Ignorer les liens de navigation | |
Quitter l'aperu | |
Administration d'Oracle Solaris : services de sécurité Oracle Solaris 11 Information Library (Français) |
Partie I Présentation de la sécurité
1. Services de sécurité (présentation)
Partie II Sécurité du système, des fichiers et des périphériques
2. Gestion de la sécurité de la machine (présentation)
3. Contrôle de l'accès aux systèmes (tâches)
4. Service d'analyse antivirus (tâches)
5. Contrôle de l'accès aux périphériques (tâches)
Configuration des périphériques (liste des tâches)
Configuration de la stratégie de périphériques (tâches)
Configuration de la stratégie de périphériques (liste des tâches)
Procédure d'affichage de la stratégie de périphériques
Procédure de modification de la stratégie pour un périphérique existant
Procédure d'audit des modifications apportées à la stratégie de périphériques
Procédure de récupération d'informations IP MIB-II à partir d'un périphérique /dev/*
Gestion de l'allocation de périphériques (tâches)
Gestion de l'allocation des périphériques (liste des tâches)
Procédure d'activation de l'allocation de périphériques
Procédure d'autorisation des utilisateurs à allouer un périphérique
Procédure d'affichage d'informations d'allocation sur un périphérique
Allocation forcée d'un périphérique
Libération forcée d'un périphérique
Procédure de modification des périphériques pouvant être alloués
Allocation de périphériques (tâches)
Procédure d'allocation des périphériques
Procédure de montage d'un périphérique alloué
Procédure de libération des périphériques
Protection de périphériques (référence)
Commandes de la stratégie de périphériques
Composants de l'allocation de périphériques
Service d'allocation de périphériques
Profils de droits Device Allocation (allocation de périphériques)
Commandes d'allocation de périphériques
Scripts de nettoyage de périphériques
6. Utilisation de l'outil de génération de rapports d'audit de base (tâches)
7. Contrôle de l'accès aux fichiers (tâches)
Partie III Rôles, profils de droits et privilèges
8. Utilisation des rôles et des privilèges (présentation)
9. Utilisation du contrôle d'accès basé sur les rôles (tâches)
10. Attributs de sécurité dans Oracle Solaris (référence)
Partie IV Services cryptographiques
11. Structure cryptographique (présentation)
12. Structure cryptographique (tâches)
13. Structure de gestion des clés
Partie V Services d'authentification et communication sécurisée
14. Authentification des services réseau (tâches)
17. Utilisation de Secure Shell (tâches)
19. Introduction au service Kerberos
20. Planification du service Kerberos
21. Configuration du service Kerberos (tâches)
22. Messages d'erreur et dépannage de Kerberos
23. Administration des principaux et des stratégies Kerberos (tâches)
24. Utilisation des applications Kerberos (tâches)
25. Service Kerberos (référence)
Partie VII Audit dans Oracle Solaris
L'allocation des périphériques restreint ou empêche l'accès aux périphériques. Les restrictions sont appliquées lors de l'allocation des utilisateurs. Par défaut, les utilisateurs doivent avoir l'autorisation d'accéder aux périphériques allouables.
La liste des tâches suivante présente les procédures permettant d'activer et de configurer l'allocation de périphériques. L'allocation de périphériques n'est pas activée par défaut. Une fois l'allocation de périphériques activée, reportez-vous à la section Allocation de périphériques (tâches) pour obtenir les instructions relatives à l'allocation des périphériques.
|
Avant de commencer
Le profil de droits Device Security (sécurité des périphériques) doit vous avoir été attribué.
Pour plus d'informations, reportez-vous à la section Procédure d'obtention des droits d'administration.
# svcadm enable svc:/system/device/allocate # svcs -x allocate svc:/system/device/allocate:default (device allocation) State: online since September 10, 2011 01:10:11 PM PDT See: allocate(1) See: deallocate(1) See: list_devices(1) See: device_allocate(1M) See: mkdevalloc(1M) See: mkdevmaps(1M) See: dminfo(1M) See: device_maps(4) See: /var/svc/log/system-device-allocate:default.log Impact: None.
Pour désactiver le service d'allocation de périphériques, exécutez la sous-commande disable.
# svcadm disable device/allocate
Avant de commencer
Le profil de droits User Security (sécurité des utilisateurs) doit vous avoir été attribué.
Pour plus d'informations, reportez-vous à la section Procédure d'obtention des droits d'administration.
Généralement, vous créez un profil de droits qui inclut l'autorisation solaris.device.allocate. Suivez les instructions fournies à la section Procédure de création ou de modification d'un profil de droits. Donnez au profil de droits les propriétés appropriées, telles que les suivantes :
Nom du profil de droits : Device Allocation
Autorisations accordées : solaris.device.allocate
Commandes avec attributs de sécurité : dans la base de données exec_attr, mount avec le privilège sys_mount et umount avec le privilège sys_mount
Suivez les instructions fournies à la section Procédure de création d'un rôle. Utilisez les propriétés de rôle suivantes, données à titre d'exemple :
Nom de rôle : devicealloc
Nom de rôle complet : Device Allocator
Description du rôle : Allocates and mounts allocated devices
Profil de droits : Device Allocation
Ce profil de droits doit figurer en tête de la liste des profils inclus dans le rôle.
Pour consulter des exemples d'allocation de média amovible, reportez-vous à la section Procédure d'allocation des périphériques.
Avant de commencer
Vous avez terminé Procédure d'activation de l'allocation de périphériques.
Le profil de droits Device Security (sécurité des périphériques) doit vous avoir été attribué.
Pour plus d'informations, reportez-vous à la section Procédure d'obtention des droits d'administration.
# list_devices device-name
où device-name est l'un des suivants :
audio[n] : microphone et haut-parleur.
fd[n] : unité de disquette.
rmdisk[n] : périphérique de média amovible.
sr[n] : unité de CD-ROM.
st[n] : lecteur de bande.
Erreurs fréquentes
Si la commande list__devices renvoie un message d'erreur identique au suivant, soit l'allocation de périphériques n'est pas activée, soit vous ne disposez pas des autorisations suffisantes pour récupérer les informations.
list_devices: No device maps file entry for specified device.
Pour que la commande s'exécute correctement, activez l'allocation de périphériques et prenez un rôle bénéficiant de l'autorisation solaris.device.revoke.
L'allocation forcée est utilisée lorsque quelqu'un a oublié de libérer un périphérique. L'allocation forcée peut également être utilisée lorsqu'un utilisateur a un besoin immédiat d'un périphérique.
Avant de commencer
L'autorisation solaris.device.revoke doit vous avoir été attribuée.
$ auths solaris.device.allocate solaris.device.revoke
Dans cet exemple, le lecteur de bande est alloué de force à l'utilisateur jdoe.
$ allocate -U jdoe
Les périphériques alloués à un utilisateur ne sont pas automatiquement libérés lorsque le processus se termine ou lorsque l'utilisateur se déconnecte. La libération forcée est utilisée lorsque quelqu'un a oublié de libérer un périphérique.
Avant de commencer
L'autorisation solaris.device.revoke doit vous avoir été attribuée.
$ auths solaris.device.allocate solaris.device.revoke
Dans cet exemple, la libération de l'imprimante est forcée. L'imprimante est désormais disponible pour l'allocation par un autre utilisateur.
$ deallocate -f /dev/lp/printer-1
Avant de commencer
L'allocation de périphériques doit être activée pour cette procédure s'exécute correctement. Pour activer l'allocation de périphériques, reportez-vous à la section Procédure d'activation de l'allocation de périphériques. Vous devez être connecté en tant que superutilisateur.
Modifiez le cinquième champ dans l'entrée de périphérique du fichier device__allocate.
audio;audio;reserved;reserved;solaris.device.allocate;/etc/security/lib/audio_clean fd0;fd;reserved;reserved;solaris.device.allocate;/etc/security/lib/fd_clean sr0;sr;reserved;reserved;solaris.device.allocate;/etc/security/lib/sr_clean
où solaris.device.allocate indique qu'un utilisateur doit disposer de l'autorisation solaris.device.allocate pour utiliser le périphérique.
Exemple 5-4 Attribution de l'autorisation d'allouer un périphérique à n'importe quel utilisateur
Dans l'exemple suivant, tous les utilisateurs du système peuvent allouer tous les périphériques. Le cinquième champ de chaque entrée de périphérique dans le fichier device_allocate a été remplacé par un signe arobase (@).
# vi /etc/security/device_allocate audio;audio;reserved;reserved;@;/etc/security/lib/audio_clean fd0;fd;reserved;reserved;@;/etc/security/lib/fd_clean sr0;sr;reserved;reserved;@;/etc/security/lib/sr_clean …
Exemple 5-5 Interdiction d'utilisation de certains périphériques
Dans l'exemple suivant, le périphérique audio ne peut pas être utilisé. Le cinquième champ de l'entrée de périphérique audio dans le fichier device_allocate a été remplacé par un astérisque (*).
# vi /etc/security/device_allocate audio;audio;reserved;reserved;*;/etc/security/lib/audio_clean fd0;fd;reserved;reserved;solaris device.allocate;/etc/security/lib/fd_clean sr0;sr;reserved;reserved;solaris device.allocate;/etc/security/lib/sr_clean …
Exemple 5-6 Interdiction d'utilisation de tous les périphériques
Dans l'exemple ci-dessous, aucun périphérique ne peut être utilisé. Le cinquième champ de chaque entrée de périphérique dans le fichier device_allocate a été remplacé par un astérisque (*).
# vi /etc/security/device_allocate audio;audio;reserved;reserved;*;/etc/security/lib/audio_clean fd0;fd;reserved;reserved;*;/etc/security/lib/fd_clean sr0;sr;reserved;reserved;*;/etc/security/lib/sr_clean …
Par défaut, les commandes d'allocation de périphériques se trouvent dans la classe d'audit other.
Avant de commencer
Le profil de droits Audit Configuration (configuration d'audit) doit vous avoir été attribué.
Pour plus d'informations, reportez-vous à la section Procédure d'obtention des droits d'administration.
# auditconfig -getflags current-flags # auditconfig -setflags current-flags,ot
Pour des instructions détaillées, reportez-vous à la section Procédure de présélection des classes d'audit.