JavaScript is required to for searching.
Ignorer les liens de navigation
Quitter l'aperu
Configuration et administration d'Oracle Solaris Trusted Extensions     Oracle Solaris 11 Information Library (Français)
search filter icon
search icon

Informations document

Préface

Partie I Configuration initiale de Trusted Extensions

1.  Planification de la sécurité pour Trusted Extensions

2.  Déroulement de la configuration de Trusted Extensions

3.  Ajout de la fonction Trusted Extensions à Oracle Solaris (tâches)

4.  Configuration de Trusted Extensions (tâches)

5.  Configuration de LDAP pour Trusted Extensions (tâches)

Partie II Administration de Trusted Extensions

6.  Concepts d'administration de Trusted Extensions

7.  Outils d'administration de Trusted Extensions

8.  Exigences de sécurité sur un système Trusted Extensions (présentation)

9.  Exécution de tâches courantes dans Trusted Extensions (tâches)

10.  Utilisateurs, droits et rôles dans Trusted Extensions (présentation)

11.  Gestion des utilisateurs, des droits et des rôles dans Trusted Extensions (tâches)

12.  Administration à distance dans Trusted Extensions (tâches)

13.  Gestion des zones dans Trusted Extensions (tâches)

Zones dans Trusted Extensions

Zones et adresses IP dans Trusted Extensions

Zones et ports multiniveau

Zones et ICMP dans Trusted Extensions

Processus de zone globale et zones étiquetées

Utilitaires d'administration des zones dans Trusted Extensions

Gestion des zones (liste des tâches)

Procédure d'affichage des zones prêtes ou en cours d'exécution

Procédure d'affichage des étiquettes de fichiers montés

Procédure de montage en loopback d'un fichier qui n'est généralement pas visible dans une zone étiquetée

Procédure de désactivation du montage pour les fichiers de niveau inférieur

Procédure de partage d'un ensemble de données ZFS à partir d'une zone étiquetée

Procédure d'octroi de l'autorisation à modifier l'étiquette de fichiers à un utilisateur

14.  Gestion et montage de fichiers dans Trusted Extensions (tâches)

15.  Gestion de réseaux de confiance (présentation)

16.  Gestion des réseaux dans Trusted Extensions (tâches)

17.  Trusted Extensions et LDAP (présentation)

18.  Messagerie multiniveau dans Trusted Extensions (présentation)

19.  Gestion de l'impression étiquetée (tâches)

20.  Périphériques dans Trusted Extensions (présentation)

21.  Gestion des périphériques pour Trusted Extensions (tâches)

22.  Audit de Trusted Extensions (présentation)

23.  Gestion des logiciels dans Trusted Extensions (Référence)

A.  Stratégie de sécurité du site

Création et gestion d'une stratégie de sécurité

Stratégie de sécurité du site et Trusted Extensions

Recommandations relatives à la sécurité informatique

Recommandations relatives à la sécurité physique

Recommandations relatives à la sécurité du personnel

Violations de sécurité courantes

Références de sécurité supplémentaires

B.  Liste de contrôle de configuration pour Trusted Extensions

Liste de contrôle de configuration de Trusted Extensions

C.  Guide de référence rapide pour l'administration de Trusted Extensions

Interfaces d'administration dans Trusted Extensions

Interfaces Oracle Solaris étendues par Trusted Extensions

Renforcement des paramètres de sécurité par défaut dans Trusted Extensions

Options limitées dans Trusted Extensions

D.  Liste des pages de manuel Trusted Extensions

Pages de manuel Trusted Extensions par ordre alphabétique

Pages de manuel Oracle Solaris modifiées par Trusted Extensions

Glossaire

Index

Gestion des zones (liste des tâches)

La liste ci-dessous décrit les tâches de gestion des zones qui sont spécifiques à Trusted Extensions. Elle contient également des liens vers des procédures courantes qui s'effectuent dans Trusted Extensions de la même manière que sur un système Oracle Solaris.

Tâche
Description
Voir
Visualisation de toutes les zones
À n'importe quelle étiquette, affiche les zones dominées par la zone en cours.
Visualisation des répertoires montés
À n'importe quelle étiquette, affiche les répertoires dominés par l'étiquette en cours.
Activation de la visualisation d'un fichier /etc pour des utilisateurs standard.
Monte en loopback à partir de la zone globale un répertoire ou un fichier qui n'est pas visible par défaut dans une zone globale.
Désactivation de la visualisation par les utilisateurs standard d'un répertoire personnel de niveau inférieur à partir d'une étiquette supérieure
Par défaut, les répertoires de niveau inférieur sont visibles depuis les zones de niveau supérieur. Lorsque vous désactivez le montage d'une zone de niveau inférieur, vous désactivez tous les montages des zones de niveau inférieur.
Configuration d'une zone de manière à permettre la modification des étiquettes des fichiers
Les zones étiquetées disposent de privilèges limités. Par défaut, les zones étiquetées ne disposent pas du privilège permettant à un utilisateur autorisé de modifier l'étiquette d'un fichier. Vous modifiez la configuration de la zone pour ajouter ce privilège.
Ajout d'un ensemble de données ZFS dans une zone étiquetée et partage de l'ensemble
Monte un ensemble de données ZFS avec autorisations de lecture/écriture dans une zone étiquetée et partage l'ensemble de données en lecture seule avec une zone de niveau supérieur.
Configuration d'une nouvelle zone
Crée une zone sous une étiquette qui n'est pas en cours d'utilisation pour permettre l'étiquetage d'une zone de ce système.
Création d'un port multiniveau pour une application
Les ports multiniveau sont utiles pour les programmes qui nécessitent un flux multiniveau vers la zone étiquetée.
Dépannage du montage NFS et des problèmes d'accès
Débogue les problèmes généraux d'accès pour les montages, et éventuellement les zones.
Suppression d'une zone étiquetée
Supprime complètement une zone étiquetée du système.

Procédure d'affichage des zones prêtes ou en cours d'exécution

Avant de commencer

Vous devez être dans le rôle d'administrateur système dans la zone globale.

  1. Exécution de la commande txzonemgr &.

    Les noms de zones, leur état et leurs étiquettes s'affichent dans une interface graphique.

  2. Vous pouvez également utiliser la commande zoneadm list -v.
    # zoneadm list -v
    ID NAME       STATUS     PATH              BRAND       IP 
     0 global     running    /                 ipkg        shared
     5 internal   running    /zone/internal    labeled     shared
     6 public     running    /zone/public      labeled     shared

    La sortie ne comporte pas les étiquettes des zones.

Procédure d'affichage des étiquettes de fichiers montés

Cette procédure crée un script shell qui affiche les systèmes de fichiers montés de la zone active. Lorsqu'il est exécuté à partir de la zone globale, le script affiche les étiquettes de tous les systèmes de fichiers montés dans chaque zone.

Avant de commencer

Vous devez être dans le rôle d'administrateur système dans la zone globale.

  1. Dans un éditeur, créez le script getmounts.

    Indiquez le chemin d'accès du script, par exemple /usr/local/scripts/getmounts.

  2. Ajoutez le contenu suivant et enregistrez le fichier :
    #!/bin/sh
    #
    for i in `/usr/sbin/mount -p | cut -d " " -f3` ; do
            /usr/bin/getlabel $i
    done
  3. Testez le script dans la zone globale.
    # /usr/local/scripts/getmounts
    /:      ADMIN_HIGH
    /dev:   ADMIN_HIGH
    /system/contract:        ADMIN_HIGH
    /proc:                   ADMIN_HIGH
    /system/volatile:        ADMIN_HIGH
    /system/object:          ADMIN_HIGH
    /lib/libc.so.1:          ADMIN_HIGH
    /dev/fd:        ADMIN_HIGH
    /tmp:           ADMIN_HIGH
    /etc/mnttab:    ADMIN_HIGH
    /export:        ADMIN_HIGH
    /export/home:   ADMIN_HIGH
    /export/home/jdoe:   ADMIN_HIGH
    /zone/public:        ADMIN_HIGH
    /rpool:              ADMIN_HIGH
    /zone:               ADMIN_HIGH
    /home/jdoe:          ADMIN_HIGH
    /zone/public:        ADMIN_HIGH
    /zone/snapshot:      ADMIN_HIGH
    /zone/internal:      ADMIN_HIGH
    ...

Exemple 13-1 Affichage des étiquettes de systèmes de fichiers dans la zone restricted

Lorsqu'il est exécuté à partir d'une zone étiquetée par un utilisateur standard, le script getmounts affiche les étiquettes de tous les systèmes de fichiers montés dans cette zone. Sur un système où des zones sont créées pour chaque étiquette du fichier label_encodings par défaut, la sortie de test de la zone restricted se présente comme suit :

# /usr/local/scripts/getmounts
/:      CONFIDENTIAL : RESTRICTED
/dev:   CONFIDENTIAL : RESTRICTED
/kernel:        ADMIN_LOW
/lib:   ADMIN_LOW
/opt:   ADMIN_LOW
/platform:      ADMIN_LOW
/sbin:  ADMIN_LOW
/usr:   ADMIN_LOW
/var/tsol/doors:        ADMIN_LOW
/zone/needtoknow/export/home:   CONFIDENTIAL : NEED TO KNOW
/zone/internal/export/home:     CONFIDENTIAL : INTERNAL USE ONLY
/proc:  CONFIDENTIAL : RESTRICTED
/system/contract:       CONFIDENTIAL : RESTRICTED
/etc/svc/volatile:      CONFIDENTIAL : RESTRICTED
/etc/mnttab:    CONFIDENTIAL : RESTRICTED
/dev/fd:        CONFIDENTIAL : RESTRICTED
/tmp:   CONFIDENTIAL : RESTRICTED
/var/run:       CONFIDENTIAL : RESTRICTED
/zone/public/export/home:       PUBLIC
/home/jdoe:   CONFIDENTIAL : RESTRICTED

Procédure de montage en loopback d'un fichier qui n'est généralement pas visible dans une zone étiquetée

Cette procédure permet à un utilisateur dans une zone étiquetée spécifiée de visualiser des fichiers qui, par défaut, ne sont pas exportés depuis la zone globale.

Avant de commencer

Vous devez être dans le rôle d'administrateur système dans la zone globale.

  1. Arrêtez la zone dont vous souhaitez modifier la configuration.
    # zoneadm -z zone-name halt
  2. Montez un fichier ou un répertoire en loopback.

    Par exemple, autorisez les utilisateurs ordinaires à afficher un fichier dans le répertoire /etc.

    # zonecfg -z zone-name
     add filesystem
     set special=/etc/filename
     set directory=/etc/filename
     set type=lofs
     add options [ro,nodevices,nosetuid]
     end
     exit
  3. Démarrez la zone.
    # zoneadm -z zone-name boot

Exemple 13-2 Montage en loopback du fichier /etc/passwd

Dans cet exemple, l'administrateur de sécurité souhaite permettre aux testeurs et aux programmeurs de vérifier que leurs mots de passe locaux sont définis. Une fois qu'elle a été arrêtée, la zone sandbox est configurée de manière à monter en loopback le fichier passwd. Ensuite, la zone est redémarrée.

# zoneadm -z sandbox halt
# zonecfg -z sandbox add filesystem set special=/etc/passwd set directory=/etc/passwd set type=lofs add options [ro,nodevices,nosetuid] end exit
# zoneadm -z sandbox boot

Procédure de désactivation du montage pour les fichiers de niveau inférieur

Par défaut, les utilisateurs peuvent visualiser les fichiers de niveau inférieur. Supprimez le privilège net_mac_aware pour empêcher l'affichage de tous les fichiers de niveau inférieur depuis une zone particulière. Pour une description du privilège net_mac_aware, reportez-vous à la page de manuel privileges(5).

Avant de commencer

Vous devez être dans le rôle d'administrateur système dans la zone globale.

  1. Arrêtez la zone dont vous souhaitez modifier la configuration.
    # zoneadm -z zone-name halt
  2. Configurez la zone de manière à empêcher la visualisation des fichiers de niveau inférieur.

    Supprimez le privilège net_mac_aware de la zone.

    # zonecfg -z zone-name
     set limitpriv=default,!net_mac_aware
     exit
  3. Redémarrez la zone.
    # zoneadm -z zone-name boot

Exemple 13-3 Désactivation de la visualisation par les utilisateurs des fichiers de niveau inférieur

Dans cet exemple, l'administrateur de sécurité souhaite éviter toute confusion aux utilisateurs d'un système. Les utilisateurs ne doivent donc pouvoir visualiser que les fichiers correspondant à l'étiquette à laquelle ils travaillent. Pour ce faire, l'administrateur de sécurité empêche la visualisation de tous les fichiers de niveau inférieur. Sur ce système, les utilisateurs ne peuvent pas voir les fichiers mis à la disposition du public, à moins qu'ils ne travaillent sous l'étiquette PUBLIC. En outre, les utilisateurs peuvent uniquement monter des fichiers via NFS sous l'étiquette des zones.

# zoneadm -z restricted halt
# zonecfg -z restricted set limitpriv=default,!net_mac_aware exit
# zoneadm -z restricted boot
# zoneadm -z needtoknow halt
# zonecfg -z needtoknow set limitpriv=default,!net_mac_aware exit
# zoneadm -z needtoknow boot
# zoneadm -z internal halt
# zonecfg -z internal set limitpriv=default,!net_mac_aware exit
# zoneadm -z internal boot

Étant donné que PUBLIC est l'étiquette la plus basse, l'administrateur de sécurité n'exécute pas les commandes pour la zone PUBLIC.

Procédure de partage d'un ensemble de données ZFS à partir d'une zone étiquetée

Dans le cadre de cette procédure, vous montez un ensemble de données ZFS avec autorisations en lecture/écriture dans une zone étiquetée. Toutes les commandes étant exécutées dans la zone globale, l'administrateur de la zone globale contrôle l'ajout d'ensembles de données ZFS à des zones étiquetées.

L'état de la zone étiquetée doit être au minimum prêt pour qu'elle puisse partager un ensemble de données. L'état de la zone peut être en cours d'exécution.

Avant de commencer

Pour configurer la zone avec l'ensemble de données, vous devez d'abord arrêter la zone. Vous devez être dans le rôle root dans la zone globale.

  1. Créez l'ensemble de données ZFS
    # zfs create datasetdir/subdir

    Le nom de l'ensemble de données peut inclure un répertoire, par exemple zone/data.

  2. Dans la zone globale, arrêtez la zone étiquetée.
    # zoneadm -z labeled-zone-name halt
  3. Définissez le point de montage de l'ensemble de données.
    # zfs set mountpoint=legacy datasetdir/subdir

    Le paramétrage de la propriété mountpoint ZFS définit l'étiquette du point de montage lorsque celui-ci correspond à une zone étiquetée.

  4. Activez l'ensemble de données à partager.
    # zfs set sharenfs=on datasetdir/subdir
  5. Ajoutez l'ensemble de données à la zone en tant que système de fichiers.
    # zonecfg -z labeled-zone-name
    # zonecfg:labeled-zone-name> add fs
    # zonecfg:labeled-zone-name:dataset> set dir=/subdir
    # zonecfg:labeled-zone-name:dataset> set special=datasetdir/subdir
    # zonecfg:labeled-zone-name:dataset> set type=zfs
    # zonecfg:labeled-zone-name:dataset> end
    # zonecfg:labeled-zone-name> exit

    Lorsque vous ajoutez l'ensemble de données en tant que système de fichiers, l'ensemble de données est monté au niveau du fichier /data dans la zone. Cette étape permet de s'assurer que l'ensemble de données n'est pas monté avant que la zone ne soit initialisée.

  6. Initialisez la zone étiquetée.
    # zoneadm -z labeled-zone-name boot

    Lorsque la zone est initialisée, l'ensemble de données est automatiquement monté en tant que point de montage en lecture/écriture dans la zone labeled-zone-name avec l'étiquette de la zone labeled-zone-name.

Exemple 13-4 Partage et montage d'un ensemble de données ZFS à partir de zones étiquetées

Dans cet exemple, l'administrateur ajoute un ensemble de données ZFS à la zone needtoknow et partage l'ensemble de données. L'ensemble de données, zone/data est actuellement assigné au point de montage /mnt. Les utilisateurs de la zone restricted peuvent consulter l'ensemble de données.

Tout d'abord, l'administrateur arrête la zone.

# zoneadm -z needtoknow halt

Étant donné que l'ensemble de données est actuellement assigné à un autre point de montage, l'administrateur supprime l'assignation précédente, puis définit le nouveau point de montage.

# zfs set zoned=off zone/data
# zfs set mountpoint=legacy zone/data

Ensuite, l'administrateur partage l'ensemble de données.

# zfs set sharenfs=on zone/data

Puis, dans les interfaces interactives zonecfg, l'administrateur ajoute explicitement l'ensemble de données à la zone needtoknow.

# zonecfg -z needtoknow
# zonecfg:needtoknow> add fs
# zonecfg:needtoknow:dataset> set dir=/data
# zonecfg:needtoknow:dataset> set special=zone/data
# zonecfg:needtoknow:dataset> set type=zfs
# zonecfg:needtoknow:dataset> end
# zonecfg:needtoknow> exit

Ensuite, l'administrateur initialise la zone needtoknow.

# zoneadm -z needtoknow boot

L'ensemble de données est désormais accessible.

Les utilisateurs de la zone restricted dominant la zone needtoknow peuvent afficher l'ensemble de données monté en modifiant le répertoire /data. Du point de vue de la zone globale, ils utilisent le chemin complet de l'ensemble de données monté. Dans cet exemple, machine1 est le nom d'hôte du système qui inclut la zone étiquetée. L'administrateur a assigné ce nom d'hôte à une adresse IP non partagée.

# cd /net/machine1/zone/needtoknow/root/data

Erreurs fréquentes

Si la tentative d'accès à l'ensemble de données depuis l'étiquette de niveau supérieur renvoie l'erreur not found (introuvable) ou No such file or directory (Fichier ou répertoire introuvable), l'administrateur doit redémarrer le service de montage automatique à l'aide de la commande svcadm restart autofs.

Procédure d'octroi de l'autorisation à modifier l'étiquette de fichiers à un utilisateur

Cette procédure est indispensable pour permettre à un utilisateur de modifier l'étiquette de fichiers.

Avant de commencer

La zone que vous envisagez de configurer doit être arrêtée. Vous devez être dans le rôle d'administrateur de sécurité dans la zone globale.

  1. Ouvrez le gestionnaire de zones étiquetées.
    # /usr/sbin/txzonemgr &
  2. Configurez la zone afin de permettre la modification de l'étiquette.
    1. Double-cliquez sur la zone.
    2. Dans la liste, sélectionnez l'option Permit Relabeling (Autoriser le nouvel étiquetage).
  3. Sélectionnez Boot (Init) pour redémarrer la zone.
  4. Cliquez sur Cancel (Annuler) pour retourner à la liste de zones.

    Pour connaître les conditions à remplir par l'utilisateur et les processus, reportez-vous à la page de manuel setflabel(3TSOL). Pour autoriser un utilisateur à modifier l'étiquette de fichiers, reportez-vous à la section Procédure d'octroi de l'autorisation de modifier le niveau de sécurité de données à un utilisateur.

Exemple 13-5 Désactivation de la rétrogradation à partir de la zone internal

Dans cet exemple, l'administrateur de sécurité veut empêcher la rétrogradation des fichiers CNF: INTERNAL USE ONLY sur un système précédemment utilisé pour effectuer une rétrogradation de fichiers.

L'administrateur utilise le gestionnaire de zones étiquetées pour arrêter la zone internal puis, dans le menu de la zone internal, sélectionne Deny Relabeling (Refuser le nouvel étiquetage).