JavaScript is required to for searching.
Ignorer les liens de navigation
Quitter l'aperu
Guide d'administration système : Services de sécurité
Oracle Technology Network
Bibliothque
PDF
Aperu avant impression
Commentaires
search filter icon
search icon

Informations document

Préface

Partie I Présentation de la sécurité

1.  Services de sécurité (présentation)

Partie II Sécurité du système, des fichiers et des périphériques

2.  Gestion de la sécurité de la machine (présentation)

3.  Contrôle de l'accès aux systèmes (tâches)

4.  Contrôle de l'accès aux périphériques (tâches)

5.  Utilisation de l'outil de génération de rapports d'audit de base (tâches)

6.  Contrôle de l'accès aux fichiers (tâches)

Utilisation des autorisations UNIX pour protéger les fichiers

Commandes d'affichage et de sécurisation des fichiers

Propriété des fichiers et des répertoires

Autorisations des fichiers UNIX

Autorisations de fichiers spéciales (setuid, setgid et sticky bit)

Autorisation setuid

Autorisation setgid

Sticky Bit

Valeur umask par défaut

Modes d'autorisation de fichier

Utilisation des ACL pour protéger les fichiers UFS

Entrées d'ACL pour les fichiers UFS

Entrées d'ACL pour les répertoires UFS

Commandes pour l'administration des ACL d'UFS

Prévention des problèmes de sécurité causés par les fichiers exécutables

Protection des fichiers (liste des tâches)

Protection des fichiers avec des autorisations UNIX (liste des tâches)

Affichage des informations de fichier

Modification du propriétaire d'un fichier local

Modification de la propriété de groupe d'un fichier

Modification des autorisations de fichier en mode symbolique

Modification des autorisations de fichier en mode absolu

Modification des autorisations de fichier spéciales en mode absolu

Protection de fichiers UFS à l'aide des ACL (liste des tâches)

Vérification de la présence d'une ACL dans un fichier

Ajout d'entrées d'ACL à un fichier

Copie d'une ACL

Modification d'entrées d'ACL sur un fichier

Suppression d'entrées d'ACL sur un fichier

Affichage des entrées d'ACL d'un fichier

Protection contre les programmes présentant des risques de sécurité (liste des tâches)

Recherche de fichiers avec des autorisations de fichier spéciales

Désactivation de l'utilisation de piles exécutables par les programmes

7.  Utilisation d'Automated Security Enhancement Tool (Tâches)

Partie III Rôles, profils de droits et privilèges

8.  Utilisation des rôles et des privilèges (présentation)

9.  Utilisation du contrôle d'accès basé sur les rôles (tâches)

10.  Contrôle d'accès basé sur les rôles (référence)

11.  Privilèges (tâches)

12.  Privilèges (référence)

Partie IV Services cryptographiques

13.  Structure cryptographique Oracle Solaris (présentation)

14.  Structure cryptographique Oracle Solaris (tâches)

15.  Structure de gestion des clés Oracle Solaris

Partie V Services d'authentification et communication sécurisée

16.  Utilisation des services d'authentification (tâches)

17.  Utilisation de PAM

18.  Utilisation de SASL

19.  Utilisation d'Oracle Solaris Secure Shell (tâches)

20.  Oracle Solaris Secure Shell (référence)

Partie VI Service Kerberos

21.  Introduction au service Kerberos

22.  Planification du service Kerberos

23.  Configuration du service Kerberos (tâches)

24.  Messages d'erreur et dépannage de Kerberos

25.  Administration des principaux et des stratégies Kerberos (tâches)

26.  Utilisation des applications Kerberos (tâches)

27.  Service Kerberos (référence)

Partie VII Audit Oracle Solaris

28.  Audit Oracle Solaris (présentation)

29.  Planification de l'audit Oracle Solaris

30.  Gestion de l'audit Oracle Solaris (tâches)

31.  Audit Oracle Solaris (référence)

Glossaire

Index

Utilisation des ACL pour protéger les fichiers UFS

Les protections de fichier UNIX conventionnelles fournissent des autorisations de lecture, d'écriture et d'exécution pour les trois classes d'utilisateur : propriétaire de fichier, groupe de fichier et autre. Dans un système de fichiers UFS, une liste de contrôle d'accès (ACL) offre une meilleure sécurité des fichiers en permettant d'effectuer les opérations suivantes :

Remarque - Pour les ACL dans le système de fichiers ZFS et les ACL sur les fichiers NFSv4, reportez-vous au Chapitre 8, Utilisation des ACL et des attributs pour protéger les fichiers Oracle Solaris ZFS du Guide d’administration Oracle Solaris ZFS.

Par exemple, si vous souhaitez que tous les membres d'un groupe soient en mesure de lire un fichier, vous pouvez simplement accorder des autorisations de lecture de groupe sur ce fichier. Maintenant, supposons que vous souhaitez que seule une personne dans le groupe soit en mesure d'écrire dans ce fichier. UNIX standard ne fournit pas ce niveau de sécurité des fichiers. Toutefois, une ACL fournit ce niveau de sécurité.

Sur un système de fichiers UFS, les entrées d'ACL sont définies dans un fichier par le biais de la commande setfacl. Les entrées d'ACL UFS se composent des champs suivants séparés par le signe deux-points :

entry-type:[uid|gid]:perms
entry-type

Type d'entrée d'ACL sur laquelle définir les autorisations de fichiers. Par exemple, entry-type peut être user (le propriétaire d'un fichier) ou mask (le masque ACL). Pour obtenir la liste des entrées d'ACL, reportez-vous au Tableau 6-7 et au Tableau 6-8.

uid

Nom d'utilisateur ou ID d'utilisateur (UID).

gid

Nom du groupe ou ID de groupe (GID).

perms

Représente les autorisations définies sur entry-type. perms peut être indiqué par les caractères symboliques rwx ou un nombre octal. Il s'agit des mêmes nombres que ceux utilisés avec la commande chmod.

Dans l'exemple suivant, une entrée d'ACL définit les autorisations de lecture et d'écriture pour l'utilisateur stacey.

user:stacey:rw-
Attention

Attention - Les attributs de système de fichiers UFS tels que les ACL sont pris en charge dans les systèmes de fichiers UFS uniquement. Par conséquent, si vous restaurez ou copiez des fichiers avec des entrées d'ACL dans le répertoire /tmp, qui est généralement monté en tant que système de fichiers TMPFS, les entrées d'ACL seront perdues. Utilisez le répertoire /var/tmp pour le stockage temporaire des fichiers UFS.

Entrées d'ACL pour les fichiers UFS

Le tableau suivant répertorie les entrées d'ACL valides que vous pouvez être amené à utiliser lors de la définition d'ACL sur des fichiers. Les trois premières entrées d'ACL assurent la protection de fichiers UNIX de base.

Tableau 6-7 Entrées d'ACL pour les fichiers UFS

Entrée d'ACL
Description
u[ser]::perms
Autorisations du propriétaire du fichier.
g[roup]::perms
Autorisations du groupe de fichiers.
o[ther]:perms
Autorisations pour les utilisateurs autres que le propriétaire du fichier ou des membres du groupe de fichiers.
m[ask]:perms
Masque d'ACL. L'entrée de masque indique les autorisations maximales accordées aux utilisateurs (autres que le propriétaire) et aux groupes. Le masque est un moyen rapide de changer les autorisations pour tous les utilisateurs et groupes.

Par exemple, l'entrée de masque mask:r-- indique que les utilisateurs et groupes ne peuvent pas avoir plus que l'autorisation de lecture, même si leurs comptes indiquent qu'ils disposent d'autorisations d'écriture et d'exécution.
u[ser]:uid:perms
Autorisations pour un utilisateur spécifique. Pour uid, vous pouvez spécifier un nom d'utilisateur ou un ID d'utilisateur (UID) numérique.
g[roup]:gid:perms
Autorisations pour un groupe spécifique. Pour gid, vous pouvez spécifier un nom de groupe ou un ID de groupe (GID) numérique.

Entrées d'ACL pour les répertoires UFS

Outre les entrées d'ACL décrites dans le Tableau 6-7, vous pouvez définir les entrées d'ACL par défaut dans un répertoire. Les fichiers ou répertoires créés dans un répertoire doté d'entrées d'ACL par défaut auront les mêmes entrées d'ACL que les entrées d'ACL par défaut. Le Tableau 6-8 répertorie les entrées d'ACL par défaut pour les répertoires.

Lorsque vous définissez pour la première fois les entrées d'ACL par défaut pour des utilisateurs et des groupes spécifiques sur un répertoire, vous devez également définir les valeurs par défaut des entrées d'ACL pour le propriétaire du fichier, le groupe de fichiers, les autres et le masque d'ACL. Ces entrées sont obligatoires. Ils s'agit des quatre premières entrées d'ACL par défaut dans le tableau ci-dessous.

Tableau 6-8 Entrées d'ACL par défaut pour les répertoires UFS

Entrée d'ACL par défaut
Description
d[efault]:u[ser]::perms
Autorisations du propriétaire du fichier par défaut.
d[efault]:g[roup]::perms
Autorisations du groupe de fichiers par défaut.
d[efault]:o[ther]:perms
Autorisations par défaut pour les utilisateurs autres que le propriétaire du fichier ou les membres du groupe de fichiers.
d[efault]:m[ask]:perms
Masque par défaut de l'ACL.
d[efault]:u[ser]:uid:perms
Autorisations par défaut pour un utilisateur spécifique. Pour uid, vous pouvez spécifier un nom d'utilisateur ou un ID d'utilisateur (UID) numérique.
d[efault]:g[roup]:gid:perms
Autorisations par défaut pour un groupe spécifique. Pour gid, vous pouvez spécifier un nom de groupe ou un ID de groupe (GID) numérique.

Commandes pour l'administration des ACL d'UFS

Les commandes ci-dessous administrent les ACL sur les fichiers ou les répertoires UFS.

Commande setfacl

Définit, ajoute, modifie et supprime les entrées d'ACL. Pour plus d'informations, reportez-vous à la page de manuel setfacl(1).

Commande getfacl

Affiche les entrées d'ACL. Pour plus d'informations, reportez-vous à la page de manuel getfacl(1).

Copyright © 2002, 2011, Oracle et/ou ses affiliés. Tous droits réservés. Notice légale
Précédent Suivant