Ignorer les liens de navigation | |
Quitter l'aperu | |
Guide d'administration système : Services de sécurité |
Partie I Présentation de la sécurité
1. Services de sécurité (présentation)
Partie II Sécurité du système, des fichiers et des périphériques
2. Gestion de la sécurité de la machine (présentation)
3. Contrôle de l'accès aux systèmes (tâches)
4. Contrôle de l'accès aux périphériques (tâches)
5. Utilisation de l'outil de génération de rapports d'audit de base (tâches)
6. Contrôle de l'accès aux fichiers (tâches)
Utilisation des autorisations UNIX pour protéger les fichiers
Commandes d'affichage et de sécurisation des fichiers
Propriété des fichiers et des répertoires
Autorisations des fichiers UNIX
Autorisations de fichiers spéciales (setuid, setgid et sticky bit)
Modes d'autorisation de fichier
Utilisation des ACL pour protéger les fichiers UFS
Entrées d'ACL pour les fichiers UFS
Entrées d'ACL pour les répertoires UFS
Commandes pour l'administration des ACL d'UFS
Prévention des problèmes de sécurité causés par les fichiers exécutables
Protection des fichiers (liste des tâches)
Protection des fichiers avec des autorisations UNIX (liste des tâches)
Affichage des informations de fichier
Modification du propriétaire d'un fichier local
Modification de la propriété de groupe d'un fichier
Modification des autorisations de fichier en mode symbolique
Modification des autorisations de fichier en mode absolu
Modification des autorisations de fichier spéciales en mode absolu
Protection de fichiers UFS à l'aide des ACL (liste des tâches)
Vérification de la présence d'une ACL dans un fichier
Ajout d'entrées d'ACL à un fichier
Modification d'entrées d'ACL sur un fichier
Suppression d'entrées d'ACL sur un fichier
Affichage des entrées d'ACL d'un fichier
Protection contre les programmes présentant des risques de sécurité (liste des tâches)
Recherche de fichiers avec des autorisations de fichier spéciales
Désactivation de l'utilisation de piles exécutables par les programmes
7. Utilisation d'Automated Security Enhancement Tool (Tâches)
Partie III Rôles, profils de droits et privilèges
8. Utilisation des rôles et des privilèges (présentation)
9. Utilisation du contrôle d'accès basé sur les rôles (tâches)
10. Contrôle d'accès basé sur les rôles (référence)
Partie IV Services cryptographiques
13. Structure cryptographique Oracle Solaris (présentation)
14. Structure cryptographique Oracle Solaris (tâches)
15. Structure de gestion des clés Oracle Solaris
Partie V Services d'authentification et communication sécurisée
16. Utilisation des services d'authentification (tâches)
19. Utilisation d'Oracle Solaris Secure Shell (tâches)
20. Oracle Solaris Secure Shell (référence)
21. Introduction au service Kerberos
22. Planification du service Kerberos
23. Configuration du service Kerberos (tâches)
24. Messages d'erreur et dépannage de Kerberos
25. Administration des principaux et des stratégies Kerberos (tâches)
26. Utilisation des applications Kerberos (tâches)
27. Service Kerberos (référence)
Partie VII Audit Oracle Solaris
28. Audit Oracle Solaris (présentation)
29. Planification de l'audit Oracle Solaris
30. Gestion de l'audit Oracle Solaris (tâches)
La liste des tâches suivante présente les procédures permettant de répertorier les autorisations de fichiers, des les modifier et de protéger les fichiers avec les autorisations de fichiers spéciales.
|
Affichez les informations sur tous les fichiers d'un répertoire en utilisant la commande ls.
% ls -la
Affiche le format long qui inclut la propriété d'utilisateur, la propriété de groupe et les autorisations du fichier.
Affiche tous les fichiers, y compris les fichiers cachés qui commencent par un point (.).
Exemple 6-1 Affichage des informations de fichier
Dans l'exemple suivant, une liste partielle de fichiers dans le répertoire /sbin s'affiche.
% cd /sbin % ls -la total 13456 drwxr-xr-x 2 root sys 512 Sep 1 14:11 . drwxr-xr-x 29 root root 1024 Sep 1 15:40 .. -r-xr-xr-x 1 root bin 218188 Aug 18 15:17 autopush lrwxrwxrwx 1 root root 21 Sep 1 14:11 bpgetfile -> ... -r-xr-xr-x 1 root bin 505556 Aug 20 13:24 dhcpagent -r-xr-xr-x 1 root bin 456064 Aug 20 13:25 dhcpinfo -r-xr-xr-x 1 root bin 272360 Aug 18 15:19 fdisk -r-xr-xr-x 1 root bin 824728 Aug 20 13:29 hostconfig -r-xr-xr-x 1 root bin 603528 Aug 20 13:21 ifconfig -r-xr-xr-x 1 root sys 556008 Aug 20 13:21 init -r-xr-xr-x 2 root root 274020 Aug 18 15:28 jsh -r-xr-xr-x 1 root bin 238736 Aug 21 19:46 mount -r-xr-xr-x 1 root sys 7696 Aug 18 15:20 mountall . . .
Chaque ligne affiche des informations sur un fichier dans l'ordre suivant :
Type de fichier : par exemple, d. Pour obtenir la liste des types de fichiers, reportez-vous à la section Propriété des fichiers et des répertoires.
Autorisations : par exemple, r-xr-xr-x. Pour obtenir une description, reportez-vous à la section Propriété des fichiers et des répertoires.
Nombre de liens fixes : par exemple, 2.
Propriétaire du fichier : par exemple, root.
Groupe du fichier : par exemple, bin.
Taille du fichier, en octets : par exemple, 7696.
Date à laquelle le fichier créé ou modifié pour la dernière fois : par exemple, Aug 18 15:20.
Nom du fichier : par exemple, mountall.
L'administrateur principal ou le rôle de superutilisateur peut modifier le propriétaire de n'importe quel fichier.
% ls -l example-file -rw-r--r-- 1 janedoe staff 112640 May 24 10:49 example-file
Le rôle d'administrateur principal inclut le profil d'administrateur principal. Pour plus d'informations sur la création d'un rôle et son assignation à un utilisateur, reportez-vous au Chapitre 2, Utilisation de la console de gestion Solaris (tâches) du Guide d’administration système : administration de base.
# chown stacey example-file
# ls -l example-file -rw-r--r-- 1 stacey staff 112640 May 26 08:50 example-file
Exemple 6-2 Modification par les utilisateurs de la propriété de leurs propres fichiers
Considération de sécurité : vous devez avoir une bonne raison de modifier la valeur de la variable rstchown à zéro. Ce paramètre permet à un utilisateur de modifier la propriété de ses fichiers en un autre nom d'utilisateur.
Dans cet exemple, la valeur de la variable rstchown est définie sur zéro dans le fichier /etc/system. Ce paramètre permet au propriétaire d'un fichier d'utiliser la commande chown pour modifier la propriété du fichier à un autre utilisateur. Ce paramètre permet également au propriétaire d'utiliser la commande chgrp pour définir le groupe propriétaire d'un fichier sur un groupe auquel dont le propriétaire n'appartient pas. Le changement entre en vigueur lors du redémarrage du système.
set rstchown = 0
Pour plus d'informations, reportez-vous aux pages de manuel chown(1) et chgrp(1).
Par ailleurs, n'oubliez pas que les systèmes de fichiers montés sur NFS ont des restrictions supplémentaires en ce qui concerne la modification de la propriété et des groupes. Pour plus d'informations sur la restriction de l'accès aux systèmes montés sur NFS, reportez-vous au Chapitre 6, Accès aux systèmes de fichiers réseau (référence) du Guide d’administration système : Services réseau.
Le rôle d'administrateur principal inclut le profil d'administrateur principal. Pour plus d'informations sur la création d'un rôle et son assignation à un utilisateur, reportez-vous au Chapitre 2, Utilisation de la console de gestion Solaris (tâches) du Guide d’administration système : administration de base.
$ chgrp scifi example-file
Pour plus d'informations sur la définition des groupes, reportez-vous au Chapitre 4, Gestion des comptes utilisateur et des groupes (présentation) du Guide d’administration système : administration de base.
$ ls -l example-file -rw-r--r-- 1 stacey scifi 112640 June 20 08:55 example-file
Reportez-vous également à l'Exemple 6-2.
Seul le propriétaire actuel ou le superutilisateur peut utiliser la commande chmod pour modifier les autorisations d'un fichier ou d'un répertoire.
% chmod who operator permissions filename
Spécifie pour qui les autorisations doivent être modifiées.
Indique l'opération à effectuer.
Spécifie les autorisations à modifier. Pour obtenir la liste des symboles valides, reportez-vous au Tableau 6-5.
Spécifie le fichier ou répertoire.
% ls -l filename
Exemple 6-3 Modification des autorisations en mode symbolique
Dans l'exemple ci-dessous, l'autorisation de lecture est retirée aux autres.
% chmod o-r example-file1
Dans l'exemple suivant, les autorisations de lecture et d'exécution sont ajoutées pour l'utilisateur, le groupe et les autres.
$ chmod a+rx example-file2
Dans l'exemple suivant, les autorisations de lecture, d'écriture et d'exécution sont attribuées au groupe.
$ chmod g=rwx example-file3
Seul le propriétaire actuel ou le superutilisateur peut utiliser la commande chmod pour modifier les autorisations d'un fichier ou d'un répertoire.
% chmod nnn filename
Spécifie les valeurs octales qui représentent les autorisations du propriétaire du fichier, du groupe de fichiers et autres, dans cet ordre. Pour obtenir la liste des valeurs octales, reportez-vous au Tableau 6-4.
Spécifie le fichier ou répertoire.
Remarque - Lorsque vous utilisez la commande chmod pour modifier les autorisations de groupe sur un fichier avec des entrées d'ACL, les autorisations de groupe de fichiers et le masque d'ACL sont modifiés et reflètent les nouvelles autorisations. N'oubliez pas que les nouvelles autorisations du masque d'ACL peuvent modifier les autorisations d'autres utilisateurs et de groupes qui disposent d'entrées d'ACL sur le fichier. Utilisez la commande getfacl pour vous assurer que les autorisations appropriées sont définies pour toutes les entrées d'ACL. Pour plus d'informations, reportez-vous à la page de manuel getfacl(1).
% ls -l filename
Exemple 6-4 Modification des autorisations en mode absolu
Dans l'exemple ci-dessous, les autorisations d'un répertoire public sont modifiées de 744 (lecture, écriture, exécution ; lecture seule ; et lecture seule) en 755 (lecture, écriture, exécution ; lecture et exécution ; et lecture et exécution).
# ls -ld public_dir drwxr--r-- 1 jdoe staff 6023 Aug 5 12:06 public_dir # chmod 755 public_dir # ls -ld public_dir drwxr-xr-x 1 jdoe staff 6023 Aug 5 12:06 public_dir
Dans l'exemple suivant, les autorisations d'un script de shell exécutable sont modifiées de lecture et écriture en lecture, écriture et exécution.
% ls -l my_script -rw------- 1 jdoe staff 6023 Aug 5 12:06 my_script % chmod 700 my_script % ls -l my_script -rwx------ 1 jdoe staff 6023 Aug 5 12:06 my_script
Seul le propriétaire actuel ou un utilisateur avec des capacités de superutilisateur peut utiliser la commande chmod pour modifier les autorisations d'un fichier ou d'un répertoire.
% chmod nnnn filename
Spécifie les valeurs octales qui modifient les autorisations du fichier ou du répertoire. La valeur octale le plus à gauche définit les autorisations spéciales du fichier. Pour obtenir la liste de valeurs octales valides pour les autorisations spéciales, reportez-vous au Tableau 6-6.
Spécifie le fichier ou répertoire.
Remarque - Lorsque vous utilisez la commande chmod pour modifier les autorisations de groupe sur un fichier avec des entrées d'ACL, les autorisations de groupe de fichiers et le masque d'ACL sont modifiés et reflètent les nouvelles autorisations. N'oubliez pas que les nouvelles autorisations du masque d'ACL peuvent modifier les autorisations d'autres utilisateurs et de groupes qui disposent d'entrées d'ACL sur le fichier. Utilisez la commande getfacl pour vous assurer que les autorisations appropriées sont définies pour toutes les entrées d'ACL. Pour plus d'informations, reportez-vous à la page de manuel getfacl(1).
% ls -l filename
Exemple 6-5 Définition des autorisations de fichiers spéciales en mode absolu
Dans l'exemple suivant, l'autorisation setuid est définie sur le fichier dbprog.
# chmod 4555 dbprog # ls -l dbprog -r-sr-xr-x 1 db staff 12095 May 6 09:29 dbprog
Dans l'exemple suivant, l'autorisation setgid est définie sur le fichier dbprog2.
# chmod 2551 dbprog2 # ls -l dbprog2 -r-xr-s--x 1 db staff 24576 May 6 09:30 dbprog2
Dans l'exemple suivant, l'autorisation Sticky bit est définie dans le répertoire public_dir.
# chmod 1777 public_dir # ls -ld public_dir drwxrwxrwt 2 jdoe staff 512 May 15 15:27 public_dir