Ignorer les liens de navigation | |
Quitter l'aperu | |
Procédures de l'administrateur Oracle Solaris Trusted Extensions |
1. Concepts d'administration de Trusted Extensions
Le logiciel Trusted Extensions et le SE Oracle Solaris
Similarités entre Trusted Extensions et le SE Oracle Solaris
Différences entre Trusted Extensions et le SE Oracle Solaris
Concepts de base de Trusted Extensions
Protections Trusted Extensions
Trusted Extensions et contrôle d'accès
Étiquettes du logiciel Trusted Extensions
Relations de domination entre les étiquettes
Où les étiquettes apparaissent-elles et que protègent-elles ?
2. Outils d'administration de Trusted Extensions
3. Mise en route en tant qu'administrateur Trusted Extensions (tâches)
4. Exigences de sécurité sur un système Trusted Extensions (présentation)
5. Administration des exigences de sécurité dans Trusted Extensions (tâches)
6. Utilisateurs, droits et rôles dans Trusted Extensions (présentation)
7. Gestion des utilisateurs, des droits et des rôles dans Trusted Extensions (tâches)
8. Administration à distance dans Trusted Extensions (tâches)
9. Trusted Extensions et LDAP (présentation)
10. Gestion des zones dans Trusted Extensions (tâches)
11. Gestion et montage de fichiers dans Trusted Extensions (tâches)
12. Gestion de réseaux de confiance (présentation)
13. Gestion des réseaux dans Trusted Extensions (tâches)
14. Messagerie multiniveau dans Trusted Extensions (présentation)
15. Gestion de l'impression étiquetée (tâches)
16. Périphériques dans Trusted Extensions (présentation)
17. Gestion des périphériques pour Trusted Extensions (tâches)
18. Audit de Trusted Extensions (présentation)
19. Gestion des logiciels dans Trusted Extensions (tâches)
A. Guide de référence rapide pour l'administration de Trusted Extensions
Le logiciel Trusted Extensions ajoute des étiquettes à un système qui exécute le système d'exploitation Solaris (SE Oracle Solaris). Les étiquettes appliquent un contrôle d'accès obligatoire (MAC, Mandatory access control). Le MAC et le contrôle d'accès discrétionnaire (DAC, Discretionary access control) protègent les sujets (processus) et les objets (données) du système. Le logiciel Trusted Extensions fournit des interfaces pour gérer la configuration et l'assignation des étiquettes, ainsi que la stratégie les concernant.
Le logiciel Trusted Extensions utilise des profils de droits, des rôles, l'audit, les privilèges et d'autres fonctions de sécurité du SE Oracle Solaris. Vous pouvez utiliser le shell sécurisé Oracle Solaris (SSH), BART, la structure cryptographique d'Oracle Solaris ainsi qu'IPsec et IP filter avec Trusted Extensions.
Comme dans le SE Oracle Solaris, les utilisateurs peuvent être limités à l'utilisation des applications nécessaires pour exécuter leurs tâches. D'autres utilisateurs peuvent être autorisés à effectuer davantage de tâches.
Comme dans le SE Oracle Solaris, les fonctions qui étaient autrefois assignées au superutilisateur sont assignées à des "rôles" distincts et discrets.
Comme dans le SE Oracle Solaris, des privilèges protègent les processus. Des zones sont également utilisées pour séparer les processus.
Comme dans le SE Oracle Solaris, les événements du système peuvent être audités.
Trusted Extensions utilise les fichiers de configuration système du SE Oracle Solaris tels que policy.conf et exec_attr.
Le logiciel Trusted Extensions étend le SE Oracle Solaris. La liste suivante offre une vue d'ensemble. Pour une référence rapide, reportez-vous à Annexe AGuide de référence rapide pour l'administration de Trusted Extensions.
Trusted Extensions contrôle l'accès aux données à l'aide de balises de sécurité spéciales nommées étiquettes. Les étiquettes assurent un contrôle d'accès obligatoire (MAC). La protection MAC s'ajoute aux autorisations des fichiers UNIX, ou contrôle d'accès discrétionnaire (DAC). Les étiquettes sont directement assignées aux utilisateurs, aux zones, aux périphériques, aux fenêtres et aux extrémités de réseaux. Les étiquettes sont assignées implicitement à des processus, des fichiers et à d'autres objets système.
Les utilisateurs standard ne peuvent pas passer outre au MAC. Dans Trusted Extensions les utilisateurs standard doivent travailler dans des zones étiquetées. Par défaut, aucun utilisateur ou processus de zone étiquetée ne peut passer outre au MAC.
Comme dans le SE Oracle Solaris, la possibilité de passer outre à la stratégie de sécurité peut être assignée à des processus ou à des utilisateurs spécifiques lorsque le MAC peut être ignoré. Par exemple, des utilisateurs peuvent être autorisés à modifier l'étiquette d'un fichier. Cette opération permet de mettre à niveau ou de rétrograder des informations de ce fichier.
Trusted Extensions ajoute des fichiers et des commandes à la configuration existante. Par exemple, Trusted Extensions ajoute des événements d'audit, des autorisations, des privilèges et des profils de droits.
Certaines fonctions facultatives sur un système Oracle Solaris sont obligatoires sur un système Trusted Extensions. Par exemple, les zones et les rôles sont obligatoires sur un système configuré avec Trusted Extensions.
Certaines fonctions facultatives sur un système Oracle Solaris sont recommandées sur un système Trusted Extensions. Par exemple, dans Trusted Extensions, il est recommandé de transformer l'utilisateur root en un rôle root.
Trusted Extensions peut modifier le comportement par défaut du SE Oracle Solaris. Par exemple, sur un système configuré avec Trusted Extensions, l'audit est activé par défaut. En outre, l'allocation de périphériques est obligatoire.
Trusted Extensions peut restreindre les options disponibles dans le SE Oracle Solaris. Par exemple, sur un système configuré avec Trusted Extensions, le service de nommage NIS+ n'est pas pris en charge. En outre, toutes les zones sont étiquetées dans Trusted Extensions. À la différence du SE Oracle Solaris, les zones étiquetées doivent utiliser le même pool d'ID utilisateur et d'ID de groupe. En outre, dans Trusted Extensions, les zones étiquetées peuvent partager une même adresse IP.
Trusted Extensions fournit des versions sécurisées de deux bureaux. Pour travailler dans un environnement étiqueté, les utilisateurs de bureau de Trusted Extensions doivent utiliser l'un des bureaux suivants :
Solaris Trusted Extensions (CDE), la version de confiance de Common Desktop Environment (CDE). Le nom peut être abrégé en Trusted CDE.
Solaris Trusted Extensions (JDS), la version de confiance de Java Desktop System, version number. Le nom peut être abrégé en Trusted JDS.
Trusted Extensions fournit d'autres interfaces utilisateur graphiques (GUI, Graphical user interfaces) et interfaces de ligne de commande (CLI, Command line interfaces). Par exemple, Trusted Extensions fournit le Device Allocation Manager (Gestionnaire d'allocation de périphériques) pour administrer les périphériques. En outre, la commande updatehome permet de placer les fichiers de démarrage dans le répertoire personnel d'un utilisateur standard à chaque étiquette.
Trusted Extensions requiert l'utilisation d'interfaces utilisateur graphiques spécifiques pour l'administration. Par exemple, sur un système est configuré avec Trusted Extensions, la Console de gestion Solaris est utilisée pour administrer les utilisateurs, les rôles et le réseau. De même, dans Trusted CDE, l'action Admin Editor permet de modifier les fichiers système.
Trusted Extensions limite les données lisibles par les utilisateurs. Par exemple, un périphérique qui ne peut pas être alloué par un utilisateur n'est pas visible pour cet utilisateur.
Trusted Extensions limite les options de bureau des utilisateurs. Par exemple, le temps d'inactivité avant verrouillage de l'écran des utilisateurs est limité.
Lorsque les écrans d'un système Trusted Extensions multiécran sont configurés horizontalement, une bande de confiance s'étend sur tous les écrans. Lorsque les moniteurs sont configurés verticalement, la bande de confiance s'affiche dans l'écran le plus bas.
Lorsque plusieurs espaces de travail sont affichés sur les moniteurs d'un système multiécran, Trusted CDE et Trusted JDS effectuent différemment le rendu de la bande de confiance.
Sur un bureau Trusted JDS chaque moniteur affiche une bande de confiance.
Sur un bureau Trusted CDE, une bande de confiance s'affiche sur l'écran principal.
Attention - Si une deuxième bande de confiance s'affiche sur un système multiécran Trusted CDE, celle-ci n'est pas générée par le système d'exploitation. Il est possible qu'un programme non autorisé soit installé sur votre système. Contactez immédiatement votre administrateur de sécurité. Pour déterminer la bande de confiance appropriée, reportez-vous à la section Reprise du contrôle du focus actuel du bureau. |