien.
- Il envoie le signal de redémarrage (-HUP) au démon syslog pour créer un nouveau journal quotidien.
- Il génère un archive hebdomadaire en compressant des fichiers journaux quotidiens chaque semaine et stocke ces informations dans nom.AAAAMMJJ-AAAAMMJJ.tar.z.
- Il supprime les archives hebdomadaires datant de plus d'un mois.
Il obtient l'emplacement des journaux d'audit à partir de /etc/security/audit_control et effectue un nettoyage, un journal et une exploration quotidienne.

Il effectue les fonctions suivantes pour chaque répertoire d'audit monté localement :
- Il exécute audit -n pour créer un nouveau journal quotidien. Cela indique au répertoire d'audit de fermer le fichier d'audit courant et d'ouvrir un nouveau fichier d'audit dans le répertoire d'audit courant.
- Il génère un archive hebdomadaire en compressant des fichiers journaux quotidiens chaque semaine et les stocke dans nom.AAAAMMJJ-AAAAMMJJ.tar.z.
- Il supprime les archives hebdomadaires datant de plus d'un mois.
Il effectue un contrôle de détection d'intrusion toutes les 10 minutes.
- Il détecte et signale tous les échecs d'entrée d'autorisation dans les fichiers syslog.
- Par défaut, /etc/opt/SUNWisp/hc/hclfmd.conf est configuré pour envoyer du courrier électronique à la racine pour chaque échec de tentative d'autorisation entrée dans syslog.
  
  Remarque :
  Vous pouvez reconfigurer ce fichier. Par défaut, il est configuré de la façon suivante : /var/log/badauth:/usr/bin/mailx -s "%f" root < %c où :
  - /var/log/badauth est le fichier où les entrées sont effectuées.
  - /usr/bin/mailx -s est la commande à envoyer à root.
  - "%f" est la ligne de sujet du message, contenant le nom de fichier où les entrées ont été détectées, et
  - "%c" est le nouveau contenu du fichier syslog.

Création de scripts définis par l'utilisateur

Cette section décrit certaines mises à jour d'installation et/ou de configuration dont vous pouvez prévoir l'exécution après l'installation de Solaris for ISPs. Ces paramètres peuvent être écrits sous forme de script Shell. Par exemple, vous pouvez écrire une commande similaire à : echo "foo" >> /etc/ftpusers

Le chemin à ce script que vous créez peut être enregistré lors de la configuration de l'hôte (écran Post-Configuration Command) pour l'installation de Solaris for ISPs. Vous pouvez également chaîner ces commandes. Cette commande de post-configuration que vous fournissez sera exécutée par un script de post-installation de Solaris for ISPs pendant l'installation en différé.

Remarque :

La création de ce script est facultative.

Certains exemples de configuration système post-installation dont vous pouvez prévoir l'exécution dans votre script après l'installation sont illustrés dans les paragraphes suivants. Par exemple :

Ecrivez un programme pour vérifier et confirmer les modifications apportées à la configuration système.
Ecrivez un programme pour notifier ou imprimer la disponibilité d'espace disque après l'installation.
Ecrivez un programme pour reconfigurer les messages de notification depuis syslog pour les échecs d'entrée d'autorisation. Reportez-vous à "Gestion de fichier journal".
Ecrivez un programme pour configurer d'autres logiciels indépendants.
Ecrivez un programme pour configurer un hôte DNS :
- Entrer des adresses IP de serveur DNS dans /etc/hosts.
- Configurer /etc/resolv.conf.
- Modifier /etc/nsswitch.conf.
  
  Remarque :
  Les configurations de serveur DNS traitées dans cette section sont présentées uniquement à titre indicatif. Vous ne devez pas reconfigurer votre serveur DNS existant. Veuillez vous reporter à un document approprié pour reconfigurer votre serveur DNS afin de supporter la demande d'extensions et de services Solaris for ISPs pour des recherches de noms régulières.

Restauration des paramètres AWS par défaut

Sun Internet Administrator utilise un serveur Web pour les fonctions d'administration effectuées à partir de son interface utilisateur. Ce serveur Web est qualifié d'AWS (Administration Web Server). Vous pouvez, si nécessaire, reconfigurer le serveur Web d'administration en fonction de vos besoins. Reportez-vous à l'aide en ligne pour cette tâche. Pour garantir que vous ne perdez pas la configuration par défaut, cette section décrit l'emplacement des fichiers de configuration de serveur Web d'administration et la méthode permettant de restaurer les valeurs par défaut.

Les fichiers de configuration par défaut du serveur Web d'administration se trouvent dans /etc/opt/SUNWixamc/awsconf/default/* et /var/opt/SUNWixamc/awsconf. Lors de la reconfiguration du serveur Web d'administration, seules les configurations de fichier /var/opt/SUNWixamc/awsconf doivent être changées.

Pour restaurer les valeurs par défaut, copiez /etc/opt/SUNWixamc/awsconf/default/* dans /var/opt/SUNWixamc/awsconf.

Remarque :

Pour assurer le fonctionnement effectif de la console Sun Internet Administrator, ne modifiez pas les valeurs par défaut dans aws.conf, site.conf, map.conf, realms.conf et access.acl.