JavaScript is required to for searching.
Ignorer les liens de navigation
Quitter l'aperu
Guide de configuration d’Oracle Solaris Trusted Extensions
search filter icon
search icon

Informations document

Préface

1.  Planification de la sécurité pour Trusted Extensions

2.  Déroulement de la configuration de Trusted Extensions

3.  Ajout du logiciel Trusted Extensions au SE Solaris (tâches)

Responsabilités de l'équipe chargée de la configuration initiale

Installation ou mise à niveau du SE Solaris pour Trusted Extensions

Installation d'un système Solaris pour prendre en charge Trusted Extensions

Préparation d'un système Solaris installé pour Trusted Extensions

Collecte d'informations et prise de décisions avant l'activation de Trusted Extensions

Collecte d'informations système avant l'activation de Trusted Extensions

Prise de décisions relatives au système et à la sécurité avant l'activation de Trusted Extensions

Activation du service Trusted Extensions

Activation de Trusted Extensions

4.  Configuration de Trusted Extensions (tâches)

5.  Configuration de LDAP pour Trusted Extensions (tâches)

6.  Configuration d'un écouteur avec Trusted Extensions (tâches)

A.  Stratégie de sécurité du site

B.  Utilisation d'actions CDE pour installer des zones dans Trusted Extensions

C.  Liste de contrôle de configuration pour Trusted Extensions

Glossaire

Index

Collecte d'informations et prise de décisions avant l'activation de Trusted Extensions

Pour chaque système sur lequel Trusted Extensions va être configuré, vous devez connaître certaines informations et prendre des décisions relatives à la configuration. Par exemple, si vous prévoyez de créer des zones étiquetées, vous pouvez souhaiter réserver de l'espace disque où les zones pourront être clonées en tant que système de fichiers ZFS Solaris. Le ZFS Solaris offre un isolement supplémentaires pour les zones.

Collecte d'informations système avant l'activation de Trusted Extensions

  1. Déterminez le nom d'hôte et l'adresse IP du système principal.

    Le nom d'hôte est le nom de l'hôte sur le réseau et correspond à la zone globale. Sur un système Solaris, la commande getent renvoie le nom d'hôte, comme suit :

    # getent hosts machine1
    192.168.0.11   machine1
  2. Déterminez les allocations d'adresses IP des zones étiquetées.

    Un système doté de deux adresses IP peut fonctionner comme un serveur multiniveau. Un système doté d'une adresse IP doit disposer d'un accès à un serveur multiniveau afin d'effectuer des tâches d'impression ou multiniveau. Pour obtenir une description des options d'adresse IP, reportez-vous à la section Planification pour l'accès multiniveau.

    La plupart des systèmes exigent une seconde adresse IP pour les zones étiquetées. Par exemple, l'hôte suivant contient une deuxième adresse IP pour les zones étiquetées :

    # getent hosts machine1-zones
    192.168.0.12   machine1-zones
  3. Collectez les informations de configuration LDAP.

    Pour le serveur LDAP qui exécute le logiciel Trusted Extensions, vous avez besoin des informations suivantes :

    • Le nom du domaine Trusted Extensions servi par le serveur LDAP

    • L'adresse IP du serveur LDAP

    • Le nom du profil LDAP qui sera chargé

    Pour un serveur proxy LDAP, vous aurez également besoin du mot de passe pour le proxy LDAP.

Prise de décisions relatives au système et à la sécurité avant l'activation de Trusted Extensions

Pour chaque système sur lequel Trusted Extensions va être configuré, prenez ces décisions en matière de configuration avant d'activer le logiciel.

  1. Décidez du niveau de sécurité de la protection du matériel du système.

    Sur un site sécurisé, cette étape a été effectuée pour chaque système Solaris installé.

    • Pour les systèmes SPARC, un niveau de sécurité PROM et un mot de passe ont été fournis.

    • Pour les systèmes x86, le BIOS est protégé.

    • Sur tous les systèmes, l'utilisateur root est protégé par un mot de passe.

  2. Préparez votre fichier label_encodings.

    Si vous disposez d'un fichier label_encodings spécifique au site, vous devez le contrôler et l'installer avant de commencer toute autre tâche de configuration. Si votre site n'a pas de fichier label_encodings, vous pouvez utiliser le fichier par défaut fourni par Sun. Oracle fournit également d'autres fichiers label_encodings, que vous pouvez trouver dans le répertoire /etc/security/tsol. Les fichiers Sun sont des fichiers de démonstration. Ils risquent de ne pas être adaptés aux systèmes de production.

    Pour personnaliser un fichier pour votre site, reportez-vous à la section Oracle Solaris Trusted Extensions Label Administration.

  3. À partir de la liste d'étiquettes dans votre fichier label_encodings, créez une liste des zones étiquetées que vous devez créer.

    Le tableau ci-dessous répertorie les noms d'étiquettes et les noms de zones suggérés pour le fichier label_encodings par défaut.


    Étiquette
    Nom de zone
    PUBLIC
    public
    CONFIDENTIAL : INTERNAL
    internal
    CONFIDENTIAL : NEED TO KNOW
    needtoknow
    CONFIDENTIAL : RESTRICTED
    restricted

    Pour simplifier le montage NFS, le nom de zone d'une étiquette donnée doit être identique sur tous les systèmes. Certains systèmes, tels que serveurs d'impression multiniveau, ne nécessitent pas l'installation de zones étiquetées. Cependant, si vous installez des zones étiquetées sur un serveur d'impression, les noms de zones doivent être identiques à ceux des autres systèmes de votre réseau.

  4. Décidez quand créer les rôles.

    La stratégie de sécurité de votre site peut nécessiter que vous administriez Trusted Extensions en assumant un rôle. Si c'est le cas ou si vous êtes en train de configurer le système afin de satisfaire aux critères d'une configuration évaluée, vous devez créer des rôles très tôt au cours du processus de configuration.

    Si vous n'êtes pas obligé de configurer le système en utilisant des rôles, vous pouvez choisir de configurer le système en tant que superutilisateur. Cette méthode de configuration est moins sûre. Les enregistrements de contrôle n'indiquent pas l'identité de l'utilisateur qui a été superutilisateur lors de la configuration. Le superutilisateur peut exécuter toutes les tâches sur le système, tandis qu'un rôle peut effectuer un nombre plus limité de tâches. Par conséquent, la configuration est plus contrôlée lorsqu'elle est effectuée par les rôles.

  5. Choisissez une méthode de création de zone.

    Vous pouvez créer des zones à partir de zéro, les copier ou les cloner. Ces méthodes diffèrent en termes de vitesse de création, d'espace disque requis et de fiabilité. Pour plus d'informations sur les compromis, reportez-vous à la section Planification de zones dans Trusted Extensions.

  6. Planifiez votre configuration LDAP.

    L'utilisation de fichiers locaux pour l'administration est pratique pour les systèmes qui ne sont pas en réseau.

    LDAP est le service de nommage pour un environnement en réseau. Un serveur LDAP rempli est nécessaire lorsque vous configurez plusieurs machines.

    • Si vous disposez déjà d'un Sun Java System Directory Server (serveur LDAP), vous pouvez créer un serveur proxy LDAP sur un système qui exécute Trusted Extensions. Le serveur proxy multiniveau gère les communications avec le serveur LDAP sans étiquette.

    • Si vous ne disposez pas de serveur LDAP, vous pouvez configurer un système qui exécute le logiciel Trusted Extensions en tant que serveur LDAP multiniveau.

  7. Décidez d'autres questions de sécurité pour chaque système et pour le réseau.

    Par exemple, vous pouvez être amené à prendre en compte les problèmes de sécurité suivants :

    • Déterminez les périphériques qui peuvent être connectés au système et alloués pour utilisation.

    • Identifiez les imprimantes dont les étiquettes sont accessibles à partir du système.

    • Identifiez les systèmes qui ont une plage d'étiquettes limitée, tel qu'un système de passerelle ou un kiosque public.

    • Identifiez les systèmes étiquetés pouvant communiquer avec des systèmes non étiquetés particuliers.