Ignorer les liens de navigation | |
Quitter l'aperu | |
Guide d'administration système : Services de sécurité |
Partie I Présentation de la sécurité
1. Services de sécurité (présentation)
Partie II Sécurité du système, des fichiers et des périphériques
2. Gestion de la sécurité de la machine (présentation)
Améliorations apportées à la sécurité de la machine dans la version Solaris10
Contrôle de l'accès à un système informatique
Maintenance de la sécurité physique
Gestion du contrôle de connexion
Gestion des informations de mot de passe
Contrôle de l'accès aux périphériques
Stratégie de périphériques (présentation)
Allocation des périphériques (présentation)
Contrôle de l'accès aux ressources de la machine
Limitation et surveillance du superutilisateur
Configuration du contrôle d'accès basé sur les rôles pour remplacer le superutilisateur
Prévention des mauvaises utilisations involontaires des ressources de la machine
Définition de la variable PATH
Affectation d'un shell restreint à des utilisateurs
Restriction de l'accès aux données dans les fichiers
Restriction des fichiers exécutables setuid
Utilisation d'Automated Security Enhancement Tool
Utilisation de la Oracle Solaris Security Toolkit
Utilisation de la configuration Secure by Default
Utilisation des fonctions de gestion des ressources
Utilisation des zones Oracle Solaris
Surveillance de l'utilisation des ressources de la machine
Surveillance de l'intégrité des fichiers
Contrôle de l'accès aux fichiers
Protection des fichiers par chiffrement
Utilisation des listes de contrôle d'accès
Authentification et autorisation pour l'accès à distance
Chiffrement et systèmes pare-feu
Génération de rapports sur les problèmes de sécurité
3. Contrôle de l'accès aux systèmes (tâches)
4. Contrôle de l'accès aux périphériques (tâches)
5. Utilisation de l'outil de génération de rapports d'audit de base (tâches)
6. Contrôle de l'accès aux fichiers (tâches)
7. Utilisation d'Automated Security Enhancement Tool (Tâches)
Partie III Rôles, profils de droits et privilèges
8. Utilisation des rôles et des privilèges (présentation)
9. Utilisation du contrôle d'accès basé sur les rôles (tâches)
10. Contrôle d'accès basé sur les rôles (référence)
Partie IV Services cryptographiques
13. Structure cryptographique Oracle Solaris (présentation)
14. Structure cryptographique Oracle Solaris (tâches)
15. Structure de gestion des clés Oracle Solaris
Partie V Services d'authentification et communication sécurisée
16. Utilisation des services d'authentification (tâches)
19. Utilisation d'Oracle Solaris Secure Shell (tâches)
20. Oracle Solaris Secure Shell (référence)
21. Introduction au service Kerberos
22. Planification du service Kerberos
23. Configuration du service Kerberos (tâches)
24. Messages d'erreur et dépannage de Kerberos
25. Administration des principaux et des stratégies Kerberos (tâches)
26. Utilisation des applications Kerberos (tâches)
27. Service Kerberos (référence)
Partie VII Audit Oracle Solaris
28. Audit Oracle Solaris (présentation)
29. Planification de l'audit Oracle Solaris
30. Gestion de l'audit Oracle Solaris (tâches)
Oracle Solaris est un environnement multiutilisateur. Dans un environnement multiutilisateur, tous les utilisateurs connectés à un système peuvent lire des fichiers appartenant à d'autres utilisateurs. Les utilisateurs disposant des autorisations de fichiers appropriées peuvent également utiliser des fichiers appartenant à d'autres utilisateurs. Pour plus d'informations, reportez-vous au Chapitre 6Contrôle de l'accès aux fichiers (tâches). Pour obtenir des instructions détaillées sur la définition des autorisations de fichiers appropriées, reportez-vous à la section Protection des fichiers (liste des tâches).
Vous pouvez assurer la sécurité d'un fichier en le rendant inaccessible aux autres utilisateurs. Par exemple, un fichier avec des autorisations de 600 ne peut être lu que par son propriétaire et le superutilisateur. Un répertoire disposant d'autorisations de 700 est également inaccessible. Cependant, quiconque devine votre mot de passe ou découvre le mot de passe root peut accéder à ce fichier. De même, un fichier inaccessible autrement est conservé sur une bande de sauvegarde chaque fois que les fichiers système sont sauvegardés sur un support hors ligne.
La structure cryptographique fournit les commandes digest, mac et encrypt pour protéger les fichiers. Pour plus d'informations, reportez-vous au Chapitre 13Structure cryptographique Oracle Solaris (présentation).
Les listes de contrôle d'accès (ACL), qui se prononce "ackkls" en anglais, peuvent offrir un plus grand contrôle sur les autorisations de fichier. Vous ajoutez des ACL lorsque les protections de fichier UNIX conventionnelles ne sont pas suffisantes. Les protections de fichier UNIX conventionnelles fournissent des autorisations de lecture, d'écriture et d'exécution pour les trois classes d'utilisateur : propriétaire, groupe et autre. Une ACL permet d'affiner la sécurité des fichiers.
Les ACL vous permettent de définir les autorisations de fichiers suivantes :
Autorisations de fichier de propriétaire
Autorisations de fichier pour le groupe du propriétaire
Autorisations de fichier pour d'autres utilisateurs n'appartenant pas au groupe du propriétaire
Autorisations de fichier pour des utilisateurs spécifiques
Autorisations de fichier pour des groupes spécifiques
Autorisations par défaut pour chacune des catégories précédentes
Pour plus d'informations sur l'utilisation des ACL, reportez-vous à la section Utilisation des ACL pour protéger les fichiers UFS.
Un serveur de fichiers réseau peut contrôler les fichiers disponibles pour le partage. Un serveur de fichiers réseau peut également déterminer quels clients ont accès aux fichiers et quel type d'accès est autorisé pour ces clients. En général, le serveur de fichiers peut accorder un accès en lecture-écriture ou un accès en lecture seule à tous les clients ou à des clients spécifiques. Le contrôle d'accès est spécifié lorsque des ressources sont mises à disposition à l'aide de la commande share.
Le fichier /etc/dfs/dfstab sur le serveur de fichiers répertorie les systèmes de fichiers mis à disposition des clients sur le réseau par le serveur. Pour plus d'informations sur le partage des systèmes de fichiers, reportez-vous à la section Partage automatique des systèmes de fichiers du Guide d’administration système : Services réseau.
Lorsque vous créez un partage NFS d'un système de fichiers ZFS, le système de fichiers est partagé définitivement jusqu'à ce que vous supprimiez le partage. SMF gère automatiquement le partage lorsque le système est redémarré. Pour plus d'informations, reportez-vous au Chapitre 3, Différences entre les systèmes de fichiers Oracle Solaris ZFS et classiques du Guide d’administration Oracle Solaris ZFS.
En général, le superutilisateur ne dispose pas d'un accès root aux systèmes de fichiers partagés sur le réseau. Le système NFS empêche l'accès root aux systèmes de fichiers montés en modifiant l'utilisateur du demandeur en utilisateur nobody avec l'ID utilisateur 60001. Les droits d'accès de l'utilisateur nobody sont identiques à ceux donnés à public. L'utilisateur nobody dispose des droits d'accès d'un utilisateur sans informations d'identification. Par exemple, si public ne dispose que d'une autorisation d'exécution pour un fichier, l'utilisateur nobody peut uniquement exécuter ce fichier.
Un serveur NFS peut accorder des capacités de superutilisateur sur un système de fichiers partagé par hôte. Pour accorder ces privilèges, utilisez l'option root=hostname avec la commande share. Vous devez utiliser cette option avec précaution. Pour une description des options de sécurité avec NFS, reportez-vous au Chapitre 6, Accès aux systèmes de fichiers réseau (référence) du Guide d’administration système : Services réseau.