Ignorer les liens de navigation | |
Quitter l'aperu | |
Configuration et administration de Trusted Extensions Oracle Solaris 11.1 Information Library (Français) |
Partie I Configuration initiale de Trusted Extensions
1. Planification de la sécurité pour Trusted Extensions
2. Déroulement de la configuration de Trusted Extensions
3. Ajout de la fonction Trusted Extensions à Oracle Solaris (tâches)
4. Configuration de Trusted Extensions (tâches)
5. Configuration de LDAP pour Trusted Extensions (tâches)
Partie II Administration de Trusted Extensions
6. Concepts d'administration de Trusted Extensions
7. Outils d'administration de Trusted Extensions
8. Exigences de sécurité sur un système Trusted Extensions (présentation)
9. Exécution de tâches courantes dans Trusted Extensions
10. Utilisateurs, droits et rôles dans Trusted Extensions (présentation)
11. Gestion des utilisateurs, des droits et des rôles dans Trusted Extensions (tâches)
12. Administration à distance dans Trusted Extensions (tâches)
13. Gestion des zones dans Trusted Extensions
14. Gestion et montage de fichiers dans Trusted Extensions
Possibilités de montage dans Trusted Extensions
Stratégies Trusted Extensions pour les systèmes de fichiers montés
Stratégies Trusted Extensions pour les jeux de données à niveau unique
Stratégie Trusted Extensions pour les jeux de données multiniveau
Aucun remplacement de privilège pour la stratégie de lecture-écriture du contrôle MAC
Résultats du partage et du montage de systèmes de fichiers dans Trusted Extensions
Partage et montage de fichiers dans la zone globale
Partage et montage de fichiers dans la zone étiquetée
Propriété mlslabel et montage de systèmes de fichiers à niveau unique
Jeux de données multiniveau pour la modification d'étiquette de fichiers
Montage de jeux de données multiniveau provenant d'un autre système
Configuration du client et du serveur NFS dans Trusted Extensions
Création de répertoires personnels dans Trusted Extensions
Modifications apportées à l'agent de montage automatique dans Trusted Extensions
Logiciel Trusted Extensions et versions du protocole NFS
Sauvegarde, partage et montage de fichiers étiquetés (liste des tâches)
Sauvegarde de fichiers dans Trusted Extensions
Restauration de fichiers dans Trusted Extensions
Partage de systèmes de fichiers à partir d'une zone étiquetée
Montage NFS de fichiers dans une zone étiquetée
Dépannage des échecs de montage dans Trusted Extensions
15. Gestion de réseaux de confiance (présentation)
16. Gestion des réseaux dans Trusted Extensions (tâches)
17. Trusted Extensions et LDAP (présentation)
18. Messagerie multiniveau dans Trusted Extensions (présentation)
19. Gestion de l'impression étiquetée (tâches)
20. Périphériques dans Trusted Extensions (présentation)
21. Gestion des périphériques pour Trusted Extensions (tâches)
22. Audit de Trusted Extensions (présentation)
23. Gestion des logiciels dans Trusted Extensions
A. Stratégie de sécurité du site
Création et gestion d'une stratégie de sécurité
Stratégie de sécurité du site et Trusted Extensions
Recommandations relatives à la sécurité informatique
Recommandations relatives à la sécurité physique
Recommandations relatives à la sécurité du personnel
Violations de sécurité courantes
Références de sécurité supplémentaires
B. Liste de contrôle de configuration pour Trusted Extensions
Liste de contrôle de configuration de Trusted Extensions
C. Guide de référence rapide pour l'administration de Trusted Extensions
Interfaces d'administration dans Trusted Extensions
Interfaces Oracle Solaris étendues par Trusted Extensions
Renforcement des paramètres de sécurité par défaut dans Trusted Extensions
Options limitées dans Trusted Extensions
D. Liste des pages de manuel Trusted Extensions
Pages de manuel Trusted Extensions par ordre alphabétique
Pages de manuel Oracle Solaris modifiées par Trusted Extensions
Un jeu de données multiniveau ZFS est conçu pour contenir des fichiers et répertoires sous des étiquettes différentes. Chaque fichier et répertoire est étiqueté individuellement et les étiquettes peuvent être modifiées sans le déplacement ou la copie des fichiers. Les fichiers peuvent être renommés dans la plage d'étiquettes du jeu de données. Pour créer et partager des jeux de données multiniveau, reportez-vous à la section Création et partage d'un jeu de données multiniveau.
Normalement, tous les fichiers et répertoires d'un jeu de données disposent de la même étiquette que la zone dans laquelle le jeu de données est monté. Cette étiquette est enregistrée automatiquement dans une propriété ZFS appelée mlslabel lorsque le jeu de données est d'abord monté dans la zone. Ces jeux de données sont des jeux de données étiquetés à niveau unique. La propriété mlslabel ne peut pas être modifiée alors que le jeu de données est monté, c'est-à-dire que la zone de montage ne peut pas modifier la propriété mlslabel.
Une fois la propriété mlslabel définie, le jeu de données ne peut pas être monté en lecture-écriture dans une zone, sauf si l'étiquette de la zone correspond à la propriété mlslabel du jeu de données. En outre, un jeu de données ne peut pas être monté dans n'importe quelle zone s'il est actuellement monté dans n'importe quelle autre zone, y compris la zone globale. L'étiquette de fichiers dans un jeu de données à niveau unique étant fixe, lorsque vous modifiez l'étiquette d'un fichier avec la commande setlabel, le fichier est déplacé vers le chemin d'accès équivalent de la zone principale correspondant à l'étiquette cible. Ce mouvement à travers les zones peut s'avérer inefficace et confus. Les jeux de données multiniveau fournissent un conteneur efficace pour la modification d'étiquette de données.
Pour les jeux de données multiniveau qui sont montés dans la zone globale, la valeur par défaut de la propriété mlslabel est ADMIN_HIGH. Cette valeur spécifie la limite supérieure de la plage d'étiquettes du jeu de données. Si vous spécifiez un niveau inférieur, vous pouvez uniquement effectuer des opérations d'écriture sur le jeu de données à partir de zones dont l'étiquette est dominée par la propriété mlslabel.
Les utilisateurs ou les rôles avec le profil de droits Object Label Management (Gestion de l'étiquette des objets) dispose des privilèges requis pour mettre à niveau ou rétrograder les fichiers et répertoires auxquels ils ont un accès DAC. Pour obtenir la procédure, reportez-vous à la section Octroi de l'autorisation de modifier le niveau de sécurité de données à un utilisateur.
Pour le processus utilisateur, des contraintes de stratégie supplémentaires s'appliquent.
Par défaut, aucun processus d'une zone étiquetée ne peut modifier l'étiquette de fichiers ou de répertoires. Pour activer la modification d'étiquettes, reportez-vous à la section Octroi de l'autorisation à modifier l'étiquette de fichiers à un utilisateur. Pour spécifier des commandes plus granulaires, par exemple permettre le retour à la version antérieure sans mettre à niveau les fichiers, reportez-vous à l'Exemple 13-5.
Les étiquettes des répertoires ne peuvent pas être modifiées sauf si les répertoires sont vides.
Les fichiers et les répertoires ne peuvent pas être rétrogradés sous l'étiquette du répertoire les contenant.
Pour modifier l'étiquette, vous devez d'abord déplacer le fichier vers le répertoire de niveau inférieur, puis modifier l'étiquette de ce dernier.
Les zones capables de monter le jeu de données ne peuvent pas mettre à niveau un fichier ou répertoire au-dessus de l'étiquette de zone.
La modification des étiquettes des fichiers est impossible si ces derniers sont ouverts par un processus dans n'importe quelle zone.
Les fichiers et les répertoires ne peuvent pas être mis à niveau au-dessus de la valeur mlslabel du jeu de données.
La zone globale peut partager des jeux de données multiniveau sur un système NFS avec des systèmes Trusted Extensions et des systèmes sans étiquette. Les jeux de données peuvent être montés dans la zone globale et les zones étiquetées, et sur les systèmes sans étiquette sous leur étiquette assignée. L'exception est un système sans étiquette ADMIN_LOW. Il ne peut pas monter un jeu de données multiniveau.
Lorsqu'un jeu de données multiniveau est créé avec une étiquette située à un niveau inférieur à ADMIN_HIGH, le jeu de données peut être monté dans la zone globale d'un autre système Trusted Extensions, mais les fichiers peuvent uniquement être visualisés dans la zone globale et ne sont pas modifiables. Lorsqu'un système NFS de zone étiquetée monte le jeu de données multiniveau à partir d'une autre zone globale du système, certaines restrictions s'appliquent.
Certaines restrictions s'appliquent aux jeux de données multiniveau montés en NFS.
Un client NFS Trusted Extensions peut visualiser les étiquettes appropriées uniquement pour les fichiers qui sont accessibles en écriture. La commande getlabel fournit des informations inexactes en signalant l'étiquette de fichiers de niveau inférieur comme étant l'étiquette du client. La stratégie MAC est en vigueur, de sorte que les fichiers restent en lecture seule et que les fichiers de niveau supérieur ne soient pas visibles.
Le serveur NFS ne prend pas en compte tout privilège dont le client peut disposer.
En raison de ces restrictions, l'utilisation du système LOFS est préférable pour les clients de zone étiquetée qui sont servis à partir de leur propre zone globale. Le système NFS est exécuté pour ces clients, mais ces derniers sont soumis aux restrictions. Pour la procédure de montage LOFS, reportez-vous à la section Création et partage d'un jeu de données multiniveau.