Ignorer les liens de navigation | |
Quitter l'aperu | |
Guide d'administration système : Services de sécurité |
Partie I Présentation de la sécurité
1. Services de sécurité (présentation)
Partie II Sécurité du système, des fichiers et des périphériques
2. Gestion de la sécurité de la machine (présentation)
3. Contrôle de l'accès aux systèmes (tâches)
4. Contrôle de l'accès aux périphériques (tâches)
Configuration des périphériques (liste des tâches)
Configuration de la stratégie de périphériques (liste des tâches)
Configuration de la stratégie de périphériques
Procédure d'affichage de la stratégie de périphériques
Procédure de modification de la stratégie pour un périphérique existant
Procédure d'audit des modifications apportées à la stratégie de périphériques
Procédure de récupération d'informations IP MIB-II à partir d'un périphérique /dev/*
Gestion de l'allocation des périphériques (liste des tâches)
Gestion de l'allocation de périphériques
Procédure permettant de rendre un périphérique allouable
Procédure d'autorisation des utilisateurs à allouer un périphérique
Procédure d'affichage d'informations d'allocation sur un périphérique
Allocation forcée d'un périphérique
Forcez la libération d'un périphérique
Procédure de modification des périphériques pouvant être alloués
Allocation de périphériques (liste des tâches)
Procédure d'allocation des périphériques
Procédure de montage d'un périphérique alloué
Procédure de libération des périphériques
Protection de périphériques (référence)
Commandes de la stratégie de périphériques
Composants de l'allocation de périphériques
Commandes d'allocation de périphériques
Scripts de nettoyage de périphériques
5. Utilisation de l'outil de génération de rapports d'audit de base (tâches)
6. Contrôle de l'accès aux fichiers (tâches)
7. Utilisation d'Automated Security Enhancement Tool (Tâches)
Partie III Rôles, profils de droits et privilèges
8. Utilisation des rôles et des privilèges (présentation)
9. Utilisation du contrôle d'accès basé sur les rôles (tâches)
10. Contrôle d'accès basé sur les rôles (référence)
Partie IV Services cryptographiques
13. Structure cryptographique Oracle Solaris (présentation)
14. Structure cryptographique Oracle Solaris (tâches)
15. Structure de gestion des clés Oracle Solaris
Partie V Services d'authentification et communication sécurisée
16. Utilisation des services d'authentification (tâches)
19. Utilisation d'Oracle Solaris Secure Shell (tâches)
20. Oracle Solaris Secure Shell (référence)
21. Introduction au service Kerberos
22. Planification du service Kerberos
23. Configuration du service Kerberos (tâches)
24. Messages d'erreur et dépannage de Kerberos
25. Administration des principaux et des stratégies Kerberos (tâches)
26. Utilisation des applications Kerberos (tâches)
27. Service Kerberos (référence)
Partie VII Audit Oracle Solaris
28. Audit Oracle Solaris (présentation)
29. Planification de l'audit Oracle Solaris
30. Gestion de l'audit Oracle Solaris (tâches)
L'allocation des périphériques restreint ou empêche l'accès aux périphériques. Les restrictions sont appliquées lors de l'allocation des utilisateurs. Par défaut, les utilisateurs doivent avoir l'autorisation d'accéder aux périphériques allouables.
Si vous avez déjà exécuté la commande bsmconv pour activer l'audit, l'allocation de périphériques est déjà activée sur votre système. Pour plus d'informations, reportez-vous à la page de manuel bsmconv(1M).
Le rôle d'administrateur principal inclut le profil de droits Audit Control (Contrôle d'audit). Vous pouvez créer un rôle et lui attribuer le profil de droits Audit Control. Pour créer un rôle et l'attribuer à un utilisateur, reportez-vous à l'Exemple 9-3.
# bsmconv This script is used to enable the Basic Security Module (BSM). Shall we continue with the conversion now? [y/n] y bsmconv: INFO: checking startup file. bsmconv: INFO: move aside /etc/rc3.d/S81volmgt. bsmconv: INFO: turning on audit module. bsmconv: INFO: initializing device allocation files. The Basic Security Module is ready. If there were any errors, please fix them now. Configure BSM by editing files located in /etc/security. Reboot this system now to come up with BSM enabled.
Remarque - Le démon de gestion du volume (/etc/rc3.d/S81volmgt) est désactivé par cette commande.
Le rôle d'administrateur principal inclut le profil d'administrateur principal. Pour plus d'informations sur la création d'un rôle et son assignation à un utilisateur, reportez-vous au Chapitre 2, Utilisation de la console de gestion Solaris (tâches) du Guide d’administration système : administration de base.
Généralement, vous créez un profil de droits qui inclut l'autorisation solaris.device.allocate. Suivez les instructions fournies à la section Procédure de création ou de modification d'un profil de droits. Donnez au profil de droits les propriétés appropriées, telles que les suivantes :
Nom du profil de droits : Device Allocation
Autorisations accordées : solaris.device.allocate
Commandes avec attributs de sécurité : mount avec le privilège sys_mount et umount avec le privilège sys_mount
Suivez les instructions fournies à la section Procédure de création et d'attribution d'un rôle à l'aide de l'interface graphique. Utilisez les propriétés de rôle suivantes, données à titre d'exemple :
Nom de rôle : devicealloc
Nom de rôle complet : Device Allocator
Description du rôle : Allocates and mounts allocated devices
Profil de droits : Device Allocation
Ce profil de droits doit s'afficher en haut de la liste des profils inclus dans le rôle.
Pour consulter des exemples d'allocation de support amovible, reportez-vous à la section Procédure d'allocation des périphériques.
Étant donné que le démon de gestion du volume (vold) n'est pas en cours d'exécution, les supports amovibles ne sont pas montés automatiquement. Pour consulter des exemples de montage d'un périphérique alloué, reportez-vous à la section Procédure de montage d'un périphérique alloué .
Avant de commencer
L'allocation de périphériques doit être activée pour cette procédure s'exécute correctement. Pour activer l'allocation de périphériques, reportez-vous à la section Procédure permettant de rendre un périphérique allouable.
Le rôle d'administrateur principal inclut le profil de droits Device Security (Sécurité des périphériques). Vous pouvez créer un rôle et lui attribuer le profil de droits Device Security. Pour créer un rôle et l'attribuer à un utilisateur, reportez-vous à l'Exemple 9-3.
# list_devices device-name
où device-name est l'un des suivants :
audio[n] : microphone et haut-parleur.
fd[n] : unité de disquette.
sr[n] : unité de CD-ROM.
st[n] : lecteur de bande.
Erreurs fréquentes
Si la commande list__devices renvoie un message d'erreur identique au suivant, soit l'allocation de périphériques n'est pas activée, soit vous ne disposez pas des autorisations suffisantes pour récupérer les informations.
list_devices: No device maps file entry for specified device.
Pour que la commande s'exécute correctement, activez l'allocation de périphériques et prenez un rôle bénéficiant de l'autorisation solaris.device.revoke.
L'allocation forcée est utilisée lorsque quelqu'un a oublié de libérer un périphérique. L'allocation forcée peut également être utilisée lorsqu'un utilisateur a un besoin immédiat d'un périphérique.
Avant de commencer
L'utilisateur ou le rôle doit bénéficier de l'autorisation solaris.device.revoke.
$ auths solaris.device.allocate solaris.device.revoke
Dans cet exemple, le lecteur de bande est alloué de force à l'utilisateur jdoe.
$ allocate -U jdoe
Les périphériques alloués à un utilisateur ne sont pas automatiquement libérés lorsque le processus se termine ou lorsque l'utilisateur se déconnecte. La libération forcée est utilisée lorsque quelqu'un a oublié de libérer un périphérique.
Avant de commencer
L'utilisateur ou le rôle doit bénéficier de l'autorisation solaris.device.revoke.
$ auths solaris.device.allocate solaris.device.revoke
Dans cet exemple, la libération de l'imprimante est forcée. L'imprimante est désormais disponible pour l'allocation par un autre utilisateur.
$ deallocate -f /dev/lp/printer-1
Le rôle d'administrateur principal inclut le profil de droits Device Security (Sécurité des périphériques). Vous pouvez créer un rôle et lui attribuer le profil de droits Device Security. Pour créer un rôle et l'attribuer à un utilisateur, reportez-vous à l'Exemple 9-3.
Modifiez le cinquième champ dans l'entrée de périphérique du fichier device__allocate.
audio;audio;reserved;reserved;solaris.device.allocate;/etc/security/lib/audio_clean fd0;fd;reserved;reserved;solaris.device.allocate;/etc/security/lib/fd_clean sr0;sr;reserved;reserved;solaris.device.allocate;/etc/security/lib/sr_clean
où solaris.device.allocate indique qu'un utilisateur doit disposer de l'autorisation solaris.device.allocate pour utiliser le périphérique.
Exemple 4-4 Attribution de l'autorisation d'allouer un périphérique à n'importe quel utilisateur
Dans l'exemple suivant, tous les utilisateurs du système peuvent allouer tous les périphériques. Le cinquième champ de chaque entrée de périphérique dans le fichier device_allocate a été remplacé par un signe arobase (@).
$ whoami devicesec $ vi /etc/security/device_allocate audio;audio;reserved;reserved;@;/etc/security/lib/audio_clean fd0;fd;reserved;reserved;@;/etc/security/lib/fd_clean sr0;sr;reserved;reserved;@;/etc/security/lib/sr_clean …
Exemple 4-5 Interdiction d'utilisation de certains périphériques
Dans l'exemple suivant, le périphérique audio ne peut pas être utilisé. Le cinquième champ de l'entrée de périphérique audio dans le fichier device_allocate a été remplacé par un astérisque (*).
$ whoami devicesec $ vi /etc/security/device_allocate audio;audio;reserved;reserved;*;/etc/security/lib/audio_clean fd0;fd;reserved;reserved;solaris device.allocate;/etc/security/lib/fd_clean sr0;sr;reserved;reserved;solaris device.allocate;/etc/security/lib/sr_clean …
Exemple 4-6 Interdiction d'utilisation de tous les périphériques
Dans l'exemple ci-dessous, aucun périphérique ne peut être utilisé. Le cinquième champ de chaque entrée de périphérique dans le fichier device_allocate a été remplacé par un astérisque (*).
$ whoami devicesec $ vi /etc/security/device_allocate audio;audio;reserved;reserved;*;/etc/security/lib/audio_clean fd0;fd;reserved;reserved;*;/etc/security/lib/fd_clean sr0;sr;reserved;reserved;*;/etc/security/lib/sr_clean …
Par défaut, les commandes d'allocation de périphériques se trouvent dans la classe d'audit other.
Le rôle d'administrateur principal inclut le profil d'administrateur principal. Pour plus d'informations sur la création d'un rôle et son assignation à un utilisateur, reportez-vous au Chapitre 2, Utilisation de la console de gestion Solaris (tâches) du Guide d’administration système : administration de base.
Ajoutez la classe ot à la ligne flags du fichier audit_control. Le fichier ressemble à ce qui suit :
# audit_control file dir:/var/audit flags:lo,ot minfree:20 naflags:lo
Pour des instructions détaillées, reportez-vous à la section Modification du fichier audit_control .