Ignorer les liens de navigation | |
Quitter l'aperu | |
Administration d'Oracle Solaris : services de sécurité Oracle Solaris 11 Information Library (Français) |
Partie I Présentation de la sécurité
1. Services de sécurité (présentation)
Partie II Sécurité du système, des fichiers et des périphériques
2. Gestion de la sécurité de la machine (présentation)
3. Contrôle de l'accès aux systèmes (tâches)
4. Service d'analyse antivirus (tâches)
5. Contrôle de l'accès aux périphériques (tâches)
Configuration des périphériques (liste des tâches)
Configuration de la stratégie de périphériques (tâches)
Configuration de la stratégie de périphériques (liste des tâches)
Procédure d'affichage de la stratégie de périphériques
Procédure de modification de la stratégie pour un périphérique existant
Procédure d'audit des modifications apportées à la stratégie de périphériques
Procédure de récupération d'informations IP MIB-II à partir d'un périphérique /dev/*
Gestion de l'allocation de périphériques (tâches)
Gestion de l'allocation des périphériques (liste des tâches)
Procédure d'activation de l'allocation de périphériques
Procédure d'autorisation des utilisateurs à allouer un périphérique
Procédure d'affichage d'informations d'allocation sur un périphérique
Allocation forcée d'un périphérique
Libération forcée d'un périphérique
Procédure de modification des périphériques pouvant être alloués
Procédure d'audit de l'allocation de périphériques
Allocation de périphériques (tâches)
Procédure d'allocation des périphériques
Procédure de montage d'un périphérique alloué
Procédure de libération des périphériques
Protection de périphériques (référence)
Commandes de la stratégie de périphériques
Composants de l'allocation de périphériques
Service d'allocation de périphériques
Profils de droits Device Allocation (allocation de périphériques)
Commandes d'allocation de périphériques
Scripts de nettoyage de périphériques
6. Utilisation de l'outil de génération de rapports d'audit de base (tâches)
7. Contrôle de l'accès aux fichiers (tâches)
Partie III Rôles, profils de droits et privilèges
8. Utilisation des rôles et des privilèges (présentation)
9. Utilisation du contrôle d'accès basé sur les rôles (tâches)
10. Attributs de sécurité dans Oracle Solaris (référence)
Partie IV Services cryptographiques
11. Structure cryptographique (présentation)
12. Structure cryptographique (tâches)
13. Structure de gestion des clés
Partie V Services d'authentification et communication sécurisée
14. Authentification des services réseau (tâches)
17. Utilisation de Secure Shell (tâches)
19. Introduction au service Kerberos
20. Planification du service Kerberos
21. Configuration du service Kerberos (tâches)
22. Messages d'erreur et dépannage de Kerberos
23. Administration des principaux et des stratégies Kerberos (tâches)
24. Utilisation des applications Kerberos (tâches)
25. Service Kerberos (référence)
Partie VII Audit dans Oracle Solaris
La stratégie de périphériques limite ou empêche l'accès aux périphériques faisant partie intégrante du système. La stratégie est appliquée dans le noyau.
La liste des tâches suivante présente les procédures de configuration des périphériques liées à la stratégie de périphériques.
|
% getdevpolicy | more DEFAULT read_priv_set=none write_priv_set=none ip:* read_priv_set=net_rawaccess write_priv_set=net_rawaccess …
Exemple 5-1 Affichage de la stratégie pour un périphérique spécifique
Dans cet exemple, la stratégie pour trois périphériques est affichée.
% getdevpolicy /dev/allkmem /dev/ipsecesp /dev/bge /dev/allkmem read_priv_set=all write_priv_set=all /dev/ipsecesp read_priv_set=sys_net_config write_priv_set=sys_net_config /dev/bge read_priv_set=net_rawaccess write_priv_set=net_rawaccess
Avant de commencer
Le profil de droits Device Security (sécurité des périphériques) doit vous avoir été attribué.
Pour plus d'informations, reportez-vous à la section Procédure d'obtention des droits d'administration.
# update_drv -a -p policy device-driver
Spécifie une policy pour un device-driver.
Stratégie de périphériques pour le device-driver. La stratégie de périphériques spécifie deux ensembles de privilèges. L'un des ensembles est nécessaire pour lire le périphérique, l'autre pour écrire dessus.
Pilote du périphérique.
Pour plus d'informations, reportez-vous à la page de manuel update_drv(1M).
Exemple 5-2 Ajout d'une stratégie à un périphérique existant
Dans l'exemple suivant, une stratégie est ajoutée au périphérique ipnat.
# getdevpolicy /dev/ipnat /dev/ipnat read_priv_set=none write_priv_set=none # update_drv -a \ -p 'read_priv_set=net_rawaccess write_priv_set=net_rawaccess' ipnat # getdevpolicy /dev/ipnat /dev/ipnat read_priv_set=net_rawaccess write_priv_set=net_rawaccess
Exemple 5-3 Suppression d'une stratégie d'un périphérique
Dans l'exemple suivant, l'ensemble de privilèges en lecture est supprimé de la stratégie de périphériques pour le périphérique ipnat.
# getdevpolicy /dev/ipnat /dev/ipnat read_priv_set=net_rawaccess write_priv_set=net_rawaccess # update_drv -a -p write_priv_set=net_rawaccess ipnat # getdevpolicy /dev/ipnat /dev/ipnat read_priv_set=none write_priv_set=net_rawaccess
Par défaut, la classe d'audit as inclut l'événement d'audit AUE_MODDEVPLCY.
Avant de commencer
Le profil de droits Audit Configuration (configuration d'audit) doit vous avoir été attribué.
Pour plus d'informations, reportez-vous à la section Procédure d'obtention des droits d'administration.
# auditconfig -getflags current-flags # auditconfig -setflags current-flags,as
Pour des instructions détaillées, reportez-vous à la section Procédure de présélection des classes d'audit.
Les applications qui récupèrent des informations d'Oracle Solaris IP MIB-II doivent ouvrir /dev/arp et pas /dev/ip.
% getdevpolicy /dev/ip /dev/arp /dev/ip read_priv_set=net_rawaccess write_priv_set=net_rawaccess /dev/arp read_priv_set=none write_priv_set=none
Notez que le privilège net_rawaccess est requis pour la lecture et l'écriture sur /dev/ip. Aucun privilège n'est requis pour /dev/arp.
Aucun privilège n'est requis. Cette méthode revient à ouvrir le fichier /dev/ip et à empiler les modules arp, tcp et udp. Etant donné que l'ouverture du fichier /dev/ip exige désormais un privilège, il est préférable d'utiliser la méthode du fichier /dev/arp.