Ignorer les liens de navigation | |
Quitter l'aperu | |
Guide d'administration système : Services de sécurité |
Partie I Présentation de la sécurité
1. Services de sécurité (présentation)
Partie II Sécurité du système, des fichiers et des périphériques
2. Gestion de la sécurité de la machine (présentation)
3. Contrôle de l'accès aux systèmes (tâches)
Contrôle de l'accès système (liste des tâches)
Sécurisation des connexions et des mots de passe (liste des tâches)
Sécurisation des connexions et des mots de passe
Procédure d'affichage de l'état de connexion d'un utilisateur
Affichage des utilisateurs sans mots de passe
Désactivation temporaire des connexions utilisateur
Contrôle des tentatives de connexion ayant échoué
Contrôle de toutes les tentatives de connexion ayant échoué
Création d'un mot de passe d'accès à distance
Désactivation temporaire des informations de connexion d'accès à distance
Modification de l'algorithme de mot de passe (liste des tâches)
Modification de l'algorithme par défaut pour le chiffrement de mot de passe
Spécification d'un algorithme de chiffrement de mot de passe
Spécification d'un nouvel algorithme de mot de passe pour un domaine NIS
Spécification d'un nouvel algorithme de mot de passe pour un domaine NIS+
Spécification d'un nouvel algorithme de mot de passe pour un domaine LDAP
Installation d'un module de chiffrement de mot de passe tiers
Contrôle et restriction du superutilisateur (liste des tâches)
Contrôle et restriction du superutilisateur
Contrôle de l'utilisateur de la commande su
Restriction et contrôle des connexions superutilisateur
SPARC : Contrôle de l'accès au matériel système (liste des tâches)
Contrôle de l'accès au matériel du système
Mot de passe obligatoire pour l'accès au matériel
Désactivation de la séquence d'abandon d'un système
4. Contrôle de l'accès aux périphériques (tâches)
5. Utilisation de l'outil de génération de rapports d'audit de base (tâches)
6. Contrôle de l'accès aux fichiers (tâches)
7. Utilisation d'Automated Security Enhancement Tool (Tâches)
Partie III Rôles, profils de droits et privilèges
8. Utilisation des rôles et des privilèges (présentation)
9. Utilisation du contrôle d'accès basé sur les rôles (tâches)
10. Contrôle d'accès basé sur les rôles (référence)
Partie IV Services cryptographiques
13. Structure cryptographique Oracle Solaris (présentation)
14. Structure cryptographique Oracle Solaris (tâches)
15. Structure de gestion des clés Oracle Solaris
Partie V Services d'authentification et communication sécurisée
16. Utilisation des services d'authentification (tâches)
19. Utilisation d'Oracle Solaris Secure Shell (tâches)
20. Oracle Solaris Secure Shell (référence)
21. Introduction au service Kerberos
22. Planification du service Kerberos
23. Configuration du service Kerberos (tâches)
24. Messages d'erreur et dépannage de Kerberos
25. Administration des principaux et des stratégies Kerberos (tâches)
26. Utilisation des applications Kerberos (tâches)
27. Service Kerberos (référence)
Partie VII Audit Oracle Solaris
28. Audit Oracle Solaris (présentation)
29. Planification de l'audit Oracle Solaris
30. Gestion de l'audit Oracle Solaris (tâches)
Par défaut, les mots de passe utilisateur sont chiffrés avec l'algorithme crypt_unix. Vous pouvez utiliser un algorithme de chiffrement plus fort, tel que MD5 ou Blowfish, en modifiant l'algorithme de chiffrement de mot de passe par défaut.
Dans cette procédure, la version BSD-Linux de l'algorithme MD5 est l'algorithme de chiffrement par défaut qui est utilisé lorsque les utilisateurs modifient leurs mots de passe. Cet algorithme est adapté à un réseau mixte de machines qui exécutent les versions Oracle Solaris, BSD et Linux d'UNIX. Pour obtenir une liste des algorithmes de mot de passe et des identificateurs d'algorithme, reportez-vous au Tableau 2-1.
Le rôle d'administrateur principal inclut le profil d'administrateur principal. Pour plus d'informations sur la création d'un rôle et son assignation à un utilisateur, reportez-vous au Chapitre 2, Utilisation de la console de gestion Solaris (tâches) du Guide d’administration système : administration de base.
Saisissez l'identificateur en tant que valeur pour la variable CRYPT_DEFAULT du fichier /etc/security/policy.conf.
Vous pouvez ajouter un commentaire au fichier afin d'expliquer votre choix.
# cat /etc/security/policy.conf … CRYPT_ALGORITHMS_ALLOW=1,2a,md5,5,6 # # Use the version of MD5 that works with Linux and BSD systems. # Passwords previously encrypted with __unix__ will be encrypted with MD5 # when users change their passwords. # # CRYPT_DEFAULT=__unix__ CRYPT_DEFAULT=1
Dans cet exemple, la configuration des algorithmes assure que l'algorithme le plus faible, crypt_unix, n'est jamais utilisé pour chiffrer un mot de passe. Les utilisateurs dont les mots de passe ont été chiffrés avec le module crypt_unix obtiennent un mot de passe chiffré par crypt_bsdmd5 lorsqu'ils changent leurs mots de passe.
Pour plus d'informations sur la configuration des sélections d'algorithme, reportez-vous à la page de manuel policy.conf(4).
Exemple 3-6 Utilisation de l'algorithme Blowfish pour le chiffrement de mot de passe
Dans cet exemple, l'identificateur de l'algorithme Blowfish, 2a, est spécifié en tant que valeur pour la variable CRYPT_DEFAULT dans le fichier policy.conf :
CRYPT_ALGORITHMS_ALLOW=1,2a,md5,5,6 #CRYPT_ALGORITHMS_DEPRECATE=__unix__ CRYPT_DEFAULT=2a
Cette configuration est compatible avec les systèmes BSD qui utilisent l'algorithme Blowfish.
Lorsque les utilisateurs dans un domaine NIS modifient leurs mots de passe, le client NIS consulte sa configuration locale des algorithmes dans le fichier /etc/security/policy.conf. La machine client NIS chiffre le mot de passe.
Lorsque les utilisateurs dans un domaine NIS+ modifient leurs mots de passe, le service de nommage NIS+ consulte la configuration des algorithmes dans le fichier /etc/security/policy.conf sur le maître NIS+. Le maître NIS+, qui exécute le démon rpc.nispasswd, crée le mot de passe chiffré.
Lorsque le client LDAP est configuré correctement, le client LDAP peut utiliser les nouveaux algorithmes de mot de passe. Le client LDAP se comporte exactement comme un client NIS.
Assurez-vous qu'un signe de commentaire (#) précède les entrées incluant pam_ldap.so.1. En outre, n'utilisez pas la nouvelle option server_policy avec le module pam_authtok_store.so.1.
Les entrées PAM du fichier pam.conf du client permettent de chiffrer le mot de passe en fonction de la configuration des algorithmes. Les entrées PAM permettent également l'authentification du mot de passe.
Lorsque les utilisateurs du domaine LDAP modifient leurs mots de passe, le client LDAP consulte sa configuration locale des algorithmes dans le fichier /etc/security/policy.conf. L'ordinateur client LDAP chiffre le mot de passe. Ensuite, le client envoie le mot de passe chiffré, avec une balise {crypt}, pour le serveur. La balise indique au serveur que le mot de passe est déjà chiffré. Le mot de passe est ensuite stocké, tel quel, sur le serveur. Pour l'authentification, le client récupère le mot de passe stocké dans le serveur. Le client compare ensuite le mot de passe stocké avec la version chiffrée que le client vient de générer à partir du mot de passe saisi par l'utilisateur.
Remarque - Pour tirer parti des commandes de stratégie de mot de passe sur le serveur LDAP, utilisez l'option server_policy avec les entrées pam_authtok_store dans le fichier pam.conf. Les mots de passe sont alors chiffrés sur le serveur en utilisant le mécanisme cryptographique de Sun Java System Directory Server. Pour plus d'informations sur cette procédure, reportez-vous au Chapitre 11, Configuration de Sun Java System Directory Server avec les clients LDAP (tâches) du Guide d’administration système : Services d’annuaire et de nommage (DNS, NIS et LDAP).
Un algorithme de chiffrement de mot de passe tiers est généralement fourni sous forme de module dans un package logiciel. Lorsque vous exécutez la commande pkgadd, les scripts du fournisseur doivent modifier le fichier /etc/security/crypt.conf. Vous devez ensuite modifier le fichier /etc/security/policy.conf pour inclure le nouveau module et son identificateur.
Pour obtenir des instructions détaillées sur la procédure à suivre pour ajouter des logiciels, reportez-vous à la section Ajout ou suppression d’un package de logiciels (pkgadd) du Guide d’administration système : administration de base.
Lisez la liste des algorithmes de chiffrement dans le fichier /etc/security/crypt.conf.
Par exemple, les lignes suivantes montrent qu'un module qui met en œuvre l'algorithme crypt_rot13 a été installé.
# crypt.conf # md5 /usr/lib/security/$ISA/crypt_md5.so rot13 /usr/lib/security/$ISA/crypt_rot13.so # For *BSD - Linux compatibility # 1 is MD5, 2a is Blowfish 1 /usr/lib/security/$ISA/crypt_bsdmd5.so 2a /usr/lib/security/$ISA/crypt_bsdbf.so
Les lignes suivantes présentent des extraits du fichier policy.conf qui doivent être modifiés pour ajouter l'identificateur rot13.
# Copyright 1999-2002 Sun Microsystems, Inc. All rights reserved. # ... #ident "@(#)policy.conf 1.12 08/05/14 SMI" # ... # crypt(3c) Algorithms Configuration CRYPT_ALGORITHMS_ALLOW=1,2a,md5,5,6,,rot13 #CRYPT_ALGORITHMS_DEPRECATE=__unix__ CRYPT_DEFAULT=md5
Dans cet exemple, l'algorithme rot13 est utilisé si le mot de passe en cours a été chiffré avec l'algorithme crypt_rot13. Les nouveaux mots de passe utilisateur sont chiffrés avec l'algorithme crypt_sunmd5. Cette configuration d'algorithme fonctionne sur les réseaux exclusivement Solaris.