| Ignorer les liens de navigation | |
| Quitter l'aperu | |
|
Administration d'Oracle Solaris : services de sécurité Oracle Solaris 11 Information Library (Français) |
| Ignorer les liens de navigation | |
| Quitter l'aperu | |
|
|
Administration d'Oracle Solaris : services de sécurité Oracle Solaris 11 Information Library (Français) |
Partie I Présentation de la sécurité
1. Services de sécurité (présentation)
Partie II Sécurité du système, des fichiers et des périphériques
2. Gestion de la sécurité de la machine (présentation)
3. Contrôle de l'accès aux systèmes (tâches)
Contrôle de l'accès système (liste des tâches)
Sécurisation des connexions et des mots de passe (liste des tâches)
Sécurisation des connexions et des mots de passe (liste des tâches)
Procédure de modification du mot de passe root
Procédure d'affichage de l'état de connexion d'un utilisateur
Procédure d'affichage des utilisateurs sans mots de passe
Procédure de désactivation temporaire des connexions utilisateur
Procédure de contrôle des tentatives de connexion ayant échoué
Procédure de contrôle de toutes les tentatives de connexion ayant échoué
Modification de l'algorithme par défaut pour le chiffrement de mot de passe (tâches)
Procédure de spécification d'un algorithme de chiffrement de mot de passe
Procédure de spécification d'un nouvel algorithme de mot de passe pour un domaine NIS
Procédure de spécification d'un nouvel algorithme de mot de passe pour un domaine LDAP
Contrôle et restriction du superutilisateur (tâches)
Procédure de contrôle de l'utilisateur de la commande su
Procédure de restriction et de contrôle des connexions superutilisateur
Contrôle de l'accès au matériel du système (tâches)
Procédure de spécification d'un mot de passe obligatoire pour l'accès au matériel
Procédure de désactivation de la séquence d'abandon d'un système
4. Service d'analyse antivirus (tâches)
5. Contrôle de l'accès aux périphériques (tâches)
6. Utilisation de l'outil de génération de rapports d'audit de base (tâches)
7. Contrôle de l'accès aux fichiers (tâches)
Partie III Rôles, profils de droits et privilèges
8. Utilisation des rôles et des privilèges (présentation)
9. Utilisation du contrôle d'accès basé sur les rôles (tâches)
10. Attributs de sécurité dans Oracle Solaris (référence)
Partie IV Services cryptographiques
11. Structure cryptographique (présentation)
12. Structure cryptographique (tâches)
13. Structure de gestion des clés
Partie V Services d'authentification et communication sécurisée
14. Authentification des services réseau (tâches)
17. Utilisation de Secure Shell (tâches)
19. Introduction au service Kerberos
20. Planification du service Kerberos
21. Configuration du service Kerberos (tâches)
22. Messages d'erreur et dépannage de Kerberos
23. Administration des principaux et des stratégies Kerberos (tâches)
24. Utilisation des applications Kerberos (tâches)
25. Service Kerberos (référence)
Partie VII Audit dans Oracle Solaris
Vous pouvez limiter les connexions à distance, exiger que les utilisateurs aient des mots de passe et que le compte root ait un mot de passe complexe. Vous pouvez également contrôler les tentatives d'accès ayant échoué et désactiver temporairement les connexions.
La liste des tâches suivante présente les procédures permettant de contrôler et de désactiver les connexions utilisateur.
|
Lorsque vous modifiez le mot de passe root, vous devez respecter les exigences relatives au mot de passe qui s'appliquent à tous les utilisateurs du système.
Avant de commencer
Vous devez être dans le rôle root.
# passwd root New Password: Re-enter new Password: passwd: password successfully changed for root
Un message s'affiche à l'écran si votre mot de passe n'est pas conforme aux exigences. Les messages sont informatifs. Après trois tentatives, vous devez exécuter la commande à nouveau pour modifier le mot de passe.
passwd: Password too short - must be at least 6 characters. passwd: The password must contain at least 2 alphabetic character(s). passwd: The password must contain at least 1 numeric or special character(s).
Avant de commencer
Vous devez être dans le rôle root.
# logins -x -l username
Affiche un ensemble étendu d'informations sur l'état de connexion.
Affiche l'état de connexion pour l'utilisateur spécifié. La variable username est le nom de connexion d'un utilisateur. Les noms de connexion multiples sont séparés par des virgules.
La commande logins utilise la base de données de mots de passe appropriée pour obtenir l'état de connexion d'un utilisateur. La base de données peut être le fichier /etc/passwd local ou une base de données de mots de passe pour le service de noms. Pour plus d'informations, reportez-vous à la page de manuel logins(1M).
Exemple 3-1 Affichage de l'état de connexion d'un utilisateur
Dans l'exemple suivant, l'état de connexion de l'utilisateur jdoe s'affiche.
# logins -x -l jdoe
jdoe 500 staff 10 Jaylee Jaye Doe
/home/jdoe
/bin/bash
PS 010103 10 7 -1Identifie le nom de connexion de l'utilisateur.
Identifie l'ID utilisateur (UID).
Identifie le groupe principal de l'utilisateur.
Identifie l'ID de groupe (GID).
Identifie le commentaire.
Identifie le répertoire personnel de l'utilisateur.
Identifie le shell de connexion.
Spécifie les informations de vieillissement du mot de passe :
Date à laquelle le mot de passe a été modifié pour la dernière fois
Nombre de jours qui sont requis entre les modifications
Nombre de jours avant qu'une modification ne soit requise
Période d'avertissement
Avant de commencer
Vous devez être dans le rôle root.
# logins -p
L'option -p affiche une liste des utilisateurs sans mot de passe. La commande logins utilise la base de données passwd à partir du système local sauf si un service de noms distribué est spécifié dans le fichier nsswitch.conf.
Exemple 3-2 Affichage des utilisateurs sans mot de passe
Dans l'exemple suivant, l'utilisateur pmorph n'a pas de mot de passe.
# logins -p pmorph 501 other 1 Polly Morph #
Désactivez temporairement les connexions utilisateur pendant l'arrêt du système ou de la maintenance de routine. Les connexions superutilisateur ne sont pas affectées. Pour plus d'informations, reportez-vous à la page de manuel nologin(4).
Avant de commencer
Vous devez être dans le rôle root.
# vi /etc/nologin
Exemple 3-3 Désactivation des connexions utilisateur
Dans cet exemple, les utilisateurs sont informés de l'indisponibilité du système.
# vi /etc/nologin (Add system message here) # cat /etc/nologin ***No logins permitted.*** ***The system will be unavailable until 12 noon.***
Vous pouvez également mettre le système au niveau d'exécution 0, en mode monoutilisateur, pour désactiver les connexions. Pour plus d'informations sur la mise du système en mode monoutilisateur, reportez-vous au Chapitre 3, Arrêt d’un système (tâches) du manuel Initialisation et arrêt d’Oracle Solaris sur les plates-formes x86 .
Cette procédure permet de capturer les échecs de tentative de connexion à partir des fenêtres de terminal. Cette procédure ne capture pas les connexions ayant échoué à partir d'une tentative de connexion de bureau.
Avant de commencer
Vous devez être dans le rôle root.
# touch /var/adm/loginlog
# chmod 600 /var/adm/loginlog
# chgrp sys /var/adm/loginlog
Par exemple, connectez-vous au système cinq fois avec un mot de passe incorrect. Ensuite, affichez le fichier /var/adm/loginlog.
# more /var/adm/loginlog jdoe:/dev/pts/2:Tue Nov 4 10:21:10 2010 jdoe:/dev/pts/2:Tue Nov 4 10:21:21 2010 jdoe:/dev/pts/2:Tue Nov 4 10:21:30 2010 jdoe:/dev/pts/2:Tue Nov 4 10:21:40 2010 jdoe:/dev/pts/2:Tue Nov 4 10:21:49 2010 #
Le fichier loginlog contient une entrée pour chaque tentative infructueuse. Chaque entrée contient le nom de connexion de l'utilisateur, le périphérique tty et l'heure de la tentative infructueuse. Si un utilisateur fait moins de cinq tentatives infructueuses, aucune d'elles n'est consignée.
Un fichier loginlog croissant peut indiquer une tentative de s'introduire dans le système informatique. Par conséquent, vérifiez et effacez le contenu de ce fichier régulièrement. Pour plus d'informations, reportez-vous à la page de manuel loginlog(4).
Cette procédure permet de capturer toutes les tentatives de connexion ayant échoué dans un fichier syslog.
Avant de commencer
Vous devez être dans le rôle root.
Modifiez le fichier /etc/default/login pour modifier l'entrée. Vérifiez que SYSLOG=YES n'est pas mise en commentaire.
# grep SYSLOG /etc/default/login # SYSLOG determines whether the syslog(3) LOG_AUTH facility should be used SYSLOG=YES # The SYSLOG_FAILED_LOGINS variable is used to determine how many failed #SYSLOG_FAILED_LOGINS=5 SYSLOG_FAILED_LOGINS=0 #
# touch /var/adm/authlog
# chmod 600 /var/adm/authlog
# chgrp sys /var/adm/authlog
Envoyer les échecs au fichier authlog.
Par exemple, en tant qu'utilisateur standard, connectez-vous au système à l'aide d'un mot de passe incorrect. Puis, en tant que superutilisateur, affichez le fichier /var/adm/authlog.
# more /var/adm/authlog Nov 4 14:46:11 example1 login: [ID 143248 auth.notice] Login failure on /dev/pts/8 from example2, stacey #
Exemple 3-4 Journalisation des tentatives d'accès après trois échecs de connexion
Suivez la procédure indiquée ci-dessus, à la différence près que vous devez définir la valeur de SYSLOG_FAILED_LOGINS sur 3 dans le fichier /etc/default/login.
Exemple 3-5 Fermeture de la connexion après trois échecs de connexion
Annulez la mise en commentaire de l'entrée RETRIES dans le fichier /etc/default/login, puis définissez la valeur de RETRIES sur 3. Vos modifications prennent effet immédiatement. Après trois essais de connexion dans une session, le système ferme la connexion.
|