Sécurisation des utilisateurs

A ce stade, seul l'utilisateur initial qui peut prendre le rôle root a accès au système. Il est conseillé d'effectuer les tâches suivantes dans l'ordre avant que les utilisateurs standard ne puissent se connecter.

Tâche	Description	Voir
Exigence de mots de passe forts et de la modification fréquente des mots de passe.	Renforce les contraintes de mot de passe par défaut sur chaque système.	Définition de contraintes de mot de passe renforcées
Configuration d'autorisations de fichier restrictives pour les utilisateurs standard.	Définit une valeur plus restrictive que `022` pour les autorisations de fichier concernant les utilisateurs standard.	Définition d'une valeur `umask` plus restrictive pour les utilisateurs standard.
Activation du verrouillage de compte pour les utilisateurs standard.	Sur les systèmes qui ne sont pas utilisés pour l'administration, active le verrouillage de compte à l'échelle du système et réduit le nombre de connexions activant le verrouillage.	Activation du verrouillage de compte pour les utilisateurs standard
Présélection de classes d'audit supplémentaires.	Améliore la surveillance et l'enregistrement des menaces potentielles à l'égard du système.	Réalisation d'un audit des événements importants en plus de la connexion/déconnexion
Envoi de récapitulatifs textuels des événements d'audit vers l'utilitaire `syslog`.	Fournit des informations en temps réel sur les événements d'audit importants, tels que les connexions et les tentatives de connexion.	Surveillance en temps réel des événements `lo`
Création de rôles.	Répartit des tâches d'administration distinctes parmi plusieurs utilisateurs de confiance afin qu'aucun utilisateur isolé ne puisse endommager le système.	Configuration et gestion des comptes utilisateur dans l’interface de ligne de commande du manuel Gestion des compte et environnements utilisateur dans Oracle Solaris 11.1 Création d’un rôle du manuel Administration d’Oracle Solaris 11.1 : Services de sécurité Attribution de rôle du manuel Administration d’Oracle Solaris 11.1 : Services de sécurité.
Réduction du nombre d'applications de bureau GNOME visibles.	Empêche les utilisateurs d'utiliser les applications de bureau qui peuvent compromettre la sécurité.	Reportez-vous au Chapitre 11, Désactivation de fonctionnalités dans le système de bureau Oracle Solaris du manuel Guide de l’administrateur du bureau Oracle Solaris 11.1.
Limitation des privilèges des utilisateurs.	Supprime des privilèges de base dont les utilisateurs n'ont pas besoin.	Suppression de privilèges de base non utilisés des utilisateurs

Définition de contraintes de mot de passe renforcées

Cette procédure permet de modifier les valeurs par défaut si elles ne satisfont pas aux exigences de sécurité du site. Les étapes suivent la liste des entrées du fichier /etc/default/passwd.

Avant de commencer

Avant de modifier les valeurs par défaut, assurez-vous que les modifications permettent à tous les utilisateurs de s'authentifier auprès de leurs applications et sur d'autres systèmes du réseau.

Vous devez prendre le rôle root. Pour plus d'informations, reportez-vous à la section Utilisation de vos droits d’administration du manuel Administration d’Oracle Solaris 11.1 : Services de sécurité.

Modifiez le fichier /etc/default/passwd.
1. Exigez que les utilisateurs changent leur mot de passe tous les mois, mais pas plus souvent que toutes les trois semaines.
```
## /etc/default/passwd
##
MAXWEEKS=
MINWEEKS=
MAXWEEKS=4
MINWEEKS=3
```
2. Exigez un mot de passe d'au moins huit caractères.
```
#PASSLENGTH=6
PASSLENGTH=8
```
3. Conservez un historique des mots de passe.
```
#HISTORY=0
HISTORY=10
```
4. Exigez une différence minimale par rapport au dernier mot de passe.
```
#MINDIFF=3
MINDIFF=4
```
5. Exigez une majuscule au minimum.
```
#MINUPPER=0
MINUPPER=1
```
6. Exigez un chiffre au minimum.
```
#MINDIGIT=0
MINDIGIT=1
```

Voir aussi

Pour la liste des variables qui restreignent la création des mots de passe, reportez-vous au fichier /etc/default/passwd. Les valeurs par défaut sont indiquées dans le fichier.
Pour les contraintes de mot de passe en vigueur après l'installation, reportez-vous à la rubrique Accès au système limité et surveillé.
Page de manuel passwd(1)

Activation du verrouillage de compte pour les utilisateurs standard

Cette procédure permet de verrouiller des comptes d'utilisateurs standard après un certain nombre d'échecs de tentatives de connexion.

Remarque - N'activez pas le verrouillage de compte pour les utilisateurs qui peuvent prendre des rôles car vous pouvez verrouiller le rôle.

Avant de commencer

Ne définissez pas cette protection à l'échelle du système sur un système que vous utilisez pour des activités d'administration.

Définissez l'attribut LOCK_AFTER_RETRIES sur OUI.
- Effectuez l'activation à l'échelle du système.
```
# pfedit /etc/security/policy.conf
...
#LOCK_AFTER_RETRIES=NO
LOCK_AFTER_RETRIES=YES
...
```
- Effectuez l'activation pour un utilisateur.
```
# usermod -K lock_after_retries=yes username
```

Définissez l'attribut de sécurité RETRIES sur 3 .

# pfedit /etc/default/login
...
#RETRIES=5
RETRIES=3
...

Voir aussi

Pour une description des attributs de sécurité des utilisateurs et des rôles, reportez-vous au Chapitre 10, Attributs de sécurité dans Oracle Solaris (référence) du manuel Administration d’Oracle Solaris 11.1 : Services de sécurité.
Pages de manuel connexes : policy.conf(4) et user_attr(4).

Définition d'une valeur `umask` plus restrictive pour les utilisateurs standard

Si la valeur umask par défaut, 022, n'est pas assez restrictive, la procédure décrite ici permet de définir un masque plus restrictif à l'aide de la procédure décrite ici.

Avant de commencer

Modifiez la valeur umask dans les profils de connexion dans les répertoires squelette pour les différents shells.
Oracle Solaris fournit des répertoires dans lesquels les administrateurs peuvent personnaliser les valeurs par défaut des shells utilisateur. Les répertoires squelette incluent des fichiers tels que des fichiers .profile, .bashrc et .kshrc.

Choisissez l'une des valeurs suivantes :
- umask 026 : offre une protection modérée des fichiers
  
  (741) : r pour le groupe, x pour les autres
- umask 027 : offre une protection avancée des fichiers
  
  (740) : r pour le groupe, pas d'accès pour les autres
- umask 077 : offre une protection complète des fichiers
  
  (700) : pas d'accès pour le groupe ni d'autres personnes

Voir aussi

Pour plus d'informations, reportez-vous aux références suivantes :

Réalisation d'un audit des événements importants en plus de la connexion/déconnexion

Cette procédure permet d'effectuer un audit des commandes d'administration, des tentatives de pénétration du système et d'autres événements importants spécifiés dans la stratégie de sécurité du site.

Remarque - Les exemples présentés dans cette procédure peuvent ne pas être suffisants pour satisfaire la stratégie de sécurité de votre entreprise.

Avant de commencer

Réalisez un audit de toutes les utilisations de commandes privilégiées faites par des utilisateurs et des rôles.
Ajoutez l'événement d'audit AUE_PFEXEC au masque de présélection de tous les utilisateurs et rôles.
```
# usermod -K audit_flags=lo,ps:no username
```
```
# rolemod -K audit_flags=lo,ps:no rolename
```
Enregistrez les arguments saisis pour les commandes auditées.
```
# auditconfig -setpolicy +argv
```
Enregistrez l'environnement dans lequel les commandes ayant fait l'objet d'un audit sont exécutées.
```
# auditconfig -setpolicy +arge
```

Voir aussi

Pour plus d'informations sur la stratégie d'audit, reportez-vous à la section Stratégie d’audit du manuel Administration d’Oracle Solaris 11.1 : Services de sécurité.
Pour consulter des exemples de configuration des indicateurs d'audit, reportez-vous aux sections Configuration du service d’audit (tâches) du manuel Administration d’Oracle Solaris 11.1 : Services de sécurité et Dépannage du service d’audit (tâches) du manuel Administration d’Oracle Solaris 11.1 : Services de sécurité.
Pour configurer l'audit, reportez-vous à la page de manuel auditconfig(1M).

Surveillance en temps réel des événements `lo`

Cette procédure permet d'activer le plug-in audit_syslog pour les événements que vous souhaitez surveiller au moment même où ils se produisent.

Avant de commencer

Vous devez prendre le rôle root pour modifier le fichier syslog.conf. D'autres étapes nécessitent le profil de droits Audit Configuration (Configuration d'audit). Pour plus d'informations, reportez-vous à la section Utilisation de vos droits d’administration du manuel Administration d’Oracle Solaris 11.1 : Services de sécurité.

Envoyez la classe lo vers le plug-in audit_syslog et activez le plug-in.
```
# auditconfig -setplugin audit_syslog active p_flags=lo
```

Déterminez quelle instance de service system-log est en ligne.

# svcs system-log
STATE          STIME    FMRI
disabled       13:11:55 svc:/system/system-log:rsyslog
online         13:13:27 svc:/system/system-log:default

Astuce - Si l'instance de service rsyslog est en ligne, modifiez le fichier rsyslog.conf.

Ajoutez une entrée audit.notice au fichier syslog.conf.
L'entrée par défaut inclut l'emplacement du fichier journal.
```
# cat /etc/syslog.conf
…
audit.notice       /var/adm/auditlog
```
Créez le fichier journal.
```
# touch /var/adm/auditlog
```
Actualisez les informations de configuration du service system-log.
```
# svcadm refresh system-log:default
```
Remarque - Actualisez l'instance de service system-log:rsyslog si le service rsyslog est en ligne.
Actualisez le service d'audit.
Le service d'audit lit les modifications apportées au plug-in d'audit lors de l'actualisation.
```
# audit -s
```

Voir aussi

Pour envoyer les récapitulatifs d'audit à un autre système, reportez-vous à l'exemple suivant Configuration des journaux d’audit syslog du manuel Administration d’Oracle Solaris 11.1 : Services de sécurité.
Le service d'audit peut générer une sortie volumineuse. Pour gérer les journaux, reportez-vous à la page de manuel logadm(1M).
Pour surveiller la sortie, reportez-vous à Contrôle des récapitulatifs d'audit audit_syslog.

Suppression de privilèges de base non utilisés des utilisateurs

Dans certaines circonstances, il est possible de supprimer un ou plusieurs des trois privilèges suivants faisant partie de l'ensemble des privilèges de base des utilisateurs standard.

file_link_any : permet à un processus de créer des liens physiques vers des fichiers appartenant à un ID utilisateur différent de l'ID utilisateur effectif du processus.
proc_info : permet à un processus d'examiner l'état des processus autres que ceux auxquels il peut envoyer des signaux. Les processus qui ne peuvent pas être examinés ne sont pas visibles dans /proc et sont considérés comme inexistants.
proc_session : permet à un processus d'envoyer des signaux ou de suivre des processus externes à sa propre session.

Avant de commencer

Empêchez un utilisateur de créer un lien vers un fichier dont l'utilisateur n'est pas propriétaire.
```
# usermod -K 'defaultpriv=basic,!file_link_any' user
```
Empêchez un utilisateur d'examiner des processus dont il n'est pas propriétaire.
```
# usermod -K 'defaultpriv=basic,!proc_info' user
```
Empêchez un utilisateur de démarrer une seconde session telle qu'une session ssh par exemple à partir de la session en cours.
```
# usermod -K 'defaultpriv=basic,!proc_session' user
```
Supprimez les trois privilèges de l'ensemble de privilèges de base d'un utilisateur.
```
# usermod -K 'defaultpriv=basic,!file_link_any,!proc_info,!proc_session' user
```

Voir aussi

Pour plus d'informations, reportez-vous au Chapitre 8, Utilisation des rôles et des privilèges (présentation) du manuel Administration d’Oracle Solaris 11.1 : Services de sécurité et à la page de manuel privileges(5).

Ignorer les liens de navigation
Quitter l'aperu
	Directives de sécurité d'Oracle Solaris 11 Oracle Solaris 11.1 Information Library (Français)