Ignorer les liens de navigation | |
Quitter l'aperu | |
Administration d'Oracle Solaris : services de sécurité Oracle Solaris 11 Information Library (Français) |
Partie I Présentation de la sécurité
1. Services de sécurité (présentation)
Partie II Sécurité du système, des fichiers et des périphériques
2. Gestion de la sécurité de la machine (présentation)
3. Contrôle de l'accès aux systèmes (tâches)
Contrôle de l'accès système (liste des tâches)
Sécurisation des connexions et des mots de passe (liste des tâches)
Sécurisation des connexions et des mots de passe (liste des tâches)
Procédure de modification du mot de passe root
Procédure d'affichage de l'état de connexion d'un utilisateur
Procédure d'affichage des utilisateurs sans mots de passe
Procédure de désactivation temporaire des connexions utilisateur
Procédure de contrôle des tentatives de connexion ayant échoué
Procédure de contrôle de toutes les tentatives de connexion ayant échoué
Modification de l'algorithme par défaut pour le chiffrement de mot de passe (tâches)
Procédure de spécification d'un algorithme de chiffrement de mot de passe
Procédure de spécification d'un nouvel algorithme de mot de passe pour un domaine NIS
Procédure de spécification d'un nouvel algorithme de mot de passe pour un domaine LDAP
Contrôle et restriction du superutilisateur (tâches)
Procédure de contrôle de l'utilisateur de la commande su
Procédure de restriction et de contrôle des connexions superutilisateur
Contrôle de l'accès au matériel du système (tâches)
Procédure de spécification d'un mot de passe obligatoire pour l'accès au matériel
Procédure de désactivation de la séquence d'abandon d'un système
4. Service d'analyse antivirus (tâches)
5. Contrôle de l'accès aux périphériques (tâches)
6. Utilisation de l'outil de génération de rapports d'audit de base (tâches)
7. Contrôle de l'accès aux fichiers (tâches)
Partie III Rôles, profils de droits et privilèges
8. Utilisation des rôles et des privilèges (présentation)
9. Utilisation du contrôle d'accès basé sur les rôles (tâches)
10. Attributs de sécurité dans Oracle Solaris (référence)
Partie IV Services cryptographiques
11. Structure cryptographique (présentation)
12. Structure cryptographique (tâches)
13. Structure de gestion des clés
Partie V Services d'authentification et communication sécurisée
14. Authentification des services réseau (tâches)
17. Utilisation de Secure Shell (tâches)
19. Introduction au service Kerberos
20. Planification du service Kerberos
21. Configuration du service Kerberos (tâches)
22. Messages d'erreur et dépannage de Kerberos
23. Administration des principaux et des stratégies Kerberos (tâches)
24. Utilisation des applications Kerberos (tâches)
25. Service Kerberos (référence)
Partie VII Audit dans Oracle Solaris
Une alternative à l'utilisation du compte de superutilisateur est de définir le contrôle de l'accès basé sur le rôle (RBAC). Pour des informations générales sur le contrôle RBAC, reportez-vous à la section Contrôle d'accès basé sur les rôles (présentation). Pour configurer RBAC, reportez-vous au Chapitre 9, Utilisation du contrôle d'accès basé sur les rôles (tâches).
Le fichier sulog répertorie chaque utilisation de la commande su, et pas seulement les tentatives su qui sont utilisées pour passer de l'utilisateur au superutilisateur.
Avant de commencer
Vous devez être dans le rôle root.
# more /var/adm/sulog SU 12/20 16:26 + pts/0 stacey-root SU 12/21 10:59 + pts/0 stacey-root SU 01/12 11:11 + pts/0 root-rimmer SU 01/12 14:56 + pts/0 jdoe-root SU 01/12 14:57 + pts/0 jdoe-root
Les entrées affichent les informations suivantes :
La date et l'heure de la saisie de la commande.
Si la tentative a réussi. La présence d'un signe plus (+) indique une tentative réussie. Un signe moins (-) indique un échec.
Le port à partir duquel la commande a été émise.
Le nom de l'utilisateur et le nom de l'identité commutée.
La journalisation de su dans ce fichier est activée par défaut dans l'entrée suivante du fichier /etc/default/su :
SULOG=/var/adm/sulog
Erreurs fréquentes
Les entrées incluant ??? indiquent que le terminal de contrôle pour la commande su ne peut pas être identifié. Généralement, les appels système de la commande su avant l'affichage du bureau incluent ???, comme dans SU 10/10 08:08 + ??? root-root. Une fois que l'utilisateur a lancé une session de bureau, la commande ttynam renvoie la valeur du terminal de contrôle à sulog: SU 10/10 10:10 + pts/3 jdoe-root.
Les entrées semblables à ce qui suit peuvent indiquer que la commande su n'a pas été appelée sur la ligne de commande : SU 10/10 10:20 + ??? root-oracle. Un utilisateur Trusted Extensions est peut-être passé au rôle oracle à l'aide d'une interface graphique.
Cette méthode détecte immédiatement les tentatives de root d'accéder au système local.
Avant de commencer
Vous devez être dans le rôle root.
CONSOLE=/dev/console
Par défaut, le périphérique de console est défini sur /dev/console. Avec ce paramètre, root peut se connecter à la console. root ne peut pas se connecter à distance.
A partir d'un système distant, essayez de vous connecter en tant que root.
mach2 % ssh -l root mach1 Password: <Type root password of mach1> Password: Password: Permission denied (gssapi-keyex,gssapi-with-mic,publickey,keyboard-interactive).
Dans la configuration par défaut, root correspond à un rôle et les rôles ne peuvent pas se connecter. De plus, dans la configuration par défaut, le protocole ssh empêche la connexion de l'utilisateur root.
Par défaut, les tentatives de devenir root sont imprimées sur la console par l'utilitaire SYSLOG.
% su - Password: <Type root password> #
Un message est imprimé sur la console de terminal.
Sep 7 13:22:57 mach1 su: 'su root' succeeded for jdoe on /dev/pts/6
Exemple 3-7 Journalisation des tentatives d'accès superutilisateur
Dans cet exemple, les tentatives superutilisateur ne sont pas consignées par SYSLOG. Par conséquent, l'administrateur consigne ces tentatives en retirant le commentaire de l'entrée #CONSOLE=/dev/console dans le fichier /etc/default/su.
# CONSOLE determines whether attempts to su to root should be logged # to the named device # CONSOLE=/dev/console
Lorsqu'un utilisateur tente de devenir superutilisateur, la tentative est imprimée sur la console de terminal.
SU 09/07 16:38 + pts/8 jdoe-root
Erreurs fréquentes
Pour devenir superutilisateur à partir d'un système distant lorsque le fichier /etc/default/login contient l'entrée CONSOLE par défaut, les utilisateurs doivent d'abord se connecter avec leur nom d'utilisateur. Après la connexion avec leur nom d'utilisateur, les utilisateurs peuvent utiliser la commande su pour devenir superutilisateur.
Si la console affiche une entrée similaire à Mar 16 16:20:36 mach1 login: ROOT LOGIN /dev/pts/14 FROM mach2.Example.COM, le système autorise les connexions root à distance. Pour empêcher l'accès superutilisateur à distance, modifiez l'entrée #CONSOLE=/dev/console en CONSOLE=/dev/console dans le fichier /etc/default/login.