| Ignorer les liens de navigation | |
| Quitter l'aperu | |
|
Configuration et administration d'Oracle Solaris Trusted Extensions Oracle Solaris 11 Information Library (Français) |
| Ignorer les liens de navigation | |
| Quitter l'aperu | |
|
|
Configuration et administration d'Oracle Solaris Trusted Extensions Oracle Solaris 11 Information Library (Français) |
Partie I Configuration initiale de Trusted Extensions
1. Planification de la sécurité pour Trusted Extensions
2. Déroulement de la configuration de Trusted Extensions
3. Ajout de la fonction Trusted Extensions à Oracle Solaris (tâches)
4. Configuration de Trusted Extensions (tâches)
5. Configuration de LDAP pour Trusted Extensions (tâches)
Partie II Administration de Trusted Extensions
6. Concepts d'administration de Trusted Extensions
7. Outils d'administration de Trusted Extensions
8. Exigences de sécurité sur un système Trusted Extensions (présentation)
9. Exécution de tâches courantes dans Trusted Extensions (tâches)
10. Utilisateurs, droits et rôles dans Trusted Extensions (présentation)
11. Gestion des utilisateurs, des droits et des rôles dans Trusted Extensions (tâches)
12. Administration à distance dans Trusted Extensions (tâches)
13. Gestion des zones dans Trusted Extensions (tâches)
14. Gestion et montage de fichiers dans Trusted Extensions (tâches)
15. Gestion de réseaux de confiance (présentation)
16. Gestion des réseaux dans Trusted Extensions (tâches)
17. Trusted Extensions et LDAP (présentation)
18. Messagerie multiniveau dans Trusted Extensions (présentation)
19. Gestion de l'impression étiquetée (tâches)
20. Périphériques dans Trusted Extensions (présentation)
Protection des périphériques avec le logiciel Trusted Extensions
Plages d'étiquettes des périphériques
Effets de la plage d'étiquettes sur un périphérique
Interface graphique du gestionnaire de périphériques
Application de la sécurité des périphériques dans Trusted Extensions
Périphériques dans Trusted Extensions (référence)
21. Gestion des périphériques pour Trusted Extensions (tâches)
22. Audit de Trusted Extensions (présentation)
23. Gestion des logiciels dans Trusted Extensions (Référence)
A. Stratégie de sécurité du site
Création et gestion d'une stratégie de sécurité
Stratégie de sécurité du site et Trusted Extensions
Recommandations relatives à la sécurité informatique
Recommandations relatives à la sécurité physique
Recommandations relatives à la sécurité du personnel
Violations de sécurité courantes
Références de sécurité supplémentaires
B. Liste de contrôle de configuration pour Trusted Extensions
Liste de contrôle de configuration de Trusted Extensions
C. Guide de référence rapide pour l'administration de Trusted Extensions
Interfaces d'administration dans Trusted Extensions
Interfaces Oracle Solaris étendues par Trusted Extensions
Renforcement des paramètres de sécurité par défaut dans Trusted Extensions
Options limitées dans Trusted Extensions
D. Liste des pages de manuel Trusted Extensions
Pages de manuel Trusted Extensions par ordre alphabétique
Pages de manuel Oracle Solaris modifiées par Trusted Extensions
Sur un système Oracle Solaris, les périphériques peuvent être protégés par allocation et par autorisation. Par défaut, les périphériques sont disponibles sans autorisation pour les utilisateurs standard. Un système configuré avec la fonction Trusted Extensions utilise les mécanismes de protection des périphériques du SE Oracle Solaris.
Toutefois, Trusted Extensions requiert par défaut qu'un périphérique soit alloué pour être utilisé et que son utilisateur soit autorisé à l'utiliser. En outre, les périphériques sont protégés par des étiquettes. Trusted Extensions fournit aux administrateurs une interface graphique leur permettant de gérer les périphériques. La même interface est utilisée par les utilisateurs pour l'allocation des périphériques.
Remarque - Dans Trusted Extensions, les utilisateurs ne peuvent pas utiliser les commandes allocate et deallocate. Ils doivent utiliser le gestionnaire de périphériques (Device Manager).
Pour plus d'informations sur la protection des périphériques dans Oracle Solaris, reportez-vous au Chapitre 5, Contrôle de l’accès aux périphériques (tâches) du manuel Administration d’Oracle Solaris : services de sécurité.
Sur un système configuré avec Trusted Extensions, deux rôles protègent les périphériques.
Le rôle d'administrateur système contrôle l'accès aux périphériques.
L'administrateur système rend allouable un périphérique. Les périphériques qu'il rend non allouables ne peuvent être utilisés par personne. Seuls des utilisateurs autorisés peuvent allouer des périphériques allouables.
Le rôle d'administrateur de sécurité restreint les étiquettes permettant d'accéder à un périphérique et définit la stratégie de périphérique. C'est l'administrateur de la sécurité qui décide qui est autorisé à allouer un périphérique.
Vous trouverez ci-dessous les principales fonctions de contrôle de périphériques avec le logiciel Trusted Extensions :
Par défaut, un utilisateur non autorisé sur un système Trusted Extensions ne peut pas allouer de périphériques tels que les lecteurs de bande, les unités de CD-ROM ou les unités de disquette.
Un utilisateur standard doté de l'autorisation Allocate Device (Allouer un périphérique) peut importer ou exporter des informations sous l'étiquette de laquelle l'utilisateur alloue le périphérique.
Les utilisateurs appellent le gestionnaire d'allocation de périphériques (Device Allocation Manager) lorsqu'ils sont directement connectés. Pour allouer un périphérique à distance, les utilisateurs doivent avoir accès à la zone globale. En règle générale, seuls les rôles ont accès à cette zone.
La plage d'étiquettes de chaque périphérique peut être restreinte par l'administrateur de sécurité. Les utilisateurs standard ont un accès limité aux seuls périphériques dont la plage d'étiquettes inclut les étiquettes avec lesquelles ils sont autorisés à travailler. La plage d'étiquettes par défaut d'un périphérique est comprise entre ADMIN_LOW et ADMIN_HIGH.
Les plages d'étiquettes peuvent être restreintes pour les périphériques allouables et non allouables. Les périphériques non allouables sont des périphériques tels que les mémoires graphiques et les imprimantes.
Pour éviter toute copie d'informations sensibles, chaque périphérique allouable dispose d'une plage d'étiquettes. Pour utiliser un périphérique allouable, l'utilisateur doit être en train de travailler avec une étiquette comprise dans la plage. Dans le cas contraire, l'allocation lui est refusée. L'étiquette en cours de l'utilisateur est appliquée aux données importées ou exportées lorsque le périphérique est alloué à l'utilisateur. L'étiquette des données exportées s'affiche lorsque le périphérique est libéré. L'utilisateur doit étiqueter physiquement le média contenant les données exportées.
Pour restreindre l'accès par connexion directe via la console, l'administrateur de sécurité peut définir une plage d'étiquettes restreinte sur la mémoire graphique.
Par exemple, une plage d'étiquettes restreinte peut être spécifiée pour limiter l'accès à un système public. La plage d'étiquettes permet alors aux utilisateurs d'accéder au seul système dont l'étiquette est comprise dans la plage de la mémoire graphique.
Lorsqu'un hôte dispose d'une imprimante locale, une plage d'étiquettes restreinte sur l'imprimante limite le nombre de travaux pouvant être imprimés.
Trusted Extensions observe les mêmes stratégies de périphérique qu'Oracle Solaris. L'administrateur de sécurité peut modifier les stratégies par défaut et en définir de nouvelles. La commande getdevpolicy récupère les informations sur la stratégie de périphérique et la commande update_drv permet de modifier la stratégie. Pour plus d'informations, reportez-vous à la section Configuration de la stratégie de périphériques (liste des tâches) du manuel Administration d’Oracle Solaris : services de sécurité. Reportez-vous également aux pages de manuel getdevpolicy(1M) et update_drv(1M).
Un script de nettoyage de périphériques s'exécute à chaque fois qu'un périphérique est alloué ou libéré. Oracle Solaris propose des scripts pour les lecteurs de bande ainsi que pour les unités de CD-ROM et de disquette. Si votre site ajoute des types de périphérique allouable au système, les périphériques ajoutés peuvent avoir besoin de scripts. Pour connaître les scripts existants, accédez au répertoire /etc/security/lib. Pour plus d'informations, reportez-vous à la section Scripts de nettoyage de périphériques du manuel Administration d’Oracle Solaris : services de sécurité.
Pour le logiciel Trusted Extensions, les scripts de nettoyage de périphériques doivent satisfaire à certaines exigences. Les conditions requises sont décrites dans la page de manuel device_clean(5).
|