Ignorer les liens de navigation | |
Quitter l'aperu | |
Guide d'administration système : Services de sécurité |
Partie I Présentation de la sécurité
1. Services de sécurité (présentation)
Partie II Sécurité du système, des fichiers et des périphériques
2. Gestion de la sécurité de la machine (présentation)
3. Contrôle de l'accès aux systèmes (tâches)
4. Contrôle de l'accès aux périphériques (tâches)
5. Utilisation de l'outil de génération de rapports d'audit de base (tâches)
6. Contrôle de l'accès aux fichiers (tâches)
Utilisation des autorisations UNIX pour protéger les fichiers
Commandes d'affichage et de sécurisation des fichiers
Propriété des fichiers et des répertoires
Autorisations des fichiers UNIX
Autorisations de fichiers spéciales (setuid, setgid et sticky bit)
Modes d'autorisation de fichier
Utilisation des ACL pour protéger les fichiers UFS
Entrées d'ACL pour les fichiers UFS
Prévention des problèmes de sécurité causés par les fichiers exécutables
Protection des fichiers (liste des tâches)
Protection des fichiers avec des autorisations UNIX (liste des tâches)
Affichage des informations de fichier
Modification du propriétaire d'un fichier local
Modification de la propriété de groupe d'un fichier
Modification des autorisations de fichier en mode symbolique
Modification des autorisations de fichier en mode absolu
Modification des autorisations de fichier spéciales en mode absolu
Protection de fichiers UFS à l'aide des ACL (liste des tâches)
Vérification de la présence d'une ACL dans un fichier
Ajout d'entrées d'ACL à un fichier
Modification d'entrées d'ACL sur un fichier
Suppression d'entrées d'ACL sur un fichier
Affichage des entrées d'ACL d'un fichier
Protection contre les programmes présentant des risques de sécurité (liste des tâches)
Recherche de fichiers avec des autorisations de fichier spéciales
Désactivation de l'utilisation de piles exécutables par les programmes
7. Utilisation d'Automated Security Enhancement Tool (Tâches)
Partie III Rôles, profils de droits et privilèges
8. Utilisation des rôles et des privilèges (présentation)
9. Utilisation du contrôle d'accès basé sur les rôles (tâches)
10. Contrôle d'accès basé sur les rôles (référence)
Partie IV Services cryptographiques
13. Structure cryptographique Oracle Solaris (présentation)
14. Structure cryptographique Oracle Solaris (tâches)
15. Structure de gestion des clés Oracle Solaris
Partie V Services d'authentification et communication sécurisée
16. Utilisation des services d'authentification (tâches)
19. Utilisation d'Oracle Solaris Secure Shell (tâches)
20. Oracle Solaris Secure Shell (référence)
21. Introduction au service Kerberos
22. Planification du service Kerberos
23. Configuration du service Kerberos (tâches)
24. Messages d'erreur et dépannage de Kerberos
25. Administration des principaux et des stratégies Kerberos (tâches)
26. Utilisation des applications Kerberos (tâches)
27. Service Kerberos (référence)
Partie VII Audit Oracle Solaris
28. Audit Oracle Solaris (présentation)
29. Planification de l'audit Oracle Solaris
30. Gestion de l'audit Oracle Solaris (tâches)
Les protections de fichier UNIX conventionnelles fournissent des autorisations de lecture, d'écriture et d'exécution pour les trois classes d'utilisateur : propriétaire de fichier, groupe de fichier et autre. Dans un système de fichiers UFS, une liste de contrôle d'accès (ACL) offre une meilleure sécurité des fichiers en permettant d'effectuer les opérations suivantes :
définir les autorisations de fichier pour le propriétaire du fichier, le groupe, les autres, ainsi que des utilisateurs et des groupes spécifiques ;
définir les autorisations par défaut pour chacune des catégories précédentes.
Remarque - Pour les ACL dans le système de fichiers ZFS et les ACL sur les fichiers NFSv4, reportez-vous au Chapitre 8, Utilisation des ACL et des attributs pour protéger les fichiers Oracle Solaris ZFS du Guide d’administration Oracle Solaris ZFS.
Par exemple, si vous souhaitez que tous les membres d'un groupe soient en mesure de lire un fichier, vous pouvez simplement accorder des autorisations de lecture de groupe sur ce fichier. Maintenant, supposons que vous souhaitez que seule une personne dans le groupe soit en mesure d'écrire dans ce fichier. UNIX standard ne fournit pas ce niveau de sécurité des fichiers. Toutefois, une ACL fournit ce niveau de sécurité.
Sur un système de fichiers UFS, les entrées d'ACL sont définies dans un fichier par le biais de la commande setfacl. Les entrées d'ACL UFS se composent des champs suivants séparés par le signe deux-points :
entry-type:[uid|gid]:perms
Type d'entrée d'ACL sur laquelle définir les autorisations de fichiers. Par exemple, entry-type peut être user (le propriétaire d'un fichier) ou mask (le masque ACL). Pour obtenir la liste des entrées d'ACL, reportez-vous au Tableau 6-7 et au Tableau 6-8.
Nom d'utilisateur ou ID d'utilisateur (UID).
Nom du groupe ou ID de groupe (GID).
Représente les autorisations définies sur entry-type. perms peut être indiqué par les caractères symboliques rwx ou un nombre octal. Il s'agit des mêmes nombres que ceux utilisés avec la commande chmod.
Dans l'exemple suivant, une entrée d'ACL définit les autorisations de lecture et d'écriture pour l'utilisateur stacey.
user:stacey:rw-
Le tableau suivant répertorie les entrées d'ACL valides que vous pouvez être amené à utiliser lors de la définition d'ACL sur des fichiers. Les trois premières entrées d'ACL assurent la protection de fichiers UNIX de base.
Tableau 6-7 Entrées d'ACL pour les fichiers UFS
|
Outre les entrées d'ACL décrites dans le Tableau 6-7, vous pouvez définir les entrées d'ACL par défaut dans un répertoire. Les fichiers ou répertoires créés dans un répertoire doté d'entrées d'ACL par défaut auront les mêmes entrées d'ACL que les entrées d'ACL par défaut. Le Tableau 6-8 répertorie les entrées d'ACL par défaut pour les répertoires.
Lorsque vous définissez pour la première fois les entrées d'ACL par défaut pour des utilisateurs et des groupes spécifiques sur un répertoire, vous devez également définir les valeurs par défaut des entrées d'ACL pour le propriétaire du fichier, le groupe de fichiers, les autres et le masque d'ACL. Ces entrées sont obligatoires. Ils s'agit des quatre premières entrées d'ACL par défaut dans le tableau ci-dessous.
Tableau 6-8 Entrées d'ACL par défaut pour les répertoires UFS
|
Les commandes ci-dessous administrent les ACL sur les fichiers ou les répertoires UFS.
Définit, ajoute, modifie et supprime les entrées d'ACL. Pour plus d'informations, reportez-vous à la page de manuel setfacl(1).
Affiche les entrées d'ACL. Pour plus d'informations, reportez-vous à la page de manuel getfacl(1).