| Ignorer les liens de navigation | |
| Quitter l'aperu | |
|
Configuration et administration de Trusted Extensions Oracle Solaris 11.1 Information Library (Français) |
| Ignorer les liens de navigation | |
| Quitter l'aperu | |
|
|
Configuration et administration de Trusted Extensions Oracle Solaris 11.1 Information Library (Français) |
Partie I Configuration initiale de Trusted Extensions
1. Planification de la sécurité pour Trusted Extensions
Planification de la sécurité dans Trusted Extensions
Prise de connaissance de Trusted Extensions
Prise de connaissance de votre stratégie de sécurité du site
Planification de la personne en charge de la configuration de Trusted Extensions
Elaboration d'une stratégie d'étiquetage
Pour les clients internationaux de Trusted Extensions
Planification du matériel et de la capacité du système pour Trusted Extensions
Planification de votre réseau de confiance
Planification de vos zones étiquetées dans Trusted Extensions
Zones Trusted Extensions et Oracle Solaris
Création d'une zone dans Trusted Extensions
Applications non accessibles à une zone étiquetée
Planification pour services multiniveau
Planification pour le service de noms LDAP dans Trusted Extensions
Planification de l'audit dans Trusted Extensions
Planification de la sécurité de l'utilisateur dans Trusted Extensions
Formation d'une équipe chargée de l'installation de Trusted Extensions
Résolution d'autres problèmes avant d'activer Trusted Extensions
Sauvegarde du système avant l'activation de Trusted Extensions
Résultats de l'activation de Trusted Extensions du point de vue de l'administrateur
2. Déroulement de la configuration de Trusted Extensions
3. Ajout de la fonction Trusted Extensions à Oracle Solaris (tâches)
4. Configuration de Trusted Extensions (tâches)
5. Configuration de LDAP pour Trusted Extensions (tâches)
Partie II Administration de Trusted Extensions
6. Concepts d'administration de Trusted Extensions
7. Outils d'administration de Trusted Extensions
8. Exigences de sécurité sur un système Trusted Extensions (présentation)
9. Exécution de tâches courantes dans Trusted Extensions
10. Utilisateurs, droits et rôles dans Trusted Extensions (présentation)
11. Gestion des utilisateurs, des droits et des rôles dans Trusted Extensions (tâches)
12. Administration à distance dans Trusted Extensions (tâches)
13. Gestion des zones dans Trusted Extensions
14. Gestion et montage de fichiers dans Trusted Extensions
15. Gestion de réseaux de confiance (présentation)
16. Gestion des réseaux dans Trusted Extensions (tâches)
17. Trusted Extensions et LDAP (présentation)
18. Messagerie multiniveau dans Trusted Extensions (présentation)
19. Gestion de l'impression étiquetée (tâches)
20. Périphériques dans Trusted Extensions (présentation)
21. Gestion des périphériques pour Trusted Extensions (tâches)
22. Audit de Trusted Extensions (présentation)
23. Gestion des logiciels dans Trusted Extensions
A. Stratégie de sécurité du site
Création et gestion d'une stratégie de sécurité
Stratégie de sécurité du site et Trusted Extensions
Recommandations relatives à la sécurité informatique
Recommandations relatives à la sécurité physique
Recommandations relatives à la sécurité du personnel
Violations de sécurité courantes
Références de sécurité supplémentaires
B. Liste de contrôle de configuration pour Trusted Extensions
Liste de contrôle de configuration de Trusted Extensions
C. Guide de référence rapide pour l'administration de Trusted Extensions
Interfaces d'administration dans Trusted Extensions
Interfaces Oracle Solaris étendues par Trusted Extensions
Renforcement des paramètres de sécurité par défaut dans Trusted Extensions
Options limitées dans Trusted Extensions
D. Liste des pages de manuel Trusted Extensions
Pages de manuel Trusted Extensions par ordre alphabétique
Pages de manuel Oracle Solaris modifiées par Trusted Extensions
Cette section décrit la planification nécessaire avant d'activer et de configurer le logiciel Trusted Extensions.
Prise de connaissance de votre stratégie de sécurité du site
Planification de la personne en charge de la configuration de Trusted Extensions
Planification du matériel et de la capacité du système pour Trusted Extensions
Planification de vos zones étiquetées dans Trusted Extensions
Planification pour le service de noms LDAP dans Trusted Extensions
Planification de la sécurité de l'utilisateur dans Trusted Extensions
Formation d'une équipe chargée de l'installation de Trusted Extensions
Résolution d'autres problèmes avant d'activer Trusted Extensions
Sauvegarde du système avant l'activation de Trusted Extensions
Pour une liste de contrôle des tâches de configuration de Trusted Extensions, reportez-vous à l'Annexe BListe de contrôle de configuration pour Trusted Extensions. Si vous êtes intéressé par la localisation de votre site, reportez-vous à la section Pour les clients internationaux de Trusted Extensions. Si vous voulez exécuter une configuration évaluée, reportez-vous à la section Prise de connaissance de votre stratégie de sécurité du site.
L'activation et la configuration de Trusted Extensions impliquent plus que le simple chargement de fichiers exécutables, la saisie des informations relatives à votre site et la définition des variables de configuration. Des connaissances générales approfondies sont également requises. Le logiciel Trusted Extensions fournit un environnement étiqueté qui repose sur deux fonctions d'Oracle Solaris :
Les fonctions qui, dans la plupart des environnements UNIX sont assignées au root sont traitées par les rôles d'administration discrets.
La possibilité de passer outre à la stratégie de sécurité peut être affectée à des utilisateurs et applications spécifiques.
Dans Trusted Extensions, l'accès aux données est contrôlé par des balises de sécurité spéciales. Ces balises sont appelées des étiquettes. Les étiquettes sont affectées à des utilisateurs, des processus et des objets, tels que des fichiers de données et des répertoires. Ces étiquettes fournissent un contrôle d'accès obligatoire (MAC), en plus des autorisations UNIX ou contrôle d'accès discrétionnaire (DAC).
Trusted Extensions vous permet d'intégrer efficacement votre stratégie de sécurité du site avec le SE Oracle Solaris. Par conséquent, il est nécessaire de bien comprendre l'étendue de votre stratégie et la manière dont le logiciel Trusted Extensions peut la mettre en oeuvre. Une configuration bien planifiée doit fournir un équilibre entre la cohérence avec votre stratégie de sécurité du site et la commodité pour les utilisateurs qui travaillent sur le système.
Trusted Extensions est configuré par défaut pour être conforme aux Critères communs pour la sécurité des systèmes d'information (ISO/CEI 15408) au niveau d'assurance de l'évaluation EAL4 par rapport aux profils de protection suivants :
Profil de protection Etiquettes de sécurité
Profil de protection Accès contrôlé
Profil de protection Contrôle d'accès basé sur le rôle
Pour satisfaire à ces niveaux évalués, vous devez configurer LDAP en tant que service de noms. Notez que votre configuration risque de ne plus être conforme à l'évaluation si vous effectuez l'une des opérations suivantes :
Modification des paramètres de commutation du noyau dans le fichier /etc/system.
Désactivation de l'audit ou de l'allocation de périphériques.
Modification des entrées par défaut dans les fichiers publics du répertoire /usr.
Pour plus d'informations, reportez-vous au site Web sur les Critères communs (en anglais).
Le rôle root ou le rôle d'administrateur système est responsable de l'activation de Trusted Extensions. Vous pouvez créer des rôles pour séparer les responsabilités administratives entre plusieurs domaines fonctionnels :
L'administrateur de sécurité est responsable des tâches liées à la sécurité, telles que la mise en place et l'attribution des étiquettes de sécurité, la configuration de l'audit et la définition d'une stratégie de mots de passe.
L'administrateur système est responsable des tâches non liées à la sécurité que sont la configuration, la maintenance et l'administration générale.
Des rôles plus limités peuvent également être configurés. Par exemple, un opérateur peut être responsable de la sauvegarde des fichiers.
Dans le cadre de votre stratégie d'administration, vous devez prendre des décisions sur les points suivants :
Les responsabilités d'administration incombant à chaque utilisateur
L'identité des utilisateurs non administratifs autorisés à exécuter des applications sécurisées, et donc à passer outre à la stratégie de sécurité en cas de besoin
Les données accessibles aux différents utilisateurs
La planification d'étiquettes nécessite la configuration d'une hiérarchie de niveaux de sensibilité et la hiérarchisation des informations sur votre système. Le fichier label_encodings contient ce type d'information pour votre site. Vous pouvez utiliser l'un des fichiers label_encodings fournis avec le logiciel Trusted Extensions. Vous pouvez également modifier l'un des fichiers fournis ou créer un nouveau fichier label_encodings spécifique à votre site. Le fichier doit contenir les extensions locales spécifiques à Oracle, au moins pour la section COLOR NAMES.
 | Attention - Si vous fournissez un fichier label_encodings, la meilleure pratique consiste à installer la version définitive du fichier avant que le système ne vérifie les étiquettes. Les étiquettes sont vérifiées au cours de la première initialisation après l'activation du service Trusted Extensions. Une fois que vous avez créé votre première zone ou votre modèle de réseau, les modifications apportées au fichier label_encodings doivent contenir les zones existantes et les modèles. |
La planification des étiquettes implique également la planification de la configuration des étiquettes. Après l'activation du service Trusted Extensions, vous devez décider si le système doit autoriser les utilisateurs à se connecter à plusieurs étiquettes ou si le système peut être configuré avec une étiquette utilisateur uniquement. Par exemple, un serveur LDAP est un bon candidat pour avoir une zone étiquetée. Pour l'administration locale du serveur, vous pouvez créer une zone à l'étiquette minimale. Pour administrer le système, l'administrateur se connecte et prend le rôle approprié dans l'espace de travail de l'utilisateur.
Pour plus d'informations, reportez-vous à la section Trusted Extensions Label Administration. Vous pouvez également vous reporter à la section Compartmented Mode Workstation Labeling: Encodings Format.
Pour localiser un fichier label_encodings, les clients internationaux doivent uniquement localiser les noms des étiquettes. Les noms des étiquettes d'administration, ADMIN_HIGH et ADMIN_LOW, ne doivent pas être localisés. Tous les hôtes étiquetés que vous contactez, à partir de n'importe quel fournisseur, doivent disposer de noms d'étiquettes correspondant aux noms d'étiquettes dans le fichier label_encodings.
Le matériel du système comprend le système lui-même et les périphériques qui y sont connectés. Ceux-ci incluent les lecteurs de bandes, les microphones, les lecteurs de CD-ROM et les chargeurs de disques. La capacité du matériel englobe la mémoire système, les interfaces réseau et de l'espace disque.
Suivez les recommandations relatives à l'installation d'une version d'Oracle Solaris comme décrit dans la section Installation des systèmes Oracle Solaris 11.1 et la section d'installation Notes de version pour cette version.
Pour les fonctions de Trusted Extensions, on peut ajouter à ces recommandations :
Une mémoire au-delà du minimum suggéré est requise sur les systèmes suivants :
Systèmes s'exécutant sur plusieurs étiquettes de sensibilité
Systèmes utilisés par des utilisateurs pouvant prendre un rôle administratif
Davantage d'espace disque est requis sur les systèmes suivants :
Systèmes qui stockent les fichiers sur plusieurs étiquettes
Systèmes dont les utilisateurs peuvent prendre un rôle administratif
Pour obtenir de l'aide afin de planifier votre matériel réseau, reportez-vous au Chapitre 1, Planification du développement du réseau du manuel Configuration et administration de réseaux Oracle Solaris 11.1.
Le logiciel Trusted Extensions reconnaît deux types d'hôtes, cipso et sans étiquette. Chaque type d'hôte dispose d'un modèle de sécurité par défaut, comme illustré dans le Tableau 1-1.
Tableau 1-1 Modèles d'hôtes par défaut dans Trusted Extensions
|
Si votre réseau est accessible par d'autres réseaux, vous devez spécifier des domaines et hôtes accessibles. Vous devez également identifier les hôtes Trusted Extensions qui joueront le rôle de passerelles. Vous devez identifier la plage d'accréditations de l'étiquette pour ces passerelles, et l'étiquette de sensibilité sur laquelle les données d'autres hôtes peuvent être visualisées.
L'étiquetage d'hôtes, de passerelles et de réseaux est décrit au Chapitre 16, Gestion des réseaux dans Trusted Extensions (tâches) . L'assignation d'étiquettes à des systèmes distants s'effectue après la configuration initiale.
Le logiciel Trusted Extensions est ajouté à Oracle Solaris dans la zone globale. Vous pouvez ensuite configurer des zones non globales étiquetées. Vous pouvez créer une ou plusieurs zones étiquetées pour chaque étiquette unique, même si vous n'avez pas besoin de créer une zone pour chaque étiquette dans votre fichier label_encodings. Un script fourni vous permet de créer facilement deux zones étiquetées pour l'étiquette utilisateur par défaut et l'autorisation utilisateur par défaut de votre fichier label_encodings.
Une fois les zones étiquetées créées, les utilisateurs standard peuvent utiliser le système configuré, mais ils ne peuvent pas atteindre d'autres systèmes. Pour isoler davantage les services qui s'exécutent sous la même étiquette, vous pouvez créer des zones secondaires. Pour plus d'informations, reportez-vous à la section Zones étiquetées principales et secondaires.
Dans Trusted Extensions, le transport local permettant la connexion au serveur X s'effectue via des sockets de domaine UNIX. Par défaut, le serveur X n'écoute pas pour les connexions TCP.
Par défaut, les zones non globales ne peuvent pas communiquer avec des hôtes non approuvés. Vous devez spécifier les adresses IP d'hôte distant explicites ou les masques réseau qui peuvent être atteints par chaque zone.
Les zones Trusted Extensions, c'est-à-dire les zones étiquetées, constituent une marque de zones Oracle Solaris. Les zones étiquetées sont principalement utilisées pour séparer les données. Dans Trusted Extensions, les utilisateurs standard ne peuvent pas se connecter à distance à une zone étiquetée, à moins que ce ne soit à partir d'une zone étiquetée à l'identique sur un autre système de confiance. Les administrateurs autorisés peuvent accéder à une zone étiquetée à partir de la zone globale. Pour plus d'informations sur les marques de zone, reportez-vous à la page de manuel brands(5).
La création de zones dans Trusted Extensions est similaire à la création de zones dans Oracle Solaris. Trusted Extensions fournit le script txzonemgr pour vous guider tout au long du processus. En effet, le script comporte plusieurs options de ligne de commande permettant d'automatiser la création de zones étiquetées. Pour plus d'informations, reportez-vous à la page de manuel txzonemgr(1M).
Sur un système correctement configuré, chaque zone doit être en mesure d'utiliser une adresse de réseau pour communiquer avec d'autres zones qui partagent la même étiquette. Les configurations suivantes fournissent une zone étiquetée permettant d'accéder à d'autres zones étiquetées :
Interface all-zones : une adresse all-zones est attribuée. Dans cette configuration par défaut, une seule adresse IP est requise. Chaque zone, globale et étiquetée, peut communiquer avec des zones étiquetées identiques sur des systèmes distants via cette adresse partagée.
Une amélioration de cette configuration consiste à créer une deuxième instance IP pour la zone globale à utiliser exclusivement. Cette deuxième instance ne doit pas être une adresse all-zones. L'instance IP pourrait être utilisée pour héberger un service multiniveau ou pour fournir une route vers un sous-réseau privé.
Instances IP : comme dans le SE Oracle Solaris, une adresse IP est assignée à chaque zone, y compris à la zone globale. Les zones partagent la pile IP. Dans le cas le plus simple, toutes les zones partagent la même interface physique.
Une amélioration de cette configuration consiste à affecter une carte réseau (NIC) séparée à chaque zone. Ce type de configuration permet de séparer physiquement les réseaux à étiquette unique associés à chaque NIC.
Une amélioration supplémentaire consiste à utiliser une ou plusieurs interfaces all-zones en plus de l'instance IP par zone. Cette configuration offre la possibilité d'utiliser les interfaces internes, telles que vni0, pour atteindre la zone globale, protégeant ainsi cette dernière contre les attaques à distance. Par exemple, un service privilégié qui lie un port multiniveau sur une instance de vni0 dans la zone globale peut uniquement être atteint en interne par les zones qui utilisent la pile partagée.
Pile IP exclusive : comme dans Oracle Solaris, une adresse IP est assignée à chaque zone, y compris à la zone globale. Une carte d'interface réseau virtuelle (VNIC) est créée pour chaque zone étiquetée.
Une amélioration de cette configuration consiste à créer chaque VNIC sur une interface réseau distincte. Ce type de configuration permet de séparer physiquement les réseaux à étiquette unique associés à chaque NIC. Les zones qui sont configurées à l'aide d'une pile IP exclusive ne peuvent pas utiliser l'interface all-zones.
Par défaut, les zones étiquetées partagent le service de noms de la zone globale, et ont des copies en lecture seule des fichiers de configuration de la zone globale, y compris les fichiers /etc/passwd et /etc/shadow. Si vous envisagez d'installer des applications dans une zone étiquetée à partir de la zone étiquetée, et si le package ajoute des utilisateurs à la zone, vous aurez besoin de copies accessibles en écriture de ces fichiers dans la zone.
Des packages tels que pkg:/service/network/ftp créent des comptes utilisateur. L'installation de ce package en exécutant la commande pkg à l'intérieur d'une zone étiquetée requiert qu'un démon nscd distinct s'exécute dans la zone, et que la zone soit assignée à une adresse IP exclusive. Pour plus d'informations, reportez-vous à la section Configuration d'un service de noms distinct pour chaque zone étiquetée.
Par défaut, Trusted Extensions ne fournit pas de services multiniveau. La plupart des services sont faciles à configurer en tant que services zone à zone, c'est-à-dire, en tant que services à étiquette unique. Par exemple, chaque zone étiquetée peut se connecter au serveur NFS exécuté au niveau de l'étiquette de la zone étiquetée.
Si votre site requiert des services multiniveau, ces services sont mieux configurés sur un système disposant d'au moins deux adresses IP. Les ports multiniveau requis par un service multiniveau peuvent être affectés à l'adresse IP associée à la zone globale. Une adresse all-zones peut être utilisée par les zones étiquetées pour atteindre les services.
Astuce - Si les utilisateurs des zones étiquetées ne sont pas autorisés à accéder aux services multiniveau, vous pouvez assigner une adresse IP au système. Cette configuration Trusted Extensions est généralement utilisée sur des ordinateurs portables.
Si vous ne prévoyez pas d'installer de réseau de systèmes étiquetés, vous pouvez ignorer cette section. Si vous avez l'intention d'utiliser LDAP, vos systèmes doivent être configurés en tant que clients LDAP avant l'ajout de la première zone étiquetée.
Si vous prévoyez d'exécuter Trusted Extensions sur un réseau de systèmes, utilisez LDAP en tant que service de noms. Pour Trusted Extensions, un serveur Oracle Directory Server Enterprise Edition (serveur LDAP) rempli est requis lorsque vous configurez un réseau de systèmes. Si votre site dispose déjà d'un serveur LDAP, vous pouvez remplir le serveur avec les bases de données Trusted Extensions. Pour accéder au serveur, vous pouvez configurer un serveur proxy LDAP sur un système Trusted Extensions.
Si votre site ne dispose pas de serveur LDAP, vous devez alors planifier la création d'un serveur LDAP sur un système exécutant le logiciel Trusted Extensions. Les procédures sont décrites au Chapitre 5, Configuration de LDAP pour Trusted Extensions (tâches).
Par défaut, l'audit est activé lors de la première initialisation de Trusted Extensions. Par défaut, tous les événements de la classe login/logout font par conséquent l'objet d'un audit. Pour auditer les utilisateurs qui configurent le système, vous pouvez créer des rôles très tôt au cours du processus de configuration. Lorsque ces rôles configurent le système, les enregistrements d'audit incluent l'utilisateur connecté qui prend le rôle. Reportez-vous à la section Création de rôles et d'utilisateurs dans Trusted Extensions.
La planification de l'audit dans Trusted Extensions est identique à la planification dans le SE Oracle Solaris. Pour plus de détails, reportez-vous à la Partie VII, Audit dans Oracle Solaris du manuel Administration d’Oracle Solaris 11.1 : Services de sécurité. Bien que Trusted Extensions ajoute des classes, des événements et des jetons d'audit, le logiciel ne modifie pas le mode d'administration de l'audit. Pour en savoir plus sur les ajouts effectués à l'audit par Trusted Extensions, reportez-vous au Chapitre 22, Audit de Trusted Extensions (présentation) .
Le logiciel Trusted Extensions fournit des paramètres de sécurité par défaut raisonnables pour les utilisateurs. Ces paramètres de sécurité par défaut sont répertoriés dans le Tableau 1-2. Lorsque deux valeurs sont répertoriées, la première valeur est la valeur par défaut. L'administrateur de sécurité peut modifier ces valeurs par défaut afin de refléter la stratégie de sécurité du site. Une fois que l'administrateur de sécurité a défini les valeurs par défaut, l'administrateur système peut créer tous les utilisateurs, qui héritent des valeurs par défaut définies. Pour obtenir des descriptions des mots-clés et valeurs de ces paramètres par défaut, reportez-vous aux pages de manuel label_encodings(4) et policy.conf(4).
Tableau 1-2 Paramètres de sécurité par défaut Trusted Extensions pour les comptes utilisateur
|
Remarque - Les variables IDLECMD et IDLETIME s'appliquent à la session de l'utilisateur de connexion. Si l'utilisateur de connexion prend un rôle, les valeurs IDLECMD et IDLETIME de l'utilisateur sont en vigueur pour ce rôle.
L'administrateur système peut configurer un modèle d'utilisateur standard qui définit les valeurs par défaut du système pour chaque utilisateur. Par exemple, le shell initial de tous les utilisateurs est par défaut un shell de type bash. L'administrateur système peut configurer un modèle qui donne à chaque utilisateur un shell pfbash.
La section suivante décrit des stratégies de configuration, de la plus sûre à la moins sûre :
Une équipe de deux personnes configure le logiciel. Le processus de configuration fait l'objet d'un contrôle.
Deux personnes se trouvent sur l'ordinateur lorsque le logiciel est activé. Très tôt dans le processus de configuration, cette équipe crée des rôles discrets et décide des utilisateurs locaux qui peuvent les prendre. L'équipe configure également un audit en vue d'auditer les événements exécutés par les rôles. Une fois les rôles affectés à des utilisateurs, et une fois l'ordinateur réinitialisé, les utilisateurs se connectent et prennent un rôle limité. Le logiciel applique la division des tâches par rôle. La piste d'audit fournit un enregistrement de la procédure de configuration. Pour une illustration du processus de configuration sécurisé, reportez-vous à la Figure 1-1.
Une seule personne active et configure le logiciel en assumant le rôle approprié. Le processus de configuration fait l'objet d'un contrôle.
Plus tôt dans le processus de configuration, le rôle root crée des rôles supplémentaires. Le rôle root configure également l'audit en vue de vérifier les événements exécutés par les rôles. Une fois que ces rôles supplémentaires ont été affectés à l'utilisateur initial et que l'ordinateur a été réinitialisé, l'utilisateur se connecte et prend le rôle approprié à la tâche en cours. La piste d'audit fournit un enregistrement de la procédure de configuration.
Une seule personne active et configure le logiciel en assumant le rôle root. Le processus de configuration ne fait pas l'objet d'un contrôle.
En utilisant cette stratégie, aucun enregistrement relatif au processus de configuration n'est conservé.
L'équipe chargée de la configuration initiale remplace le rôle root par un utilisateur.
Aucun enregistrement n'est conservé dans le logiciel du nom de l'utilisateur agissant en tant que root. Cette configuration peut être requise pour l'administration à distance d'un écouteur.
La figure suivante illustre la séparation des tâches en fonction des rôles. L'administrateur de sécurité configure notamment l'audit, protège les systèmes de fichiers, définit la stratégie en matière de périphériques, détermine les programmes nécessitant des privilèges pour leur bonne exécution et protège les utilisateurs. L'administrateur système partage et monte les systèmes de fichiers, installe les packages de logiciels et crée des utilisateurs, entre autres tâches.
Figure 1-1 Administration d'un système Trusted Extensions : séparation des tâches en fonction du rôle de l'utilisateur
Avant de configurer Trusted Extensions, vous devez protéger physiquement vos systèmes, déterminer les étiquettes à affecter aux zones et résoudre d'autres problèmes de sécurité. Pour plus d'informations sur les procédures, reportez-vous à la section Résolution des problèmes de sécurité avant l'activation de Trusted Extensions.
Si votre système contient des fichiers devant être enregistrés, effectuez une sauvegarde avant d'activer le service Trusted Extensions. La manière la plus sûre de sauvegarder des fichiers est d'effectuer un vidage de niveau 0. Si aucune procédure de sauvegarde n'est en place, reportez-vous au guide de l'administrateur de votre système d'exploitation pour plus d'instructions.
|