Ignorer les liens de navigation | |
Quitter l'aperu | |
Guide d'administration système : Services de sécurité |
Partie I Présentation de la sécurité
1. Services de sécurité (présentation)
Partie II Sécurité du système, des fichiers et des périphériques
2. Gestion de la sécurité de la machine (présentation)
3. Contrôle de l'accès aux systèmes (tâches)
4. Contrôle de l'accès aux périphériques (tâches)
5. Utilisation de l'outil de génération de rapports d'audit de base (tâches)
6. Contrôle de l'accès aux fichiers (tâches)
7. Utilisation d'Automated Security Enhancement Tool (Tâches)
Partie III Rôles, profils de droits et privilèges
8. Utilisation des rôles et des privilèges (présentation)
9. Utilisation du contrôle d'accès basé sur les rôles (tâches)
10. Contrôle d'accès basé sur les rôles (référence)
Gestion et utilisation des privilèges (liste des tâches)
Gestion des privilèges (liste des tâches)
Détermination de privilèges sur un processus
Détermination des privilèges requis par un programme
Ajout de privilèges à une commande
Attribution de privilèges à un utilisateur ou à un rôle
Limitation des privilèges d'un utilisateur ou d'un rôle
Exécution d'un script shell avec des commandes privilégiées
Détermination des privilèges (liste des tâches)
Détermination des privilèges qui vous sont attribués
Détermination des privilèges qui vous sont attribués directement
Détermination des commandes privilégiées que vous pouvez exécuter
Détermination des commandes privilégiées qu'un rôle peut exécuter
Partie IV Services cryptographiques
13. Structure cryptographique Oracle Solaris (présentation)
14. Structure cryptographique Oracle Solaris (tâches)
15. Structure de gestion des clés Oracle Solaris
Partie V Services d'authentification et communication sécurisée
16. Utilisation des services d'authentification (tâches)
19. Utilisation d'Oracle Solaris Secure Shell (tâches)
20. Oracle Solaris Secure Shell (référence)
21. Introduction au service Kerberos
22. Planification du service Kerberos
23. Configuration du service Kerberos (tâches)
24. Messages d'erreur et dépannage de Kerberos
25. Administration des principaux et des stratégies Kerberos (tâches)
26. Utilisation des applications Kerberos (tâches)
27. Service Kerberos (référence)
Partie VII Audit Oracle Solaris
28. Audit Oracle Solaris (présentation)
29. Planification de l'audit Oracle Solaris
30. Gestion de l'audit Oracle Solaris (tâches)
Lorsqu'un utilisateur se voit affecter directement des privilèges, ces derniers sont appliqués dans chaque shell. Lorsque les privilèges ne lui sont pas directement attribués, l'utilisateur doit ouvrir un shell de profil. Par exemple, lorsque les commandes ayant des privilèges attribués se trouvent dans un profil de droits répertorié dans la liste de profils de droits de l'utilisateur, l'utilisateur doit exécuter la commande dans un shell de profil.
La procédure suivante montre comment déterminer si des privilèges vous ont été directement attribués.
Attention - L'utilisation inappropriée de privilèges attribués directement peut entraîner des violations involontaires de sécurité. Pour plus de détails, reportez-vous à la section Considérations relatives à la sécurité lors de l'affectation directe d'attributs de sécurité . |
Reportez-vous à la section Détermination de privilèges sur un processus pour connaître la procédure.
Les privilèges répertoriés dans le jeu effectif sont en vigueur dans l'ensemble de votre session. Si des privilèges vous ont été directement attribués en plus du jeu de base, ceux-ci sont répertoriés dans le jeu effectif.
Exemple 11-9 Détermination des privilèges qui vous sont attribués directement
Si des privilèges vous ont été attribués directement, votre jeu de base contient plus que le jeu de base par défaut. Dans cet exemple, l'utilisateur a toujours accès au privilège proc_clock_highres.
% /usr/ucb/whoami jdoe % ppriv -v $$ 1800: pfksh flags = <none> E: file_link_any,…,proc_clock_highres,proc_session I: file_link_any,…,proc_clock_highres,proc_session P: file_link_any,…,proc_clock_highres,proc_session L: cpc_cpu,dtrace_kernel,dtrace_proc,dtrace_user,…,sys_time % ppriv -vl proc_clock_highres Allows a process to use high resolution timers.
Exemple 11-10 Détermination des privilèges directement attribués à un rôle
Les rôles utilisent un shell d'administration ou un shell de profil. Les utilisateurs endossant un rôle peuvent utiliser son shell pour répertorier les privilèges qui lui ont été directement attribués. Dans l'exemple suivant, des privilèges ont été directement attribués au rôle realtime pour gérer les programmes de date et d'heure.
% su - realtime Password: <Type realtime password> $ /usr/ucb/whoami realtime $ ppriv -v $$ 1600: pfksh flags = <none> E: file_link_any,…,proc_clock_highres,proc_session,sys_time I: file_link_any,…,proc_clock_highres,proc_session,sys_time P: file_link_any,…,proc_clock_highres,proc_session,sys_time L: cpc_cpu,dtrace_kernel,dtrace_proc,dtrace_user,…,sys_time
Lorsque les privilèges ne sont pas attribués directement à un utilisateur, celui-ci a accès aux commandes privilégiées par l'intermédiaire d'un profil de droits. Les commandes d'un profil de droits doivent être exécutées dans un shell de profil.
Avant de commencer
L'utilisateur ou le rôle s'authentifiant sur la console de gestion Solaris doit disposer de l'autorisation solaris.admin.usermgr.read. Le profil de droits de l'utilisateur Solaris de base inclut cette autorisation.
$ /usr/sadm/bin/smuser list -- -n username -l
Authenticating as user: admin … Please enter a string value for: password :: … User name: username User ID (UID): 130 Primary group: staff Secondary groups: Comment: object mgt jobs Login Shell: /bin/sh Home dir server: system Home directory: /export/home/username AutoHome setup: True Mail server: system Rights: Object Access Management Assigned Roles:
Cette ligne répertorie les noms des profils de droits qui vous ont été attribués directement.
$ cd /etc/security $ grep "Object Access Management" exec_attr Object Access Management:solaris:cmd:::/usr/bin/chgrp:privs=file_chown Object Access Management:solaris:cmd:::/usr/bin/chown:privs=file_chown Object Access Management:suser:cmd:::/usr/bin/chgrp:euid=0 Object Access Management:suser:cmd:::/usr/bin/chmod:euid=0 …
Les commandes ayant des privilèges ajoutés sont répertoriées à la fin des entrées de stratégie solaris.
Lorsque les commandes sont saisies dans un shell standard, elles s'exécutent sans privilège et échouent.
% pfsh $
Exemple 11-11 Exécution de commandes privilégiées dans un shell de profil
Dans l'exemple suivant, l'utilisateur jdoe ne peut pas modifier les autorisations du groupe sur un fichier issu de son shell standard. Cependant, jdoe peut changer les autorisations lors de la saisie de la commande dans un shell de profil.
% whoami jdoe % ls -l useful.script -rwxr-xr-- 1 nodoe eng 262 Apr 2 10:52 useful.script chgrp staff useful.script chgrp: useful.script: Not owner % pfksh $ /usr/ucb/whoami jdoe $ chgrp staff useful.script $ chown jdoe useful.script $ ls -l useful.script -rwxr-xr-- 1 jdoe staff 262 Apr 2 10:53 useful.script
Un rôle obtient l'accès aux commandes privilégiées par l'intermédiaire d'un profil de droits contenant des commandes dotées de privilèges attribués. Le moyen le plus sûr pour qu'un utilisateur puisse accéder aux commandes privilégiées est de lui attribuer un rôle. Une fois le rôle endossé, l'utilisateur peut exécuter toutes les commandes privilégiées incluses dans les profils de droits pour ce rôle.
Avant de commencer
L'utilisateur ou le rôle s'authentifiant sur la console de gestion Solaris doit disposer de l'autorisation solaris.admin.usermgr.read. Le profil de droits de l'utilisateur Solaris de base inclut cette autorisation.
$ /usr/sadm/bin/smuser list -- -n username -l Authenticating as user: primadmin … User name: username User ID (UID): 110 Primary group: staff Secondary groups: Comment: Has admin roles Login Shell: /bin/sh … Rights: Assigned Roles: primadmin, admin
Cette ligne répertorie les rôles que vous pouvez endosser.
% su - devadmin Enter password: Type devadmin password $ whoami devadmin $ profiles Device Security
$ /usr/sadm/bin/smuser list -- -n admin -l Authenticating as user: primadmin … User name: admin User ID (UID): 101 Primary group: sysadmin Secondary groups: Comment: system administrator Login Shell: /bin/pfksh … Rights: System Administrator Assigned Roles:
Étant donné que le profil de l'administrateur système se compose d'un ensemble de profils, vous devez répertorier ces profils dans le profil d'administrateur système.
$ cd /etc/security $ grep "System Administrator" prof_attr System Administrator:::Can perform most non-security administrative tasks:profiles=Audit Review,Printer Management,Cron Management, Device Management,File System Management,Mail Management,Maintenance and Repair,Media Backup,Media Restore,Name Service Management,Network Management,Object Access Management,Process Management,Software Installation,User Management,All;help=RtSysAdmin.html
Par exemple, le profil de gestion du réseau est un profil supplémentaire du profil d'administrateur système. Le profil de gestion du réseau inclut un certain nombre de commandes privilégiées.
$ cd /etc/security $ grep "Network Management" exec_attr Network Management:solaris:cmd:::/usr/sbin/ifconfig:privs=sys_net_config Network Management:solaris:cmd:::/usr/sbin/route:privs=sys_net_config …
Les commandes et leurs privilèges attribués sont les deux derniers champs des entrées de stratégie solaris. Vous pouvez exécuter ces commandes dans le shell de profil de votre rôle.
Exemple 11-12 Exécution de commandes privilégiées dans votre rôle
Lorsqu'un utilisateur endosse un rôle, le shell devient un shell de profil. Par conséquent, les commandes sont exécutées avec les privilèges qui leur ont été attribués. Dans l'exemple suivant, le rôle admin peut modifier les autorisations pour le fichier useful.script.
% whoami jdoe % ls -l useful.script -rwxr-xr-- 1 elsee eng 262 Apr 2 10:52 useful.script chgrp admin useful.script chgrp: useful.script: Not owner % su - admin Password: <Type admin password> $ /usr/ucb/whoami admin $ chgrp admin useful.script $ chown admin useful.script $ ls -l useful.script -rwxr-xr-- 1 admin admin 262 Apr 2 10:53 useful.script