Paramètres définis une seul fois (Guide d'administration de Solaris for ISPs)

Guide d'administration de Solaris for ISPs

Paramètres définis une seul fois

Solaris for ISPs est composé d'une unité de configuration de base s'exécutant seulement une fois pour assurer la sécurité des mots de passe et pour attribuer des autorisations fichier au propriétaire des fichiers. Il effectue un ensemble de modifications par défaut lors du processus d'installation initiale. La fonctionnalité de cette unité est similaire à celle du script dans ftp://ftp.wins.uva.nl:/pub/solaris/fix-modes.tar.gz. Pour annuler ces modifications, passez à "Annulation des modifications".

Cette section examine les opérations d'installation initiale exécutées automatiquement une seule fois dans le progiciel de base. Vous devez étudier cette section avant d'installer Solaris for ISPs.

Remarque :

Le script sera exécuté. Cependant, ces modifications seront uniquement effectuées si des modifications aux fichiers en conflit n'ont pas déjà été effectuées par vous.

Il exécute un script qui accroît la sécurité des modes de fichier installés avec les progiciels Solaris. Ces modifications sont les suivantes :
- Il retire les autorisations de groupe et universelle pour setuid et setgid.
- Il retire les autorisations d'écriture de groupe et universelle sur tous les fichiers non- setuid répondant à l'un des critères suivants :
  - Le fichier a une autorisation de lecture de groupe et universelle, mais aucune permission d'écriture universelle.
  - Le fichier a une autorisation d'exécution universelle.
  - Le fichier a des autorisations de propriétaire, de groupe et universelle identiques.
  - C'est un répertoire binaire ou un fichier non volatile. Il a des autorisations de lecture et d'exécution de groupe et universelle..
- Il retire les autorisations d'écriture pour les propriétaires sur les exécutables non possédés par racine.
Il ajoute umask 077 à /.cshrc et /.profile. Cela rend lisible et inscriptible uniquement par racine les fichiers créés sous un interpréteur de commandes de racine interactif.
Il ajoute une racine à /etc/ftpusers pour désactiver la possibilité de la racine d'effectuer un accès ftp à l'hôte.
Il choisit noshell par défaut pour sys, uucp, nuucp et écoute les comptes pour consigner les tentatives de connexion illicites. Cela simplifie la détection d'intrusion dans le système.
Il définit MAXWEEKS=12 dans /etc/default/passwd. Si des fichiers locaux sont employés pour la gestion des messages, cela impose un changement de mot de passe périodique.
Il crée S35umask pour attribuer par défaut l'autorisation d'écriture uniquement au propriétaire pour les fichiers créés par des démons système.
Il interdit les attaques refus de services en ajoutant la ligne ndd-set/dev/ipip_respond_to_echo_broadcast 0 dans le fichier /etc/rc2.d/S69inet.
Il remplace /etc/syslog.conf par une nouvelle version pour garantir un enregistrement plus granulaire et pour détecter d'éventuelles intrusions. Cette nouvelle version isole des messages par un niveau de facilité et de consignation, et envoie les messages de haut niveau à un serveur d'enregistrement central.
Il exécute bsmconv et configure /etc/security pour consigner les actions administratives, ainsi que les connexions et les déconnexions. Cela autorise un audit C2, pouvant intercepter des événements omis par syslog.
Toutes les modifications apportées par cette unité sont consignées par /var/sadm/install/contents. Cela permettra l'installation ultérieure de patchs (logiciels).