Ignorer les liens de navigation | |
Quitter l'aperu | |
Configuration et administration de Trusted Extensions Oracle Solaris 11.1 Information Library (Français) |
Partie I Configuration initiale de Trusted Extensions
1. Planification de la sécurité pour Trusted Extensions
2. Déroulement de la configuration de Trusted Extensions
3. Ajout de la fonction Trusted Extensions à Oracle Solaris (tâches)
4. Configuration de Trusted Extensions (tâches)
5. Configuration de LDAP pour Trusted Extensions (tâches)
Partie II Administration de Trusted Extensions
6. Concepts d'administration de Trusted Extensions
7. Outils d'administration de Trusted Extensions
8. Exigences de sécurité sur un système Trusted Extensions (présentation)
9. Exécution de tâches courantes dans Trusted Extensions
10. Utilisateurs, droits et rôles dans Trusted Extensions (présentation)
11. Gestion des utilisateurs, des droits et des rôles dans Trusted Extensions (tâches)
12. Administration à distance dans Trusted Extensions (tâches)
13. Gestion des zones dans Trusted Extensions
Zones et adresses IP dans Trusted Extensions
Zones et ICMP dans Trusted Extensions
Zones étiquetées principales et secondaires
Utilitaires d'administration des zones dans Trusted Extensions
Gestion des zones (liste des tâches)
Affichage des zones prêtes ou en cours d'exécution
Affichage des étiquettes de fichiers montés
Montage en loopback d'un fichier qui n'est généralement pas visible dans une zone étiquetée
Désactivation du montage pour les fichiers de niveau inférieur
Partage d'un ensemble de données ZFS à partir d'une zone étiquetée
Octroi de l'autorisation à modifier l'étiquette de fichiers à un utilisateur
14. Gestion et montage de fichiers dans Trusted Extensions
15. Gestion de réseaux de confiance (présentation)
16. Gestion des réseaux dans Trusted Extensions (tâches)
17. Trusted Extensions et LDAP (présentation)
18. Messagerie multiniveau dans Trusted Extensions (présentation)
19. Gestion de l'impression étiquetée (tâches)
20. Périphériques dans Trusted Extensions (présentation)
21. Gestion des périphériques pour Trusted Extensions (tâches)
22. Audit de Trusted Extensions (présentation)
23. Gestion des logiciels dans Trusted Extensions
A. Stratégie de sécurité du site
Création et gestion d'une stratégie de sécurité
Stratégie de sécurité du site et Trusted Extensions
Recommandations relatives à la sécurité informatique
Recommandations relatives à la sécurité physique
Recommandations relatives à la sécurité du personnel
Violations de sécurité courantes
Références de sécurité supplémentaires
B. Liste de contrôle de configuration pour Trusted Extensions
Liste de contrôle de configuration de Trusted Extensions
C. Guide de référence rapide pour l'administration de Trusted Extensions
Interfaces d'administration dans Trusted Extensions
Interfaces Oracle Solaris étendues par Trusted Extensions
Renforcement des paramètres de sécurité par défaut dans Trusted Extensions
Options limitées dans Trusted Extensions
D. Liste des pages de manuel Trusted Extensions
Pages de manuel Trusted Extensions par ordre alphabétique
Pages de manuel Oracle Solaris modifiées par Trusted Extensions
Dans Trusted Extensions, la stratégie MAC s'applique à tous les processus, y compris aux processus de la zone globale. Les processus de la zone globale s'exécutent sous l'étiquette ADMIN_HIGH. Lorsque des fichiers provenant d'une zone globale sont partagés, ils sont partagés avec l'étiquette ADMIN_LOW. Par conséquent, étant donné que MAC empêche le processus d'une étiquette de niveau supérieur de modifier un objet de niveau inférieur, la zone globale ne peut généralement pas écrire sur un système monté via NFS.
Toutefois, dans certains cas limités, des actions effectuées dans une zone étiquetée peuvent nécessiter qu'un processus de la zone globale modifie un fichier de la zone concernée.
Pour permettre à un processus de la zone globale de monter un système de fichiers distant avec des autorisations de lecture/écriture, le montage doit être placé sous le chemin de zone de la zone dont l'étiquette correspond à celle du système de fichiers distant. Toutefois, il ne doit pas être monté sous le chemin racine de la zone concernée.
Le système effectuant le montage doit comporter une zone possédant la même étiquette que le système de fichiers distant.
Le système doit monter le système de fichiers distant sous le chemin de zone de la zone étiquetée possédant la même étiquette.
Le système ne doit pas monter le système de fichiers distant sous le chemin racine de zone de la zone étiquetée possédant la même étiquette.
Prenons l'exemple d'une zone nommée publique possédant l'étiquette PUBLIC. Le chemin de la zone est /zone/public/. Tous les répertoires placés sous le chemin de la zone ont l'étiquette PUBLIC, comme dans :
/zone/public/dev /zone/public/etc /zone/public/home/username /zone/public/root /zone/public/usr
Parmi les fichiers placés dans les répertoires qui se trouvent sous le chemin de zone, seuls les fichiers subordonnés à /zone/public/root sont visibles depuis la zone publique. Les autres fichiers et répertoires d'étiquette PUBLIC sont uniquement accessibles à partir de la zone globale. Le chemin /zone/public/root est le chemin racine de la zone.
Pour l'administrateur de la zone publique, le chemin racine de la zone est identifié par /. De même, l'administrateur de la zone publique ne peut pas accéder au répertoire personnel d'un utilisateur dans le chemin de la zone, répertoire /zone/public/home/nom de l'utilisateur. Ce répertoire est uniquement visible depuis la zone globale. La zone publique monte ce répertoire dans le chemin racine de la zone en tant que /home/nom de l'utilisateur. Depuis la zone globale, ce montage est visible sous la forme /zone/public/root/home/nom de l'utilisateur.
L'administrateur de la zone publique peut modifier /home/nom de l'utilisateur. Lorsque les fichiers du répertoire personnel d'un utilisateur doivent être modifiés, un processus de zone globale n'utilise pas le chemin cité ci-dessus. La zone globale utilise le répertoire personnel de l'utilisateur, dans le chemin de la zone, /zone/public/Home/nom de l'utilisateur.
Les fichiers et répertoires qui se trouvent sous le chemin de la zone, /zone/nom de zone/, mais pas sous le chemin racine de la zone, le répertoire /zone/nom de la zone/root , peuvent être modifiés par un processus de la zone globale qui s'exécute sous l'étiquette ADMIN_HIGH.
Les fichiers et répertoires qui se trouvent sous le chemin racine de la zone, /zone/public/root, peuvent être modifiés par l'administrateur de la zone étiquetée.
Par exemple, lorsqu'un utilisateur alloue un périphérique dans la zone publique, un processus de la zone globale exécuté sous l'étiquette ADMIN_HIGH modifie le répertoire dev dans le chemin de la zone, /zone/public/dev. De même, lorsqu'un utilisateur enregistre une configuration du bureau, le fichier de configuration du bureau est modifié par un processus de la zone globale dans /zone/public/Home/nom de l'utilisateur. Pour partager un système de fichiers étiqueté, reportez-vous à la section Partage de systèmes de fichiers à partir d'une zone étiquetée.