Ignorer les liens de navigation | |
Quitter l'aperu | |
Guide de configuration d’Oracle Solaris Trusted Extensions |
1. Planification de la sécurité pour Trusted Extensions
2. Déroulement de la configuration de Trusted Extensions
3. Ajout du logiciel Trusted Extensions au SE Solaris (tâches)
Responsabilités de l'équipe chargée de la configuration initiale
Installation ou mise à niveau du SE Solaris pour Trusted Extensions
Installation d'un système Solaris pour prendre en charge Trusted Extensions
Préparation d'un système Solaris installé pour Trusted Extensions
Collecte d'informations et prise de décisions avant l'activation de Trusted Extensions
Collecte d'informations système avant l'activation de Trusted Extensions
Prise de décisions relatives au système et à la sécurité avant l'activation de Trusted Extensions
Activation du service Trusted Extensions
Activation de Trusted Extensions
4. Configuration de Trusted Extensions (tâches)
5. Configuration de LDAP pour Trusted Extensions (tâches)
6. Configuration d'un écouteur avec Trusted Extensions (tâches)
A. Stratégie de sécurité du site
B. Utilisation d'actions CDE pour installer des zones dans Trusted Extensions
C. Liste de contrôle de configuration pour Trusted Extensions
Pour chaque système sur lequel Trusted Extensions va être configuré, vous devez connaître certaines informations et prendre des décisions relatives à la configuration. Par exemple, si vous prévoyez de créer des zones étiquetées, vous pouvez souhaiter réserver de l'espace disque où les zones pourront être clonées en tant que système de fichiers ZFS Solaris. Le ZFS Solaris offre un isolement supplémentaires pour les zones.
Le nom d'hôte est le nom de l'hôte sur le réseau et correspond à la zone globale. Sur un système Solaris, la commande getent renvoie le nom d'hôte, comme suit :
# getent hosts machine1 192.168.0.11 machine1
Un système doté de deux adresses IP peut fonctionner comme un serveur multiniveau. Un système doté d'une adresse IP doit disposer d'un accès à un serveur multiniveau afin d'effectuer des tâches d'impression ou multiniveau. Pour obtenir une description des options d'adresse IP, reportez-vous à la section Planification pour l'accès multiniveau.
La plupart des systèmes exigent une seconde adresse IP pour les zones étiquetées. Par exemple, l'hôte suivant contient une deuxième adresse IP pour les zones étiquetées :
# getent hosts machine1-zones 192.168.0.12 machine1-zones
Pour le serveur LDAP qui exécute le logiciel Trusted Extensions, vous avez besoin des informations suivantes :
Le nom du domaine Trusted Extensions servi par le serveur LDAP
L'adresse IP du serveur LDAP
Le nom du profil LDAP qui sera chargé
Pour un serveur proxy LDAP, vous aurez également besoin du mot de passe pour le proxy LDAP.
Pour chaque système sur lequel Trusted Extensions va être configuré, prenez ces décisions en matière de configuration avant d'activer le logiciel.
Sur un site sécurisé, cette étape a été effectuée pour chaque système Solaris installé.
Pour les systèmes SPARC, un niveau de sécurité PROM et un mot de passe ont été fournis.
Pour les systèmes x86, le BIOS est protégé.
Sur tous les systèmes, l'utilisateur root est protégé par un mot de passe.
Si vous disposez d'un fichier label_encodings spécifique au site, vous devez le contrôler et l'installer avant de commencer toute autre tâche de configuration. Si votre site n'a pas de fichier label_encodings, vous pouvez utiliser le fichier par défaut fourni par Sun. Oracle fournit également d'autres fichiers label_encodings, que vous pouvez trouver dans le répertoire /etc/security/tsol. Les fichiers Sun sont des fichiers de démonstration. Ils risquent de ne pas être adaptés aux systèmes de production.
Pour personnaliser un fichier pour votre site, reportez-vous à la section Oracle Solaris Trusted Extensions Label Administration.
Le tableau ci-dessous répertorie les noms d'étiquettes et les noms de zones suggérés pour le fichier label_encodings par défaut.
|
Pour simplifier le montage NFS, le nom de zone d'une étiquette donnée doit être identique sur tous les systèmes. Certains systèmes, tels que serveurs d'impression multiniveau, ne nécessitent pas l'installation de zones étiquetées. Cependant, si vous installez des zones étiquetées sur un serveur d'impression, les noms de zones doivent être identiques à ceux des autres systèmes de votre réseau.
La stratégie de sécurité de votre site peut nécessiter que vous administriez Trusted Extensions en assumant un rôle. Si c'est le cas ou si vous êtes en train de configurer le système afin de satisfaire aux critères d'une configuration évaluée, vous devez créer des rôles très tôt au cours du processus de configuration.
Si vous n'êtes pas obligé de configurer le système en utilisant des rôles, vous pouvez choisir de configurer le système en tant que superutilisateur. Cette méthode de configuration est moins sûre. Les enregistrements de contrôle n'indiquent pas l'identité de l'utilisateur qui a été superutilisateur lors de la configuration. Le superutilisateur peut exécuter toutes les tâches sur le système, tandis qu'un rôle peut effectuer un nombre plus limité de tâches. Par conséquent, la configuration est plus contrôlée lorsqu'elle est effectuée par les rôles.
Vous pouvez créer des zones à partir de zéro, les copier ou les cloner. Ces méthodes diffèrent en termes de vitesse de création, d'espace disque requis et de fiabilité. Pour plus d'informations sur les compromis, reportez-vous à la section Planification de zones dans Trusted Extensions.
L'utilisation de fichiers locaux pour l'administration est pratique pour les systèmes qui ne sont pas en réseau.
LDAP est le service de nommage pour un environnement en réseau. Un serveur LDAP rempli est nécessaire lorsque vous configurez plusieurs machines.
Si vous disposez déjà d'un Sun Java System Directory Server (serveur LDAP), vous pouvez créer un serveur proxy LDAP sur un système qui exécute Trusted Extensions. Le serveur proxy multiniveau gère les communications avec le serveur LDAP sans étiquette.
Si vous ne disposez pas de serveur LDAP, vous pouvez configurer un système qui exécute le logiciel Trusted Extensions en tant que serveur LDAP multiniveau.
Par exemple, vous pouvez être amené à prendre en compte les problèmes de sécurité suivants :
Déterminez les périphériques qui peuvent être connectés au système et alloués pour utilisation.
Identifiez les imprimantes dont les étiquettes sont accessibles à partir du système.
Identifiez les systèmes qui ont une plage d'étiquettes limitée, tel qu'un système de passerelle ou un kiosque public.
Identifiez les systèmes étiquetés pouvant communiquer avec des systèmes non étiquetés particuliers.