Ignorer les liens de navigation | |
Quitter l'aperu | |
Configuration et administration de Trusted Extensions Oracle Solaris 11.1 Information Library (Français) |
Partie I Configuration initiale de Trusted Extensions
1. Planification de la sécurité pour Trusted Extensions
2. Déroulement de la configuration de Trusted Extensions
3. Ajout de la fonction Trusted Extensions à Oracle Solaris (tâches)
4. Configuration de Trusted Extensions (tâches)
5. Configuration de LDAP pour Trusted Extensions (tâches)
Partie II Administration de Trusted Extensions
6. Concepts d'administration de Trusted Extensions
7. Outils d'administration de Trusted Extensions
8. Exigences de sécurité sur un système Trusted Extensions (présentation)
9. Exécution de tâches courantes dans Trusted Extensions
10. Utilisateurs, droits et rôles dans Trusted Extensions (présentation)
11. Gestion des utilisateurs, des droits et des rôles dans Trusted Extensions (tâches)
12. Administration à distance dans Trusted Extensions (tâches)
13. Gestion des zones dans Trusted Extensions
14. Gestion et montage de fichiers dans Trusted Extensions
Possibilités de montage dans Trusted Extensions
Stratégies Trusted Extensions pour les systèmes de fichiers montés
Stratégies Trusted Extensions pour les jeux de données à niveau unique
Stratégie Trusted Extensions pour les jeux de données multiniveau
Aucun remplacement de privilège pour la stratégie de lecture-écriture du contrôle MAC
Résultats du partage et du montage de systèmes de fichiers dans Trusted Extensions
Partage et montage de fichiers dans la zone globale
Partage et montage de fichiers dans la zone étiquetée
Propriété mlslabel et montage de systèmes de fichiers à niveau unique
Jeux de données multiniveau pour la modification d'étiquette de fichiers
Montage de jeux de données multiniveau provenant d'un autre système
Configuration du client et du serveur NFS dans Trusted Extensions
Création de répertoires personnels dans Trusted Extensions
Modifications apportées à l'agent de montage automatique dans Trusted Extensions
Logiciel Trusted Extensions et versions du protocole NFS
Sauvegarde, partage et montage de fichiers étiquetés (liste des tâches)
Sauvegarde de fichiers dans Trusted Extensions
Restauration de fichiers dans Trusted Extensions
Partage de systèmes de fichiers à partir d'une zone étiquetée
Montage NFS de fichiers dans une zone étiquetée
Dépannage des échecs de montage dans Trusted Extensions
15. Gestion de réseaux de confiance (présentation)
16. Gestion des réseaux dans Trusted Extensions (tâches)
17. Trusted Extensions et LDAP (présentation)
18. Messagerie multiniveau dans Trusted Extensions (présentation)
19. Gestion de l'impression étiquetée (tâches)
20. Périphériques dans Trusted Extensions (présentation)
21. Gestion des périphériques pour Trusted Extensions (tâches)
22. Audit de Trusted Extensions (présentation)
23. Gestion des logiciels dans Trusted Extensions
A. Stratégie de sécurité du site
Création et gestion d'une stratégie de sécurité
Stratégie de sécurité du site et Trusted Extensions
Recommandations relatives à la sécurité informatique
Recommandations relatives à la sécurité physique
Recommandations relatives à la sécurité du personnel
Violations de sécurité courantes
Références de sécurité supplémentaires
B. Liste de contrôle de configuration pour Trusted Extensions
Liste de contrôle de configuration de Trusted Extensions
C. Guide de référence rapide pour l'administration de Trusted Extensions
Interfaces d'administration dans Trusted Extensions
Interfaces Oracle Solaris étendues par Trusted Extensions
Renforcement des paramètres de sécurité par défaut dans Trusted Extensions
Options limitées dans Trusted Extensions
D. Liste des pages de manuel Trusted Extensions
Pages de manuel Trusted Extensions par ordre alphabétique
Pages de manuel Oracle Solaris modifiées par Trusted Extensions
Alors que Trusted Extensions prend en charge les mêmes systèmes de fichiers et les mêmes commandes de gestion de systèmes de fichiers qu'Oracle Solaris les systèmes de fichiers montés dans Trusted Extensions sont soumis aux stratégies du contrôle d'accès obligatoire (MAC, mandatory access control) pour l'affichage et la modification de données étiquetées. Les stratégies de montage et celles de lecture et d'écriture appliquent les stratégies MAC pour l'étiquetage.
Pour les jeux de données à niveau unique, la stratégie de montage empêche tout montage en NFS ou en LOFS d'aller à l'encontre d'un contrôle MAC. Par exemple, l'étiquette d'une zone doit dominer toutes les étiquettes de son système de fichiers montés, et seuls les systèmes de fichiers possédant des étiquettes identiques peuvent être montés avec des autorisations de lecture/écriture. Tous les systèmes de fichiers partagés qui appartiennent à d'autres zones ou à des serveurs NFS sont montés sous l'étiquette du propriétaire.
Voici un récapitulatif du comportement des jeux de données à niveau unique montés en NFS :
Dans la zone globale, tous les fichiers montés peuvent être affichés, mais uniquement les fichiers incluant l'étiquette ADMIN_HIGH peuvent être modifiés.
Dans une zone étiquetée, tous les fichiers montés qui sont égaux ou inférieurs à l'étiquette de la zone peuvent être affichés, mais seuls les fichiers sous l'étiquette de la zone peuvent être modifiés.
Sur un système qui n'est pas de confiance, seuls les systèmes de fichiers d'une zone étiquetée dont l'étiquette est identique à l'étiquette assignée du système qui n'est pas de confiance peuvent être affichés et modifiés.
Pour les jeux de données à niveau unique montés en LOFS, les fichiers montés peuvent être affichés. Ils sont sous l'étiquette ADMIN_LOW et ne peuvent donc pas être modifiés.
Pour les jeux de données multiniveau, les stratégies de lecture et d'écriture MAC sont appliquées au niveau de la granularité de fichiers et de répertoires plutôt qu'au niveau de la granularité du système de fichiers.
Les jeux de données multiniveau ne peuvent être montés que dans la zone globale. Les zones étiquetées peuvent uniquement accéder aux jeux de données multiniveau à l'aide des points de montage LOFS que vous indiquez à l'aide de la commande zonecfg. Pour plus d'informations sur cette procédure, reportez-vous à la section Création et partage d'un jeu de données multiniveau. Des processus privilégiés appropriés de la zone globale ou des zones étiquetées peuvent modifier l'étiquette des fichiers et des répertoires. Pour des exemples de modification d'étiquette, reportez-vous à la section Guide de l’utilisateur Trusted Extensions.
Dans la zone globale, tous les fichiers du jeu de données multiniveau peuvent être affichés. Les fichiers montés incluant l'étiquette ADMIN_HIGH peuvent être modifiés.
Dans une zone étiquetée, le jeu de données multiniveau est monté sur le système LOFS. Les fichiers montés sous la même étiquette ou à un niveau inférieur à la zone peuvent être affichés. Les fichiers montés sous la même étiquette que la zone peuvent être modifiés.
Les jeux de données multiniveau peuvent également être partagés à partir de la zone globale sur un système NFS. Les clients distants peuvent visualiser les fichiers dominés par leur étiquette réseau et modifier les fichiers avec des étiquettes identiques. Toutefois, la modification d'étiquette est impossible sur un jeu de données multiniveau monté en NFS. Pour plus d'informations sur les montages NFS, reportez-vous à la section Montage de jeux de données multiniveau provenant d'un autre système.
Pour plus d'informations, reportez-vous à la section Jeux de données multiniveau pour la modification d'étiquette de fichiers.
La stratégie MAC pour les fichiers de lecture et d'écriture ne dispose d'aucun remplacement de privilège. Les jeux de données à niveau unique peuvent uniquement être montés en lecture-écriture si l'étiquette de la zone est identique à l'étiquette du jeu de données. Pour les montages en lecture seule, l'étiquette de la zone doit dominer l'étiquette du jeu de données. Pour les jeux de données multiniveau, tous les fichiers et répertoires doivent être dominés par la propriété mlslabel, qui est définie par défaut sur ADMIN_HIGH. Pour les jeux de données multiniveau, la stratégie MAC est appliquée au niveau du fichier et du répertoire. Aucun utilisateur ne peut accéder à la stratégie MAC d'application. Les utilisateurs ne peuvent pas afficher un objet, à moins qu'ils ne disposent d'un accès MAC à l'objet.
Voici un récapitulatif des stratégies de partage et de montage dans Trusted Extensions pour les jeux de données à niveau unique :
Pour qu'un système Trusted Extensions puisse monter un système de fichiers sur un autre système Trusted Extensions le serveur et le client doivent posséder des modèles d'hôte distant compatibles de type cipso.
Pour qu'un système Trusted Extensions monte un système de fichiers à partir d'un système qui n'est pas de confiance, l'étiquette unique assignée au système qui n'est pas de confiance par le système Trusted Extensions doit correspondre à l'étiquette de la zone globale.
De même, pour qu'une zone étiquetée monte un système de fichiers à partir d'un système qui n'est pas de confiance, l'étiquette unique assignée au système qui n'est pas de confiance par le système Trusted Extensions doit correspondre à l'étiquette de la zone de montage.
Les fichiers dont les étiquettes sont différentes de la zone de montage et qui sont montés avec LOFS peuvent être visualisés, mais pas modifiés. Pour plus d'informations sur les montages NFS, reportez-vous à la section Configuration du client et du serveur NFS dans Trusted Extensions.
Voici un récapitulatif des stratégies de partage et de montage dans Trusted Extensions pour les jeux de données multiniveau :
Pour qu'un système Trusted Extensions partage un jeu de données multiniveau avec un autre système, le serveur NFS doit être configuré en tant que service multiniveau.
Pour qu'un système Trusted Extensions multiniveau partage un jeu de données multiniveau contenant des zones étiquetées sur son propre système, la zone globale doit monter en LOFS le jeu de données dans les zones.
La zone étiquetée possède un droit d'accès en écriture aux fichiers et aux répertoires montés en LOFS dont l'étiquette correspond à l'étiquette de la zone, et dispose d'un accès en lecture sur les fichiers et répertoires qu'elle domine. La stratégie MAC est appliquée au niveau de chaque fichier et répertoire.