Personnalisation de l'environnement de l'utilisateur pour en assurer la sécurité (liste des tâches)

La liste des tâches ci-dessous décrit les tâches courantes que vous pouvez effectuer lorsque vous personnalisez un système pour tous les utilisateurs ou lorsque vous personnalisez un compte utilisateur. La plupart de ces tâches sont effectuées avant que les utilisateurs standard puissent se connecter.

Procédure de modification des attributs d'étiquette par défaut des utilisateurs

Vous pouvez modifier les attributs d'étiquette par défaut des utilisateurs lors de la configuration du premier système. Les modifications doivent être copiées sur chaque système Trusted Extensions.

---

Attention - Vous devez terminer cette tâche afin que les utilisateurs standard puissent accéder au système.

---

Avant de commencer

Vous devez être dans le rôle d'administrateur de sécurité dans la zone globale. Pour plus d'informations, reportez-vous à la section Accès à la zone globale dans Trusted Extensions .

1. Vérifiez les paramètres des attributs par défaut des utilisateurs dans le fichier /etc/security/tsol/label_encodings.

   Pour les valeurs par défaut, reportez-vous au Tableau 1-2 in Planification de la sécurité de l'utilisateur dans Trusted Extensions.

2. Modifiez les paramètres des attributs des utilisateurs dans le fichier label_encodings.
3. Transmettez une copie du fichier à chaque système Trusted Extensions.

   ---

   Attention - Le fichier label_encodings doit être identique sur tous les systèmes. Pour une méthode de distribution, reportez-vous aux sections Copie de fichiers sur un média amovible dans Trusted Extensions et Copie de fichiers dans Trusted Extensions à partir d'un média amovible.

   ---

Procédure de modification des valeurs par défaut de policy.conf

La modification des valeurs par défaut du fichier policy.conf dans Trusted Extensions est similaire à la modification de tout fichier système lié à la sécurité dans Oracle Solaris. Utilisez cette procédure pour modifier les paramètres par défaut pour tous les utilisateurs d'un système.

Avant de commencer

Vous devez être dans le rôle root dans la zone globale. Pour plus d'informations, reportez-vous à la section Accès à la zone globale dans Trusted Extensions .

1. Contrôlez les paramètres par défaut dans le fichier /etc/security/policy.conf.

   Pour les mots-clés de Trusted Extensions, reportez-vous au Tableau 10-1.

2. Modifiez les paramètres.

Exemple 11-1 Modification des paramètres d'inactivité du système

Dans cet exemple, l'administrateur de sécurité souhaite que les systèmes inactifs reviennent à l'écran de connexion. Par défaut, un système inactif est verrouillé. Par conséquent, le rôle root ajoute la paire IDLECMD keyword= value au fichier /etc/security/policy.conf de la façon suivante :

IDLECMD=LOGOUT

L'administrateur veut également réduire la durée d'inactivité des systèmes avant la déconnexion. Par conséquent, le rôle root ajoute la paire IDLETIME keyword=value au fichier policy.conf de la façon suivante :

IDLETIME=10

Le système déconnecte désormais l'utilisateur après 10 minutes d'inactivité du système.

Notez que si l'utilisateur de connexion assume un rôle, les valeurs IDLECMD et IDLETIME de l'utilisateur s'appliquent pour ce rôle.

Exemple 11-2 Modification du jeu de privilèges de base de chaque utilisateur

Dans cet exemple, l'administrateur de sécurité d'une installation de grande taille ne souhaite pas que les utilisateurs standard puissent voir les processus d'autres utilisateurs. Par conséquent, le rôle root supprime proc_info de l'ensemble de privilèges de base sur chaque système configuré avec Trusted Extensions. Le paramètre PRIV_DEFAULT du fichier /etc/policy.conf est modifié et ses commentaires sont annulés comme suit :

PRIV_DEFAULT=basic,!proc_info

Procédure de configuration des fichiers de démarrage pour les utilisateurs dans Trusted Extensions

Les utilisateurs peuvent placer un fichier .copy_files et un fichier .link_files dans leur répertoire personnel sous l'étiquette correspondant à leur étiquette de sensibilité minimale. Les utilisateurs peuvent également modifier les fichiers .copy_files et .link_files existants sous l'étiquette minimale des utilisateurs. Cette procédure permet au rôle d'administrateur d'automatiser la configuration pour un site.

Avant de commencer

Vous devez être dans le rôle d'administrateur système dans la zone globale. Pour plus d'informations, reportez-vous à la section Accès à la zone globale dans Trusted Extensions .

1. Créez deux fichiers de démarrage Trusted Extensions.

   Vous allez ajouter .copy_files et .link_files à votre liste de fichiers de démarrage.

   # cd /etc/skel
   # touch .copy_files .link_files

2. Personnalisez le fichier .copy_files.
   1. Dans un éditeur, saisissez le nom complet du fichier .copy_files.

      # vi /etc/skel/.copy_files

   2. Saisissez dans .copy_files, à raison d'un fichier par ligne, les fichiers à copier dans le répertoire personnel de l'utilisateur à toutes les étiquettes.

      Reportez-vous à la section Fichiers .copy_files et .link_files si vous avez besoin de suggestions. Pour des exemples de fichiers, reportez-vous à l'Exemple 11-3.

3. Personnalisez le fichier .link_files.
   1. Dans un éditeur, saisissez le nom complet du fichier .link_files.

      # vi /etc/skel/.link_files

   2. Saisissez dans .link_files, à raison d'un fichier par ligne, les fichiers à lier au répertoire personnel de l'utilisateur à toutes les étiquettes.
4. Personnalisez les autres fichiers de démarrage pour vos utilisateurs.

   • Pour une description des fichiers à inclure dans les fichiers de démarrage, reportez-vous à la section Personnalisation de l’environnement de travail d’un utilisateur du manuel Administration d’Oracle Solaris : Tâches courantes .

   • Pour plus d'informations, reportez-vous à la section Procédure de personnalisation des fichiers d’initialisation utilisateur du manuel Administration d’Oracle Solaris : Tâches courantes .

5. (Facultatif) Créez un sous-répertoire skeIP pour les utilisateurs dont le shell par défaut est un shell de profil.

   Le caractère P représente le shell de profil.

6. Copiez les fichiers de démarrage personnalisés dans le répertoire squelette approprié.
7. Utilisez le chemin d'accès skelX approprié lorsque vous créez l'utilisateur.

   Le caractère X représente la première lettre du nom du shell, tel que B pour Bourne, K pour Korn, C pour un shell C et P pour un shell de profil.

Exemple 11-3 Personnalisation des fichiers de démarrage pour les utilisateurs

Dans cet exemple, l'administrateur système configure des fichiers pour le répertoire personnel de chaque utilisateur. Les fichiers sont en place avant la connexion du premier utilisateur. Les fichiers sont sous l'étiquette minimale de l'utilisateur. Sur ce site, le shell par défaut des utilisateurs est le shell C.

L'administrateur système crée un fichier .copy_files et un fichier .link_files avec les contenus suivants :

## .copy_files for regular users
## Copy these files to my home directory in every zone
.mailrc
.mozilla
.soffice
:wq

## .link_files for regular users with C shells
## Link these files to my home directory in every zone
.bashrc
.bashrc.user
.cshrc
.login
:wq

## .link_files for regular users with Korn shells
# Link these files to my home directory in every zone
.ksh
.profile
:wq

Les fichiers personnalisés sont copiés dans le répertoire squelette approprié.

$ cp .copy_files .link_files .bashrc .bashrc.user .cshrc \
.login .profile .mailrc /etc/skelC
$ cp .copy_files .link_files .ksh .profile .mailrc \
/etc/skelK

Erreurs fréquentes

Si vous créez un fichier .copy_files à votre étiquette la plus basse, que vous vous connectez ensuite à une zone supérieure afin d'exécuter la commande updatehome et que l'exécution de cette commande échoue avec une erreur d'accès, vérifiez les points suivants :

• Vérifiez que vous pouvez visualiser le répertoire de niveau inférieur à partir de la zone supérieure.

  higher-level zone# ls /zone/lower-level-zone/home/username
  ACCESS ERROR: there are no files under that directory

• Si vous ne pouvez pas visualiser le répertoire, redémarrez le service de montage automatique dans la zone de niveau supérieur :

  higher-level zone# svcadm restart autofs

À moins que vous n'utilisiez des montages NFS pour les répertoires personnels, le montage automatique dans la zone supérieure doit être en loopback de /zone/lower-level-zone/export/home/username à /zone/lower-level-zone/home/username.

Procédure d'allongement du délai d'attente lors de la modification de l'étiquette d'informations

Dans Trusted Extensions, le gestionnaire de sélection (Selection Manager) sert d'intermédiaire pour le transfert d'informations entre des étiquettes. Le gestionnaire de sélection s'affiche pour les opérations de glisser-déposer et pour les opérations de couper-coller. Certaines applications nécessitent que vous définissiez un délai d'attente adéquat pour que le gestionnaire de sélection ait le temps d'intervenir. Une valeur de deux minutes est suffisante.

---

Attention - Ne modifiez pas la valeur de temps d'attente par défaut sur un système sans étiquette. Avec une valeur de délai d'attente plus longue, les opérations échouent.

---

Avant de commencer

Vous devez être dans le rôle d'administrateur système dans la zone globale. Pour plus d'informations, reportez-vous à la section Accès à la zone globale dans Trusted Extensions .

1. Pour l'application Oracle OpenOffice, procédez comme suit :
   1. Accédez au fichier office-install-directory/VCL.xcu.

      où office-install-directory est le répertoire d'installation d'Oracle OpenOffice, par exemple :

      office-top-dir/share/registry/data/org/openoffice

   2. Modifiez la valeur de la propriété SelectionTimeout sur 120.

      La valeur par défaut est de trois secondes. Une valeur de 120 définit le délai d'attente sur deux minutes.

2. Pour les utilisateurs d'applications qui s'appuient sur la bibliothèque GNOME ToolKit (GTK), modifiez la valeur de la propriété à deux minutes.

   ---

   Remarque - Vous pouvez aussi faire en sorte que chaque utilisateur change lui-même la valeur de la propriété.

   ---

   La plupart des applications GNOME utilisent la bibliothèque GTK. Les navigateurs Web tels que Mozilla, Firefox et Thunderbird utilisent la bibliothèque GTK.

   Par défaut, la valeur du délai d'attente est de 300, ou 5 secondes. Une valeur de 7 200 définit le délai d'attente sur deux minutes.

   1. Créez un fichier de démarrage GTK.

      Nommez le fichier .gtkrc-mine. Le fichier .gtkrc-mine se trouve dans le répertoire personnel de l'utilisateur sous l'étiquette minimale.

   2. Ajoutez la valeur de délai d'attente au fichier.

      ## $HOME/.gtkrc-mine file
      *gtk-selection-timeout: 7200

      Comme dans Oracle Solaris, gnome-settings-daemon lit ce fichier au démarrage.

3. (Facultatif) Ajoutez le fichier .gtkrc-mine à la liste du fichier .link_files de chaque utilisateur.

   Pour plus d'information, reportez-vous à la sectionProcédure de configuration des fichiers de démarrage pour les utilisateurs dans Trusted Extensions .

Procédure de connexion à une session de secours dans Trusted Extensions

Dans Trusted Extensions, la connexion de secours est protégée. Si un utilisateur standard a des fichiers d'initialisation du shell personnalisés et ne peut pas se connecter, vous pouvez utiliser la connexion de secours pour corriger les fichiers de l'utilisateur.

Avant de commencer

Vous devez connaître le mot de passe root.

1. Saisissez votre nom d'utilisateur dans l'écran de connexion.
2. Dans le menu du bureau, sélectionnez Solaris Trusted Extensions, Failsafe Session (Session de secours) en bas de l'écran.
3. À l'invite, saisissez votre mot de passe.
4. Lorsque vous êtes invité à indiquer un autre mot de passe, saisissez le mot de passe root.

   Vous pouvez ensuite déboguer les fichiers d'initialisation de l'utilisateur.