Ignorer les liens de navigation | |
Quitter l'aperu | |
Directives de sécurité d'Oracle Solaris 11 Oracle Solaris 11 Information Library (Français) |
1. Présentation de la sécurité d'Oracle Solaris 11
2. Configuration de la sécurité d'Oracle Solaris 11
Installation du SE Oracle Solaris
Désactivation des services non utilisés
Désactivation de la possibilité pour les utilisateurs de gérer l'alimentation
Placement d'un message de sécurité dans les fichiers bannière
Placement d'un message de sécurité dans l'écran de connexion au bureau
Définition de contraintes de mot de passe renforcées
Activation du verrouillage de compte pour les utilisateurs standard
Définition d'une valeur umask plus restrictive pour les utilisateurs standard
Réalisation d'un audit des événements importants en plus de la connexion/déconnexion
Surveillance en temps réel des événements lo
Suppression de privilèges de base non utilisés des utilisateurs
Afficher des messages de sécurité aux utilisateurs ssh et ftp
Désactivation du démon de routage réseau
Désactivation du transfert de paquets de diffusion
Désactivation des réponses aux demandes d'écho
Définition du multiréseau strict
Définition du nombre maximal de connexions TCP incomplètes
Définition du nombre maximal de connexions TCP en attente
Spécification d'un numéro aléatoire fort pour la connexion TCP initiale
Protection des systèmes de fichiers et des fichiers
Protection et modification de fichiers
Sécurisation des applications et des services
Création de zones contenant les applications essentielles
Gestion des ressources dans les zones
Configuration d'IPsec et d'IKE
Ajout de SMF à un service hérité
Création d'un instantané BART du système
Ajout d'une sécurité (étiquetée) multiniveau
Configuration de Trusted Extensions
Configuration d'IPsec avec étiquettes
3. Surveillance et maintenance de la sécurité d'Oracle Solaris 11
A ce stade, vous avez peut-être créé des utilisateurs qui peuvent assumer des rôles et créé les rôles. Seul le rôle root peut modifier les fichiers système.
Parmi les tâches réseau suivantes, effectuez celles qui fournissent une sécurité supplémentaire en fonction des exigences de votre site. Ces tâches réseau notifient les utilisateurs qui se connectent à distance que le système est protégé et renforcent les protocoles IP, ARP et TCP.
|
Utilisez cette procédure pour afficher des messages de sécurité lors de la connexion à distance et du transfert de fichier.
Avant de commencer
Vous devez être dans le rôle root. Vous avez créé le fichier /etc/issue au cours de l'Étape 1 de la section Placement d'un message de sécurité dans les fichiers bannière.
# vi /etc/ssh/sshd_config # Banner to be printed before authentication starts. Banner /etc/issue
# svcadm refresh ssh
Pour plus d'informations, reportez-vous aux pages de manuel issue(4) et sshd_config(4).
# vi /etc/proftpd.conf # Banner to be printed before authentication starts. DisplayConnect /etc/issue
# svcadm restart ftp
Pour plus d'informations, reportez-vous au site Web ProFTPD.
Cette procédure permet d'empêcher le routage réseau après l'installation en spécifiant un routeur par défaut. Cette procédure peut aussi être effectuée après une configuration manuelle du routage.
Remarque - De nombreuses procédures de configuration requièrent la désactivation du démon de routage. Vous avez donc peut-être désactivé ce démon dans le cadre d'une procédure de configuration générale.
Avant de commencer
Le profil de droits Network Management (Gestion du réseau) doit vous avoir été attribué.
# svcs -x svc:/network/routing/route:default svc:/network/routing/route:default (in.routed network routing daemon) State: online since April 10, 2011 05:15:35 AM PDT See: in.routed(1M) See: /var/svc/log/network-routing-route:default.log Impact: None.
Si le service n'est pas en cours d'exécution, vous pouvez vous arrêter ici.
# routeadm -d ipv4-forwarding -d ipv6-forwarding # routeadm -d ipv4-routing -d ipv6-routing # routeadm -u
# svcs -x routing/route:default svc:/network/routing/route:default (in.routed network routing daemon) State: disabled since April 11, 2011 10:10:10 AM PDT Reason: Disabled by an administrator. See: http://sun.com/msg/SMF-8000-05 See: in.routed(1M) Impact: This service is not running.
Voir aussi
Page de manuel routeadm(1M)
Par défaut, Oracle Solaris transmet les paquets de diffusion. Si la stratégie de sécurité de votre site exige une réduction du risque de saturation par diffusions, modifiez la valeur par défaut à l'aide de cette procédure.
Remarque - En désactivant la propriété _forward_directed_broadcasts, vous désactivez les commandes ping des diffusions.
Avant de commencer
Le profil de droits Network Management (Gestion du réseau) doit vous avoir été attribué.
# ipadm set-prop -p _forward_directed_broadcasts=0 ip
# ipadm show-prop -p _forward_directed_broadcasts ip PROTO PROPERTY PERM CURRENT PERSISTENT DEFAULT POSSIBLE ip _forward_directed_broadcasts rw 0 -- 0 0,1
Voir aussi
Page de manuel ipadm(1M)
Cette procédure permet d'empêcher la diffusion d'informations sur la topologie du réseau.
Avant de commencer
Le profil de droits Network Management (Gestion du réseau) doit vous avoir été attribué.
# ipadm set-prop -p _respond_to_echo_broadcast=0 ip # ipadm show-prop -p _respond_to_echo_broadcast ip PROTO PROPERTY PERM CURRENT PERSISTENT DEFAULT POSSIBLE ip _respond_to_echo_broadcast rw 0 -- 1 0,1
# ipadm set-prop -p _respond_to_echo_multicast=0 ipv4 # ipadm set-prop -p _respond_to_echo_multicast=0 ipv6 # ipadm show-prop -p _respond_to_echo_multicast ipv4 PROTO PROPERTY PERM CURRENT PERSISTENT DEFAULT POSSIBLE ipv4 _respond_to_echo_multicast rw 0 -- 1 0,1 # ipadm show-prop -p _respond_to_echo_multicast ipv6 PROTO PROPERTY PERM CURRENT PERSISTENT DEFAULT POSSIBLE ipv6 _respond_to_echo_multicast rw 0 -- 1 0,1
Voir aussi
Pour plus d'informations, reportez-vous à la section _respond_to_echo_broadcast et _respond_to_echo_multicast (ipv4 ou ipv6) du manuel Manuel de référence des paramètres réglables Oracle Solaris et à la page de manuel ipadm(1M).
Pour les systèmes constituant des passerelles vers d'autres domaines, tels qu'un pare-feu ou un noeud de réseau privé virtuel (VPN), cette procédure permet d'activer les systèmes multiréseau stricts.
La version Oracle Solaris 11 présente une nouvelle propriété appelée hostmodel pour IPv4 et IPv6. Cette propriété contrôle le comportement d'envoi et de réception de paquets IP sur un système multiréseau.
Avant de commencer
Le profil de droits Network Management (Gestion du réseau) doit vous avoir été attribué.
# ipadm set-prop -p hostmodel=strong ipv4 # ipadm set-prop -p hostmodel=strong ipv6
# ipadm show-prop -p hostmodel ip PROTO PROPERTY PERM CURRENT PERSISTENT DEFAULT POSSIBLE ipv6 hostmodel rw strong strong weak strong,src-priority,weak ipv4 hostmodel rw strong strong weak strong,src-priority,weak
Voir aussi
Pour plus d'informations, reportez-vous à la section hostmodel (ipv4 ou ipv6) du manuel Manuel de référence des paramètres réglables Oracle Solaris et à la page de manuel ipadm(1M).
Pour plus d'informations à propos du multiréseau, reportez-vous à la section Procédure de protection d’un VPN avec IPsec en mode Tunnel du manuel Administration d’Oracle Solaris : Services IP.
Cette procédure permet d'empêcher les attaques par déni de service en contrôlant le nombre de connexions en attente incomplètes.
Avant de commencer
Le profil de droits Network Management (Gestion du réseau) doit vous avoir été attribué.
# ipadm set-prop -p _conn_req_max_q0=4096 tcp
# ipadm show-prop -p _conn_req_max_q0 tcp PROTO PROPERTY PERM CURRENT PERSISTENT DEFAULT POSSIBLE tcp _conn_req_max_q0 rw 4096 -- 128 1-4294967295
Voir aussi
Pour plus d'informations, reportez-vous à la section _conn_req_max_q0 du manuel Manuel de référence des paramètres réglables Oracle Solaris et à la page de manuel ipadm(1M).
Cette procédure permet d'empêcher les attaques par déni de service en contrôlant le nombre de connexions entrantes autorisées.
Avant de commencer
Le profil de droits Network Management (Gestion du réseau) doit vous avoir été attribué.
# ipadm set-prop -p _conn_req_max_q=1024 tcp
# ipadm show-prop -p _conn_req_max_q tcp PROTO PROPERTY PERM CURRENT PERSISTENT DEFAULT POSSIBLE tcp _conn_req_max_q rw 1024 -- 128 1-4294967295
Voir aussi
Pour plus d'informations, reportez-vous à _conn_req_max_q du manuel Manuel de référence des paramètres réglables Oracle Solaris et à la page de manuel ipadm(1M).
Cette procédure définit le paramètre de génération du numéro de séquence initial TCP de manière à ce qu'il soit conforme à RFC 1948.
Avant de commencer
Vous devez être dans le rôle root pour modifier un fichier système.
# vi /etc/default/inetinit # TCP_STRONG_ISS=1 TCP_STRONG_ISS=2
De nombreux paramètres réseau sécurisés par défaut sont réglables et peuvent donc être modifiés. Si les conditions du site le permettent, restaurez les valeurs par défaut des paramètres réglables suivants.
Avant de commencer
Le profil de droits Network Management (Gestion du réseau) doit vous avoir été attribué. La valeur actuelle du paramètre est moins sûre que la valeur par défaut.
La valeur par défaut empêche les attaques par déni de service provenant de paquets falsifiés.
# ipadm set-prop -p _forward_src_routed=0 ipv4 # ipadm set-prop -p _forward_src_routed=0 ipv6 # ipadm show-prop -p _forward_src_routed ipv4 PROTO PROPERTY PERM CURRENT PERSISTENT DEFAULT POSSIBLE ipv4 _forward_src_routed rw 0 -- 0 0,1 # ipadm show-prop -p _forward_src_routed ipv6 PROTO PROPERTY PERM CURRENT PERSISTENT DEFAULT POSSIBLE ipv6 _forward_src_routed rw 0 -- 0 0,1
Pour plus d'informations, reportez-vous à la section forwarding (ipv4 ou ipv6) du manuel Manuel de référence des paramètres réglables Oracle Solaris.
La valeur par défaut empêche la diffusion d'informations sur la topologie du réseau.
# ipadm set-prop -p _respond_to_address_mask_broadcast=0 ip # ipadm show-prop -p _respond_to_address_mask_broadcast ip PROTO PROPERTY PERM CURRENT PERSISTENT DEFAULT POSSIBLE ip _respond_to_address_mask_broadcast rw 0 -- 0 0,1
La valeur par défaut supprime les demandes supplémentaires des unités centrales par rapport aux systèmes et empêche la diffusion d'informations sur le réseau.
# ipadm set-prop -p _respond_to_timestamp=0 ip # ipadm show-prop -p _respond_to_timestamp ip PROTO PROPERTY PERM CURRENT PERSISTENT DEFAULT POSSIBLE ip _respond_to_timestamp rw 0 -- 0 0,1
La valeur par défaut supprime les demandes supplémentaires des unités centrales par rapport aux systèmes et empêche la diffusion d'informations sur le réseau.
# ipadm set-prop -p _respond_to_timestamp_broadcast=0 ip # ipadm show-prop -p _respond_to_timestamp_broadcast ip PROTO PROPERTY PERM CURRENT PERSISTENT DEFAULT POSSIBLE ip _respond_to_timestamp_broadcast rw 0 -- 0 0,1
La valeur par défaut empêche les demandes supplémentaires des unités centrales par rapport aux systèmes.
# ipadm set-prop -p _ignore_redirect=0 ipv4 # ipadm set-prop -p _ignore_redirect=0 ipv6 # ipadm show-prop -p _ignore_redirect ipv4 PROTO PROPERTY PERM CURRENT PERSISTENT DEFAULT POSSIBLE ipv4 _ignore_redirect rw 0 -- 0 0,1 # ipadm show-prop -p _ignore_redirect ipv6 PROTO PROPERTY PERM CURRENT PERSISTENT DEFAULT POSSIBLE ipv6 _ignore_redirect rw 0 -- 0 0,1
Si vous avez besoin du routage de source IP à des fins de diagnostic, ne désactivez pas ce paramètre réseau.
# ipadm set-prop -p _rev_src_routes=0 tcp # ipadm show-prop -p _rev_src_routes tcp PROTO PROPERTY PERM CURRENT PERSISTENT DEFAULT POSSIBLE tcp _rev_src_routes rw 0 -- 0 0,1
Pour plus d'informations, reportez-vous à la section _rev_src_routes du manuel Manuel de référence des paramètres réglables Oracle Solaris.
La valeur par défaut empêche les demandes supplémentaires des unités centrales par rapport aux systèmes. Normalement, les réacheminements ne sont pas nécessaires sur un réseau bien conçu.
# ipadm set-prop -p _ignore_redirect=0 ipv4 # ipadm set-prop -p _ignore_redirect=0 ipv6 # ipadm show-prop -p _ignore_redirect ipv4 PROTO PROPERTY PERM CURRENT PERSISTENT DEFAULT POSSIBLE ipv4 _ignore_redirect rw 0 -- 0 0,1 # ipadm show-prop -p _ignore_redirect ipv6 PROTO PROPERTY PERM CURRENT PERSISTENT DEFAULT POSSIBLE ipv6 _ignore_redirect rw 0 -- 0 0,1
Voir aussi
Page de manuel ipadm(1M)