Ignorer les liens de navigation | |
Quitter l'aperu | |
Administration d'Oracle Solaris 11.1 : Services de sécurité Oracle Solaris 11.1 Information Library (Français) |
Partie I Présentation de la sécurité
1. Services de sécurité (présentation)
Partie II Sécurité du système, des fichiers et des périphériques
2. Gestion de la sécurité de la machine (présentation)
3. Contrôle de l'accès aux systèmes (tâches)
4. Service d'analyse antivirus (tâches)
5. Contrôle de l'accès aux périphériques (tâches)
Configuration de la stratégie de périphériques (tâches)
Configuration de la stratégie de périphériques (liste des tâches)
Affichage de la stratégie de périphériques
Audit des modifications apportées à la stratégie de périphériques
Récupération d'informations IP MIB-II à partir d'un périphérique /dev/*
Gestion de l'allocation de périphériques (tâches)
Gestion de l'allocation des périphériques (liste des tâches)
Activation de l'allocation de périphériques
Autorisation des utilisateurs à allouer un périphérique
Affichage d'informations d'allocation sur un périphérique
Allocation forcée d'un périphérique
Libération forcée d'un périphérique
Allocation de périphériques (tâches)
Montage d'un périphérique alloué
Protection de périphériques (référence)
Commandes de la stratégie de périphériques
Composants de l'allocation de périphériques
Service d'allocation de périphériques
Profils de droits Device Allocation (allocation de périphériques)
Commandes d'allocation de périphériques
Scripts de nettoyage de périphériques
6. Vérification de l'intégrité des fichiers à l'aide de BART (tâches)
7. Contrôle de l'accès aux fichiers (tâches)
Partie III Rôles, profils de droits et privilèges
8. Utilisation des rôles et des privilèges (présentation)
9. Utilisation du contrôle d'accès basé sur les rôles (tâches)
10. Attributs de sécurité dans Oracle Solaris (référence)
Partie IV Services cryptographiques
11. Structure cryptographique (présentation)
12. Structure cryptographique (tâches)
13. Structure de gestion des clés
Partie V Services d'authentification et communication sécurisée
14. Utilisation de modules d'authentification enfichables
15. Utilisation de Secure Shell
17. Utilisation de l'authentification simple et de la couche de sécurité
18. Authentification des services réseau (tâches)
19. Introduction au service Kerberos
20. Planification du service Kerberos
21. Configuration du service Kerberos (tâches)
22. Messages d'erreur et dépannage de Kerberos
23. Administration des principaux et des stratégies Kerberos (tâches)
24. Utilisation des applications Kerberos (tâches)
25. Service Kerberos (référence)
Partie VII Audit dans Oracle Solaris
L'allocation de périphériques est généralement implémentées sur des sites qui nécessitent un niveau supplémentaire de sécurité des périphériques. Généralement, les utilisateurs doivent avoir l'autorisation d'accéder aux périphériques allouables.
La liste des tâches suivante présente les procédures permettant d'activer, de configurer et de dépanner l'allocation de périphériques. L'allocation de périphériques n'est pas activée par défaut. Une fois l'allocation de périphériques activée, reportez-vous à la section Allocation de périphériques (tâches) pour obtenir les instructions relatives à l'allocation des périphériques.
|
Avant de commencer
Vous devez vous connecter en tant qu'administrateur disposant du profil de droits Device Security (sécurité des périphériques). Pour plus d'informations, reportez-vous à la section Utilisation de vos droits d'administration.
# svcadm enable svc:/system/device/allocate # svcs -x allocate svc:/system/device/allocate:default (device allocation) State: online since September 10, 2011 01:10:11 PM PDT See: allocate(1) See: deallocate(1) See: list_devices(1) See: device_allocate(1M) See: mkdevalloc(1M) See: mkdevmaps(1M) See: dminfo(1M) See: device_maps(4) See: /var/svc/log/system-device-allocate:default.log Impact: None.
# svcadm disable device/allocate
Avant de commencer
Vous devez vous connecter en tant qu'administrateur disposant du profil de droits User Security (sécurité des utilisateurs). Vos profils de droits doivent inclure l'autorisation solaris.auth.delegate. Pour plus d'informations, reportez-vous à la section Utilisation de vos droits d'administration.
Généralement, vous créez un profil de droits qui inclut l'autorisation solaris.device.allocate. Suivez les instructions fournies à la section Création d'un profil de droits. Donnez au profil de droits les propriétés appropriées, telles que les suivantes :
Nom du profil de droits : Device Allocation
Autorisations accordées : solaris.device.allocate
Commandes avec des privilèges : mount avec le privilège sys_mount et umount avec le privilège sys_mount
Suivez les instructions fournies à la section Création d'un rôle. Utilisez les propriétés de rôle suivantes, données à titre d'exemple :
Nom de rôle : devicealloc
Nom de rôle complet : Device Allocator
Description du rôle : Allocates and mounts allocated devices
Profil de droits : Device Allocation
Ce profil de droits doit figurer en tête de la liste des profils inclus dans le rôle.
Pour consulter des exemples d'allocation de média amovible, reportez-vous à la section Allocation des périphériques.
Avant de commencer
Vous avez terminé Activation de l'allocation de périphériques.
Vous devez vous connecter en tant qu'administrateur disposant du profil de droits Device Security (sécurité des périphériques). Pour plus d'informations, reportez-vous à la section Utilisation de vos droits d'administration.
# list_devices device-name
où device-name est l'un des suivants :
audio[n] : microphone et haut-parleur.
fd[n] : unité de disquette.
rmdisk[n] : périphérique de média amovible, tel qu'un support USB.
sr[n] : unité de CD-ROM.
st[n] : lecteur de bande.
Erreurs fréquentes
Si la commande list__devices renvoie un message d'erreur identique au suivant, soit l'allocation de périphériques n'est pas activée, soit vous ne disposez pas des autorisations suffisantes pour récupérer les informations.
list_devices: No device maps file entry for specified device.
Pour que la commande s'exécute correctement, activez l'allocation de périphériques et prenez un rôle bénéficiant de l'autorisation solaris.device.revoke.
L'allocation forcée est utilisée lorsque quelqu'un a oublié de libérer un périphérique. L'allocation forcée peut également être utilisée lorsqu'un utilisateur a un besoin immédiat d'un périphérique.
Avant de commencer
Vous devez vous connecter en tant qu'administrateur disposant de l'autorisation solaris.device.revoke. Pour plus d'informations, reportez-vous à la section Utilisation de vos droits d'administration.
$ auths solaris.device.allocate solaris.device.revoke
Dans cet exemple, le lecteur USB est alloué de force à l'utilisateur jdoe.
$ allocate -U jdoe
Les périphériques alloués à un utilisateur ne sont pas automatiquement libérés lorsque le processus se termine ou lorsque l'utilisateur se déconnecte. La libération forcée est utilisée lorsque quelqu'un a oublié de libérer un périphérique.
Avant de commencer
Vous devez vous connecter en tant qu'administrateur disposant de l'autorisation solaris.device.revoke. Pour plus d'informations, reportez-vous à la section Utilisation de vos droits d'administration.
$ auths solaris.device.allocate solaris.device.revoke
Dans cet exemple, la libération de l'imprimante est forcée. L'imprimante est désormais disponible pour l'allocation par un autre utilisateur.
$ deallocate -f /dev/lp/printer-1
Avant de commencer
L'allocation de périphériques doit être activée pour cette procédure s'exécute correctement. Pour activer l'allocation de périphériques, reportez-vous à la section Activation de l'allocation de périphériques. Vous devez prendre le rôle root.
Modifiez le cinquième champ dans l'entrée de périphérique du fichier device__allocate.
audio;audio;reserved;reserved;solaris.device.allocate;/etc/security/lib/audio_clean fd0;fd;reserved;reserved;solaris.device.allocate;/etc/security/lib/fd_clean sr0;sr;reserved;reserved;solaris.device.allocate;/etc/security/lib/sr_clean
où solaris.device.allocate indique qu'un utilisateur doit disposer de l'autorisation solaris.device.allocate pour utiliser le périphérique.
Exemple 5-2 Attribution de l'autorisation d'allouer un périphérique à n'importe quel utilisateur
Dans l'exemple suivant, tous les utilisateurs du système peuvent allouer tous les périphériques. Le cinquième champ de chaque entrée de périphérique dans le fichier device_allocate a été remplacé par un signe arobase (@).
# pfedit /etc/security/device_allocate audio;audio;reserved;reserved;@;/etc/security/lib/audio_clean fd0;fd;reserved;reserved;@;/etc/security/lib/fd_clean sr0;sr;reserved;reserved;@;/etc/security/lib/sr_clean …
Exemple 5-3 Interdiction d'utilisation de certains périphériques
Dans l'exemple suivant, le périphérique audio ne peut pas être utilisé. Le cinquième champ de l'entrée de périphérique audio dans le fichier device_allocate a été remplacé par un astérisque (*).
# pfedit /etc/security/device_allocate audio;audio;reserved;reserved;*;/etc/security/lib/audio_clean fd0;fd;reserved;reserved;solaris device.allocate;/etc/security/lib/fd_clean sr0;sr;reserved;reserved;solaris device.allocate;/etc/security/lib/sr_clean …
Exemple 5-4 Interdiction d'utilisation de tous les périphériques
Dans l'exemple ci-dessous, aucun périphérique ne peut être utilisé. Le cinquième champ de chaque entrée de périphérique dans le fichier device_allocate a été remplacé par un astérisque (*).
# pfedit /etc/security/device_allocate audio;audio;reserved;reserved;*;/etc/security/lib/audio_clean fd0;fd;reserved;reserved;*;/etc/security/lib/fd_clean sr0;sr;reserved;reserved;*;/etc/security/lib/sr_clean …
Par défaut, les commandes d'allocation de périphériques se trouvent dans la classe d'audit other.
Avant de commencer
Vous devez vous connecter en tant qu'administrateur disposant du profil de droits Audit Configuration (configuration d'audit). Pour plus d'informations, reportez-vous à la section Utilisation de vos droits d'administration.
$ auditconfig -getflags current-flags $ auditconfig -setflags current-flags,ot
Pour des instructions détaillées, reportez-vous à la section Présélection des classes d'audit.