JavaScript is required to for searching.
Ignorer les liens de navigation
Quitter l'aperu
Administration d'Oracle Solaris : services de sécurité     Oracle Solaris 11 Information Library (Français)
search filter icon
search icon

Informations document

Préface

Partie I Présentation de la sécurité

1.  Services de sécurité (présentation)

Partie II Sécurité du système, des fichiers et des périphériques

2.  Gestion de la sécurité de la machine (présentation)

3.  Contrôle de l'accès aux systèmes (tâches)

Contrôle de l'accès système (liste des tâches)

Sécurisation des connexions et des mots de passe (liste des tâches)

Sécurisation des connexions et des mots de passe (liste des tâches)

Procédure de modification du mot de passe root

Procédure d'affichage de l'état de connexion d'un utilisateur

Procédure d'affichage des utilisateurs sans mots de passe

Procédure de désactivation temporaire des connexions utilisateur

Procédure de contrôle des tentatives de connexion ayant échoué

Procédure de contrôle de toutes les tentatives de connexion ayant échoué

Modification de l'algorithme par défaut pour le chiffrement de mot de passe (tâches)

Procédure de spécification d'un algorithme de chiffrement de mot de passe

Procédure de spécification d'un nouvel algorithme de mot de passe pour un domaine NIS

Procédure de spécification d'un nouvel algorithme de mot de passe pour un domaine LDAP

Contrôle et restriction du superutilisateur (tâches)

Procédure de contrôle de l'utilisateur de la commande su

Procédure de restriction et de contrôle des connexions superutilisateur

Contrôle de l'accès au matériel du système (tâches)

Procédure de spécification d'un mot de passe obligatoire pour l'accès au matériel

Procédure de désactivation de la séquence d'abandon d'un système

4.  Service d'analyse antivirus (tâches)

5.  Contrôle de l'accès aux périphériques (tâches)

6.  Utilisation de l'outil de génération de rapports d'audit de base (tâches)

7.  Contrôle de l'accès aux fichiers (tâches)

Partie III Rôles, profils de droits et privilèges

8.  Utilisation des rôles et des privilèges (présentation)

9.  Utilisation du contrôle d'accès basé sur les rôles (tâches)

10.  Attributs de sécurité dans Oracle Solaris (référence)

Partie IV Services cryptographiques

11.  Structure cryptographique (présentation)

12.  Structure cryptographique (tâches)

13.  Structure de gestion des clés

Partie V Services d'authentification et communication sécurisée

14.  Authentification des services réseau (tâches)

15.  Utilisation de PAM

16.  Utilisation de SASL

17.  Utilisation de Secure Shell (tâches)

18.  Secure Shell (référence)

Partie VI Service Kerberos

19.  Introduction au service Kerberos

20.  Planification du service Kerberos

21.  Configuration du service Kerberos (tâches)

22.  Messages d'erreur et dépannage de Kerberos

23.  Administration des principaux et des stratégies Kerberos (tâches)

24.  Utilisation des applications Kerberos (tâches)

25.  Service Kerberos (référence)

Partie VII Audit dans Oracle Solaris

26.  Audit (présentation)

27.  Planification de l'audit

28.  Gestion de l'audit (tâches)

29.  Audit (référence)

Glossaire

Index

Contrôle et restriction du superutilisateur (tâches)

Une alternative à l'utilisation du compte de superutilisateur est de définir le contrôle de l'accès basé sur le rôle (RBAC). Pour des informations générales sur le contrôle RBAC, reportez-vous à la section Contrôle d'accès basé sur les rôles (présentation). Pour configurer RBAC, reportez-vous au Chapitre 9, Utilisation du contrôle d'accès basé sur les rôles (tâches).

Procédure de contrôle de l'utilisateur de la commande su

Le fichier sulog répertorie chaque utilisation de la commande su, et pas seulement les tentatives su qui sont utilisées pour passer de l'utilisateur au superutilisateur.

Avant de commencer

Vous devez être dans le rôle root.

Erreurs fréquentes

Les entrées incluant ??? indiquent que le terminal de contrôle pour la commande su ne peut pas être identifié. Généralement, les appels système de la commande su avant l'affichage du bureau incluent ???, comme dans SU 10/10 08:08 + ??? root-root. Une fois que l'utilisateur a lancé une session de bureau, la commande ttynam renvoie la valeur du terminal de contrôle à sulog: SU 10/10 10:10 + pts/3 jdoe-root.

Les entrées semblables à ce qui suit peuvent indiquer que la commande su n'a pas été appelée sur la ligne de commande : SU 10/10 10:20 + ??? root-oracle. Un utilisateur Trusted Extensions est peut-être passé au rôle oracle à l'aide d'une interface graphique.

Procédure de restriction et de contrôle des connexions superutilisateur

Cette méthode détecte immédiatement les tentatives de root d'accéder au système local.

Avant de commencer

Vous devez être dans le rôle root.

  1. Affichez l'entrée CONSOLE dans le fichier /etc/default/login.
    CONSOLE=/dev/console

    Par défaut, le périphérique de console est défini sur /dev/console. Avec ce paramètre, root peut se connecter à la console. root ne peut pas se connecter à distance.

  2. Vérifiez que root ne peut pas se connecter à distance.

    A partir d'un système distant, essayez de vous connecter en tant que root.

    mach2 % ssh -l root mach1
    Password: <Type root password of mach1>
    Password: 
    Password: 
    Permission denied (gssapi-keyex,gssapi-with-mic,publickey,keyboard-interactive).

    Dans la configuration par défaut, root correspond à un rôle et les rôles ne peuvent pas se connecter. De plus, dans la configuration par défaut, le protocole ssh empêche la connexion de l'utilisateur root.

  3. Surveillez les tentatives de devenir root.

    Par défaut, les tentatives de devenir root sont imprimées sur la console par l'utilitaire SYSLOG.

    1. Ouvrez une console de terminal sur le bureau.
    2. Dans une autre fenêtre, utilisez la commande su pour devenir superutilisateur.
      % su -
      Password: <Type root password>
      #

      Un message est imprimé sur la console de terminal.

      Sep 7 13:22:57 mach1 su: 'su root' succeeded for jdoe on /dev/pts/6

Exemple 3-7 Journalisation des tentatives d'accès superutilisateur

Dans cet exemple, les tentatives superutilisateur ne sont pas consignées par SYSLOG. Par conséquent, l'administrateur consigne ces tentatives en retirant le commentaire de l'entrée #CONSOLE=/dev/console dans le fichier /etc/default/su.

# CONSOLE determines whether attempts to su to root should be logged
# to the named device
#
CONSOLE=/dev/console

Lorsqu'un utilisateur tente de devenir superutilisateur, la tentative est imprimée sur la console de terminal.

SU 09/07 16:38 + pts/8 jdoe-root

Erreurs fréquentes

Pour devenir superutilisateur à partir d'un système distant lorsque le fichier /etc/default/login contient l'entrée CONSOLE par défaut, les utilisateurs doivent d'abord se connecter avec leur nom d'utilisateur. Après la connexion avec leur nom d'utilisateur, les utilisateurs peuvent utiliser la commande su pour devenir superutilisateur.

Si la console affiche une entrée similaire à Mar 16 16:20:36 mach1 login: ROOT LOGIN /dev/pts/14 FROM mach2.Example.COM, le système autorise les connexions root à distance. Pour empêcher l'accès superutilisateur à distance, modifiez l'entrée #CONSOLE=/dev/console en CONSOLE=/dev/console dans le fichier /etc/default/login.