| Ignorer les liens de navigation | |
| Quitter l'aperu | |
|
Configuration et administration d'Oracle Solaris Trusted Extensions Oracle Solaris 11 Information Library (Français) |
| Ignorer les liens de navigation | |
| Quitter l'aperu | |
|
|
Configuration et administration d'Oracle Solaris Trusted Extensions Oracle Solaris 11 Information Library (Français) |
Partie I Configuration initiale de Trusted Extensions
1. Planification de la sécurité pour Trusted Extensions
2. Déroulement de la configuration de Trusted Extensions
3. Ajout de la fonction Trusted Extensions à Oracle Solaris (tâches)
4. Configuration de Trusted Extensions (tâches)
5. Configuration de LDAP pour Trusted Extensions (tâches)
Partie II Administration de Trusted Extensions
6. Concepts d'administration de Trusted Extensions
7. Outils d'administration de Trusted Extensions
8. Exigences de sécurité sur un système Trusted Extensions (présentation)
9. Exécution de tâches courantes dans Trusted Extensions (tâches)
10. Utilisateurs, droits et rôles dans Trusted Extensions (présentation)
11. Gestion des utilisateurs, des droits et des rôles dans Trusted Extensions (tâches)
12. Administration à distance dans Trusted Extensions (tâches)
13. Gestion des zones dans Trusted Extensions (tâches)
Processus de zone globale et zones étiquetées
Utilitaires d'administration des zones dans Trusted Extensions
Gestion des zones (liste des tâches)
Procédure d'affichage des zones prêtes ou en cours d'exécution
Procédure d'affichage des étiquettes de fichiers montés
Procédure de désactivation du montage pour les fichiers de niveau inférieur
Procédure de partage d'un ensemble de données ZFS à partir d'une zone étiquetée
Procédure d'octroi de l'autorisation à modifier l'étiquette de fichiers à un utilisateur
14. Gestion et montage de fichiers dans Trusted Extensions (tâches)
15. Gestion de réseaux de confiance (présentation)
16. Gestion des réseaux dans Trusted Extensions (tâches)
17. Trusted Extensions et LDAP (présentation)
18. Messagerie multiniveau dans Trusted Extensions (présentation)
19. Gestion de l'impression étiquetée (tâches)
20. Périphériques dans Trusted Extensions (présentation)
21. Gestion des périphériques pour Trusted Extensions (tâches)
22. Audit de Trusted Extensions (présentation)
23. Gestion des logiciels dans Trusted Extensions (Référence)
A. Stratégie de sécurité du site
Création et gestion d'une stratégie de sécurité
Stratégie de sécurité du site et Trusted Extensions
Recommandations relatives à la sécurité informatique
Recommandations relatives à la sécurité physique
Recommandations relatives à la sécurité du personnel
Violations de sécurité courantes
Références de sécurité supplémentaires
B. Liste de contrôle de configuration pour Trusted Extensions
Liste de contrôle de configuration de Trusted Extensions
C. Guide de référence rapide pour l'administration de Trusted Extensions
Interfaces d'administration dans Trusted Extensions
Interfaces Oracle Solaris étendues par Trusted Extensions
Renforcement des paramètres de sécurité par défaut dans Trusted Extensions
Options limitées dans Trusted Extensions
D. Liste des pages de manuel Trusted Extensions
Pages de manuel Trusted Extensions par ordre alphabétique
Pages de manuel Oracle Solaris modifiées par Trusted Extensions
Un système Trusted Extensions correctement configuré comprend une zone globale, qui correspond à l'instance du système d'exploitation, et une ou plusieurs zones étiquetées non globales. Lors de la configuration, Trusted Extensions joint une étiquette unique à chaque zone et crée ainsi des zones étiquetées. Les étiquettes proviennent du fichier label_encodings. Vous pouvez créer une zone pour chaque étiquette, mais cela n'est pas obligatoire. Un système peut comporter plus d'étiquettes que de zones étiquetées. Il n'est pas possible d'avoir plus de zones étiquetées que d'étiquettes.
Sur un système Trusted Extensions, la zone globale est uniquement une zone administrative. Les zones étiquetées sont destinées aux utilisateurs standard. Les utilisateurs peuvent travailler dans une zone dont l'étiquette est comprise dans la plage d'accréditations de l'utilisateur.
Sur un système Trusted Extensions, les systèmes de fichiers d'une zone sont généralement montés dans la zone globale en tant que système de fichiers loopback (LOFS). Tous les fichiers et répertoires accessibles en écriture d'une zone étiquetée ont l'étiquette de la zone. Par défaut, un utilisateur peut visualiser les fichiers appartenant à une zone dont le niveau d'étiquette est inférieur à celui de l'étiquette actuelle de l'utilisateur. Cette configuration permet aux utilisateurs de visualiser leurs répertoires personnels correspondant à des étiquettes de niveau inférieur par rapport à celle de l'espace de travail actuel. Bien que les utilisateurs puissent visualiser les fichiers correspondant à un niveau inférieur, ils ne peuvent pas les modifier. Les utilisateurs peuvent uniquement modifier les fichiers à partir d'un processus de même étiquette que les fichiers concernés.
Chaque zone est un système de fichiers ZFS discrets. Chaque zone peut être associée à une adresse IP et à des attributs de sécurité. Une zone peut être configurée avec des ports multiniveau (les MLP). En outre, une zone peut être configurée avec une stratégie relative aux diffusions ICMP (Internet Control Message Protocol), telles que ping.
Pour plus d'informations sur le partage de répertoires d'une zone étiquetée et sur le montage à distance de répertoires depuis des zones étiquetées, reportez-vous aux sections Chapitre 14, Gestion et montage de fichiers dans Trusted Extensions (tâches) et Montage des jeux de données ZFS étiquetés.
Les zones de Trusted Extensions sont basées sur le produit de zones d'Oracle Solaris Pour obtenir des informations de référence, reportez-vous à la section Partie II, Oracle Solaris Zones du manuel Administration Oracle Solaris : Oracle Solaris Zones, Oracle Solaris 10 Zones et gestion des ressources.
Votre équipe de configuration initiale a assigné des adresses IP à la zone globale et aux zones étiquetées. Elle a considéré trois types de configurations comme indiqué dans la section Accès aux zones étiquetées qu'il est possible de résumer comme suit :
Le système dispose d'une adresse IP pour la zone globale et toutes les zones étiquetées.
Cette configuration est utile sur un système qui utilise le logiciel DHCP pour déterminer son adresse IP.
Le système dispose d'une adresse IP pour la zone globale et d'une adresse IP partagée par toutes les zones, y compris par la zone globale. N'importe quelle zone peut combiner une adresse unique et une adresse partagée.
Cette configuration est utile sur un système en réseau auquel les utilisateurs standard vont se connecter. Elle peut également être utilisée pour une imprimante ou un serveur NFS. Cette configuration conserve les adresses IP.
Le système dispose d'une adresse IP pour la zone globale et chaque zone étiquetée possède une adresse IP unique.
Cette configuration est utile pour permettre l'accès à des réseaux physiques distincts sur des systèmes à niveau unique. En règle générale, chaque zone possède une adresse IP sur un réseau physique distinct de celui des autres zones étiquetées. Dans la mesure où cette configuration est mise en œuvre avec une instance IP unique, la zone globale contrôle les interfaces physiques et gère les ressources globales, telles que la table de routage.
Un quatrième type de configuration pour une zone non globale est disponible dans les instances IP exclusives d'Oracle Solaris. Dans cette configuration, une zone non globale se voit attribuer sa propre instance d'IP et gère ses propres interfaces physiques. Chaque zone fonctionne comme si elle constituait un système distinct. Pour obtenir une description, reportez-vous à la section Interfaces réseau de zones du manuel Administration Oracle Solaris : Oracle Solaris Zones, Oracle Solaris 10 Zones et gestion des ressources.
Si vous configurez des instances IP exclusives dans Trusted Extensions, chaque zone étiquetée fonctionne comme si elle est constituait un système à niveau unique distinct. Les fonctions de mise en réseau multiniveau de Trusted Extensions s'appuient sur les fonctions d'une pile IP partagée. Ce guide suppose que la mise en réseau est entièrement contrôlée par la zone globale. Par conséquent, si votre équipe de configuration initiale a installé des zones étiquetées avec des instances IP exclusives, vous devez fournir ou vous reporter à la documentation spécifique du site.
Par défaut, une zone ne peut pas envoyer ni recevoir des paquet vers ni depuis une autre zone. Les ports multiniveau (les MLP) permettent à certains services particuliers sur un port d'accepter des demandes correspondant à une plage d'étiquettes ou à un jeu d'étiquettes donné. Ces services privilégiés peuvent répondre sous l'étiquette de la demande. Vous pouvez par exemple souhaiter créer un port de navigateur Web privilégié capable d'écouter sur toutes les étiquettes, mais dont les réponses sont limitées en fonction de l'étiquette. Par défaut, les zones étiquetées n'ont pas de MLP.
La plage d'étiquettes ou l'ensemble d'étiquettes qui limite les paquets pouvant être acceptés par le MLP dépend de l'adresse IP de la zone. Un modèle de sécurité est affecté à l'adresse IP en communiquant des systèmes Trusted Extensions. La plage d'étiquettes ou l'ensemble d'étiquettes du modèle de sécurité limite les paquets que le MLP peut accepter.
Les contraintes qui s'appliquent aux MPL pour les différentes configurations d'adresse IP sont les suivantes :
Sur un système sur lequel la zone globale a une adresse IP et chacune des zones étiquetées une adresse IP unique, un MLP pour un service particulier peut être ajouté à chaque zone. Par exemple, le système peut être configuré de manière à ce que le service ssh soit, par le biais du port TCP 22, un MLP dans la zone globale et dans chaque zone étiquetée.
Dans une configuration standard, une adresse IP est attribuée à la zone globale et les zones étiquetées partagent une seconde adresse IP avec la zone globale. Lorsqu'un MLP est ajouté à une interface partagée, le paquet du service est acheminé vers la zone étiquetée où le MLP est défini. Le paquet n'est accepté que si la plage d'étiquettes du modèle d'hôte distant pour la zone étiquetée inclut l'étiquette du paquet. Lorsque la plage est comprise entre ADMIN_LOW et ADMIN_HIGH, tous les paquets sont acceptés. Lorsque la plage d'étiquettes est plus restreinte, les paquets dont l'étiquette n'est pas comprise dans la plage sont rejetés.
Au mieux, une zone peut définir un port particulier en tant que MLP sur une interface partagée. Dans le scénario précédent, où le port ssh était configuré en tant que MLP partagé dans une zone non globale, aucune autre zone ne peut recevoir de connexions ssh sur l'adresse partagée. Toutefois, la zone globale pourrait définir le port ssh en tant que MLP privé pour la réception de connexions sur son adresse spécifique de zone.
Dans une configuration par défaut, où la zone globale et les zones étiquetées partagent une adresse IP, un MLP pourrait être ajouté à une zone pour le service ssh. Si le programme MLP pour ssh est ajouté à la zone globale, aucune zone étiquetée ne peut ajouter de MLP pour le service ssh. De même, si le MLP du service ssh est ajouté à une zone étiquetée, la zone globale ne peut pas être configurée avec un MLP ssh.
Pour un exemple, reportez-vous à la section Procédure de création d'un port multiniveau pour une zone.
Les réseaux transmettent des messages de diffusion et envoient des paquets ICMP aux systèmes du réseau. Sur un système multiniveau, ces transmissions risquent d'inonder le système sous chaque étiquette. Par défaut, la stratégie réseau des zones étiquetées exige que les paquets ICMP soient uniquement reçus sous l'étiquette correspondante.
|