Ignorer les liens de navigation | |
Quitter l'aperu | |
![]() |
Guide d'administration système : Services de sécurité |
Partie I Présentation de la sécurité
1. Services de sécurité (présentation)
Partie II Sécurité du système, des fichiers et des périphériques
2. Gestion de la sécurité de la machine (présentation)
3. Contrôle de l'accès aux systèmes (tâches)
4. Contrôle de l'accès aux périphériques (tâches)
5. Utilisation de l'outil de génération de rapports d'audit de base (tâches)
6. Contrôle de l'accès aux fichiers (tâches)
7. Utilisation d'Automated Security Enhancement Tool (Tâches)
Partie III Rôles, profils de droits et privilèges
8. Utilisation des rôles et des privilèges (présentation)
9. Utilisation du contrôle d'accès basé sur les rôles (tâches)
10. Contrôle d'accès basé sur les rôles (référence)
Partie IV Services cryptographiques
13. Structure cryptographique Oracle Solaris (présentation)
14. Structure cryptographique Oracle Solaris (tâches)
15. Structure de gestion des clés Oracle Solaris
Partie V Services d'authentification et communication sécurisée
16. Utilisation des services d'authentification (tâches)
Avantages de l'utilisation de PAM
Présentation de la structure PAM
Modifications apportées à PAM pour la version de Solaris10
Planification de la mise en uvre PAM
Comment empêcher l'accès rhost à partir de systèmes distants avec PAM
Syntaxe du fichier de configuration PAM
Fonctionnement de la superposition PAM
19. Utilisation d'Oracle Solaris Secure Shell (tâches)
20. Oracle Solaris Secure Shell (référence)
21. Introduction au service Kerberos
22. Planification du service Kerberos
23. Configuration du service Kerberos (tâches)
24. Messages d'erreur et dépannage de Kerberos
25. Administration des principaux et des stratégies Kerberos (tâches)
26. Utilisation des applications Kerberos (tâches)
27. Service Kerberos (référence)
Partie VII Audit Oracle Solaris
28. Audit Oracle Solaris (présentation)
29. Planification de l'audit Oracle Solaris
30. Gestion de l'audit Oracle Solaris (tâches)
Cette section examine certaines tâches qui peuvent être nécessaires pour que la
structure PAM utilise une stratégie de sécurité spécifique. Sachez que certains problèmes
de sécurité sont associés au fichier de configuration PAM. Pour plus d'informations
sur les problèmes de sécurité, reportez-vous à la section Planification de la mise en uvre PAM .
|
Tel qu'il est livré, le fichier de configuration pam.conf met en œuvre la stratégie de sécurité standard. Cette stratégie doit fonctionner dans de nombreuses situations. Si vous avez besoin d'appliquer une stratégie de sécurité différente, prenez en compte les points suivants :
Identifiez vos besoins, en particulier les modules de service PAM que vous devez sélectionner.
Identifiez les services qui nécessitent une configuration spéciale. Utilisez other, si nécessaire.
Décidez de l'ordre d'exécution des modules.
Sélectionnez l'indicateur de contrôle pour chaque module. Pour plus d'informations sur tous les indicateurs de contrôle, reportez-vous à la section Fonctionnement de la superposition PAM.
Choisissez les options nécessaires pour chaque module. La page de manuel pour chaque module doit répertorier toutes les options spéciales.
Voici quelques suggestions à prendre en compte avant de modifier le fichier de configuration PAM :
Utilisez les entrées other pour chaque type de module afin de ne pas devoir inclure chaque application dans le fichier /etc/pam.conf.
Veillez à prendre en compte les implications en matière de sécurité des indicateurs de contrôle bind, sufficient et optional.
Prenez connaissance des pages de manuel associées aux modules. Elles peuvent vous aider à mieux comprendre le fonctionnement de chaque module, la disponibilité des options et les interactions entre modules empilés.
![]() | Attention - Si le fichier de configuration PAM est mal configuré ou corrompu, aucun utilisateur n'est en mesure de se connecter. Étant donné que la commande sulogin n'utilise pas PAM, le mot de passe root est alors nécessaire pour initialiser la machine en mode monoutilisateur et résoudre le problème. |
Une fois le fichier /etc/pam.conf modifié, révisez-le autant que possible tant que votre accès au système vous permet de résoudre les problèmes. Testez toutes les commandes sur lesquelles vos modifications ont peut-être eu une incidence. Si vous ajoutez par exemple un module au service telnet, vous devez utiliser la commande telnet et vérifier que le service se comporte comme attendu, suite à vos modifications.
Cette procédure indique comment ajouter un nouveau module PAM. Vous pouvez créer des modules pour prendre en charge des applications tierces ou des stratégies de sécurité spécifiques à votre site.
Les rôles contiennent des autorisations et des commandes privilégiées. Pour plus d'informations sur les rôles, reportez-vous à la section Configuration de RBAC (liste des tâches).
Pour plus d'informations sur les indicateurs de contrôle, reportez-vous à la section Fonctionnement de la superposition PAM.
Vous devez réaliser le test avant la réinitialisation du système au cas où le fichier de configuration serait mal configuré. Connectez-vous à l'aide d'un service direct, tel que ssh, et exécutez la commande su avant de redémarrer le système. Le service peut être un démon généré dynamiquement une seule fois lors de l'initialisation du système. Vous devez ensuite redémarrer le système avant de vérifier l'ajout du module.
Les rôles contiennent des autorisations et des commandes privilégiées. Pour plus d'informations sur les rôles, reportez-vous à la section Configuration de RBAC (liste des tâches).
Cette étape permet d'éviter la lecture des fichiers ~/.rhosts au cours d'une session rlogin. Par conséquent, elle permet d'empêcher l'accès non authentifié au système local à partir de systèmes distants. Tous les accès rlogin requièrent un mot de passe, indépendamment de la présence ou du contenu des fichiers ~/.rhosts ou /etc/hosts.equiv .
Pour empêcher d'autres accès non authentifiés aux fichiers ~/.rhosts, n'oubliez pas de désactiver le service rsh.
# svcadm disable network/shell
Les rôles contiennent des autorisations et des commandes privilégiées. Pour plus d'informations sur les rôles, reportez-vous à la section Configuration de RBAC (liste des tâches).
Pour plus d'informations sur les niveaux de journalisation, reportez-vous à syslog.conf(4).
# svcadm refresh system/system-log