Sécurisation des utilisateurs

A ce stade, seul l'utilisateur initial qui peut assumer le rôle root a accès au système. Il est conseillé d'effectuer les tâches suivantes dans l'ordre avant que les utilisateurs standard ne puissent se connecter.

Définition de contraintes de mot de passe renforcées

Cette procédure permet de modifier les valeurs par défaut si elles ne satisfont pas aux exigences de sécurité du site. Les étapes suivent la liste des entrées du fichier /etc/default/passwd.

Avant de commencer

Avant de modifier les valeurs par défaut, assurez-vous que les modifications permettent à tous les utilisateurs de s'authentifier auprès de leurs applications et sur d'autres systèmes du réseau.

Vous devez être dans le rôle root.

• Modifiez le fichier /etc/default/passwd.
  1. Exigez que les utilisateurs changent leur mot de passe tous les mois, mais pas plus souvent que toutes les trois semaines.

     ## /etc/default/passwd
     ##
     MAXWEEKS=
     MINWEEKS=
     MAXWEEKS=4
     MINWEEKS=3

  2. Exigez un mot de passe d'au moins huit caractères.

     #PASSLENGTH=6
     PASSLENGTH=8

  3. Conservez un historique des mots de passe.

     #HISTORY=0
     HISTORY=10

  4. Exigez une différence minimale par rapport au dernier mot de passe.

     #MINDIFF=3
     MINDIFF=4

  5. Exigez une majuscule au minimum.

     #MINUPPER=0
     MINUPPER=1

  6. Exigez un chiffre au minimum.

     #MINDIGIT=0
     MINDIGIT=1

Voir aussi

• Pour la liste des variables qui restreignent la création des mots de passe, reportez-vous au fichier /etc/default/passwd. Les valeurs par défaut sont indiquées dans le fichier.

• Pour les contraintes de mot de passe en vigueur après l'installation, reportez-vous à la rubrique Accès au système limité et contrôlé .

• Page de manuel passwd(1)

Activation du verrouillage de compte pour les utilisateurs standard

Cette procédure permet de verrouiller des comptes d'utilisateurs standard après un certain nombre d'échecs de tentatives de connexion.

Avant de commencer

Vous devez être dans le rôle root. Ne définissez pas cette protection à l'échelle du système sur un système que vous utilisez pour des activités d'administration.

1. Définissez l'attribut LOCK_AFTER_RETRIES sur OUI.
   • Effectuez l'activation à l'échelle du système.

     # vi /etc/security/policy.conf
     ...
     #LOCK_AFTER_RETRIES=NO
     LOCK_AFTER_RETRIES=YES
     ...

   • Effectuez l'activation pour un utilisateur.

     # usermod -K lock_after_retries=yes username

2. Définissez l'attribut de sécurité RETRIES sur 3 .

   # vi /etc/default/login
   ...
   #RETRIES=5
   RETRIES=3
   ...

Voir aussi

• Pour une description des attributs de sécurité des utilisateurs et des rôles, reportez-vous au Chapitre 10, Attributs de sécurité dans Oracle Solaris (référence) du manuel Administration d’Oracle Solaris : services de sécurité.

• Pages de manuel connexes : policy.conf(4) et user_attr(4).

Définition d'une valeur umask plus restrictive pour les utilisateurs standard

Si la valeur umask par défaut, 022, n'est pas assez restrictive, la procédure décrite ici permet de définir un masque plus restrictif à l'aide de la procédure décrite ici.

Avant de commencer

Vous devez être dans le rôle root.

• Modifiez la valeur umask dans les profils de connexion dans les répertoires squelette pour les différents shells.

  Oracle Solaris fournit des répertoires dans lesquels les administrateurs peuvent personnaliser les valeurs par défaut des shells utilisateur. Les répertoires squelette incluent des fichiers tels que des fichiers .profile , .bashrc et .kshrc.

  Choisissez l'une des valeurs suivantes :

  • umask 027 : offre une protection modérée des fichiers

    (740) : w pour le groupe, rwx pour les autres utilisateurs

  • umask 026 : offre une protection légèrement renforcée des fichiers

    (741) : w pour le groupe, rw pour les autres utilisateurs

  • umask 077 : offre une protection complète des fichiers

    (700) : pas d'accès pour le groupe ni d'autres personnes

Voir aussi

Pour plus d'informations, reportez-vous aux références suivantes :

• Configuration de comptes utilisateur du manuel Administration d’Oracle Solaris : Tâches courantes

• Valeur umask par défaut du manuel Administration d’Oracle Solaris : services de sécurité

• Pages de manuel connexes : usermod(1M) et umask(1).

Réalisation d'un audit des événements importants en plus de la connexion/déconnexion

Cette procédure permet d'effectuer un audit des commandes d'administration, des tentatives de pénétration du système et d'autres événements importants spécifiés dans la stratégie de sécurité du site.

Avant de commencer

Vous devez être dans le rôle root. Vous mettez en oeuvre la stratégie de sécurité de votre site en matière d'audit.

1. Réalisation d'un audit de toutes les utilisations de commandes privilégiées faites par des utilisateurs et des rôles.

   Ajoutez l'événement d'audit AUE_PFEXEC au masque de présélection de tous les utilisateurs et rôles.

   # usermod -K audit_flags=lo,ps:no username

   # rolemod -K audit_flags=lo,ps:no rolename

2. Enregistrement des arguments saisis pour les commandes auditées.

   # auditconfig -setpolicy +argv

3. Enregistrement de l'environnement dans lequel les commandes ayant fait l'objet d'un audit sont exécutées.

   # auditconfig -setpolicy +arge

Voir aussi

• Pour plus d'informations sur la stratégie d'audit, reportez-vous à Stratégie d’audit du manuel Administration d’Oracle Solaris : services de sécurité.

• Pour consulter des exemples de configuration des indicateurs d'audit, reportez-vous à la section Configuration du service d’audit (tâches) du manuel Administration d’Oracle Solaris : services de sécurité et à la section Dépannage du service d’audit (tâches) du manuel Administration d’Oracle Solaris : services de sécurité.

• Pour configurer l'audit, reportez-vous à la page de manuel auditconfig(1M).

Surveillance en temps réel des événements lo

Cette procédure permet d'activer le plug-in audit_syslog pour les événements que vous souhaitez surveiller au moment même où ils se produisent.

Avant de commencer

Vous devez être dans le rôle root pour modifier le fichier syslog.conf. D'autres étapes nécessitent le profil de droits Audit Configuration (Configuration d'audit).

1. Envoyez la classe lo vers le plug-in audit_syslog et activez le plug-in.

   # auditconfig -setplugin audit_syslog active p_flags=lo

2. Ajoutez une entrée audit.notice au fichier syslog.conf.

   L'entrée par défaut inclut l'emplacement du fichier journal.

   # cat /etc/syslog.conf
   …
   audit.notice       /var/adm/auditlog

3. Créez le fichier journal.

   # touch /var/adm/auditlog

4. Actualisez les informations de configuration du service syslog.

   # svcadm refresh system/system-log

5. Actualisez le service d'audit.

   Le service d'audit lit les modifications apportées au plug-in d'audit lors de l'actualisation.

   # audit -s

Voir aussi

• Pour envoyer les récapitulatifs d'audit à un autre système, reportez-vous à l'exemple suivant Procédure de configuration des journaux d’audit syslog du manuel Administration d’Oracle Solaris : services de sécurité.

• Le service d'audit peut générer une sortie volumineuse. Pour gérer les journaux, reportez-vous à la page de manuel logadm(1M).

• Pour surveiller la sortie, reportez-vous à Contrôle des récapitulatifs d'audit audit_syslog.

Suppression de privilèges de base non utilisés des utilisateurs

Dans certaines circonstances, il est possible de supprimer un ou plusieurs des trois privilèges suivants faisant partie de l'ensemble des privilèges de base des utilisateurs standard.

• file_link_any : permet à un processus de créer des liens physiques vers des fichiers appartenant à un ID utilisateur différent de l'ID utilisateur effectif du processus.

• proc_info : permet à un processus d'examiner l'état des processus autres que ceux auxquels il peut envoyer des signaux. Les processus qui ne peuvent pas être examinés ne sont pas visibles dans /proc et sont considérés comme inexistants.

• proc_session : permet à un processus d'envoyer des signaux ou de suivre des processus externes à sa propre session.

Avant de commencer

Vous devez être dans le rôle root.

1. Empêcher un utilisateur de créer un lien vers un fichier dont l'utilisateur n'est pas propriétaire.

   # usermod -K defaultpriv=basic,!file_link_any user

2. Empêcher un utilisateur d'examiner des processus dont il n'est pas propriétaire.

   # usermod -K defaultpriv=basic,!proc_info user

3. Empêcher un utilisateur de démarrer une seconde session telle qu'une session ssh par exemple à partir de la session en cours.

   # usermod -K defaultpriv=basic,!proc_session user

4. Supprimer les trois privilèges de l'ensemble de privilèges de base d'un utilisateur.

   # usermod -K defaultpriv=basic,!file_link_any,!proc_info,!proc_session user

Voir aussi

Pour plus d'informations, reportez-vous au Chapitre 8, Utilisation des rôles et des privilèges (présentation) du manuel Administration d’Oracle Solaris : services de sécurité et à la page de manuel privileges(5).