PAM (tâches)

Cette section examine certaines tâches qui peuvent être nécessaires pour que la structure PAM utilise une stratégie de sécurité spécifique. Sachez que certains problèmes de sécurité sont associés aux fichiers de configuration PAM. Pour plus d'informations sur les problèmes de sécurité, reportez-vous à la section Planification de la mise en oeuvre PAM.

PAM (liste des tâches)

Tâche	Description	Voir
Planification de l'installation PAM	Avant de procéder à la configuration du logiciel, vous devez examiner les problèmes qu'elle risque de poser et prendre les décisions qui s'imposent.	Planification de la mise en oeuvre PAM
Ajout de nouveaux modules PAM	Parfois, des modules spécifiques au site doivent être écrits et installés en fonction d'exigences qui ne relèvent pas du logiciel générique. Cette procédure explique comment installer ces nouveaux modules PAM.	Ajout d'un module PAM
Affectation d'une nouvelle stratégie PAM à un utilisateur.	Définissez des exigences spécifiques en matière d'authentification pour plusieurs services à affecter à un utilisateur spécifique.	Affectation d'une stratégie PAM personnalisée à un utilisateur
Affectation d'un nouveau profil de droits à tous les utilisateurs.	Définissez des exigences spécifiques en matière d'authentification pour plusieurs services à affecter à tous les utilisateurs du système.	Assignation d'une nouvelle stratégie des droits à tous les utilisateurs
Blocage de l'accès via `~/.rhosts`	Améliorez davantage la sécurité en empêchant l'accès par le biais de `~/.rhosts`.	Interdiction de l'accès rhost à partir de systèmes distants avec PAM
Initialisation de la journalisation des erreurs	Démarrez la journalisation des messages d'erreur PAM via `syslog`.	Journalisation de rapports d'erreur PAM

Planification de la mise en oeuvre PAM

Telle qu'elle est fournie, la configuration PAM met en oeuvre la stratégie de sécurité standard. Cette stratégie doit fonctionner dans de nombreuses situations. Si vous avez besoin d'appliquer une stratégie de sécurité différente, prenez en compte les points suivants :

Identifiez vos besoins, en particulier les modules de service PAM que vous devez sélectionner.
Identifiez les services qui nécessitent une configuration spéciale. Utilisez le nom de service other pour fournir les valeurs par défaut des services, le cas échéant.
Décidez de l'ordre d'exécution des modules.
Sélectionnez l'indicateur de contrôle pour chaque module. Pour plus d'informations sur tous les indicateurs de contrôle, reportez-vous à la section Fonctionnement de la superposition PAM.
Choisissez les options nécessaires pour chaque module. La page de manuel pour chaque module doit répertorier toutes les options spéciales.

Voici des remarques à prendre en compte avant de modifier la configuration PAM :

Utilisez les entrées du nom de service other pour chaque type de module afin que chaque application ne doive pas être incluse dans la configuration PAM.
Veillez à prendre en compte les implications des indicateurs de contrôle en matière de sécurité.

Prenez connaissance des pages de manuel associées aux modules. Elles peuvent vous aider à mieux comprendre le fonctionnement de chaque module, la disponibilité des options et les interactions entre modules empilés.

Attention - Si la configuration PAM n'est pas correcte ou est endommagée, il se peut qu'aucun utilisateur ne soit à même de se connecter. Dans la mesure où la commande sulogin n'utilise pas PAM, le mot de passe root serait nécessaire pour initialiser l'ordinateur en mode monoutilisateur et résoudre le problème.

Une fois la configuration PAM modifiée, passez en revue le maximum de modifications tant que vous avez accès au système pour résoudre les problèmes. Testez toutes les commandes sur lesquelles vos modifications ont peut-être eu une incidence.

Ajout d'un module PAM

Cette procédure indique comment ajouter un nouveau module PAM. Vous pouvez créer des modules pour prendre en charge des applications tierces ou des stratégies de sécurité spécifiques à votre site.

Avant de commencer

Vous devez prendre le rôle root. Pour plus d'informations, reportez-vous à la section Utilisation de vos droits d'administration.

Déterminez les indicateurs de contrôle et les options à utiliser.
Pour plus d'informations sur les indicateurs de contrôle, reportez-vous à la section Fonctionnement de la superposition PAM.
Assurez-vous que la propriété et les autorisations sont définies de telle sorte que le fichier de module appartienne à root et les droits soient 555.
Utilisez pfedit pour modifier le fichier de configuration PAM approprié et ajoutez ce module aux services appropriés.
Vous pouvez modifier /etc/pam.conf ou /etc/pam.d/ service.
Vérifiez que le module a été ajouté correctement.
Vous devez effectuer un test afin de vérifier que le fichier de configuration est correctement configuré. Connectez-vous à l'aide d'un service direct, tel que ssh, et exécutez la commande su.

Interdiction de l'accès rhost à partir de systèmes distants avec PAM

Remarque - Le service rsh n'est pas activé par défaut. Pour bénéficier d'une connexion plus sûre, utilisez la commande ssh à la place.

Avant de commencer

Vous devez prendre le rôle root. Pour plus d'informations, reportez-vous à la section Utilisation de vos droits d'administration.

Supprimez des fichiers de configuration PAM toutes les lignes qui incluent rhosts_auth.so.1.
Cette étape permet d'éviter la lecture des fichiers ~/.rhosts au cours d'une session rlogin. Par conséquent, elle permet d'empêcher l'accès non authentifié au système local à partir de systèmes distants. Tous les accès rlogin requièrent un mot de passe, indépendamment de la présence ou du contenu des fichiers ~/.rhosts ou /etc/hosts.equiv.
Désactivez le service rsh.
Pour empêcher les accès non authentifiés au système, n'oubliez pas de désactiver le service rsh.
```
# svcadm disable network/shell:default
```
Désactivez le service rlogin.
Désactivez également le service rlogin, le cas échéant.
```
# svcadm disable network/login:rlogin
```

Journalisation de rapports d'erreur PAM

Avant de commencer

Vous devez prendre le rôle root. Pour plus d'informations, reportez-vous à la section Utilisation de vos droits d'administration.

Déterminez quelle instance de service system-log est en ligne.

# svcs system-log
STATE          STIME    FMRI
disabled       13:11:55 svc:/system/system-log:rsyslog
online         13:13:27 svc:/system/system-log:default

Remarque - Si l'instance de service rsyslog est en ligne, modifiez le fichier rsyslog.conf.

Configurez le fichier /etc/syslog.conf pour le niveau de journalisation requis.
Pour plus d'informations sur les niveaux de journalisation, reportez-vous à la page de manuel syslog.conf(4). La plupart des erreurs PAM sont signalées dans l'utilitaire LOG_AUTH.
Actualisez les informations de configuration du service system-log.
```
# svcadm refresh system-log:default
```
Remarque - Actualisez l'instance de service system-log:rsyslog si le service rsyslog est en ligne.

Affectation d'une stratégie PAM personnalisée à un utilisateur

Avant de commencer

Vous devez prendre le rôle root. Pour plus d'informations, reportez-vous à la section Utilisation de vos droits d'administration.

Créez un fichier de configuration de stratégie PAM.

Reportez-vous aux commentaires dans le texte ci-dessous pour obtenir une description des effets du fichier.

# cat /etc/opt/pam_policy/custom-config
#
# PAM configuration which uses UNIX authentication for console logins,
# LDAP for SSH keyboard-interactive logins, and denies telnet logins.
#
login auth requisite          pam_authtok_get.so.1
login auth required           pam_dhkeys.so.1
login auth required           pam_unix_auth.so.1
login auth required           pam_unix_cred.so.1
login auth required           pam_dial_auth.so.1
#
sshd-kbdint  auth requisite          pam_authtok_get.so.1
sshd-kbdint  auth binding            pam_unix_auth.so.1 server_policy
sshd-kbdint  auth required           pam_unix_cred.so.1
sshd-kbdint  auth required           pam_ldap.so.1
#
telnet    auth     requisite    pam_deny.so.1
telnet    account  requisite    pam_deny.so.1
telnet    session  requisite    pam_deny.so.1
telnet    password requisite    pam_deny.so.1

Vérifiez les autorisations relatives au nouveau fichier.
Le fichier doit appartenir à root et n'est pas enregistrable par un groupe ou par tous.
```
# ls -l /etc/opt/pam_policy
total 5
-r--r--r--   1 root         4570 Jun 21 12:08 custom-config
```
Affectez la nouvelle stratégie PAM à un utilisateur.
Le fichier custom-config dans /etc/opt/pam_policy est affecté à l'utilisateur nommé jill.
```
# useradd -K pam_policy=/etc/opt/pam_policy/custom-config jill
```

Assignation d'une nouvelle stratégie des droits à tous les utilisateurs

Avant de commencer

Vous devez prendre le rôle root. Pour plus d'informations, reportez-vous à la section Utilisation de vos droits d'administration.

Créez une stratégie de droits.

Dans cet exemple, la stratégie PAM ldap est utilisée.

# profiles -p "PAM Per-User Policy of LDAP" \
      'set desc="Profile which sets pam_policy=ldap";
       set pam_policy=ldap; exit;'

Affectez le nouveau profil de droits à tous les utilisateurs.

Utilisez pfedit pour ajouter la nouvelle stratégie à la déclaration PROFS_GRANTED.

# cat /etc/security/policy.conf
  .
  .

AUTHS_GRANTED=
PROFS_GRANTED=Basic Solaris User,PAM Per-User Policy of LDAP
CONSOLE_USER=Console User

Exemple 14-1 Affectation d'un profil de droits à un utilisateur

Si un profil a été créé comme décrit à l'étape 1 dans la procédure précédente, ce profil de droits peut être affecté à un utilisateur à l'aide de la commande suivante :

# usermod -P +"PAM Per-User Policy of LDAP" jill

Ignorer les liens de navigation
Quitter l'aperu
	Administration d'Oracle Solaris 11.1 : Services de sécurité Oracle Solaris 11.1 Information Library (Français)