Ignorer les liens de navigation | |
Quitter l'aperu | |
Administration d'Oracle Solaris 11.1 : Services de sécurité Oracle Solaris 11.1 Information Library (Français) |
Partie I Présentation de la sécurité
1. Services de sécurité (présentation)
Partie II Sécurité du système, des fichiers et des périphériques
2. Gestion de la sécurité de la machine (présentation)
3. Contrôle de l'accès aux systèmes (tâches)
4. Service d'analyse antivirus (tâches)
5. Contrôle de l'accès aux périphériques (tâches)
6. Vérification de l'intégrité des fichiers à l'aide de BART (tâches)
7. Contrôle de l'accès aux fichiers (tâches)
Partie III Rôles, profils de droits et privilèges
8. Utilisation des rôles et des privilèges (présentation)
9. Utilisation du contrôle d'accès basé sur les rôles (tâches)
10. Attributs de sécurité dans Oracle Solaris (référence)
Partie IV Services cryptographiques
11. Structure cryptographique (présentation)
12. Structure cryptographique (tâches)
13. Structure de gestion des clés
Partie V Services d'authentification et communication sécurisée
14. Utilisation de modules d'authentification enfichables
Avantages de l'utilisation de PAM
Présentation de la structure PAM
Modifications apportées à la structure des modules PAM pour cette version
Planification de la mise en oeuvre PAM
Interdiction de l'accès rhost à partir de systèmes distants avec PAM
Journalisation de rapports d'erreur PAM
Affectation d'une stratégie PAM personnalisée à un utilisateur
Assignation d'une nouvelle stratégie des droits à tous les utilisateurs
Ordre de recherche de la configuration PAM
Syntaxe du fichier de configuration PAM
Stratégie d'authentification par utilisateur
Fonctionnement de la superposition PAM
15. Utilisation de Secure Shell
17. Utilisation de l'authentification simple et de la couche de sécurité
18. Authentification des services réseau (tâches)
19. Introduction au service Kerberos
20. Planification du service Kerberos
21. Configuration du service Kerberos (tâches)
22. Messages d'erreur et dépannage de Kerberos
23. Administration des principaux et des stratégies Kerberos (tâches)
24. Utilisation des applications Kerberos (tâches)
25. Service Kerberos (référence)
Partie VII Audit dans Oracle Solaris
Cette section examine certaines tâches qui peuvent être nécessaires pour que la structure PAM utilise une stratégie de sécurité spécifique. Sachez que certains problèmes de sécurité sont associés aux fichiers de configuration PAM. Pour plus d'informations sur les problèmes de sécurité, reportez-vous à la section Planification de la mise en oeuvre PAM.
|
Telle qu'elle est fournie, la configuration PAM met en oeuvre la stratégie de sécurité standard. Cette stratégie doit fonctionner dans de nombreuses situations. Si vous avez besoin d'appliquer une stratégie de sécurité différente, prenez en compte les points suivants :
Identifiez vos besoins, en particulier les modules de service PAM que vous devez sélectionner.
Identifiez les services qui nécessitent une configuration spéciale. Utilisez le nom de service other pour fournir les valeurs par défaut des services, le cas échéant.
Décidez de l'ordre d'exécution des modules.
Sélectionnez l'indicateur de contrôle pour chaque module. Pour plus d'informations sur tous les indicateurs de contrôle, reportez-vous à la section Fonctionnement de la superposition PAM.
Choisissez les options nécessaires pour chaque module. La page de manuel pour chaque module doit répertorier toutes les options spéciales.
Voici des remarques à prendre en compte avant de modifier la configuration PAM :
Utilisez les entrées du nom de service other pour chaque type de module afin que chaque application ne doive pas être incluse dans la configuration PAM.
Veillez à prendre en compte les implications des indicateurs de contrôle en matière de sécurité.
Prenez connaissance des pages de manuel associées aux modules. Elles peuvent vous aider à mieux comprendre le fonctionnement de chaque module, la disponibilité des options et les interactions entre modules empilés.
Attention - Si la configuration PAM n'est pas correcte ou est endommagée, il se peut qu'aucun utilisateur ne soit à même de se connecter. Dans la mesure où la commande sulogin n'utilise pas PAM, le mot de passe root serait nécessaire pour initialiser l'ordinateur en mode monoutilisateur et résoudre le problème. |
Une fois la configuration PAM modifiée, passez en revue le maximum de modifications tant que vous avez accès au système pour résoudre les problèmes. Testez toutes les commandes sur lesquelles vos modifications ont peut-être eu une incidence.
Cette procédure indique comment ajouter un nouveau module PAM. Vous pouvez créer des modules pour prendre en charge des applications tierces ou des stratégies de sécurité spécifiques à votre site.
Avant de commencer
Vous devez prendre le rôle root. Pour plus d'informations, reportez-vous à la section Utilisation de vos droits d'administration.
Pour plus d'informations sur les indicateurs de contrôle, reportez-vous à la section Fonctionnement de la superposition PAM.
Vous pouvez modifier /etc/pam.conf ou /etc/pam.d/ service.
Vous devez effectuer un test afin de vérifier que le fichier de configuration est correctement configuré. Connectez-vous à l'aide d'un service direct, tel que ssh, et exécutez la commande su.
Remarque - Le service rsh n'est pas activé par défaut. Pour bénéficier d'une connexion plus sûre, utilisez la commande ssh à la place.
Avant de commencer
Vous devez prendre le rôle root. Pour plus d'informations, reportez-vous à la section Utilisation de vos droits d'administration.
Cette étape permet d'éviter la lecture des fichiers ~/.rhosts au cours d'une session rlogin. Par conséquent, elle permet d'empêcher l'accès non authentifié au système local à partir de systèmes distants. Tous les accès rlogin requièrent un mot de passe, indépendamment de la présence ou du contenu des fichiers ~/.rhosts ou /etc/hosts.equiv.
Pour empêcher les accès non authentifiés au système, n'oubliez pas de désactiver le service rsh.
# svcadm disable network/shell:default
Désactivez également le service rlogin, le cas échéant.
# svcadm disable network/login:rlogin
Avant de commencer
Vous devez prendre le rôle root. Pour plus d'informations, reportez-vous à la section Utilisation de vos droits d'administration.
# svcs system-log STATE STIME FMRI disabled 13:11:55 svc:/system/system-log:rsyslog online 13:13:27 svc:/system/system-log:default
Remarque - Si l'instance de service rsyslog est en ligne, modifiez le fichier rsyslog.conf.
Pour plus d'informations sur les niveaux de journalisation, reportez-vous à la page de manuel syslog.conf(4). La plupart des erreurs PAM sont signalées dans l'utilitaire LOG_AUTH.
# svcadm refresh system-log:default
Remarque - Actualisez l'instance de service system-log:rsyslog si le service rsyslog est en ligne.
Avant de commencer
Vous devez prendre le rôle root. Pour plus d'informations, reportez-vous à la section Utilisation de vos droits d'administration.
Reportez-vous aux commentaires dans le texte ci-dessous pour obtenir une description des effets du fichier.
# cat /etc/opt/pam_policy/custom-config # # PAM configuration which uses UNIX authentication for console logins, # LDAP for SSH keyboard-interactive logins, and denies telnet logins. # login auth requisite pam_authtok_get.so.1 login auth required pam_dhkeys.so.1 login auth required pam_unix_auth.so.1 login auth required pam_unix_cred.so.1 login auth required pam_dial_auth.so.1 # sshd-kbdint auth requisite pam_authtok_get.so.1 sshd-kbdint auth binding pam_unix_auth.so.1 server_policy sshd-kbdint auth required pam_unix_cred.so.1 sshd-kbdint auth required pam_ldap.so.1 # telnet auth requisite pam_deny.so.1 telnet account requisite pam_deny.so.1 telnet session requisite pam_deny.so.1 telnet password requisite pam_deny.so.1
Le fichier doit appartenir à root et n'est pas enregistrable par un groupe ou par tous.
# ls -l /etc/opt/pam_policy total 5 -r--r--r-- 1 root 4570 Jun 21 12:08 custom-config
Le fichier custom-config dans /etc/opt/pam_policy est affecté à l'utilisateur nommé jill.
# useradd -K pam_policy=/etc/opt/pam_policy/custom-config jill
Avant de commencer
Vous devez prendre le rôle root. Pour plus d'informations, reportez-vous à la section Utilisation de vos droits d'administration.
Dans cet exemple, la stratégie PAM ldap est utilisée.
# profiles -p "PAM Per-User Policy of LDAP" \ 'set desc="Profile which sets pam_policy=ldap"; set pam_policy=ldap; exit;'
Utilisez pfedit pour ajouter la nouvelle stratégie à la déclaration PROFS_GRANTED.
# cat /etc/security/policy.conf . . AUTHS_GRANTED= PROFS_GRANTED=Basic Solaris User,PAM Per-User Policy of LDAP CONSOLE_USER=Console User
Exemple 14-1 Affectation d'un profil de droits à un utilisateur
Si un profil a été créé comme décrit à l'étape 1 dans la procédure précédente, ce profil de droits peut être affecté à un utilisateur à l'aide de la commande suivante :
# usermod -P +"PAM Per-User Policy of LDAP" jill