Ignorer les liens de navigation | |
Quitter l'aperu | |
Configuration et administration de Trusted Extensions Oracle Solaris 11.1 Information Library (Français) |
Partie I Configuration initiale de Trusted Extensions
1. Planification de la sécurité pour Trusted Extensions
2. Déroulement de la configuration de Trusted Extensions
3. Ajout de la fonction Trusted Extensions à Oracle Solaris (tâches)
4. Configuration de Trusted Extensions (tâches)
Configuration de la zone globale dans Trusted Extensions
Vérification et installation du fichier Label Encodings
Configuration d'un réseau IPv6 CIPSO dans Trusted Extensions
Configuration d'un autre domaine d'interprétation
Création d'un système Trusted Extensions par défaut
Création interactive de zones étiquetées
Affectation d'étiquettes à deux espaces de travail comportant des zones
Configuration des interfaces réseau dans Trusted Extensions
Partage d'une seule adresse IP entre toutes les zones
Ajout d'une instance d'IP à une zone étiquetée
Ajout d'une interface réseau virtuelle à une zone étiquetée
Connexion d'un système Trusted Extensions à d'autres systèmes Trusted Extensions
Configuration d'un service de noms distinct pour chaque zone étiquetée
Création de rôles et d'utilisateurs dans Trusted Extensions
Création du rôle d'administrateur sécurité dans Trusted Extensions
Création d'un rôle d'administrateur de sécurité
Création d'utilisateurs pouvant prendre des rôles dans Trusted Extensions
Vérification du fonctionnement des rôles Trusted Extensions
Autorisation des utilisateurs à se connecter à une zone étiquetée
Création de répertoires personnels centralisés dans Trusted Extensions
Création du serveur d'annuaires personnel dans Trusted Extensions
Dépannage de votre configuration Trusted Extensions
Déplacement des panneaux du bureau vers le bas de l'écran
Tâches de configuration supplémentaires de Trusted Extensions
Création d'une zone étiquetée secondaire
Création et partage d'un jeu de données multiniveau
Copie de fichiers sur un média amovible dans Trusted Extensions
Copie de fichiers dans Trusted Extensions à partir d'un média amovible
Suppression de Trusted Extensions du système
5. Configuration de LDAP pour Trusted Extensions (tâches)
Partie II Administration de Trusted Extensions
6. Concepts d'administration de Trusted Extensions
7. Outils d'administration de Trusted Extensions
8. Exigences de sécurité sur un système Trusted Extensions (présentation)
9. Exécution de tâches courantes dans Trusted Extensions
10. Utilisateurs, droits et rôles dans Trusted Extensions (présentation)
11. Gestion des utilisateurs, des droits et des rôles dans Trusted Extensions (tâches)
12. Administration à distance dans Trusted Extensions (tâches)
13. Gestion des zones dans Trusted Extensions
14. Gestion et montage de fichiers dans Trusted Extensions
15. Gestion de réseaux de confiance (présentation)
16. Gestion des réseaux dans Trusted Extensions (tâches)
17. Trusted Extensions et LDAP (présentation)
18. Messagerie multiniveau dans Trusted Extensions (présentation)
19. Gestion de l'impression étiquetée (tâches)
20. Périphériques dans Trusted Extensions (présentation)
21. Gestion des périphériques pour Trusted Extensions (tâches)
22. Audit de Trusted Extensions (présentation)
23. Gestion des logiciels dans Trusted Extensions
A. Stratégie de sécurité du site
Création et gestion d'une stratégie de sécurité
Stratégie de sécurité du site et Trusted Extensions
Recommandations relatives à la sécurité informatique
Recommandations relatives à la sécurité physique
Recommandations relatives à la sécurité du personnel
Violations de sécurité courantes
Références de sécurité supplémentaires
B. Liste de contrôle de configuration pour Trusted Extensions
Liste de contrôle de configuration de Trusted Extensions
C. Guide de référence rapide pour l'administration de Trusted Extensions
Interfaces d'administration dans Trusted Extensions
Interfaces Oracle Solaris étendues par Trusted Extensions
Renforcement des paramètres de sécurité par défaut dans Trusted Extensions
Options limitées dans Trusted Extensions
D. Liste des pages de manuel Trusted Extensions
Pages de manuel Trusted Extensions par ordre alphabétique
Pages de manuel Oracle Solaris modifiées par Trusted Extensions
La procédure de création de rôles dans Trusted Extensions est identique à la procédure de création de rôles dans le Oracle Solaris. Toutefois, pour une configuration évaluée, un rôle d'administrateur de sécurité est obligatoire.
|
Avant de commencer
Vous êtes dans le rôle root dans la zone globale.
Pour plus d'informations sur la commande, reportez-vous à la page de manuel roleadd(1M).
Inspirez-vous des informations suivantes, données à titre d'exemple :
Nom du rôle : secadmin
-c Responsable local de la sécurité
Ne pas fournir d'informations propriétaires.
-m répertoire-personnel
-u UID-rôle
-S référentiel
-K clé=valeur
Affectez les profils de droits Information Security (Sécurité de l'information) et User Security (Sécurité des utilisateurs).
Remarque - Pour tous les rôles d'administration, utilisez les étiquettes d'administration en tant que plage d'étiquettes, effectuez un audit des utilisations de la commande pfexec, définissez lock_after_retries=no et ne définissez pas de date d'expiration des mots de passe.
# roleadd -c "Local Security Officer" -m \ -u 110 -K profiles="Information Security,User Security" -S files \ -K lock_after_retries=no \ -K min_label=ADMIN_LOW -K clearance=ADMIN_HIGH secadmin
# passwd -r files secadmin New Password: <Type password> Re-enter new Password: <Retype password> passwd: password successfully changed for secadmin #
Affectez un mot de passe d'au moins six caractères alphanumériques. Le mot de passe pour le rôle d'administrateur de sécurité, de même que tous les autres mots de passe, doit être difficile à deviner, afin de réduire les risques d'accès non autorisé par un tiers qui tenterait de deviner les mots de passe.
Les rôles suivants sont possibles :
Rôle admin – profil de droits System Administrator
Rôle oper – Profil de droits Operator
Exemple 4-4 Création du rôle d'administrateur de sécurité dans LDAP
Après avoir configuré le premier système avec un rôle d'administrateur de sécurité local, l'administrateur crée le rôle d'administrateur de sécurité dans le référentiel LDAP. Dans ce scénario, les clients LDAP peuvent être administrés par le rôle d'administrateur de sécurité défini dans LDAP.
# roleadd -c "Site Security Officer" -d server1:/rpool/pool1/BayArea/secadmin -u 111 -K profiles="Information Security,User Security" -S ldap \ -K lock_after_retries=no -K audit_flags=lo,ex:no \ -K min_label=ADMIN_LOW -K clearance=ADMIN_HIGH secadmin
L'administrateur fournit un mot de passe initial pour le rôle.
# passwd -r ldap secadmin New Password: <Type password> Re-enter new Password: <Retype password> passwd: password successfully changed for secadmin #
Étapes suivantes
Pour affecter le rôle local à un utilisateur local, reportez-vous à la section Création d'utilisateurs pouvant prendre des rôles dans Trusted Extensions.
Avant de commencer
Vous êtes dans le rôle root dans la zone globale.
# roleadd -c "Local System Administrator" -m -u 111 -K audit_flags=lo,ex:no\ -K profiles="System Administrator" -K lock_after_retries=no \ -K min_label=ADMIN_LOW -K clearance=ADMIN_HIGH sysadmin
# passwd -r files sysadmin New Password: <Type password> Re-enter new Password: <Retype password> passwd: password successfully changed for sysadmin #
Si la stratégie de sécurité du site le permet, vous pouvez choisir de créer un utilisateur pouvant prendre plusieurs rôles d'administration.
Pour sécuriser la création des utilisateurs, le rôle d'administrateur système crée les utilisateurs et assigne le mot de passe initial et le rôle d'administrateur de sécurité affecte les attributs liés à la sécurité tels que les rôles.
Avant de commencer
Vous devez être dans le rôle root dans la zone globale. Ou, si la séparation des tâches est appliquée, les utilisateurs qui peuvent prendre en charge les rôles distincts d'administrateur de sécurité et d'administrateur système doivent être présents pour assumer leurs rôles et effectuer les opérations appropriées dans cette procédure.
Cette opération est effectuée par le rôle root ou le rôle d'administrateur système.
Ne placez pas d'informations propriétaires dans le commentaire.
# useradd -c "Second User" -u 1201 -d /home/jdoe jdoe
Cette opération est effectuée par le rôle root ou le rôle d'administrateur de sécurité.
Remarque - Pour les utilisateurs qui peuvent prendre des rôles, désactivez le verrouillage des comptes et ne définissez pas de date d'expiration du mot de passe. En outre, effectuez un audit des utilisations de la commande pfexec.
# usermod -K lock_after_retries=no -K idletime=5 -K idlecmd=lock \ -K audit_flags=lo,ex:no jdoe
Remarque - Les valeurs de idletime et idlecmd continuent à s'appliquer lorsque l'utilisateur prend un rôle. Pour plus d'informations, reportez-vous à la section Valeurs par défaut du fichier policy.conf dans Trusted Extensions.
# passwd jdoe New Password: Type password Re-enter new Password:Retype password
Remarque - Lorsque l'équipe de configuration initiale choisit un mot de passe, elle doit faire en sorte qu'il soit difficile à deviner, afin de réduire les risques d'accès non autorisé par un tiers qui tenterait de deviner les mots de passe.
Cette opération est effectuée par le rôle root ou le rôle d'administrateur de sécurité.
# usermod -R oper jdoe
Après avoir contrôlé la stratégie de sécurité de votre site, vous pouvez décider d'accorder à vos premiers utilisateurs le profil de droits Convenient Authorization (Autorisations appropriées). Avec ce profil, les utilisateurs peuvent allouer des périphériques, imprimer sans étiquette, se connecter à distance et arrêter le système. Pour créer le profil, reportez-vous à la section Création d'un profil de droits pour des autorisations commodes.
Reportez-vous à la section Personnalisation de l'environnement de l'utilisateur pour en assurer la sécurité (liste des tâches) .
Sur un système multiniveau, les utilisateurs et les rôles peuvent être configurés avec des fichiers qui répertorient les fichiers d'initialisation utilisateur à copier ou lier à d'autres étiquettes. Pour plus d'informations, reportez-vous à la section Fichiers .copy_files et .link_files.
Exemple 4-5 Utilisation de la commande useradd pour créer un utilisateur local
Dans cet exemple, le rôle root crée un utilisateur local pouvant prendre le rôle d'administrateur de sécurité. Pour en savoir plus, reportez-vous aux pages de manuel useradd(1M) et atohexlabel(1M).
Cet utilisateur aura une plage d'étiquettes plus étendue que la plage d'étiquettes par défaut. Ainsi, l'utilisateur root détermine le format hexadécimal de l'étiquette minimale et de l'étiquette d'autorisation de l'utilisateur.
# atohexlabel public 0x0002-08-08 # atohexlabel -c "confidential restricted" 0x0004-08-78
Ensuite, le rôle root doit consulter le Tableau 1-2, puis créer l'utilisateur. L'administrateur place le répertoire personnel de l'utilisateur sous /export/home1 plutôt qu'à l'emplacement par défaut /export/home .
# useradd -c "Local user for Security Admin" -d /export/home1/jandoe \ -K idletime=10 -K idlecmd=logout -K lock_after_retries=no -K min_label=0x0002-08-08 -K clearance=0x0004-08-78 jandoe
Le rôle root fournit alors un mot de passe initial.
# passwd -r files jandoe New Password: <Type password> Re-enter new Password: <Retype password> passwd: password successfully changed for jandoe #
Enfin, le rôle root ajoute le rôle d'administrateur de sécurité à la définition de l'utilisateur. Le rôle a été créé à la section Création du rôle d'administrateur sécurité dans Trusted Extensions.
# usermod -R secadmin jandoe
Pour vérifier chaque rôle, prenez le rôle correspondant. Effectuez ensuite des tâches qui ne peuvent être effectuées que par ce rôle et tentez d'effectuer des tâches que ce rôle n'est pas autorisé à effectuer.
Avant de commencer
Si vous avez configuré DNS ou le routage, vous devez réinitialiser l'ordinateur après avoir créé les rôles et avant de pouvoir vérifier leur fonctionnement.
Dans la bande de confiance ci-après, le nom d'utilisateur est tester.
Pour plus d'informations sur les autorisations requises pour modifier les propriétés d'un utilisateur, reportez-vous à la page de manuel passwd(1).
L'administrateur système doit être en mesure de créer un utilisateur et de modifier les propriétés d'un utilisateur qui nécessitent l'autorisation solaris.user.manage, tels que le shell de connexion de l'utilisateur. L'administrateur système ne doit pas être en mesure de modifier les propriétés d'un utilisateur qui nécessitent l'autorisation solaris.account.setpolicy.
Le rôle d'administrateur de la sécurité doit être en mesure de modifier les propriétés d'un utilisateur qui nécessitent l'autorisation solaris.account.setpolicy. L'administrateur de sécurité ne doit pas être en mesure de créer un utilisateur ou de modifier le shell de connexion d'un utilisateur.
Lorsque le système est réinitialisé, l'association entre les périphériques et le stockage sous-jacent doit être rétablie.
Avant de commencer
Vous avez créé au moins une zone étiquetée. Après avoir configuré le système, vous avez réinitalisé. Vous pouvez prendre le rôle root.
# svcs zones STATE STIME FMRI offline - svc:/system/zones:default
# svcadm restart svc:/system/zones:default
Les utilisateurs standard peuvent désormais se connecter. Leur session se trouve dans une zone étiquetée.