Ignorer les liens de navigation | |
Quitter l'aperu | |
Administration d'Oracle Solaris : services de sécurité Oracle Solaris 11 Information Library (Français) |
Partie I Présentation de la sécurité
1. Services de sécurité (présentation)
Partie II Sécurité du système, des fichiers et des périphériques
2. Gestion de la sécurité de la machine (présentation)
3. Contrôle de l'accès aux systèmes (tâches)
4. Service d'analyse antivirus (tâches)
5. Contrôle de l'accès aux périphériques (tâches)
6. Utilisation de l'outil de génération de rapports d'audit de base (tâches)
7. Contrôle de l'accès aux fichiers (tâches)
Partie III Rôles, profils de droits et privilèges
8. Utilisation des rôles et des privilèges (présentation)
9. Utilisation du contrôle d'accès basé sur les rôles (tâches)
10. Attributs de sécurité dans Oracle Solaris (référence)
Partie IV Services cryptographiques
11. Structure cryptographique (présentation)
12. Structure cryptographique (tâches)
13. Structure de gestion des clés
Partie V Services d'authentification et communication sécurisée
14. Authentification des services réseau (tâches)
Avantages de l'utilisation de PAM
Présentation de la structure PAM
Modifications apportées à la structure des modules PAM pour cette version
Planification de la mise en oeuvre PAM
Procédure d'ajout d'un module PAM
Procédure d'interdiction de l'accès rhost à partir de systèmes distants avec PAM
Syntaxe du fichier de configuration PAM
Fonctionnement de la superposition PAM
17. Utilisation de Secure Shell (tâches)
19. Introduction au service Kerberos
20. Planification du service Kerberos
21. Configuration du service Kerberos (tâches)
22. Messages d'erreur et dépannage de Kerberos
23. Administration des principaux et des stratégies Kerberos (tâches)
24. Utilisation des applications Kerberos (tâches)
25. Service Kerberos (référence)
Partie VII Audit dans Oracle Solaris
Cette section examine certaines tâches qui peuvent être nécessaires pour que la structure PAM utilise une stratégie de sécurité spécifique. Sachez que certains problèmes de sécurité sont associés au fichier de configuration PAM. Pour plus d'informations sur les problèmes de sécurité, reportez-vous à la section Planification de la mise en oeuvre PAM.
|
Tel qu'il est livré, le fichier de configuration pam.conf met en oeuvre la stratégie de sécurité standard. Cette stratégie doit fonctionner dans de nombreuses situations. Si vous avez besoin d'appliquer une stratégie de sécurité différente, prenez en compte les points suivants :
Identifiez vos besoins, en particulier les modules de service PAM que vous devez sélectionner.
Identifiez les services qui nécessitent une configuration spéciale. Utilisez other, si nécessaire.
Décidez de l'ordre d'exécution des modules.
Sélectionnez l'indicateur de contrôle pour chaque module. Pour plus d'informations sur tous les indicateurs de contrôle, reportez-vous à la section Fonctionnement de la superposition PAM.
Choisissez les options nécessaires pour chaque module. La page de manuel pour chaque module doit répertorier toutes les options spéciales.
Voici quelques suggestions à prendre en compte avant de modifier le fichier de configuration PAM :
Utilisez les entrées other pour chaque type de module afin de ne pas devoir inclure chaque application dans le fichier /etc/pam.conf.
Veillez à prendre en compte les implications en matière de sécurité des indicateurs de contrôle bind, sufficient et optional.
Prenez connaissance des pages de manuel associées aux modules. Elles peuvent vous aider à mieux comprendre le fonctionnement de chaque module, la disponibilité des options et les interactions entre modules empilés.
Attention - Si le fichier de configuration PAM est mal configuré ou corrompu, aucun utilisateur n'est en mesure de se connecter. Etant donné que la commande sulogin n'utilise pas PAM, le mot de passe root est alors nécessaire pour initialiser la machine en mode monoutilisateur et résoudre le problème. |
Une fois le fichier /etc/pam.conf modifié, révisez-le autant que possible tant que votre accès au système vous permet de résoudre les problèmes. Testez toutes les commandes sur lesquelles vos modifications ont peut-être eu une incidence. Si vous ajoutez par exemple un module au service telnet, vous devez utiliser la commande telnet et vérifier que le service se comporte comme attendu, suite à vos modifications.
Cette procédure indique comment ajouter un nouveau module PAM. Vous pouvez créer des modules pour prendre en charge des applications tierces ou des stratégies de sécurité spécifiques à votre site.
Pour plus d'informations, reportez-vous à la section Procédure d'obtention des droits d'administration.
Pour plus d'informations sur les indicateurs de contrôle, reportez-vous à la section Fonctionnement de la superposition PAM.
Vous devez réaliser le test avant la réinitialisation du système au cas où le fichier de configuration serait mal configuré. Connectez-vous à l'aide d'un service direct, tel que ssh, et exécutez la commande su avant de réinitialiser le système. Le service peut être un démon généré dynamiquement une seule fois lors de l'initialisation du système. Vous devez ensuite réinitialiser le système avant de vérifier l'ajout du module.
Pour plus d'informations, reportez-vous à la section Procédure d'obtention des droits d'administration.
Cette étape permet d'éviter la lecture des fichiers ~/.rhosts au cours d'une session rlogin. Par conséquent, elle permet d'empêcher l'accès non authentifié au système local à partir de systèmes distants. Tous les accès rlogin requièrent un mot de passe, indépendamment de la présence ou du contenu des fichiers ~/.rhosts ou /etc/hosts.equiv .
Pour empêcher d'autres accès non authentifiés aux fichiers ~/.rhosts, n'oubliez pas de désactiver le service rsh.
# svcadm disable network/shell
Pour plus d'informations, reportez-vous à la section Procédure d'obtention des droits d'administration.
Pour plus d'informations sur les niveaux de journalisation, reportez-vous à syslog.conf(4).
# svcadm refresh system/system-log