Ignorer les liens de navigation | |
Quitter l'aperu | |
Guide d'administration système : Services de sécurité |
Partie I Présentation de la sécurité
1. Services de sécurité (présentation)
Partie II Sécurité du système, des fichiers et des périphériques
2. Gestion de la sécurité de la machine (présentation)
3. Contrôle de l'accès aux systèmes (tâches)
Contrôle de l'accès système (liste des tâches)
Sécurisation des connexions et des mots de passe (liste des tâches)
Sécurisation des connexions et des mots de passe
Procédure d'affichage de l'état de connexion d'un utilisateur
Affichage des utilisateurs sans mots de passe
Désactivation temporaire des connexions utilisateur
Contrôle des tentatives de connexion ayant échoué
Contrôle de toutes les tentatives de connexion ayant échoué
Création d'un mot de passe d'accès à distance
Désactivation temporaire des informations de connexion d'accès à distance
Modification de l'algorithme de mot de passe (liste des tâches)
Modification de l'algorithme par défaut pour le chiffrement de mot de passe
Spécification d'un algorithme de chiffrement de mot de passe
Spécification d'un nouvel algorithme de mot de passe pour un domaine NIS
Spécification d'un nouvel algorithme de mot de passe pour un domaine NIS+
Spécification d'un nouvel algorithme de mot de passe pour un domaine LDAP
Installation d'un module de chiffrement de mot de passe tiers
Contrôle et restriction du superutilisateur (liste des tâches)
SPARC : Contrôle de l'accès au matériel système (liste des tâches)
Contrôle de l'accès au matériel du système
Mot de passe obligatoire pour l'accès au matériel
Désactivation de la séquence d'abandon d'un système
4. Contrôle de l'accès aux périphériques (tâches)
5. Utilisation de l'outil de génération de rapports d'audit de base (tâches)
6. Contrôle de l'accès aux fichiers (tâches)
7. Utilisation d'Automated Security Enhancement Tool (Tâches)
Partie III Rôles, profils de droits et privilèges
8. Utilisation des rôles et des privilèges (présentation)
9. Utilisation du contrôle d'accès basé sur les rôles (tâches)
10. Contrôle d'accès basé sur les rôles (référence)
Partie IV Services cryptographiques
13. Structure cryptographique Oracle Solaris (présentation)
14. Structure cryptographique Oracle Solaris (tâches)
15. Structure de gestion des clés Oracle Solaris
Partie V Services d'authentification et communication sécurisée
16. Utilisation des services d'authentification (tâches)
19. Utilisation d'Oracle Solaris Secure Shell (tâches)
20. Oracle Solaris Secure Shell (référence)
21. Introduction au service Kerberos
22. Planification du service Kerberos
23. Configuration du service Kerberos (tâches)
24. Messages d'erreur et dépannage de Kerberos
25. Administration des principaux et des stratégies Kerberos (tâches)
26. Utilisation des applications Kerberos (tâches)
27. Service Kerberos (référence)
Partie VII Audit Oracle Solaris
28. Audit Oracle Solaris (présentation)
29. Planification de l'audit Oracle Solaris
30. Gestion de l'audit Oracle Solaris (tâches)
Une alternative à l'utilisation du compte de superutilisateur est de définir le contrôle de l'accès basé sur le rôle. Le contrôle de l'accès basé sur le rôle est appelé RBAC. Pour obtenir des informations générales sur le RBAC, reportez-vous à la section Contrôle d'accès basé sur les rôles (présentation) . Pour configurer RBAC, reportez-vous au Chapitre 9Utilisation du contrôle d'accès basé sur les rôles (tâches).
Le fichier sulog répertorie chaque utilisation de la commande su, et pas seulement les tentatives su qui sont utilisées pour passer de l'utilisateur au superutilisateur.
# more /var/adm/sulog SU 12/20 16:26 + pts/0 stacey-root SU 12/21 10:59 + pts/0 stacey-root SU 01/12 11:11 + pts/0 root-rimmer SU 01/12 14:56 + pts/0 pmorph-root SU 01/12 14:57 + pts/0 pmorph-root
Les entrées affichent les informations suivantes :
La date et l'heure de la saisie de la commande.
Si la tentative a réussi. La présence d'un signe plus (+) indique une tentative réussie. Un signe moins (-) indique un échec.
Le port à partir duquel la commande a été émise.
Le nom de l'utilisateur et le nom de l'identité commutée.
La journalisation de su dans ce fichier est activée par défaut dans l'entrée suivante du fichier /etc/default/su :
SULOG=/var/adm/sulog
Erreurs fréquentes
Les entrées incluant ??? indiquent que le terminal de contrôle pour la commande su ne peut pas être identifié. Généralement, les appels système de la commande su avant l'affichage du bureau incluent ???, comme dans SU 10/10 08:08 + ??? root-root. Une fois que l'utilisateur a lancé une session de bureau, la commande ttynam renvoie la valeur du terminal de contrôle à sulog: SU 10/10 10:10 + pts/3 jdoe-root.
Les entrées semblables à ce qui suit peuvent indiquer que la commande su n'a pas été appelée sur la ligne de commande : SU 10/10 10:20 + ??? root-oracle. L'utilisateur est peut-être passé au rôle oracle à l'aide d'une interface graphique.
Cette méthode détecte immédiatement les tentatives du superutilisateur d'accéder au système local.
CONSOLE=/dev/console
Par défaut, le périphérique de console est défini sur /dev/console. Avec ce paramètre, root peut se connecter à la console. root ne peut pas se connecter à distance.
À partir d'un système distant, essayez de vous connecter en tant que superutilisateur.
mach2 % rlogin -l root mach1 Password: <Type root password of mach1> Not on system console Connection closed.
Par défaut, les tentatives de devenir superutilisateur sont imprimées sur la console par l'utilitaire SYSLOG.
% su - Password: <Type root password> #
Un message est imprimé sur la console de terminal.
Sep 7 13:22:57 mach1 su: 'su root' succeeded for jdoe on /dev/pts/6
Exemple 3-7 Journalisation des tentatives d'accès superutilisateur
Dans cet exemple, les tentatives superutilisateur ne sont pas consignées par SYSLOG. Par conséquent, l'administrateur consigne ces tentatives en retirant le commentaire de l'entrée #CONSOLE=/dev/console dans le fichier /etc/default/su.
# CONSOLE determines whether attempts to su to root should be logged # to the named device # CONSOLE=/dev/console
Lorsqu'un utilisateur tente de devenir superutilisateur, la tentative est imprimée sur la console de terminal.
SU 09/07 16:38 + pts/8 jdoe-root
Erreurs fréquentes
Pour devenir superutilisateur à partir d'un système distant lorsque le fichier /etc/default/login contient l'entrée CONSOLE par défaut, les utilisateurs doivent d'abord se connecter avec leur nom d'utilisateur. Après la connexion avec leur nom d'utilisateur, les utilisateurs peuvent utiliser la commande su pour devenir superutilisateur.
Si la console affiche une entrée similaire à Mar 16 16:20:36 mach1 login: ROOT LOGIN /dev/pts/14 FROM mach2.Example.COM, le système autorise les connexions root à distance. Pour empêcher l'accès superutilisateur à distance, modifiez l'entrée #CONSOLE=/dev/console en CONSOLE=/dev/console dans le fichier /etc/default/login.