Ignorer les liens de navigation | |
Quitter l'aperu | |
Guide d'administration système : Services de sécurité |
Partie I Présentation de la sécurité
1. Services de sécurité (présentation)
Partie II Sécurité du système, des fichiers et des périphériques
2. Gestion de la sécurité de la machine (présentation)
3. Contrôle de l'accès aux systèmes (tâches)
Contrôle de l'accès système (liste des tâches)
Sécurisation des connexions et des mots de passe (liste des tâches)
Sécurisation des connexions et des mots de passe
Procédure d'affichage de l'état de connexion d'un utilisateur
Affichage des utilisateurs sans mots de passe
Désactivation temporaire des connexions utilisateur
Contrôle des tentatives de connexion ayant échoué
Contrôle de toutes les tentatives de connexion ayant échoué
Création d'un mot de passe d'accès à distance
Désactivation temporaire des informations de connexion d'accès à distance
Modification de l'algorithme de mot de passe (liste des tâches)
Modification de l'algorithme par défaut pour le chiffrement de mot de passe
Spécification d'un algorithme de chiffrement de mot de passe
Spécification d'un nouvel algorithme de mot de passe pour un domaine NIS
Spécification d'un nouvel algorithme de mot de passe pour un domaine NIS+
Spécification d'un nouvel algorithme de mot de passe pour un domaine LDAP
Installation d'un module de chiffrement de mot de passe tiers
Contrôle et restriction du superutilisateur (liste des tâches)
Contrôle et restriction du superutilisateur
Contrôle de l'utilisateur de la commande su
Restriction et contrôle des connexions superutilisateur
SPARC : Contrôle de l'accès au matériel système (liste des tâches)
Contrôle de l'accès au matériel du système
Mot de passe obligatoire pour l'accès au matériel
Désactivation de la séquence d'abandon d'un système
4. Contrôle de l'accès aux périphériques (tâches)
5. Utilisation de l'outil de génération de rapports d'audit de base (tâches)
6. Contrôle de l'accès aux fichiers (tâches)
7. Utilisation d'Automated Security Enhancement Tool (Tâches)
Partie III Rôles, profils de droits et privilèges
8. Utilisation des rôles et des privilèges (présentation)
9. Utilisation du contrôle d'accès basé sur les rôles (tâches)
10. Contrôle d'accès basé sur les rôles (référence)
Partie IV Services cryptographiques
13. Structure cryptographique Oracle Solaris (présentation)
14. Structure cryptographique Oracle Solaris (tâches)
15. Structure de gestion des clés Oracle Solaris
Partie V Services d'authentification et communication sécurisée
16. Utilisation des services d'authentification (tâches)
19. Utilisation d'Oracle Solaris Secure Shell (tâches)
20. Oracle Solaris Secure Shell (référence)
21. Introduction au service Kerberos
22. Planification du service Kerberos
23. Configuration du service Kerberos (tâches)
24. Messages d'erreur et dépannage de Kerberos
25. Administration des principaux et des stratégies Kerberos (tâches)
26. Utilisation des applications Kerberos (tâches)
27. Service Kerberos (référence)
Partie VII Audit Oracle Solaris
28. Audit Oracle Solaris (présentation)
29. Planification de l'audit Oracle Solaris
30. Gestion de l'audit Oracle Solaris (tâches)
Vous pouvez limiter les connexions à distance et exiger des utilisateurs qu'ils disposent d'un mot de passe. Vous pouvez également contrôler les tentatives d'accès ayant échoué et désactiver temporairement les connexions.
Le rôle d'administrateur principal inclut le profil d'administrateur principal. Pour plus d'informations sur la création d'un rôle et son assignation à un utilisateur, reportez-vous au Chapitre 2, Utilisation de la console de gestion Solaris (tâches) du Guide d’administration système : administration de base.
# logins -x -l username
Affiche un ensemble étendu d'informations sur l'état de connexion.
Affiche l'état de connexion pour l'utilisateur spécifié. La variable username est le nom de connexion d'un utilisateur. Plusieurs noms de connexion doivent être spécifiés dans une liste de valeurs séparées par une virgule.
La commande logins utilise la base de donnée de mots de passe appropriée pour obtenir l'état de connexion d'un utilisateur. La base de données peut être le fichier /etc/passwd local ou une base de données de mots de passe pour le service de nommage. Pour plus d'informations, reportez-vous à la page de manuel logins(1M).
Exemple 3-1 Affichage de l'état de connexion d'un utilisateur
Dans l'exemple suivant, l'état de connexion de l'utilisateur rimmer s'affiche.
# logins -x -l rimmer rimmer 500 staff 10 Annalee J. Rimmer /export/home/rimmer /bin/sh PS 010103 10 7 -1
Identifie le nom de connexion de l'utilisateur.
Identifie l'ID utilisateur (UID).
Identifie le groupe principal de l'utilisateur.
Identifie l'ID de groupe (GID).
Identifie le commentaire.
Identifie le répertoire personnel de l'utilisateur.
Identifie le shell de connexion.
Spécifie les informations de vieillissement du mot de passe :
Date à laquelle le mot de passe a été modifié pour la dernière fois
Nombre de jours qui sont requis entre les modifications
Nombre de jours avant qu'une modification ne soit requise
Période d'avertissement
Le rôle d'administrateur principal inclut le profil d'administrateur principal. Pour plus d'informations sur la création d'un rôle et son assignation à un utilisateur, reportez-vous au Chapitre 2, Utilisation de la console de gestion Solaris (tâches) du Guide d’administration système : administration de base.
# logins -p
L'option -p affiche une liste des utilisateurs sans mot de passe. La commande logins utilise la base de données de mots de passe du système local à moins qu'un service de nommage ne soit activé.
Exemple 3-2 Affichage des utilisateurs sans mot de passe
Dans l'exemple suivant, l'utilisateur pmorph n'a pas de mot de passe.
# logins -p pmorph 501 other 1 Polly Morph #
Désactivez temporairement les connexions utilisateur pendant l'arrêt du système ou de la maintenance de routine. Les connexions superutilisateur ne sont pas affectées. Pour plus d'informations, reportez-vous à la page de manuel nologin(4).
Le rôle d'administrateur principal inclut le profil d'administrateur principal. Pour plus d'informations sur la création d'un rôle et son assignation à un utilisateur, reportez-vous au Chapitre 2, Utilisation de la console de gestion Solaris (tâches) du Guide d’administration système : administration de base.
# vi /etc/nologin
Exemple 3-3 Désactivation des connexions utilisateur
Dans cet exemple, les utilisateurs sont informés de l'indisponibilité du système.
# vi /etc/nologin (Add system message here) # cat /etc/nologin ***No logins permitted.*** ***The system will be unavailable until 12 noon.***
Vous pouvez également mettre le système au niveau d'exécution 0, en mode monoutilisateur, pour désactiver les connexions. Pour plus d'informations sur l'exécution du système en mode monoutilisateur, reportez-vous au Chapitre 10, Arrêt d’un système (tâches) du Guide d’administration système : administration de base.
Cette procédure permet de capturer les échecs de tentative de connexion à partir des fenêtres de terminal. Cette procédure ne capture pas les connexions ayant échoué à partir d'un CDE ou à partir d'une tentative de connexion.
Le rôle d'administrateur principal inclut le profil d'administrateur principal. Pour plus d'informations sur la création d'un rôle et son assignation à un utilisateur, reportez-vous au Chapitre 2, Utilisation de la console de gestion Solaris (tâches) du Guide d’administration système : administration de base.
# touch /var/adm/loginlog
# chmod 600 /var/adm/loginlog
# chgrp sys /var/adm/loginlog
Par exemple, connectez-vous au système cinq fois avec un mot de passe incorrect. Ensuite, affichez le fichier /var/adm/loginlog.
# more /var/adm/loginlog jdoe:/dev/pts/2:Tue Nov 4 10:21:10 2010 jdoe:/dev/pts/2:Tue Nov 4 10:21:21 2010 jdoe:/dev/pts/2:Tue Nov 4 10:21:30 2010 jdoe:/dev/pts/2:Tue Nov 4 10:21:40 2010 jdoe:/dev/pts/2:Tue Nov 4 10:21:49 2010 #
Le fichier loginlog contient une entrée pour chaque tentative infructueuse. Chaque entrée contient le nom de connexion de l'utilisateur, le périphérique tty et l'heure de la tentative infructueuse. Si un utilisateur fait moins de cinq tentatives infructueuses, aucune d'elles n'est consignée.
Un fichier loginlog croissant peut indiquer une tentative de s'introduire dans le système informatique. Par conséquent, vérifiez et effacez le contenu de ce fichier régulièrement. Pour plus d'informations, reportez-vous à la page de manuel loginlog(4).
Cette procédure permet de capturer toutes les tentatives de connexion ayant échoué dans un fichier syslog.
Le rôle d'administrateur principal inclut le profil d'administrateur principal. Pour plus d'informations sur la création d'un rôle et son assignation à un utilisateur, reportez-vous au Chapitre 2, Utilisation de la console de gestion Solaris (tâches) du Guide d’administration système : administration de base.
Modifiez le fichier /etc/default/login pour modifier l'entrée. Vérifiez que SYSLOG=YES n'est pas mise en commentaire.
# grep SYSLOG /etc/default/login # SYSLOG determines whether the syslog(3) LOG_AUTH facility # should be used SYSLOG=YES … SYSLOG_FAILED_LOGINS=0 #
# touch /var/adm/authlog
# chmod 600 /var/adm/authlog
# chgrp sys /var/adm/authlog
Les échecs doivent être envoyés dans le fichier authlog.
Par exemple, en tant qu'utilisateur standard, connectez-vous au système à l'aide d'un mot de passe incorrect. Ensuite, dans le rôle d'administrateur principal ou en tant que superutilisateur, affichez le fichier /var/adm/authlog.
# more /var/adm/authlog Nov 4 14:46:11 example1 login: [ID 143248 auth.notice] Login failure on /dev/pts/8 from example2, stacey #
Exemple 3-4 Journalisation des tentatives d'accès après trois échecs de connexion
Suivez la procédure indiquée ci-dessus, à la différence près que vous devez définir la valeur de SYSLOG_FAILED_LOGINS sur 3 dans le fichier /etc/default/login.
Exemple 3-5 Fermeture de la connexion après trois échecs de connexion
Annulez la mise en commentaire de l'entrée RETRIES dans le fichier /etc/default/login, puis définissez la valeur de RETRIES sur 3. Vos modifications prennent effet immédiatement. Après trois essais de connexion dans une session, le système ferme la connexion.
Attention - Lorsque vous créez un mot de passe de connexion d'accès à distance, veillez à rester connecté à au moins un port. Testez le mot de passe sur un autre port. Si vous vous déconnectez pour tester le nouveau mot de passe, vous ne pourrez peut-être pas vous connecter à nouveau. Si vous n'êtes pas encore connecté à un autre port, vous pouvez revenir en arrière et corriger l'erreur. |
Le rôle d'administrateur principal inclut le profil d'administrateur principal. Pour plus d'informations sur la création d'un rôle et son assignation à un utilisateur, reportez-vous au Chapitre 2, Utilisation de la console de gestion Solaris (tâches) du Guide d’administration système : administration de base.
Incluez tous les ports qui sont protégés par des mots de passe de connexion d'accès à distance. Le fichier /etc/dialups doit ressembler à ce qui suit :
/dev/term/a /dev/term/b /dev/term/c
Il s'agit des programmes shell qu'un utilisateur peut exécuter au moment de la connexion, par exemple, uucico, sh, ksh et csh. Le fichier /etc/d_passwd doit ressembler à ce qui suit :
/usr/lib/uucp/uucico:encrypted-password: /usr/bin/csh:encrypted-password: /usr/bin/ksh:encrypted-password: /usr/bin/sh:encrypted-password: /usr/bin/bash:encrypted-password:
Dans la suite de la procédure, vous allez ajouter le mot de passe chiffré pour chaque programme de connexion.
# chown root /etc/dialups /etc/d_passwd
# chgrp root /etc/dialups /etc/d_passwd
# chmod 600 /etc/dialups /etc/d_passwd
# useradd username
# passwd username New Password: <Type password> Re-enter new Password: <Retype password> passwd: password successfully changed for username
# grep username /etc/shadow > username.temp
Supprimez tous les champs à l'exception du mot de passe chiffré. Le deuxième champ contient le mot de passe chiffré.
Par exemple, dans la ligne suivante, le mot de passe chiffré est U9gp9SyA/JlSk.
temp:U9gp9SyA/JlSk:7967:::::7988:
# userdel username
Vous pouvez créer un mot de passe différent pour chaque shell de connexion. Vous pouvez également utiliser le même mot de passe pour chaque shell de connexion.
Vous devez vous assurer que votre moyen d'informer les utilisateurs ne peut pas être modifié.
Le rôle d'administrateur principal inclut le profil d'administrateur principal. Pour plus d'informations sur la création d'un rôle et son assignation à un utilisateur, reportez-vous au Chapitre 2, Utilisation de la console de gestion Solaris (tâches) du Guide d’administration système : administration de base.
/usr/bin/sh:*: