Ignorer les liens de navigation | |
Quitter l'aperu | |
![]() |
Guide d'administration système : Services de sécurité |
Partie I Présentation de la sécurité
1. Services de sécurité (présentation)
Partie II Sécurité du système, des fichiers et des périphériques
2. Gestion de la sécurité de la machine (présentation)
3. Contrôle de l'accès aux systèmes (tâches)
4. Contrôle de l'accès aux périphériques (tâches)
Configuration des périphériques (liste des tâches)
Configuration de la stratégie de périphériques (liste des tâches)
Configuration de la stratégie de périphériques
Procédure d'affichage de la stratégie de périphériques
Procédure de modification de la stratégie pour un périphérique existant
Procédure d'audit des modifications apportées à la stratégie de périphériques
Procédure de récupération d'informations IP MIB-II à partir d'un périphérique /dev/*
Gestion de l'allocation des périphériques (liste des tâches)
Gestion de l'allocation de périphériques
Procédure permettant de rendre un périphérique allouable
Procédure d'autorisation des utilisateurs à allouer un périphérique
Procédure d'affichage d'informations d'allocation sur un périphérique
Allocation forcée d'un périphérique
Forcez la libération d'un périphérique
Procédure de modification des périphériques pouvant être alloués
Procédure d'audit de l'allocation de périphériques
Allocation de périphériques (liste des tâches)
Procédure d'allocation des périphériques
Procédure de montage d'un périphérique alloué
Procédure de libération des périphériques
Protection de périphériques (référence)
Commandes de la stratégie de périphériques
Composants de l'allocation de périphériques
5. Utilisation de l'outil de génération de rapports d'audit de base (tâches)
6. Contrôle de l'accès aux fichiers (tâches)
7. Utilisation d'Automated Security Enhancement Tool (Tâches)
Partie III Rôles, profils de droits et privilèges
8. Utilisation des rôles et des privilèges (présentation)
9. Utilisation du contrôle d'accès basé sur les rôles (tâches)
10. Contrôle d'accès basé sur les rôles (référence)
Partie IV Services cryptographiques
13. Structure cryptographique Oracle Solaris (présentation)
14. Structure cryptographique Oracle Solaris (tâches)
15. Structure de gestion des clés Oracle Solaris
Partie V Services d'authentification et communication sécurisée
16. Utilisation des services d'authentification (tâches)
19. Utilisation d'Oracle Solaris Secure Shell (tâches)
20. Oracle Solaris Secure Shell (référence)
21. Introduction au service Kerberos
22. Planification du service Kerberos
23. Configuration du service Kerberos (tâches)
24. Messages d'erreur et dépannage de Kerberos
25. Administration des principaux et des stratégies Kerberos (tâches)
26. Utilisation des applications Kerberos (tâches)
27. Service Kerberos (référence)
Partie VII Audit Oracle Solaris
28. Audit Oracle Solaris (présentation)
29. Planification de l'audit Oracle Solaris
30. Gestion de l'audit Oracle Solaris (tâches)
Les périphériques dans Oracle Solaris sont protégés par la stratégie de périphériques. Les périphériques peuvent être protégés par le biais de l'allocation de périphériques. La stratégie de périphériques est mise en application par le noyau. L'allocation de périphériques peut être activée et est appliquée au niveau de l'utilisateur.
Les commandes de gestion des périphériques permettent de gérer la stratégie de périphériques sur des fichiers locaux. La stratégie de périphériques peut inclure des exigences en matière de privilèges. Seul le superutilisateur ou un rôle disposant de capacités équivalentes peut gérer des périphériques.
Le tableau suivant répertorie les commandes de gestion des périphériques.
Tableau 4-1 Commandes de gestion des périphériques
|
L'allocation de périphériques peut protéger votre site contre la perte de données, les virus informatiques et d'autres failles de sécurité. Contrairement à la stratégie de périphériques, l'allocation de périphériques est facultative. Les périphériques ne sont pas allouables tant que le script bsmconv n'est pas exécuté. L'allocation de périphériques utilise des autorisations pour limiter l'accès aux périphériques allouables.
Les composants du mécanisme d'allocation de périphériques sont les suivants :
Les commandes allocate, deallocate, dminfo et list_devices. Pour plus d'informations, reportez-vous à la section Commandes d'allocation de périphériques .
Les scripts de nettoyage de périphériques pour chaque périphérique allouable.
Ces commandes et scripts utilisent les fichiers locaux suivants pour mettre en œuvre l'allocation de périphériques :
Le fichier /etc/security/device_allocate. Pour plus d'informations, reportez-vous à la page de manuel device_allocate(4).
Le fichier /etc/security/device_maps. Pour plus d'informations, reportez-vous à la page de manuel device_maps(4).
Un fichier de verrouillage, dans le répertoire /etc/security/dev, pour chaque périphérique allouable.
Les attributs modifiés du fichier de verrouillage qui sont associés à chaque périphérique allouable.
Remarque - Le répertoire /etc/security/dev peut ne pas être pris en charge dans les versions futures d'Oracle Solaris.
Avec les options majuscules, les commandes allocate, deallocate et list_devices sont des commandes d'administration. Dans le cas contraire, ces commandes sont des commandes d'utilisateur. Le tableau suivant répertorie les commandes d'allocation de périphériques.
Tableau 4-2 Commandes d'allocation de périphériques
Par défaut, les utilisateurs doivent avoir l'autorisation solaris.device.allocate pour réserver un périphérique allouable. Pour créer un profil de droits afin d'inclure l'autorisation solaris.device.allocate, reportez-vous à la section Procédure d'autorisation des utilisateurs à allouer un périphérique .
Les administrateurs doivent avoir l'autorisation solaris.device.revoke pour modifier l'état d'allocation d'un périphérique. Par exemple, l'option -U des commandes allocate et list_devices et l'option -F de la commande deallocate nécessitent l'autorisation solaris.device.revoke.
Pour plus d'informations, reportez-vous à la section Commandes nécessitant des autorisations.
Un périphérique est placé dans un état d'erreur d'allocation en cas d'échec des commandes deallocate ou allocate . Lorsqu'un périphérique allouable est dans un état d'erreur d'allocation, le périphérique doit être libéré de force. Seul le superutilisateur ou un rôle bénéficiant du profil de droits Device Management ou Device Security peut gérer un état d'erreur d'allocation.
La commande deallocate avec l'option -F force la libération. Vous pouvez également utiliser allocate -U pour affecter le périphérique à un utilisateur. Une fois le périphérique alloué, vous pouvez analyser les messages d'erreur qui s'affichent. Après la correction des problèmes liés au périphérique, vous pouvez forcer la libération.
Des cartes de périphériques sont créées lorsque vous paramétrez l'allocation de périphériques. Un fichier /etc/security/device_maps par défaut est créé par la commande bsmconv lorsque le service d'audit est activé. Ce fichier device_maps initial peut être personnalisé pour votre site. Le fichier device_maps inclut les noms de périphérique, types de périphérique, fichiers spécifiques au périphérique qui sont associés à chaque périphérique allouable.
Le fichier device_maps définit les mappages de fichiers spécifiques à un périphérique pour chaque périphérique, ce qui n'est pas intuitif dans de nombreux cas. Ce fichier permet aux programmes de découvrir les fichiers spécifiques à un périphérique à mapper aux périphériques. Vous pouvez utiliser la commande dminfo, par exemple, pour récupérer le nom et le type de périphérique, et les fichiers spécifiques au périphérique à spécifier lorsque vous paramétrez un périphérique allouable. La commande dminfo utilise le fichier device_maps pour rapporter ces informations.
Chaque périphérique est représenté par une entrée d'une ligne au format suivant :
device-name:device-type:device-list
Exemple 4-14 Exemple d'entrée device_maps
Ce qui suit est un exemple d'entrée dans un fichier device_maps pour une unité de disquette, fd0 :
fd0:\ fd:\ /dev/diskette /dev/rdiskette /dev/fd0a /dev/rfd0a \ /dev/fd0b /dev/rfd0b /dev/fd0c /dev/fd0 /dev/rfd0c /dev/rfd0:\
Les lignes dans le fichier device_maps peuvent se terminer par un backslash (\) pour indiquer que l'entrée se poursuit à la ligne suivante. Des commentaires peuvent également être inclus. Un signe dièse (#) introduit des commentaires sur le texte suivant jusqu'à la prochaine nouvelle ligne qui n'est pas immédiatement précédée d'un backslash. Les espaces en début et fin sont autorisés dans n'importe quel champ. Les champs sont définis de la manière suivante :
Spécifie le nom du périphérique. Pour obtenir une liste des noms de périphériques courants, reportez-vous à la section Procédure d'affichage d'informations d'allocation sur un périphérique .
Spécifie le type de périphérique générique. Le nom générique est le nom de la classe de périphériques, tels que st, fd ou audio. Le champ device-type regroupe logiquement les périphériques liés.
Répertorie les fichiers spécifiques à un périphérique qui sont associés au périphérique physique. device-list doit contenir tous les fichiers spécifiques qui permettent d'accéder à un périphérique en particulier. Si la liste est incomplète, un utilisateur malveillant peut toujours obtenir ou modifier des informations privées. Les entrées valides pour le champ device-list reflètent les fichiers de périphériques qui sont situés dans le répertoire /dev.
Un fichier /etc/security/device_allocate initial est créé par la commande bsmconv lorsque le service d'audit est activé. Ce fichier device_allocate initial peut être utilisé comme point de départ. Vous pouvez modifier le fichier /etc/security/device_allocate pour rendre des périphériques allouables non allouables ou pour ajouter de nouveaux périphériques. Un exemple de fichier device_allocate est indiqué ci-après.
st0;st;;;;/etc/security/lib/st_clean fd0;fd;;;;/etc/security/lib/fd_clean sr0;sr;;;;/etc/security/lib/sr_clean audio;audio;;;*;/etc/security/lib/audio_clean
Une entrée dans le fichier device_allocate ne signifie pas que le périphérique est allouable, sauf si l'entrée stipule spécifiquement que le périphérique est allouable. Dans l'exemple de fichier device_allocate, notez l'astérisque (*) dans le cinquième champ de l'entrée de périphérique audio. Un astérisque dans le cinquième champ indique au système que le périphérique n'est pas allouable. Par conséquent, le périphérique ne peut pas être utilisé. D'autres valeurs ou aucune valeur dans ce champ indiquent que le périphérique peut être utilisé.
Dans le fichier device_allocate, chaque périphérique est représenté par une entrée d'une ligne au format suivant :
device-name;device-type;reserved;reserved;auths;device-exec
Les lignes dans le fichier device_allocate peuvent se terminer par un backslash (\) pour indiquer que l'entrée se poursuit à la ligne suivante. Des commentaires peuvent également être inclus. Un signe dièse (#) introduit des commentaires sur le texte suivant jusqu'à la prochaine nouvelle ligne qui n'est pas immédiatement précédée d'un backslash. Les espaces en début et fin sont autorisés dans n'importe quel champ. Les champs sont définis de la manière suivante :
Spécifie le nom du périphérique. Pour obtenir une liste des noms de périphériques courants, reportez-vous à la section Procédure d'affichage d'informations d'allocation sur un périphérique .
Spécifie le type de périphérique générique. Le nom générique est le nom de la classe de périphériques, tel que st, fd et sr. Le champ device-type regroupe logiquement les périphériques liés. Lorsque vous rendez un périphérique allouable, récupérez le nom du périphérique du champ device-type dans le fichier device_maps.
Sun se réserve les deux champs qui sont marqués reserved pour une utilisation ultérieure.
Indique si le périphérique est allouable. Un astérisque (*) dans ce champ indique que le périphérique n'est pas allouable. Une chaîne d'autorisation ou un champ vide indique que le périphérique est allouable. Par exemple, la chaîne solaris.device.allocate dans le champ auths indique que l'autorisation solaris.device.allocate est requise pour allouer le périphérique. Un signe arobase (@) dans ce fichier indique que le périphérique est allouable par n'importe quel utilisateur.
Fournit le nom de chemin d'un script à invoquer pour une manipulation spéciale, telle que le nettoyage et la protection contre la réutilisation des objets durant le processus d'allocation. Le script device-exec est exécuté chaque fois qu'une commande deallocate est effectuée sur le périphérique.
Par exemple, l'entrée suivante pour le périphérique sr0 indique que l'unité de CD-ROM est allouable par un utilisateur avec l'autorisation solaris.device.allocate :
sr0;sr;reserved;reserved;solaris.device.allocate;/etc/security/lib/sr_clean
Vous pouvez décider d'accepter les périphériques par défaut et leurs caractéristiques définies. Après l'installation d'un nouveau périphérique, vous pouvez modifier les entrées. Tout périphérique devant être alloué avant l'utilisation doit être défini dans les fichiers device_allocate et device_maps pour le système de ce périphérique. Actuellement, les lecteurs de bande de cartouche, unités de disquette, unités de CD-ROM et puces audio sont considérés comme allouables. Ces types de périphériques disposent de scripts de nettoyage de périphériques.
Remarque - Les lecteurs de bande Xylogics et Archive utilisent également le script st_clean fourni pour les périphériques SCSI. Vous devez créer vos propres scripts de nettoyage de périphériques pour d'autres périphériques, tels que des modems, des terminaux, des tablettes graphiques et d'autres périphériques allouables. Le script doit remplir des exigences en matière de réutilisation des objets pour ce type de périphérique.
L'allocation de périphériques satisfait en partie l'exigence en matière de réutilisation des objets. Le script device-clean remplit l'exigence de sécurité selon laquelle toutes les données utilisables doivent être purgées d'un périphérique physique avant sa réutilisation. Les données sont effacées avant que le périphérique ne devienne allouable par un autre utilisateur. Par défaut, les lecteurs de bande de cartouche, les unités de disquette, les unités de CD-ROM et les périphériques audio nécessitent des scripts de nettoyage de périphériques. Oracle Solaris fournit ces scripts. Cette section décrit les actions effectuées par les scripts de nettoyage de périphériques.
Le script de nettoyage de périphériques st_clean prend en charge trois périphériques à bande :
Bande SCSI ¼ pouces
Bande Archive ¼ pouces
Bande Open-reel ½ pouces
Le script st_clean utilise l'option rewoffl avec la commande mt pour nettoyer le périphérique. Pour plus d'informations, reportez-vous à la page de manuel mt(1). Si le script s'exécute pendant l'initialisation du système, le script interroge le périphérique pour déterminer si le périphérique est en ligne. Si le périphérique est en ligne, le script détermine si le périphérique dispose de supports. Les périphériques à bande ¼ pouces disposant de supports à l'intérieur sont placés dans l'état d'erreur d'allocation. L'état d'erreur d'allocation oblige l'administrateur à nettoyer manuellement le périphérique.
En fonctionnement normal du système, lorsque la commande deallocate est exécutée en mode interactif, l'utilisateur est invité à supprimer le support. La libération est reportée jusqu'à ce que le support soit supprimé du périphérique.
Les scripts suivants de nettoyage de périphériques sont fournis pour les unités de disquette et de CD-ROM :
scriptfd_clean : script de nettoyage de périphériques pour disquettes.
script sr_clean : script de nettoyage de périphériques pour unités de CD-ROM.
Les scripts utilisent la commande eject pour supprimer les supports de l'unité. Si la commande eject échoue, le périphérique est placé dans l'état d'erreur d'allocation. Pour plus d'informations, reportez-vous à la page de manuel eject(1).
Les périphériques audio sont nettoyés à l'aide d'un script audio_clean. Le script effectue un appel système ioctl AUDIO_GETINFO pour lire le périphérique. Le script effectue ensuite un appel système ioctl AUDIO_SETINFO pour rétablir la configuration par défaut d'un périphérique.
Si vous ajoutez plusieurs périphériques allouables au système, vous devrez peut-être créer vos propres scripts de nettoyage de périphériques. La commande deallocate transmet un paramètre aux scripts de nettoyage de périphériques. Le paramètre, qui est indiqué ici, est une chaîne qui contient le nom du périphérique. Pour plus d'informations, reportez-vous à la page de manuel device_allocate(4).
clean-script -[I|i|f|S] device-name
Les scripts de nettoyage de périphériques doivent renvoyer une valeur égale à "0" en cas d'exécution correcte et supérieure à "0" en cas d'échec. Les options -I, -f et -S déterminent le mode d'exécution du script :
Requis uniquement lors de l'initialisation du système. Toutes les sorties doivent aller à la console du système. L'échec ou l'incapacité à éjecter de force le support doivent mettre le périphérique dans l'état d'erreur d'allocation.
Similaire à l'option -I, à l'exception du fait que la sortie est supprimée.
Pour le nettoyage forcé. L'option est interactive et suppose que l'utilisateur est disponible pour répondre aux invites. Un script exécuté avec cette option doit tenter de terminer le nettoyage si une partie du nettoyage échoue.
Pour le nettoyage standard. L'option est interactive et suppose que l'utilisateur est disponible pour répondre aux invites.