JavaScript is required to for searching.
Ignorer les liens de navigation
Quitter l'aperu
Guide d'administration système : Services de sécurité
Oracle Technology Network
Bibliothque
PDF
Aperu avant impression
Commentaires
search filter icon
search icon

Informations document

Préface

Partie I Présentation de la sécurité

1.  Services de sécurité (présentation)

Partie II Sécurité du système, des fichiers et des périphériques

2.  Gestion de la sécurité de la machine (présentation)

3.  Contrôle de l'accès aux systèmes (tâches)

Contrôle de l'accès système (liste des tâches)

Sécurisation des connexions et des mots de passe (liste des tâches)

Sécurisation des connexions et des mots de passe

Procédure d'affichage de l'état de connexion d'un utilisateur

Affichage des utilisateurs sans mots de passe

Désactivation temporaire des connexions utilisateur

Contrôle des tentatives de connexion ayant échoué

Contrôle de toutes les tentatives de connexion ayant échoué

Création d'un mot de passe d'accès à distance

Désactivation temporaire des informations de connexion d'accès à distance

Modification de l'algorithme de mot de passe (liste des tâches)

Modification de l'algorithme par défaut pour le chiffrement de mot de passe

Spécification d'un algorithme de chiffrement de mot de passe

Spécification d'un nouvel algorithme de mot de passe pour un domaine NIS

Spécification d'un nouvel algorithme de mot de passe pour un domaine NIS+

Spécification d'un nouvel algorithme de mot de passe pour un domaine LDAP

Installation d'un module de chiffrement de mot de passe tiers

Contrôle et restriction du superutilisateur (liste des tâches)

Contrôle et restriction du superutilisateur

Contrôle de l'utilisateur de la commande su

Restriction et contrôle des connexions superutilisateur

SPARC : Contrôle de l'accès au matériel système (liste des tâches)

Contrôle de l'accès au matériel du système

Mot de passe obligatoire pour l'accès au matériel

Désactivation de la séquence d'abandon d'un système

4.  Contrôle de l'accès aux périphériques (tâches)

5.  Utilisation de l'outil de génération de rapports d'audit de base (tâches)

6.  Contrôle de l'accès aux fichiers (tâches)

7.  Utilisation d'Automated Security Enhancement Tool (Tâches)

Partie III Rôles, profils de droits et privilèges

8.  Utilisation des rôles et des privilèges (présentation)

9.  Utilisation du contrôle d'accès basé sur les rôles (tâches)

10.  Contrôle d'accès basé sur les rôles (référence)

11.  Privilèges (tâches)

12.  Privilèges (référence)

Partie IV Services cryptographiques

13.  Structure cryptographique Oracle Solaris (présentation)

14.  Structure cryptographique Oracle Solaris (tâches)

15.  Structure de gestion des clés Oracle Solaris

Partie V Services d'authentification et communication sécurisée

16.  Utilisation des services d'authentification (tâches)

17.  Utilisation de PAM

18.  Utilisation de SASL

19.  Utilisation d'Oracle Solaris Secure Shell (tâches)

20.  Oracle Solaris Secure Shell (référence)

Partie VI Service Kerberos

21.  Introduction au service Kerberos

22.  Planification du service Kerberos

23.  Configuration du service Kerberos (tâches)

24.  Messages d'erreur et dépannage de Kerberos

25.  Administration des principaux et des stratégies Kerberos (tâches)

26.  Utilisation des applications Kerberos (tâches)

27.  Service Kerberos (référence)

Partie VII Audit Oracle Solaris

28.  Audit Oracle Solaris (présentation)

29.  Planification de l'audit Oracle Solaris

30.  Gestion de l'audit Oracle Solaris (tâches)

31.  Audit Oracle Solaris (référence)

Glossaire

Index

Sécurisation des connexions et des mots de passe

Vous pouvez limiter les connexions à distance et exiger des utilisateurs qu'ils disposent d'un mot de passe. Vous pouvez également contrôler les tentatives d'accès ayant échoué et désactiver temporairement les connexions.

Procédure d'affichage de l'état de connexion d'un utilisateur

  1. Endossez le rôle de d'administrateur principal ou connectez-vous en tant que superutilisateur.

    Le rôle d'administrateur principal inclut le profil d'administrateur principal. Pour plus d'informations sur la création d'un rôle et son assignation à un utilisateur, reportez-vous au Chapitre 2, Utilisation de la console de gestion Solaris (tâches) du Guide d’administration système : administration de base.

  2. Affichez l'état de connexion d'un utilisateur à l'aide de la commande logins.
    # logins -x -l username
    -x

    Affiche un ensemble étendu d'informations sur l'état de connexion.

    -l username

    Affiche l'état de connexion pour l'utilisateur spécifié. La variable username est le nom de connexion d'un utilisateur. Plusieurs noms de connexion doivent être spécifiés dans une liste de valeurs séparées par une virgule.

    La commande logins utilise la base de donnée de mots de passe appropriée pour obtenir l'état de connexion d'un utilisateur. La base de données peut être le fichier /etc/passwd local ou une base de données de mots de passe pour le service de nommage. Pour plus d'informations, reportez-vous à la page de manuel logins(1M).

Exemple 3-1 Affichage de l'état de connexion d'un utilisateur

Dans l'exemple suivant, l'état de connexion de l'utilisateur rimmer s'affiche. 

# logins -x -l rimmer
rimmer       500     staff           10   Annalee J. Rimmer
                     /export/home/rimmer
                     /bin/sh
                     PS 010103 10 7 -1
rimmer

Identifie le nom de connexion de l'utilisateur.

500

Identifie l'ID utilisateur (UID).

staff

Identifie le groupe principal de l'utilisateur.

10

Identifie l'ID de groupe (GID).

Annalee J. Rimmer

Identifie le commentaire.

/export/home/rimmer

Identifie le répertoire personnel de l'utilisateur.

/bin/sh

Identifie le shell de connexion.

PS 010170 10 7 -1

Spécifie les informations de vieillissement du mot de passe :

  • Date à laquelle le mot de passe a été modifié pour la dernière fois

  • Nombre de jours qui sont requis entre les modifications

  • Nombre de jours avant qu'une modification ne soit requise

  • Période d'avertissement

Affichage des utilisateurs sans mots de passe

  1. Endossez le rôle de d'administrateur principal ou connectez-vous en tant que superutilisateur.

    Le rôle d'administrateur principal inclut le profil d'administrateur principal. Pour plus d'informations sur la création d'un rôle et son assignation à un utilisateur, reportez-vous au Chapitre 2, Utilisation de la console de gestion Solaris (tâches) du Guide d’administration système : administration de base.

  2. Affichez tous les utilisateurs ne disposant pas de mot de passe à l'aide de la commande logins.
    # logins -p

    L'option -p affiche une liste des utilisateurs sans mot de passe. La commande logins utilise la base de données de mots de passe du système local à moins qu'un service de nommage ne soit activé.

Exemple 3-2 Affichage des utilisateurs sans mot de passe

Dans l'exemple suivant, l'utilisateur pmorph n'a pas de mot de passe. 

# logins -p
pmorph          501     other           1       Polly Morph
#

Désactivation temporaire des connexions utilisateur

Désactivez temporairement les connexions utilisateur pendant l'arrêt du système ou de la maintenance de routine. Les connexions superutilisateur ne sont pas affectées. Pour plus d'informations, reportez-vous à la page de manuel nologin(4).

  1. Endossez le rôle de d'administrateur principal ou connectez-vous en tant que superutilisateur.

    Le rôle d'administrateur principal inclut le profil d'administrateur principal. Pour plus d'informations sur la création d'un rôle et son assignation à un utilisateur, reportez-vous au Chapitre 2, Utilisation de la console de gestion Solaris (tâches) du Guide d’administration système : administration de base.

  2. Créez le fichier /etc/nologin dans un éditeur de texte.
    # vi /etc/nologin
  3. Incluez un message sur la disponibilité du système.
  4. Fermez et enregistrez le fichier.

Exemple 3-3 Désactivation des connexions utilisateur

Dans cet exemple, les utilisateurs sont informés de l'indisponibilité du système.

# vi /etc/nologin
(Add system message here)
 
# cat /etc/nologin 
***No logins permitted.***

***The system will be unavailable until 12 noon.***

Vous pouvez également mettre le système au niveau d'exécution 0, en mode monoutilisateur, pour désactiver les connexions. Pour plus d'informations sur l'exécution du système en mode monoutilisateur, reportez-vous au Chapitre 10, Arrêt d’un système (tâches) du Guide d’administration système : administration de base.

Contrôle des tentatives de connexion ayant échoué

Cette procédure permet de capturer les échecs de tentative de connexion à partir des fenêtres de terminal. Cette procédure ne capture pas les connexions ayant échoué à partir d'un CDE ou à partir d'une tentative de connexion.

  1. Endossez le rôle de d'administrateur principal ou connectez-vous en tant que superutilisateur.

    Le rôle d'administrateur principal inclut le profil d'administrateur principal. Pour plus d'informations sur la création d'un rôle et son assignation à un utilisateur, reportez-vous au Chapitre 2, Utilisation de la console de gestion Solaris (tâches) du Guide d’administration système : administration de base.

  2. Créez le fichier loginlog dans le répertoire /var/adm.
    # touch /var/adm/loginlog
  3. Définissez les autorisations en lecture-écriture pour l'utilisateur root sur le fichier loginlog. 
    # chmod 600 /var/adm/loginlog
  4. Modifiez l'appartenance à un groupe en sys dans le fichier loginlog.
    # chgrp sys /var/adm/loginlog
  5. Vérifiez que le journal fonctionne.

    Par exemple, connectez-vous au système cinq fois avec un mot de passe incorrect. Ensuite, affichez le fichier /var/adm/loginlog.

    # more /var/adm/loginlog
jdoe:/dev/pts/2:Tue Nov  4 10:21:10 2010
jdoe:/dev/pts/2:Tue Nov  4 10:21:21 2010
jdoe:/dev/pts/2:Tue Nov  4 10:21:30 2010
jdoe:/dev/pts/2:Tue Nov  4 10:21:40 2010
jdoe:/dev/pts/2:Tue Nov  4 10:21:49 2010
#

    Le fichier loginlog contient une entrée pour chaque tentative infructueuse. Chaque entrée contient le nom de connexion de l'utilisateur, le périphérique tty et l'heure de la tentative infructueuse. Si un utilisateur fait moins de cinq tentatives infructueuses, aucune d'elles n'est consignée.

    Un fichier loginlog croissant peut indiquer une tentative de s'introduire dans le système informatique. Par conséquent, vérifiez et effacez le contenu de ce fichier régulièrement. Pour plus d'informations, reportez-vous à la page de manuel loginlog(4).

Contrôle de toutes les tentatives de connexion ayant échoué

Cette procédure permet de capturer toutes les tentatives de connexion ayant échoué dans un fichier syslog.

  1. Endossez le rôle de d'administrateur principal ou connectez-vous en tant que superutilisateur.

    Le rôle d'administrateur principal inclut le profil d'administrateur principal. Pour plus d'informations sur la création d'un rôle et son assignation à un utilisateur, reportez-vous au Chapitre 2, Utilisation de la console de gestion Solaris (tâches) du Guide d’administration système : administration de base.

  2. Configurez le fichier /etc/default/login avec les valeurs souhaitées pour SYSLOG et SYSLOG_FAILED_LOGINS

    Modifiez le fichier /etc/default/login pour modifier l'entrée. Vérifiez que SYSLOG=YES n'est pas mise en commentaire.

    # grep SYSLOG /etc/default/login
# SYSLOG determines whether the syslog(3) LOG_AUTH facility 
# should be used
SYSLOG=YESSYSLOG_FAILED_LOGINS=0
#
  3. Créez un fichier avec les autorisations correctes pour contenir les informations de journalisation.
    1. Créez le fichier authlog dans le répertoire /var/adm. 
      # touch /var/adm/authlog
    2. Définissez des autorisations en lecture-écriture pour l'utilisateur root dans le fichier authlog.
      # chmod 600 /var/adm/authlog
    3. Modifiez l'appartenance à un groupe sur sys dans le fichier authlog.
      # chgrp sys /var/adm/authlog
  4. Modifiez le fichier syslog.conf pour consigner les tentatives infructueuses de saisie de mot de passe.

    Les échecs doivent être envoyés dans le fichier authlog.

    1. Tapez l'entrée suivante dans le fichier syslog.conf.

      Les champs de la même ligne dans syslog.conf sont séparés par des tabulations. 

      auth.notice <Press Tab>  /var/adm/authlog
    2. Actualisez les informations de configuration pour le démon syslog.
      # svcadm refresh system/system-log
  5. Vérifiez que le journal fonctionne.

    Par exemple, en tant qu'utilisateur standard, connectez-vous au système à l'aide d'un mot de passe incorrect. Ensuite, dans le rôle d'administrateur principal ou en tant que superutilisateur, affichez le fichier /var/adm/authlog. 

    # more /var/adm/authlog
Nov  4 14:46:11 example1 login: [ID 143248 auth.notice] 
 Login failure on /dev/pts/8 from example2, stacey
#
  6. Vérifiez le fichier /var/adm/authlog de façon régulière.

Exemple 3-4 Journalisation des tentatives d'accès après trois échecs de connexion

Suivez la procédure indiquée ci-dessus, à la différence près que vous devez définir la valeur de SYSLOG_FAILED_LOGINS sur 3 dans le fichier /etc/default/login.

Exemple 3-5 Fermeture de la connexion après trois échecs de connexion

Annulez la mise en commentaire de l'entrée RETRIES dans le fichier /etc/default/login, puis définissez la valeur de RETRIES sur 3. Vos modifications prennent effet immédiatement. Après trois essais de connexion dans une session, le système ferme la connexion.

Création d'un mot de passe d'accès à distance

Attention

Attention - Lorsque vous créez un mot de passe de connexion d'accès à distance, veillez à rester connecté à au moins un port. Testez le mot de passe sur un autre port. Si vous vous déconnectez pour tester le nouveau mot de passe, vous ne pourrez peut-être pas vous connecter à nouveau. Si vous n'êtes pas encore connecté à un autre port, vous pouvez revenir en arrière et corriger l'erreur.

  1. Endossez le rôle de d'administrateur principal ou connectez-vous en tant que superutilisateur.

    Le rôle d'administrateur principal inclut le profil d'administrateur principal. Pour plus d'informations sur la création d'un rôle et son assignation à un utilisateur, reportez-vous au Chapitre 2, Utilisation de la console de gestion Solaris (tâches) du Guide d’administration système : administration de base.

  2. Créez un fichier /etc/dialups contenant une liste de périphériques série.

    Incluez tous les ports qui sont protégés par des mots de passe de connexion d'accès à distance. Le fichier /etc/dialups doit ressembler à ce qui suit : 

    /dev/term/a
/dev/term/b
/dev/term/c
  3. Créez un fichier /etc/d_passwd contenant les programmes de connexion pour lesquels un mot de passe de connexion d'accès à distance est nécessaire.

    Il s'agit des programmes shell qu'un utilisateur peut exécuter au moment de la connexion, par exemple, uucico, sh, ksh et csh. Le fichier /etc/d_passwd doit ressembler à ce qui suit : 

    /usr/lib/uucp/uucico:encrypted-password:
/usr/bin/csh:encrypted-password:
/usr/bin/ksh:encrypted-password:
/usr/bin/sh:encrypted-password:
/usr/bin/bash:encrypted-password:

    Dans la suite de la procédure, vous allez ajouter le mot de passe chiffré pour chaque programme de connexion.

  4. Définissez la propriété sur root dans les deux fichiers. 
    # chown root /etc/dialups /etc/d_passwd
  5. Définissez la propriété de groupe sur root dans les deux fichiers. 
    # chgrp root /etc/dialups /etc/d_passwd
  6. Définissez les autorisations en lecture-écriture pour root dans les deux fichiers. 
    # chmod 600 /etc/dialups /etc/d_passwd
  7. Créez les mots de passe chiffrés.
    1. Créez un utilisateur temporaire. 
      # useradd username
    2. Créez un mot de passe pour l'utilisateur temporaire.
      # passwd username
New Password:  <Type password>
Re-enter new Password:   <Retype password>
passwd: password successfully changed for username
    3. Capturez le mot de passe chiffré.
      # grep username /etc/shadow > username.temp
    4. Modifiez le fichier username.temp.

      Supprimez tous les champs à l'exception du mot de passe chiffré. Le deuxième champ contient le mot de passe chiffré.

      Par exemple, dans la ligne suivante, le mot de passe chiffré est U9gp9SyA/JlSk. 

      temp:U9gp9SyA/JlSk:7967:::::7988:
    5. Supprimez l'utilisateur temporaire. 
      # userdel username
  8. Copiez le mot de passe chiffré du fichier username.temp dans le fichier /etc/d_passwd.

    Vous pouvez créer un mot de passe différent pour chaque shell de connexion. Vous pouvez également utiliser le même mot de passe pour chaque shell de connexion.

  9. Informez vos utilisateurs se connectant à distance du mot de passe.

    Vous devez vous assurer que votre moyen d'informer les utilisateurs ne peut pas être modifié.

Désactivation temporaire des informations de connexion d'accès à distance

  1. Endossez le rôle de d'administrateur principal ou connectez-vous en tant que superutilisateur.

    Le rôle d'administrateur principal inclut le profil d'administrateur principal. Pour plus d'informations sur la création d'un rôle et son assignation à un utilisateur, reportez-vous au Chapitre 2, Utilisation de la console de gestion Solaris (tâches) du Guide d’administration système : administration de base.

  2. Mettez l'entrée d'une seule ligne suivante dans le fichier /etc/d_passwd : 
    /usr/bin/sh:*:
Copyright © 2002, 2011, Oracle et/ou ses affiliés. Tous droits réservés. Notice légale
Précédent Suivant