Ignorer les liens de navigation | |
Quitter l'aperu | |
Configuration et administration d'Oracle Solaris Trusted Extensions Oracle Solaris 11 Information Library (Français) |
Partie I Configuration initiale de Trusted Extensions
1. Planification de la sécurité pour Trusted Extensions
2. Déroulement de la configuration de Trusted Extensions
3. Ajout de la fonction Trusted Extensions à Oracle Solaris (tâches)
4. Configuration de Trusted Extensions (tâches)
5. Configuration de LDAP pour Trusted Extensions (tâches)
Partie II Administration de Trusted Extensions
6. Concepts d'administration de Trusted Extensions
7. Outils d'administration de Trusted Extensions
8. Exigences de sécurité sur un système Trusted Extensions (présentation)
9. Exécution de tâches courantes dans Trusted Extensions (tâches)
Mise en route en tant qu'administrateur Trusted Extensions (liste des tâches)
Accès à la zone globale dans Trusted Extensions
Sortie de la zone globale dans Trusted Extensions
Tâches courantes dans Trusted Extensions (liste des tâches)
Procédure de modification du mot de passe pour root
Procédure d'application d'un nouveau mot de passe utilisateur local dans une zone étiquetée
Reprise du contrôle du focus actuel du bureau
Obtention de l'équivalent hexadécimal d'une étiquette
Obtention d'une étiquette lisible à partir de sa forme hexadécimale
Procédure de modification des paramètres de sécurité par défaut dans des fichiers système
10. Utilisateurs, droits et rôles dans Trusted Extensions (présentation)
11. Gestion des utilisateurs, des droits et des rôles dans Trusted Extensions (tâches)
12. Administration à distance dans Trusted Extensions (tâches)
13. Gestion des zones dans Trusted Extensions (tâches)
14. Gestion et montage de fichiers dans Trusted Extensions (tâches)
15. Gestion de réseaux de confiance (présentation)
16. Gestion des réseaux dans Trusted Extensions (tâches)
17. Trusted Extensions et LDAP (présentation)
18. Messagerie multiniveau dans Trusted Extensions (présentation)
19. Gestion de l'impression étiquetée (tâches)
20. Périphériques dans Trusted Extensions (présentation)
21. Gestion des périphériques pour Trusted Extensions (tâches)
22. Audit de Trusted Extensions (présentation)
23. Gestion des logiciels dans Trusted Extensions (Référence)
A. Stratégie de sécurité du site
Création et gestion d'une stratégie de sécurité
Stratégie de sécurité du site et Trusted Extensions
Recommandations relatives à la sécurité informatique
Recommandations relatives à la sécurité physique
Recommandations relatives à la sécurité du personnel
Violations de sécurité courantes
Références de sécurité supplémentaires
B. Liste de contrôle de configuration pour Trusted Extensions
Liste de contrôle de configuration de Trusted Extensions
C. Guide de référence rapide pour l'administration de Trusted Extensions
Interfaces d'administration dans Trusted Extensions
Interfaces Oracle Solaris étendues par Trusted Extensions
Renforcement des paramètres de sécurité par défaut dans Trusted Extensions
Options limitées dans Trusted Extensions
D. Liste des pages de manuel Trusted Extensions
Pages de manuel Trusted Extensions par ordre alphabétique
Pages de manuel Oracle Solaris modifiées par Trusted Extensions
La liste des tâches ci-dessous décrit les procédures d'administration dans Trusted Extensions.
|
Trusted Extensions fournit une interface graphique permettant de modifier votre mot de passe.
Pour connaître la procédure à suivre, reportez-vous à la section Accès à la zone globale dans Trusted Extensions .
Si des mots de passe distincts sont créés par zone, le menu peut lire l'option Change Workspace Password (Changer de mot de passe d'espace de travail).
Les zones étiquetées doivent être réinitialisées lorsque les conditions suivantes sont remplies :
Un ou plusieurs utilisateurs locaux ont changé leurs mots de passe.
Toutes les zones utilisent une instance unique du démon de cache de service de nommage (nscd).
Le système est géré avec des fichiers et non avec LDAP.
Avant de commencer
Le profil de droits Zone Security doit vous être affecté.
Utilisez l'une des méthodes suivantes :
# txzonemgr &
Dans le gestionnaire de zones étiquetées (Labeled Zone Manager), accédez à la zone étiquetée et, dans la liste des commandes, sélectionnez Halt (Arrêter), puis Boot (Init).
Vous pouvez choisir d'éteindre ou d'arrêter le système.
La commande zlogin permet d'arrêter correctement la zone.
# zlogin labeled-zone shutdown -i 0 # zoneadm -z labeled-zone boot
La sous-commande halt permet d'ignorer les scripts de fermeture.
# zoneadm -z labeled-zone halt # zoneadm -z labeled-zone boot
Erreurs fréquentes
Pour mettre à jour automatiquement les mots de passe des utilisateurs des zones étiquetées, vous devez soit configurer LDAP, soit configurer un service de nommage par zone. Vous pouvez également configurer les deux.
Pour configurer LDAP, reportez-vous au Chapitre 5, Configuration de LDAP pour Trusted Extensions (tâches).
La configuration d'un service de nommage par zone requiert des compétences avancées en matière de gestion de réseaux. Pour plus d'informations sur cette procédure, reportez-vous à la section Procédure de configuration d'un service de noms distinct pour chaque zone étiquetée.
La combinaison de touches de sécurité "Secure Attention" permet d'annuler la préhension d'un pointeur ou d'un clavier par une application non sécurisée. Elle permet également de vérifier si un pointeur ou un clavier a été capté par une application de confiance. Sur un système multiécran victime d'une usurpation et affichant plusieurs bandes de confiance, cette combinaison de touches aligne le pointeur sur la bande de confiance autorisée.
Appuyez sur les touches simultanément pour reprendre le contrôle du focus du bureau actuel. Sur le clavier Sun, la touche Meta est le losange.
<Meta> <Stop>
Si la préhension, un pointeur par exemple, n'est pas de confiance, le pointeur se déplace vers la bande. Un pointeur de confiance ne se déplace pas vers la bande de confiance.
<Alt> <Break>
Appuyez sur les touches simultanément pour reprendre le contrôle du focus du bureau actuel de votre ordinateur portable.
Exemple 9-1 Test permettant de vérifier si l'invite de mot de passe est de confiance
Sur un système x86 utilisant un clavier Sun, l'utilisateur a été invité à saisir un mot de passe. Le curseur a été capté et se trouve dans la boîte de dialogue du mot de passe. Pour vérifier que l'invite est de confiance, l'utilisateur appuie simultanément sur les touches <Meta> <Stop> . Si le pointeur reste dans la boîte de dialogue, l'utilisateur sait que l'invite de mot de passe est de confiance.
Si le pointeur se déplace vers la bande de confiance, l'utilisateur sait que l'invite de mot de passe n'est pas de confiance et il contacte l'administrateur.
Exemple 9-2 Forcer le pointeur à se déplacer vers la bande de confiance
Dans cet exemple, l'utilisateur n'exécute aucun processus de confiance mais il ne peut pas voir le pointeur de la souris. Pour placer le pointeur au centre de la bande de confiance, l'utilisateur appuie simultanément sur les touches <Meta> <Stop>.
Cette procédure fournit une représentation hexadécimale interne d'une étiquette. Cette représentation est sûre et permet le stockage dans un annuaire public. Pour plus d'informations, reportez-vous à la page de manuel atohexlabel(1M).
Avant de commencer
Vous devez être dans le rôle d'administrateur de sécurité dans la zone globale. Pour plus d'informations, reportez-vous à la section Accès à la zone globale dans Trusted Extensions .
$ atohexlabel "CONFIDENTIAL : INTERNAL USE ONLY" 0x0004-08-48
La chaîne n'est pas sensible à la casse mais les espaces doivent être respectés. Par exemple, les chaînes entre guillemets suivantes renvoient une étiquette hexadécimale :
"CONFIDENTIAL : INTERNAL USE ONLY"
"cnf : Internal"
"confidential : internal"
Les chaînes entre guillemets suivantes renvoient une erreur d'analyse syntaxique :
"confidential:internal"
"confidential:internal"
$ atohexlabel -c "CONFIDENTIAL NEED TO KNOW" 0x0004-08-68
Remarque - Les étiquettes de sensibilité lisibles par l'utilisateur et les étiquettes d'autorisation sont formées conformément aux règles du fichier label_encodings. Chaque type d'étiquette utilise les règles d'une section distincte de ce fichier. Lorsqu'une étiquette de sensibilité et une étiquette d'autorisation expriment toutes les deux le même niveau de sensibilité sous-jacent, leurs formes hexadécimales sont identiques. Toutefois, leurs formes lisibles par l'utilisateur peuvent être différentes. Les interfaces système qui acceptent les étiquettes lisibles par l'utilisateur en tant qu'entrées s'attendent à un type d'étiquette donné. Si les chaînes textuelles des types d'étiquette diffèrent, ces chaînes textuelles ne peuvent pas être utilisées de façon interchangeable.
Dans le fichier label_encodings, le texte équivalent à une étiquette d'autorisation n'inclut pas les deux-points (:).
Exemple 9-3 Utilisation de la commande atohexlabel
Lorsque vous transmettez une étiquette valide au format hexadécimal, la commande renvoie l'argument.
$ atohexlabel 0x0004-08-68 0x0004-08-68
Lorsque vous transmettez une étiquette d'administration, la commande renvoie l'argument.
$ atohexlabel admin_high ADMIN_HIGH atohexlabel admin_low ADMIN_LOW
Erreurs fréquentes
Le message d'erreur atohexlabel parsing error found in <string> at position 0 indique que l'argument <string> que vous avez transmis à la commande atohexlabel n'était ni une étiquette valide, ni une autorisation. Vérifiez votre saisie et vérifiez que l'étiquette existe dans votre fichier label_encodings installé.
Cette procédure constitue un moyen de réparer des étiquettes stockées dans des bases de données internes. Pour plus d'informations, reportez-vous à la page de manuel hextoalabel(1M).
Avant de commencer
Vous devez être dans le rôle d'administrateur de sécurité dans la zone globale.
$ hextoalabel 0x0004-08-68 CONFIDENTIAL : NEED TO KNOW
$ hextoalabel -c 0x0004-08-68 CONFIDENTIAL NEED TO KNOW
Comme dans Oracle Solaris, dans Trusted Extensions, le compte root permet de modifier les valeurs de sécurité par défaut sur un système.
Les répertoires /etc/security et /etc/default contiennent les valeurs de sécurité. Pour plus d'informations, reportez-vous au Chapitre 3, Contrôle de l’accès aux systèmes (tâches) du manuel Administration d’Oracle Solaris : services de sécurité.
Attention - Assouplissez uniquement les paramètres de sécurité par défaut du système si la stratégie de sécurité du site vous le permet. |
Avant de commencer
Vous devez être dans le rôle root dans la zone globale.
Le tableau ci-dessous répertorie les fichiers de sécurité et les valeurs de sécurité pouvant être modifiées dans ces fichiers.
|