Modifications dans Solaris (Guide d'administration de Solaris for ISPs)

Guide d'administration de Solaris for ISPs

Modifications dans Solaris

Cette section traite des modifications exécutées une seule fois et des modifications reconfigurables pouvant être apportées aux services Solaris pendant la configuration d'hôte. Si vous acceptez les paramètres d'installation par défaut, ces modifications seront apportées à l'hôte où Solaris for ISPs est installé.

Remarque :

Vous devez réviser et pouvez modifier, si nécessaire, ces modifications dans Solaris pendant la configuration d'hôte. Ces modifications ne peuvent pas être incorporées dans des versions futures de Solaris for ISPs.

Paramètres définis une seul fois

Solaris for ISPs est composé d'une unité de configuration de base s'exécutant seulement une fois pour assurer la sécurité des mots de passe et pour attribuer des autorisations fichier au propriétaire des fichiers. Il effectue un ensemble de modifications par défaut lors du processus d'installation initiale. La fonctionnalité de cette unité est similaire à celle du script dans ftp://ftp.wins.uva.nl:/pub/solaris/fix-modes.tar.gz. Pour annuler ces modifications, passez à "Annulation des modifications".

Cette section examine les opérations d'installation initiale exécutées automatiquement une seule fois dans le progiciel de base. Vous devez étudier cette section avant d'installer Solaris for ISPs.

Remarque :

Le script sera exécuté. Cependant, ces modifications seront uniquement effectuées si des modifications aux fichiers en conflit n'ont pas déjà été effectuées par vous.

Il exécute un script qui accroît la sécurité des modes de fichier installés avec les progiciels Solaris. Ces modifications sont les suivantes :
- Il retire les autorisations de groupe et universelle pour setuid et setgid.
- Il retire les autorisations d'écriture de groupe et universelle sur tous les fichiers non- setuid répondant à l'un des critères suivants :
  - Le fichier a une autorisation de lecture de groupe et universelle, mais aucune permission d'écriture universelle.
  - Le fichier a une autorisation d'exécution universelle.
  - Le fichier a des autorisations de propriétaire, de groupe et universelle identiques.
  - C'est un répertoire binaire ou un fichier non volatile. Il a des autorisations de lecture et d'exécution de groupe et universelle..
- Il retire les autorisations d'écriture pour les propriétaires sur les exécutables non possédés par racine.
Il ajoute umask 077 à /.cshrc et /.profile. Cela rend lisible et inscriptible uniquement par racine les fichiers créés sous un interpréteur de commandes de racine interactif.
Il ajoute une racine à /etc/ftpusers pour désactiver la possibilité de la racine d'effectuer un accès ftp à l'hôte.
Il choisit noshell par défaut pour sys, uucp, nuucp et écoute les comptes pour consigner les tentatives de connexion illicites. Cela simplifie la détection d'intrusion dans le système.
Il définit MAXWEEKS=12 dans /etc/default/passwd. Si des fichiers locaux sont employés pour la gestion des messages, cela impose un changement de mot de passe périodique.
Il crée S35umask pour attribuer par défaut l'autorisation d'écriture uniquement au propriétaire pour les fichiers créés par des démons système.
Il interdit les attaques refus de services en ajoutant la ligne ndd-set/dev/ipip_respond_to_echo_broadcast 0 dans le fichier /etc/rc2.d/S69inet.
Il remplace /etc/syslog.conf par une nouvelle version pour garantir un enregistrement plus granulaire et pour détecter d'éventuelles intrusions. Cette nouvelle version isole des messages par un niveau de facilité et de consignation, et envoie les messages de haut niveau à un serveur d'enregistrement central.
Il exécute bsmconv et configure /etc/security pour consigner les actions administratives, ainsi que les connexions et les déconnexions. Cela autorise un audit C2, pouvant intercepter des événements omis par syslog.
Toutes les modifications apportées par cette unité sont consignées par /var/sadm/install/contents. Cela permettra l'installation ultérieure de patchs (logiciels).

Paramètres reconfigurables

L'installation d'extensions de plate-forme et de services Solaris for ISPs avec leur configuration par défaut outrepassera le comportement des services par défaut sur les hôtes où ils sont installés. Cette procédure crée un serveur plus sécurisé en désactivant les utilitaires réseau Solaris qui ne sont pas essentiels au logiciel Solaris for ISPs installé sur le système.

Remarque :

Vous devez réviser et pouvez modifier, si nécessaire, la configuration par défaut pendant la configuration de l'hôte.

Si vous acceptez la configuration d'installation par défaut, ces services Solaris seront désactivés, sauf indication contraire. La désactivation de ce service n'est pas requise, mais nous la recommandons pour éviter d'éventuelles brèches à la sécurité et pour conserver les ressources. Pour changer la valeur de ces services, inetd.conf sera modifié, sauf indication contraire. Pour annuler ces modifications, passez à "Annulation des modifications"

Fermeture de brèches éventuelles à la sécurité

Nous recommandons de désactiver les services suivants pour assurer la protection des mots de passe et pour empêcher quiconque d'accéder sans autorisation aux hôtes.

Remarque :

Si vous acceptez la valeur par défaut, vous ne pourrez plus accéder à l'hôte avec ces commandes "r" désactivées.

rexecd: Désactivez ce service pour arrêter le support d'exécution de commande distante par l'intermédiaire de la fonction rexec(3N), qui passe les mots de passe en clair.
rlogind: Désactivez ce service pour assurer la sécurité des mots de passe parce qu'il repose sur .rhosts et hosts.equiv pour l'authentification sans mot de passe pendant la connexion à distance.
rshd: Désactivez ce service pour protéger le mot de passe parce qu'il repose sur .rhosts et hosts.equiv pour une authentification sans mot de passe pendant l'exécution d'une commande à distance.

Remarque :
Si vous acceptez la valeur par défaut, les services suivants seront activés. Vous devez réviser et pouvez modifier le paramètre.
telnetd: Si vous acceptez la valeur d'installation par défaut, sachez que ce service est activé et autorise les mécanismes de connexion distante.
ftpd: Si vous acceptez la valeur d'installation par défaut, sachez que ce service est activé et assure le support du transfert de fichier vers et depuis les sites réseau distants dans un mode plus sécurisé. Ce service sera désactivé si vous sélectionnez Sun Internet FTP Server pour l'installation.

Remarque :
Si vous avez besoin de mécanismes de sécurité pour les services telnet et FTP, configurez votre réseau de façon à ce que les demandes de transfert de fichier soient effectuées à l'intérieur du réseau.

Nous vous recommandons de désactiver les services suivants pour protéger les informations contre tout utilisateur non autorisé. La désactivation de ces services améliore la sécurité du système et interdit l'accès aux informations du système en empêchant des réponses d'hôte à ces demandes réseau.

fingerd: Désactivez ce service pour protéger les informations contre les demandes finger réseau.
netstat: Désactivez ce service pour assurer que le contenu des diverses structures de données associées au réseau ne sont pas exposées à une invocation distante de netstat.
rstatd: Désactivez ce service pour empêcher l'accès aux statistiques système.
rusersd: Désactivez ce service pour protéger les informations sur les utilisateurs connectés.
systat: Désactivez ce service pour arrêter le support de l'exécution à distance de ps sur l'hôte.
routing: Désactivez ce service pour assurer que l'hôte ne fonctionne pas comme un routeur. Si ce service est désactivé, le fichier /etc/notrouter est créé.
sendmail: Désactivez ce service pour le protéger contre les attaques refus de services et pour désactiver le support de réception et d'envoi de courrier électronique. S88sendmail est modifié.
sprayd: Désactivez ce service pour arrêter le support du test du réseau et de l'enregistrement de progiciels envoyés par spray.

Conservation de ressources

Nous recommandons de désactiver les services CDE et OpenWindows suivants, sauf s'ils sont requis dans votre environnement. La désactivation de ces services améliore les performances du système.

cmsd: Désactivez ce service puisqu'il est requis uniquement si des calendriers CDE se trouvent sur l'hôte.
dtspcd: Désactivez ce service pour arrêter le support de sessions CDE.
kcms_server: Désactivez ce service pour arrêter le support d'accès distant aux profils OpenWindows KCMS.
ttdbserverd: Désactivez ce service pour arrêter le support du serveur de base de données Tooltalk requis pour un fonctionnement correct de CDE.

Nous recommandons la désactivation des services (inetd) réseau suivants, sauf s'ils sont requis dans votre environnement. La désactivation de ces services libérera des ressources et améliorera les performances du système. Modifiez la configuration par défaut si vous avez besoin des utilitaires réseau indiqués ci-dessous.

chargen: Désactivez ce service pour arrêter le support du test d'inetd et de génération de caractères.
discard: Désactivez ce service pour arrêter le rejet de toutes les entrées issues du test d'inetd.
echo: Désactivez ce service pour arrêter le support de l'écho de toutes les entrées du test inetd.
fs.auto: Désactivez ce service pour désactiver le serveur de polices.

Remarque :
Si vous acceptez la valeur par défaut, le service suivant sera activé. Vous devez réviser et pouvez modifier la valeur.
time: Si vous acceptez la valeur d'installation par défaut, sachez que ce service sera activé et que personne ne pourra interroger l'heure du système à distance. Il renvoie l'heure machine.
cachefsd: Si vous acceptez la valeur d'installation par défaut, sachez que ce service sera activé. Cela correspond au démon cacheFS.

Nous recommandons la désactivation des services suivants, sauf s'ils sont essentiels pour votre environnement. La désactivation de ces services améliore les performances du système. Veuillez modifier la configuration par défaut si vous avez besoin des services indiqués ci-dessous.

automountd: Désactivez ce service puisqu'il supporte uniquement le montage automatique et non des montages NFS normaux. Pour changer sa valeur, S74autofs sera modifié.
comsat: Désactivez ce service pour arrêter la notification biff(1) de nouveaux messages sur l'hôte.
daytime: Désactivez ce service pour arrêter le support de renvoi de l'heure du jour.
rquotad: Désactivez ce service pour garantir que l'hôte n'est pas utilisé comme un serveur NFS supportant des quotas de disque sur son système de fichiers.
sadmind: Désactivez ce service pour arrêter le support d'exécution d'opérations d'administration système réparties utilisant Solstice AdminSuite.
talkd: Désactivez ce service pour arrêter le support d'exécution du programme de parole interactive.
tnamed: Désactivez ce service pour arrêter le support du protocole de serveur de noms DARPA.
lpd: Désactivez ce service pour garantir que l'hôte n'est pas utilisé comme un serveur d'impression BSD. Cela ne désactive pas le serveur d'impression système V.
uucpd: Désactivez ce service et arrêtez le support de copie de fichiers nommés par les arguments de fichier source dans l'argument de fichier destination.
walld: Désactivez ce service et arrêtez le support d'envoi de message par wall.
Xaserver: Désactivez ce service et arrêtez le support pour les fonctions audio X.

Remarque :

Vous pouvez également consulter l'aide en ligne pendant la configuration de l'hôte pour obtenir de l'aide sur l'activation ou la désactivation des services Solaris.

Annulation des modifications

Les modifications apportées pendant la configuration d'hôte, pour durcir et régler le système afin d'accroître sa sécurité et ses performances, peuvent ne pas être incorporées dans la version suivante de Solaris for ISPs. Cette section indique les opérations à effectuer pour annuler les modifications apportées à la configuration de base de Solaris pendant la configuration d'hôte.

Connectez-vous à l'ordinateur où vous souhaitez annuler les modifications et attribuez-vous un accès racine. Déterminez les modifications à annuler et suivez les instructions de la liste de procédure :

Les services Solaris de base sont réglés pour une sécurité et des performances optimales à partir de l'interface utilisateur graphique de configuration d'hôte. Ces modifications sont reconfigurables et vous pouvez réinitialiser les valeurs en utilisant l'interface utilisateur graphique de configuration d'hôte. Reportez-vous au manuel Guide d'installation de Solaris for ISPs et à l'aide en ligne concernant la configuration d'hôte pour réinitialiser les valeurs de service Solaris.
Les deux fichiers d'amorçage supplémentaires S35umask et S68echo dans /etc/rc2.d, créés après l'installation, sont automatiquement retirés lors de la désinstallation du composant de plate-forme Solaris for ISPs.

Remarque :
Vous devez annuler manuellement certaines modifications exécutées une seule fois et apportées à la configuration du système. Pour annuler les modifications de durcissement :
Entrez : # /opt/SUNWfixm/bin/fixmodes -u pour annuler les modifications exécutées une seule fois.
Entrez : # bsmunconv pour passer du mode audit C2 au mode C1. Cela désactive les fonctions d'audit activées pour intercepter les événements omis par syslog.
Comparez la version courante de /.cshrc, /.profile, /.zshenv, /etc/ftpusers, /etc/default/passwd, /etc/syslog.conf avec la version fichier.pre-hcfconfig du fichier. Le fichier actuel contient les modifications de durcissement et toute autre modification qui peut avoir été apportée après l'exécution du durcissement. Déterminez les modifications apportées par le logiciel de configuration d'hôte et utilisez un éditeur de texte pour annuler ces modifications.

Remarque :
Ne copiez pas le fichier.pre-hcfconfig dans la version en cours du fichier sans déterminer les modifications apportées par et après la configuration d'hôte.