Sécurisation du système

Il est recommandé d'effectuer les tâches suivantes dans l'ordre. A ce stade, le SE Oracle Solaris 11 est installé et seul l'utilisateur initial qui peut assumer le rôle root a accès au système.

Vérification des packages

Immédiatement après l'installation, validez l'installation en contrôlant les packages.

Avant de commencer

Vous devez être dans le rôle root.

1. Exécutez la commande pkg verify.

   Pour conserver un enregistrement, envoyez le résultat de la commande dans un fichier.

   # pkg verify > /var/pkgverifylog

2. Consultez le journal pour vérifier s'il y a des erreurs.
3. Si vous trouvez des erreurs, réinstallez à partir du média ou corrigez les erreurs.

Voir aussi

Pour plus d'informations, reportez-vous aux pages de manuel pkg(1) et pkg(5). Les pages de manuel présentent des exemples d'utilisation de la commande pkg verify.

Désactivation des services non utilisés

Cette procédure permet de désactiver les services qui, selon la finalité du système concerné, ne sont pas nécessaires.

Avant de commencer

Vous devez être dans le rôle root.

1. Répertoriez les services en ligne.

   # svcs | grep network
   online         Sep_07   svc:/network/loopback:default
   ...
   online         Sep_07   svc:/network/ssh:default

2. Désactivez les services qui ne sont pas requis par ce système.

   Par exemple, si le système n'est pas un serveur NFS ou un serveur Web et les services sont en ligne, désactivez-les.

   # svcadm disable svc:/network/nfs/server:default
   # svcadm disable svc:/network/http:apache22

Voir aussi

Pour plus d'informations, reportez-vous au Chapitre 6, Gestion des services (présentation) du manuel Administration d’Oracle Solaris : Tâches courantes et à la page de manuel svcs(1).

Désactivation de la possibilité pour les utilisateurs de gérer l'alimentation

Cette procédure permet d'empêcher les utilisateurs de ce système de le suspendre ou de le mettre hors tension.

Avant de commencer

Vous devez être dans le rôle root.

1. Passez en revue le contenu du profil de droits Console User (Utilisateur de la console).

   % getent prof_attr | grep Console
   Console User:RO::Manage System as the Console User:
   profiles=Desktop Removable Media User,Suspend To RAM,Suspend To Disk,
   Brightness,CPU Power Management,Network Autoconf User;
   auths=solaris.system.shutdown;help=RtConsUser.html

2. Créez un profil de droits comprenant tous les droits du profil Console User que les utilisateurs doivent conserver.

   Pour plus d'instructions, reportez-vous à la section Procédure de création ou de modification d’un profil de droits du manuel Administration d’Oracle Solaris : services de sécurité.

3. Mettez en commentaire le profil de droits Console User dans le fichier /etc/security/policy.conf.

   #CONSOLE_USER=Console User

4. Attribuez aux utilisateurs le profil de droits que vous avez créé au cours de l'Étape 2.

   # usermod -P +new-profile username

Voir aussi

Pour plus d'informations, reportez-vous à la section Fichier policy.conf du manuel Administration d’Oracle Solaris : services de sécurité et aux pages de manuel policy.conf(4) et usermod(1M).

Placement d'un message de sécurité dans les fichiers bannière

Cette procédure permet de créer des messages d'avertissement reflétant la stratégie de sécurité de votre site. Le contenu de ces fichiers s'affiche lors de la connexion locale et à distance.

Avant de commencer

Vous devez être dans le rôle root. La meilleure pratique consiste à consulter le conseil juridique de votre entreprise à propos du contenu du message de sécurité.

1. Saisissez un message de sécurité dans le fichier /etc/issue.

   # vi /etc/issue
         ALERT   ALERT   ALERT   ALERT   ALERT
   
   This machine is available to authorized users only.
   
   If you are an authorized user, continue. 
   
   Your actions are monitored, and can be recorded.

   Pour plus d'informations, reportez-vous à la page de manuel issue(4).

   Le programme telnet affiche le contenu du fichier /etc/issue en tant que message de connexion. Pour plus d'informations sur l'utilisation de ce fichier par d'autres applications, reportez-vous aux sections Afficher des messages de sécurité aux utilisateurs ssh et ftp et Placement d'un message de sécurité dans l'écran de connexion au bureau.

2. Ajoutez un message de sécurité au fichier /etc/motd.

   # vi /etc/motd
   This system serves authorized users only. Activity is monitored and reported.

Placement d'un message de sécurité dans l'écran de connexion au bureau

Vous avez le choix entre plusieurs méthodes de création d'un message de sécurité que les utilisateurs pourront consulter lors de la connexion.

Pour plus d'informations, cliquez sur le menu System (Système) > Help (Aide) du bureau pour faire apparaître le navigateur d'aide GNOME. Vous pouvez également utiliser la commande yelp. Les scripts de connexion au bureau sont traités dans la section GDM Login Scripts and Session Files de la page de manuel gdm(1M).

Avant de commencer

Vous devez être dans le rôle root. La meilleure pratique consiste à consulter le conseil juridique de votre entreprise à propos du contenu du message de sécurité.

• Placez un message de sécurité dans l'écran de connexion au bureau

  Vous disposez de plusieurs possibilités. Les possibilités qui créent une boîte de dialogue peuvent utiliser le fichier /etc/issue de l'Étape 1 de la section Placement d'un message de sécurité dans les fichiers bannière.

  • POSSIBILITE 1 : créez un fichier de bureau qui affiche le message de sécurité dans la boîte de dialogue lors de la connexion.

    # vi /usr/share/gdm/autostart/LoginWindow/banner.desktop
    [Desktop Entry]
    Type=Application
    Name=Banner Dialog
    Exec=/usr/bin/zenity --text-info --width=800 --height=300 \
    --title="Security Message" \
    --filename=/etc/issue
    OnlyShowIn=GNOME;
    X-GNOME-Autostart-Phase=Application

    Après s'être authentifié dans la fenêtre de connexion, l'utilisateur doit fermer la boîte de dialogue pour atteindre l'espace de travail. Pour connaître les options de la commande zenity, reportez-vous à la page de manuel zenity(1).

  • POSSIBILITE 2 : modifiez un script d'initialisation GDM pour afficher le message de sécurité dans une boîte de dialogue.

    Le répertoire /etc/gdm contient trois scripts d'initialisation qui affichent le message de sécurité avant, pendant et immédiatement après la connexion au bureau. Ces scripts sont également disponibles dans la version Oracle Solaris 10.

    • Affichez le message de sécurité avant l'apparition de l'écran de connexion.

      # vi /etc/gdm/Init/Default
      /usr/bin/zenity --text-info --width=800 --height=300 \
      --title="Security Message" \
      --filename=/etc/issue

    • Affichez le message de sécurité sur l'écran de connexion après l'authentification.

      Ce script s'exécute avant l'affichage de l'espace de travail de l'utilisateur. Vous modifiez le script Default.sample pour créer ce script.

      # vi /etc/gdm/PostLogin/Default
      /usr/bin/zenity --text-info --width=800 --height=300 \
      --title="Security Message" \
      --filename=/etc/issue

    • Affichez le message de sécurité dans l'espace de travail initial de l'utilisateur après l'authentification.

      # vi /etc/gdm/PreSession/Default
      /usr/bin/zenity --text-info --width=800 --height=300 \
      --title="Security Message" \
      --filename=/etc/issue

      ---

      Remarque - La boîte de dialogue peut être masquée par des fenêtres de l'espace de travail de l'utilisateur.

      ---

  • POSSIBILITE 3 : modifiez la fenêtre de connexion pour afficher le message de sécurité au -dessus du champ de saisie.

    La fenêtre de connexion s'agrandit pour s'adapter à votre message. Cette méthode ne pointe pas vers le fichier /etc/issue. Vous devez saisir le texte dans l'interface graphique.

    ---

    Remarque - La fenêtre de connexion, gdm-greeter-login-window.ui, est écrasée par les commandes pkg fix et pkg update. Pour conserver vos modifications, copiez le fichier vers un répertoire de fichiers de configuration et fusionnez-en les modifications avec le nouveau fichier après la mise à niveau du système. Pour plus d'informations, reportez-vous à la page de manuel pkg(5).

    ---

    1. Accédez au répertoire de l'interface utilisateur de la fenêtre de connexion.

       # cd /usr/share/gdm

    2. (Facultatif) Enregistrez une copie de l'interface utilisateur d'origine de la fenêtre de connexion.

       # cp gdm-greeter-login-window.ui /etc/gdm/gdm-greeter-login-window.ui.orig

    3. Ajoutez une étiquette à la fenêtre de connexion à l'aide du concepteur d'interface graphique de GNOME Toolkit.

       Le programme glade-3 ouvre le concepteur d'interface graphique de GTK+. Vous saisissez le message de sécurité dans une étiquette qui s'affiche au-dessus du champ de saisie de l'utilisateur.

       # /usr/bin/glade-3 /usr/share/gdm/gdm-greeter-login-window.ui

       Pour consulter le guide du concepteur d'interface graphique, cliquez sur Development (Développement) dans le navigateur d'aide GNOME. La page de manuel glade-3(1) est répertoriée sous Applications dans les pages de manuel.

    4. (Facultatif) Après avoir modifié l'interface utilisateur de la fenêtre de connexion, enregistrez une copie.

       # cp gdm-greeter-login-window.ui /etc/gdm/gdm-greeter-login-window.ui.site

Exemple 2-1 Création d'un court message d'avertissement qui s'affiche lors de la connexion au bureau

Dans cet exemple, l'administrateur saisit un court message en tant qu'argument de la commande zenity dans le fichier de bureau. L'administrateur utilise également l'option --warning, qui affiche une icône d'avertissement avec le message.

# vi /usr/share/gdm/autostart/LoginWindow/bannershort.desktop
[Desktop Entry]
Type=Application
Name=Banner Dialog
Exec=/usr/bin/zenity --warning --width=800  --height=150 --title="Security Message" \
--text="This system serves authorized users only. Activity is monitored and reported."
OnlyShowIn=GNOME;
X-GNOME-Autostart-Phase=Application