Ignorer les liens de navigation | |
Quitter l'aperu | |
Guide d'administration système : Services de sécurité |
Partie I Présentation de la sécurité
1. Services de sécurité (présentation)
Partie II Sécurité du système, des fichiers et des périphériques
2. Gestion de la sécurité de la machine (présentation)
3. Contrôle de l'accès aux systèmes (tâches)
4. Contrôle de l'accès aux périphériques (tâches)
Configuration des périphériques (liste des tâches)
Configuration de la stratégie de périphériques (liste des tâches)
Configuration de la stratégie de périphériques
Procédure d'affichage de la stratégie de périphériques
Procédure de modification de la stratégie pour un périphérique existant
Procédure d'audit des modifications apportées à la stratégie de périphériques
Procédure de récupération d'informations IP MIB-II à partir d'un périphérique /dev/*
Gestion de l'allocation des périphériques (liste des tâches)
Gestion de l'allocation de périphériques
Procédure permettant de rendre un périphérique allouable
Procédure d'autorisation des utilisateurs à allouer un périphérique
Procédure d'affichage d'informations d'allocation sur un périphérique
Allocation forcée d'un périphérique
Forcez la libération d'un périphérique
Procédure de modification des périphériques pouvant être alloués
Procédure d'audit de l'allocation de périphériques
Allocation de périphériques (liste des tâches)
Procédure d'allocation des périphériques
Procédure de montage d'un périphérique alloué
Procédure de libération des périphériques
Protection de périphériques (référence)
Commandes de la stratégie de périphériques
Composants de l'allocation de périphériques
Commandes d'allocation de périphériques
Scripts de nettoyage de périphériques
5. Utilisation de l'outil de génération de rapports d'audit de base (tâches)
6. Contrôle de l'accès aux fichiers (tâches)
7. Utilisation d'Automated Security Enhancement Tool (Tâches)
Partie III Rôles, profils de droits et privilèges
8. Utilisation des rôles et des privilèges (présentation)
9. Utilisation du contrôle d'accès basé sur les rôles (tâches)
10. Contrôle d'accès basé sur les rôles (référence)
Partie IV Services cryptographiques
13. Structure cryptographique Oracle Solaris (présentation)
14. Structure cryptographique Oracle Solaris (tâches)
15. Structure de gestion des clés Oracle Solaris
Partie V Services d'authentification et communication sécurisée
16. Utilisation des services d'authentification (tâches)
19. Utilisation d'Oracle Solaris Secure Shell (tâches)
20. Oracle Solaris Secure Shell (référence)
21. Introduction au service Kerberos
22. Planification du service Kerberos
23. Configuration du service Kerberos (tâches)
24. Messages d'erreur et dépannage de Kerberos
25. Administration des principaux et des stratégies Kerberos (tâches)
26. Utilisation des applications Kerberos (tâches)
27. Service Kerberos (référence)
Partie VII Audit Oracle Solaris
28. Audit Oracle Solaris (présentation)
29. Planification de l'audit Oracle Solaris
30. Gestion de l'audit Oracle Solaris (tâches)
La stratégie de périphériques limite ou empêche l'accès aux périphériques faisant partie intégrante du système. La stratégie est appliquée dans le noyau.
% getdevpolicy | more DEFAULT read_priv_set=none write_priv_set=none ip:* read_priv_set=net_rawaccess write_priv_set=net_rawaccess …
Exemple 4-1 Affichage de la stratégie pour un périphérique spécifique
Dans cet exemple, la stratégie pour trois périphériques est affichée.
% getdevpolicy /dev/allkmem /dev/ipsecesp /dev/hme /dev/allkmem read_priv_set=all write_priv_set=all /dev/ipsecesp read_priv_set=sys_net_config write_priv_set=sys_net_config /dev/hme read_priv_set=net_rawaccess write_priv_set=net_rawaccess
Le rôle d'administrateur principal inclut le profil de droits Device Security (Sécurité des périphériques). Vous pouvez créer un rôle et lui attribuer le profil de droits Device Security. Pour créer un rôle et l'attribuer à un utilisateur, reportez-vous à l'Exemple 9-3.
# update_drv -a -p policy device-driver
Spécifie une policy pour un device-driver.
Stratégie de périphériques pour le device-driver. La stratégie de périphériques spécifie deux ensembles de privilèges. L'un des ensembles est nécessaire pour lire le périphérique, l'autre pour écrire dessus.
Pilote du périphérique.
Pour plus d'informations, reportez-vous à la page de manuel update_drv(1M).
Exemple 4-2 Ajout d'une stratégie à un périphérique existant
Dans l'exemple suivant, une stratégie est ajoutée au périphérique ipnat.
# getdevpolicy /dev/ipnat /dev/ipnat read_priv_set=none write_priv_set=none # update_drv -a \ -p 'read_priv_set=net_rawaccess write_priv_set=net_rawaccess' ipnat # getdevpolicy /dev/ipnat /dev/ipnat read_priv_set=net_rawaccess write_priv_set=net_rawaccess
Exemple 4-3 Suppression d'une stratégie d'un périphérique
Dans l'exemple suivant, l'ensemble de privilèges en lecture est supprimé de la stratégie de périphériques pour le périphérique ipnat.
# getdevpolicy /dev/ipnat /dev/ipnat read_priv_set=net_rawaccess write_priv_set=net_rawaccess # update_drv -a -p write_priv_set=net_rawaccess ipnat # getdevpolicy /dev/ipnat /dev/ipnat read_priv_set=none write_priv_set=net_rawaccess
Par défaut, la classe d'audit as inclut l'événement d'audit AUE_MODDEVPLCY.
Le rôle d'administrateur principal inclut le profil d'administrateur principal. Pour plus d'informations sur la création d'un rôle et son assignation à un utilisateur, reportez-vous au Chapitre 2, Utilisation de la console de gestion Solaris (tâches) du Guide d’administration système : administration de base.
Ajoutez la classe as à la ligne flags du fichier audit_control. Le fichier ressemble à ce qui suit :
# audit_control file dir:/var/audit flags:lo,as minfree:20 naflags:lo
Pour des instructions détaillées, reportez-vous à la section Modification du fichier audit_control .
Les applications qui récupèrent des informations d'Oracle Solaris IP MIB-II doivent ouvrir /dev/arp et pas /dev/ip.
% getdevpolicy /dev/ip /dev/arp /dev/ip read_priv_set=net_rawaccess write_priv_set=net_rawaccess /dev/arp read_priv_set=none write_priv_set=none
Notez que le privilège net_rawaccess est requis pour la lecture et l'écriture sur /dev/ip. Aucun privilège n'est requis pour /dev/arp.
Aucun privilège n'est requis. Cette méthode revient à ouvrir le fichier /dev/ip et à empiler les modules arp, tcp et udp. Étant donné que l'ouverture du fichier /dev/ip exige désormais un privilège, il est préférable d'utiliser la méthode du fichier /dev/arp.