Ignorer les liens de navigation | |
Quitter l'aperu | |
Administration d'Oracle Solaris 11.1 : Services de sécurité Oracle Solaris 11.1 Information Library (Français) |
Partie I Présentation de la sécurité
1. Services de sécurité (présentation)
Partie II Sécurité du système, des fichiers et des périphériques
2. Gestion de la sécurité de la machine (présentation)
3. Contrôle de l'accès aux systèmes (tâches)
Sécurisation des connexions et des mots de passe (tâches)
Sécurisation des connexions et des mots de passe (liste des tâches)
Modification du mot de passe root
Affichage de l'état de connexion d'un utilisateur
Affichage des utilisateurs sans mots de passe
Désactivation temporaire des connexions utilisateur
A propos des connexions ayant échoué
Modification de l'algorithme par défaut pour le chiffrement de mot de passe (tâches)
Spécification d'un algorithme de chiffrement de mot de passe
Spécification d'un nouvel algorithme de mot de passe pour un domaine NIS
Spécification d'un nouvel algorithme de mot de passe pour un domaine LDAP
Contrôle de l'accès au matériel du système (tâches)
Spécification d'un mot de passe obligatoire pour l'accès au matériel SPARC
Désactivation de la séquence d'abandon d'un système
4. Service d'analyse antivirus (tâches)
5. Contrôle de l'accès aux périphériques (tâches)
6. Vérification de l'intégrité des fichiers à l'aide de BART (tâches)
7. Contrôle de l'accès aux fichiers (tâches)
Partie III Rôles, profils de droits et privilèges
8. Utilisation des rôles et des privilèges (présentation)
9. Utilisation du contrôle d'accès basé sur les rôles (tâches)
10. Attributs de sécurité dans Oracle Solaris (référence)
Partie IV Services cryptographiques
11. Structure cryptographique (présentation)
12. Structure cryptographique (tâches)
13. Structure de gestion des clés
Partie V Services d'authentification et communication sécurisée
14. Utilisation de modules d'authentification enfichables
15. Utilisation de Secure Shell
17. Utilisation de l'authentification simple et de la couche de sécurité
18. Authentification des services réseau (tâches)
19. Introduction au service Kerberos
20. Planification du service Kerberos
21. Configuration du service Kerberos (tâches)
22. Messages d'erreur et dépannage de Kerberos
23. Administration des principaux et des stratégies Kerberos (tâches)
24. Utilisation des applications Kerberos (tâches)
25. Service Kerberos (référence)
Partie VII Audit dans Oracle Solaris
Par défaut, le rôle root est affecté à l'utilisateur initial et ne peut se connecter directement au système local ou à distance à un système Oracle Solaris.
Le fichier sulog répertorie chaque utilisation de la commande su, et pas seulement les tentatives su utilisées pour passer d'utilisateur à root.
Avant de commencer
Vous devez prendre le rôle root. Pour plus d'informations, reportez-vous à la section Utilisation de vos droits d'administration.
# more /var/adm/sulog SU 12/20 16:26 + pts/0 stacey-root SU 12/21 10:59 + pts/0 stacey-root SU 01/12 11:11 + pts/0 root-rimmer SU 01/12 14:56 + pts/0 jdoe-root SU 01/12 14:57 + pts/0 jdoe-root
Les entrées affichent les informations suivantes :
La date et l'heure de la saisie de la commande.
Si la tentative a réussi. La présence d'un signe plus (+) indique une tentative réussie. Un signe moins (-) indique un échec.
Le port à partir duquel la commande a été émise.
Le nom de l'utilisateur et le nom de l'identité commutée.
La journalisation de su dans ce fichier est activée par défaut dans l'entrée suivante du fichier /etc/default/su :
SULOG=/var/adm/sulog
Erreurs fréquentes
Les entrées incluant ??? indiquent que le terminal de contrôle pour la commande su ne peut pas être identifié. Généralement, les appels système de la commande su avant l'affichage du bureau incluent ???, comme dans SU 10/10 08:08 + ??? root-root. Une fois que l'utilisateur a lancé une session de bureau, la commande ttynam renvoie la valeur du terminal de contrôle à sulog: SU 10/10 10:10 + pts/3 jdoe-root.
Les entrées semblables à ce qui suit peuvent indiquer que la commande su n'a pas été appelée sur la ligne de commande : SU 10/10 10:20 + ??? root-oracle. Un utilisateur Trusted Extensions est peut-être passé au rôle oracle à l'aide d'une interface graphique.
Cette méthode détecte immédiatement les tentatives de root d'accéder au système local.
Avant de commencer
Vous devez prendre le rôle root. Pour plus d'informations, reportez-vous à la section Utilisation de vos droits d'administration.
CONSOLE=/dev/console
Par défaut, le périphérique de console est défini sur /dev/console. Avec ce paramètre, root peut se connecter à la console. root ne peut pas se connecter à distance.
A partir d'un système distant, essayez de vous connecter en tant que root.
mach2 % ssh -l root mach1 Password: <Type root password of mach1> Password: Password: Permission denied (gssapi-keyex,gssapi-with-mic,publickey,keyboard-interactive).
Dans la configuration par défaut, root correspond à un rôle et les rôles ne peuvent pas se connecter. De plus, dans la configuration par défaut, le protocole ssh empêche la connexion de l'utilisateur root.
Par défaut, les tentatives de devenir root sont imprimées sur la console par l'utilitaire SYSLOG.
% su - Password: <Type root password> #
Un message est imprimé sur la console de terminal.
Sep 7 13:22:57 mach1 su: 'su root' succeeded for jdoe on /dev/pts/6
Exemple 3-5 Journalisation des tentatives d'accès root
Dans cet exemple, les tentatives root ne sont pas consignées par SYSLOG. Par conséquent, l'administrateur consigne ces tentatives en retirant le commentaire de l'entrée #CONSOLE=/dev/console dans le fichier /etc/default/su.
# CONSOLE determines whether attempts to su to root should be logged # to the named device # CONSOLE=/dev/console
Lorsqu'un utilisateur tente de devenir l'utilisateur root, la tentative est imprimée sur la console de terminal.
SU 09/07 16:38 + pts/8 jdoe-root
Erreurs fréquentes
Pour devenir l'utilisateur root à partir d'un système distant lorsque le fichier /etc/default/login contient l'entrée CONSOLE par défaut, les utilisateurs doivent préalablement se connecter avec leur nom d'utilisateur. Après la connexion avec leur nom d'utilisateur, les utilisateurs peuvent utiliser la commande su pour devenir l'utilisateur root.
Si la console affiche une entrée similaire à Last login: Wed Sep 7 15:13:11 2011 from mach2, le système est configuré pour autoriser les connexions root à distance. Pour empêcher l'accès root à distance, remplacez l'entrée #CONSOLE=/dev/console par CONSOLE=/dev/console dans le fichier /etc/default/login. Pour rétablir la valeur par défaut du protocole ssh, reportez-vous à la page de manuel sshd_config(4).