| Ignorer les liens de navigation | |
| Quitter l'aperu | |
|
Configuration et administration d'Oracle Solaris Trusted Extensions Oracle Solaris 11 Information Library (Français) |
| Ignorer les liens de navigation | |
| Quitter l'aperu | |
|
|
Configuration et administration d'Oracle Solaris Trusted Extensions Oracle Solaris 11 Information Library (Français) |
Partie I Configuration initiale de Trusted Extensions
1. Planification de la sécurité pour Trusted Extensions
2. Déroulement de la configuration de Trusted Extensions
3. Ajout de la fonction Trusted Extensions à Oracle Solaris (tâches)
4. Configuration de Trusted Extensions (tâches)
5. Configuration de LDAP pour Trusted Extensions (tâches)
Partie II Administration de Trusted Extensions
6. Concepts d'administration de Trusted Extensions
7. Outils d'administration de Trusted Extensions
8. Exigences de sécurité sur un système Trusted Extensions (présentation)
9. Exécution de tâches courantes dans Trusted Extensions (tâches)
10. Utilisateurs, droits et rôles dans Trusted Extensions (présentation)
Fonctions de sécurité des utilisateurs dans Trusted Extensions
Responsabilités des administrateurs concernant les utilisateurs
Responsabilités de l'administrateur système concernant les utilisateurs
Responsabilités de l'administrateur de sécurité concernant les utilisateurs
Décisions à prendre avant de créer des utilisateurs dans Trusted Extensions
Attributs de sécurité utilisateur par défaut dans Trusted Extensions
Valeurs par défaut du fichier label_encodings
Valeurs par défaut du fichier policy.conf dans Trusted Extensions
Attributs de l'utilisateur configurables dans Trusted Extensions
Attributs de sécurité devant être affectés aux utilisateurs
Affectation d'attributs de sécurité aux utilisateurs dans Trusted Extensions
11. Gestion des utilisateurs, des droits et des rôles dans Trusted Extensions (tâches)
12. Administration à distance dans Trusted Extensions (tâches)
13. Gestion des zones dans Trusted Extensions (tâches)
14. Gestion et montage de fichiers dans Trusted Extensions (tâches)
15. Gestion de réseaux de confiance (présentation)
16. Gestion des réseaux dans Trusted Extensions (tâches)
17. Trusted Extensions et LDAP (présentation)
18. Messagerie multiniveau dans Trusted Extensions (présentation)
19. Gestion de l'impression étiquetée (tâches)
20. Périphériques dans Trusted Extensions (présentation)
21. Gestion des périphériques pour Trusted Extensions (tâches)
22. Audit de Trusted Extensions (présentation)
23. Gestion des logiciels dans Trusted Extensions (Référence)
A. Stratégie de sécurité du site
Création et gestion d'une stratégie de sécurité
Stratégie de sécurité du site et Trusted Extensions
Recommandations relatives à la sécurité informatique
Recommandations relatives à la sécurité physique
Recommandations relatives à la sécurité du personnel
Violations de sécurité courantes
Références de sécurité supplémentaires
B. Liste de contrôle de configuration pour Trusted Extensions
Liste de contrôle de configuration de Trusted Extensions
C. Guide de référence rapide pour l'administration de Trusted Extensions
Interfaces d'administration dans Trusted Extensions
Interfaces Oracle Solaris étendues par Trusted Extensions
Renforcement des paramètres de sécurité par défaut dans Trusted Extensions
Options limitées dans Trusted Extensions
D. Liste des pages de manuel Trusted Extensions
Pages de manuel Trusted Extensions par ordre alphabétique
Pages de manuel Oracle Solaris modifiées par Trusted Extensions
L'administrateur de sécurité peut modifier les attributs de sécurité des nouveaux utilisateurs. Pour plus d'informations sur les fichiers contenant les valeurs par défaut, reportez-vous à la section Attributs de sécurité utilisateur par défaut dans Trusted Extensions. Le tableau suivant présente les attributs de sécurité pouvant être affectés aux utilisateurs et l'effet de chaque affectation.
Tableau 10-2 Attributs de sécurité affectés après la création d'un utilisateur
|
Une fois que les comptes utilisateur ont été créés, l'administrateur de sécurité affecte des attributs de sécurité aux utilisateurs. Si vous avez défini des valeurs par défaut correctes, l'étape suivante consiste à affecter des attributs de sécurité aux utilisateurs qui ont besoin d'exceptions aux valeurs par défaut.
Lorsque vous affectez des attributs de sécurité aux utilisateurs, prenez en compte les informations suivantes :
L'administrateur système peut affecter des mots de passe aux comptes utilisateur lors de la création des comptes. Après cette affectation initiale, l'administrateur de sécurité ou l'utilisateur peut modifier le mot de passe.
Comme dans Oracle Solaris, les utilisateurs peuvent être obligés de modifier leurs mots de passe à intervalles réguliers. Les options de vieillissement du mot de passe limitent la durée pendant laquelle un intrus qui aurait deviné ou usurpé un mot de passe peut accéder au système. En outre, l'instauration d'un délai minimal avant que la modification d'un mot de passe ne soit autorisée permet d'empêcher qu'un utilisateur disposant d'un nouveau mot de passe ne rétablisse immédiatement son ancien mot de passe. Pour plus d'informations, reportez-vous à la page de manuel passwd(1).
Remarque - Les mots de passe des utilisateurs qui peuvent assumer des rôles ne doivent être soumis à aucune contrainte de vieillissement du mot de passe.
L'affectation d'un rôle aux utilisateurs n'est pas obligatoire. Plusieurs rôles peuvent être affectés à un utilisateur si cela est cohérent avec la stratégie de sécurité de votre site.
Comme dans le SE Oracle Solaris, l'affectation d'autorisations à un utilisateur ajoute ces autorisations aux autorisations existantes. La meilleure pratique consiste à ajouter les autorisations à un profil de droits, puis à affecter le profil à l'utilisateur.
Comme dans le SE Oracle Solaris, l'ordre des profils de droits est important. A l'exception des autorisations, le mécanisme des profils utilise la valeur de la première instance d'un attribut de sécurité assigné. Pour plus d'informations, reportez-vous à la section Ordre de recherche pour les attributs de sécurité affectés du manuel Administration d’Oracle Solaris : services de sécurité.
Vous pouvez utiliser l'ordre de tri de profils à votre avantage. Si vous souhaitez qu'une commande s'exécute en utilisant d'autres attributs de sécurité que ceux qui sont définis pour elle dans un profil existant, créez un nouveau profil avec les affectations souhaitées pour la commande. Ensuite, insérez ce nouveau profil avant le profil existant.
Remarque - N'assignez pas de profil de droits incluant des commandes d'administration à un utilisateur standard. En effet, le profil ne fonctionnera pas car un utilisateur standard ne peut pas accéder à la zone globale.
L'ensemble de privilèges par défaut peut être trop souple pour un grand nombre de sites. Pour limiter l'ensemble de privilèges de tous les utilisateurs standard sur un système, modifiez le paramètre du fichier policy.conf. Pour modifier le jeu de privilèges pour des utilisateurs individuels, reportez-vous à la section Procédure de limitation du jeu de privilèges d'un utilisateur.
La modification des valeurs d'étiquette par défaut d'un utilisateur crée une exception pour les valeurs par défaut de l'utilisateur dans le fichier label_encodings.
Comme dans le SE Oracle Solaris, affecter des classes d'audit à un utilisateur modifie le masque de présélection de l'utilisateur. Pour plus d'informations sur l'audit, reportez-vous à la section Partie VII, Audit dans Oracle Solaris du manuel Administration d’Oracle Solaris : services de sécurité et au chapitre Chapitre 22, Audit de Trusted Extensions (présentation) .
Dans Trusted Extensions, les fichiers sont automatiquement copiés du répertoire squelette dans la zone qui contient l'étiquette minimale du compte, et uniquement à cet endroit. Pour permettre l'utilisation des fichiers de démarrage par les zones d'étiquette supérieure, l'utilisateur ou l'administrateur doit créer les fichiers .copy_files et .link_files.
Les fichiers .copy_files et .link_files de Trusted Extensions facilitent l'automatisation de la copie ou de la liaison de fichiers de démarrage dans chaque étiquette du répertoire personnel d'un compte. Chaque fois qu'un utilisateur crée un espace de travail sous une nouvelle étiquette, la commande updatehome lit le contenu des fichiers .copy_files et .link_files placés sous l'étiquette minimale du compte. La commande copie ou lie alors chaque fichier répertorié dans ou à l'espace de travail d'étiquette supérieure.
Le fichier .copy_files est utile lorsqu'un utilisateur souhaite utiliser un fichier de démarrage légèrement différent pour chaque étiquette. La copie est préférable, par exemple, lorsque les utilisateurs utilisent différents alias de messagerie pour les différentes étiquettes. Le fichier .link-files est utile lorsqu'un fichier de démarrage doit être identique pour toutes les étiquettes appelées. La liaison est préférable, par exemple, lorsqu'une même imprimante est utilisée pour tous les travaux d'impression étiquetés. Pour obtenir des exemples de fichiers, reportez-vous à la section Procédure de configuration des fichiers de démarrage pour les utilisateurs dans Trusted Extensions .
Vous trouverez ci-dessous une liste de fichiers de démarrage qu'il peut être souhaitable que les utilisateurs puissent lier à des étiquettes supérieures ou copier vers des étiquettes supérieures :
|
|