Ignorer les liens de navigation | |
Quitter l'aperu | |
Configuration et administration d'Oracle Solaris Trusted Extensions Oracle Solaris 11 Information Library (Français) |
Partie I Configuration initiale de Trusted Extensions
1. Planification de la sécurité pour Trusted Extensions
2. Déroulement de la configuration de Trusted Extensions
3. Ajout de la fonction Trusted Extensions à Oracle Solaris (tâches)
4. Configuration de Trusted Extensions (tâches)
5. Configuration de LDAP pour Trusted Extensions (tâches)
Partie II Administration de Trusted Extensions
6. Concepts d'administration de Trusted Extensions
7. Outils d'administration de Trusted Extensions
8. Exigences de sécurité sur un système Trusted Extensions (présentation)
9. Exécution de tâches courantes dans Trusted Extensions (tâches)
10. Utilisateurs, droits et rôles dans Trusted Extensions (présentation)
11. Gestion des utilisateurs, des droits et des rôles dans Trusted Extensions (tâches)
12. Administration à distance dans Trusted Extensions (tâches)
13. Gestion des zones dans Trusted Extensions (tâches)
14. Gestion et montage de fichiers dans Trusted Extensions (tâches)
15. Gestion de réseaux de confiance (présentation)
16. Gestion des réseaux dans Trusted Extensions (tâches)
Gestion du réseau de confiance (liste des tâches)
Étiquetage d'hôtes et de réseaux (liste des tâches)
Procédure d'affichage des modèles de sécurité
Procédure de création de modèles de sécurité
Procédure d'ajout d'hôtes au réseau connu du système
Procédure d'ajout d'un hôte au modèle de sécurité
Procédure d'ajout d'une plage d'hôtes au modèle de sécurité
Procédure de limitation des hôtes pouvant être contactés sur le réseau de confiance
Configuration des routes et ports multiniveau (MLP) (tâches)
Configuration d'IPsec avec étiquettes (liste des tâches)
Procédure d'application des protections IPsec dans un réseau Trusted Extensions multiniveau
Procédure de configuration d'un tunnel au sein d'un réseau non autorisé
Dépannage du réseau de confiance (liste des tâches)
Procédure de vérification de l'affichage des interfaces du système
Débogage du réseau Trusted Extensions
Procédure de débogage d'une connexion client au serveur LDAP
17. Trusted Extensions et LDAP (présentation)
18. Messagerie multiniveau dans Trusted Extensions (présentation)
19. Gestion de l'impression étiquetée (tâches)
20. Périphériques dans Trusted Extensions (présentation)
21. Gestion des périphériques pour Trusted Extensions (tâches)
22. Audit de Trusted Extensions (présentation)
23. Gestion des logiciels dans Trusted Extensions (Référence)
A. Stratégie de sécurité du site
Création et gestion d'une stratégie de sécurité
Stratégie de sécurité du site et Trusted Extensions
Recommandations relatives à la sécurité informatique
Recommandations relatives à la sécurité physique
Recommandations relatives à la sécurité du personnel
Violations de sécurité courantes
Références de sécurité supplémentaires
B. Liste de contrôle de configuration pour Trusted Extensions
Liste de contrôle de configuration de Trusted Extensions
C. Guide de référence rapide pour l'administration de Trusted Extensions
Interfaces d'administration dans Trusted Extensions
Interfaces Oracle Solaris étendues par Trusted Extensions
Renforcement des paramètres de sécurité par défaut dans Trusted Extensions
Options limitées dans Trusted Extensions
D. Liste des pages de manuel Trusted Extensions
Pages de manuel Trusted Extensions par ordre alphabétique
Pages de manuel Oracle Solaris modifiées par Trusted Extensions
Les routes statiques permettant aux paquets étiquetés d'atteindre leur destination via des passerelles étiquetées et sans étiquette. Les MLP permettent à une application d'utiliser un point d'entrée pour atteindre toutes les zones.
Avant de commencer
Vous devez être dans le rôle d'administrateur de sécurité dans la zone globale.
Assignez chaque hôte, réseau et passerelle de destination à un modèle de sécurité. Pour plus d'informations, reportez-vous à la section Procédure d'ajout d'un hôte au modèle de sécurité and Procédure d'ajout d'une plage d'hôtes au modèle de sécurité.
# txzonemgr &
Si la zone possède plusieurs adresses IP, choisissez l'entrée de l'interface souhaitée.
Remarque - Pour supprimer ou modifier le routeur par défaut, supprimez l'entrée, créez à nouveau l'entrée IP, puis ajoutez le routeur. Si la zone ne possède qu'une seule adresse IP, vous devez supprimer l'instance IP pour supprimer l'entrée.
Exemple 16-17 Utilisation de la commande route afin de définir la route par défaut pour la zone globale
Dans cet exemple, l'administrateur utilise la commande route pour créer une route par défaut pour la zone globale.
# route add default 192.168.113.1 -static
Vous pouvez ajouter des MLP privés et partagés à des zones étiquetées et à la zone globale.
Cette procédure est utilisée lorsqu'une application qui s'exécute à l'intérieur d'une zone étiquetée requiert un port multiniveau (MLP) pour communiquer avec la zone. Dans cette procédure, un proxy Web communique avec la zone.
Avant de commencer
Vous devez être dans le rôle root dans la zone globale. Le système doit avoir au moins deux adresses IP et la zone étiquetée est arrêtée.
## /etc/hosts file ... proxy-host-name IP-address web-service-host-name IP-address
Par exemple, vous pouvez configurer la zone public de manière à ce qu'elle reconnaisse les paquets explicitement étiquetés PUBLIC. Pour cette configuration, le modèle de sécurité est nommé webprox.
# tncfg -t webprox tncfg:public> set name=webprox tncfg:public> set host_type=cipso tncfg:public> set min_label=public tncfg:public> set max_label=public tncfg:public> add host=mywebproxy.oracle.comhost name associated with public zone tncfg:public> add host=10.1.2.3/16IP address of public zone tncfg:public> exit
Par exemple, le service de proxy Web peut communiquer avec la zone PUBLIC via l'interface 8080/tcp .
# tncfg -z public add mlp_shared=8080/tcp # tncfg -z public add mlp_private=8080/tcp
# zoneadm -z zone-name boot
Pour ajouter des routes, effectuez les étapes décrites dans la section Procédure d'ajout des routes par défaut.
Exemple 16-18 Configuration d'un MLP à l'aide de l'interface graphique txzonemgr
L'administrateur configure le service de proxy Web en ouvrant le gestionnaire de zones étiquetées (Labeled Zone Manager).
# txzonemgr &
L'administrateur clique deux fois sur la zone PUBLIC, puis sur les ports Configure Multilevel Ports. Il sélectionne ensuite la ligne Private interfaces et clique deux fois dessus. La sélection prend ensuite l'apparence d'une zone de saisie semblable à ce qui suit :
Private interfaces:111/tcp;111/udp
L'administrateur saisit ensuite le proxy Web en le séparant de ce qui précède par un point-virgule
Private interfaces:111/tcp;111/udp;8080/tcp
Une fois la saisie privée terminée, l'administrateur saisit le proxy Web dans le champ Shared interfaces.
Shared interfaces:111/tcp;111/udp;8080/tcp
Une fenêtre contextuelle indique que les ports multiniveau de la zone public devront être activés à la prochaine initialisation de la zone.
Exemple 16-19 Configuration d'un port multiniveau privé pour NFSv3 sur udp
Dans cet exemple, l'administrateur active les montages "read-down" NFSv3 sur udp. L'administrateur a la possibilité d'utiliser la commande tncfg.
# tncfg -z global add mlp_private=2049/udp
L'interface graphique txzonemgr fournit une autre manière de définir le MLP.
Dans le gestionnaire de zones étiquetées (Labeled Zone Manager), l'administrateur clique deux fois sur la zone global, puis sur Configure Multilevel Ports. Dans le menu MLP, l'administrateur sélectionne la ligne Private interfaces et clique deux fois dessus avant d'ajouter le port/protocole.
Private interfaces:111/tcp;111/udp;8080/tcp
Une fenêtre contextuelle indique que les ports multiniveau de la zoneglobal devront être activés à la prochaine initialisation de la zone.
Exemple 16-20 Affichage de ports multiniveau sur un système
Dans cet exemple, un système est configuré avec plusieurs zones étiquetées. Toutes les zones partagent la même adresse IP. Certaines zones sont également configurées avec des adresses spécifiques à leur zone. Dans cette configuration, le port TCP permettant de naviguer sur le Web (port 8080) est un MLP situé sur une interface partagée de la zone publique. L'administrateur a également configuré telnet, le port TCP 23, comme MLP de la zone publique. Étant donné que ces deux MLP se trouvent sur une interface partagée, aucune autre zone, pas même la zone globale, ne peut recevoir de paquets sur les ports 8080 et 23 dans l'interface partagée.
En outre, le port TCP de ssh, le port 22, est un MLP par zone de la zone publique. Le service ssh de la zone publique peut recevoir sur l'adresse spécifique à sa zone n'importe quel paquet correspondant à la page d'étiquettes de l'adresse.
La commande suivante indique les MLP pour la zone publique :
$ tninfo -m public private: 22/tcp shared: 23/tcp;8080/tcp
La commande suivante indique les MLP pour la zone globale. Notez que les ports 23 et 8080 ne peuvent pas être de type MLP dans la zone globale car celle-ci partage la même adresse que la zone publique :
$ tninfo -m global private: 111/tcp;111/udp;514/tcp;515/tcp;631/tcp;2049/tcp; 6000-6003/tcp;38672/tcp;60770/tcp; shared: 6000-6003/tcp