Ignorer les liens de navigation | |
Quitter l'aperu | |
Configuration et administration de Trusted Extensions Oracle Solaris 11.1 Information Library (Français) |
Partie I Configuration initiale de Trusted Extensions
1. Planification de la sécurité pour Trusted Extensions
2. Déroulement de la configuration de Trusted Extensions
3. Ajout de la fonction Trusted Extensions à Oracle Solaris (tâches)
4. Configuration de Trusted Extensions (tâches)
Configuration de la zone globale dans Trusted Extensions
Vérification et installation du fichier Label Encodings
Configuration d'un réseau IPv6 CIPSO dans Trusted Extensions
Configuration d'un autre domaine d'interprétation
Création d'un système Trusted Extensions par défaut
Création interactive de zones étiquetées
Affectation d'étiquettes à deux espaces de travail comportant des zones
Configuration des interfaces réseau dans Trusted Extensions
Partage d'une seule adresse IP entre toutes les zones
Ajout d'une instance d'IP à une zone étiquetée
Ajout d'une interface réseau virtuelle à une zone étiquetée
Connexion d'un système Trusted Extensions à d'autres systèmes Trusted Extensions
Configuration d'un service de noms distinct pour chaque zone étiquetée
Création de rôles et d'utilisateurs dans Trusted Extensions
Création du rôle d'administrateur sécurité dans Trusted Extensions
Création d'un rôle d'administrateur de sécurité
Création d'utilisateurs pouvant prendre des rôles dans Trusted Extensions
Vérification du fonctionnement des rôles Trusted Extensions
Autorisation des utilisateurs à se connecter à une zone étiquetée
Création de répertoires personnels centralisés dans Trusted Extensions
Création du serveur d'annuaires personnel dans Trusted Extensions
Dépannage de votre configuration Trusted Extensions
Déplacement des panneaux du bureau vers le bas de l'écran
Tâches de configuration supplémentaires de Trusted Extensions
Création d'une zone étiquetée secondaire
Création et partage d'un jeu de données multiniveau
Copie de fichiers sur un média amovible dans Trusted Extensions
Copie de fichiers dans Trusted Extensions à partir d'un média amovible
5. Configuration de LDAP pour Trusted Extensions (tâches)
Partie II Administration de Trusted Extensions
6. Concepts d'administration de Trusted Extensions
7. Outils d'administration de Trusted Extensions
8. Exigences de sécurité sur un système Trusted Extensions (présentation)
9. Exécution de tâches courantes dans Trusted Extensions
10. Utilisateurs, droits et rôles dans Trusted Extensions (présentation)
11. Gestion des utilisateurs, des droits et des rôles dans Trusted Extensions (tâches)
12. Administration à distance dans Trusted Extensions (tâches)
13. Gestion des zones dans Trusted Extensions
14. Gestion et montage de fichiers dans Trusted Extensions
15. Gestion de réseaux de confiance (présentation)
16. Gestion des réseaux dans Trusted Extensions (tâches)
17. Trusted Extensions et LDAP (présentation)
18. Messagerie multiniveau dans Trusted Extensions (présentation)
19. Gestion de l'impression étiquetée (tâches)
20. Périphériques dans Trusted Extensions (présentation)
21. Gestion des périphériques pour Trusted Extensions (tâches)
22. Audit de Trusted Extensions (présentation)
23. Gestion des logiciels dans Trusted Extensions
A. Stratégie de sécurité du site
Création et gestion d'une stratégie de sécurité
Stratégie de sécurité du site et Trusted Extensions
Recommandations relatives à la sécurité informatique
Recommandations relatives à la sécurité physique
Recommandations relatives à la sécurité du personnel
Violations de sécurité courantes
Références de sécurité supplémentaires
B. Liste de contrôle de configuration pour Trusted Extensions
Liste de contrôle de configuration de Trusted Extensions
C. Guide de référence rapide pour l'administration de Trusted Extensions
Interfaces d'administration dans Trusted Extensions
Interfaces Oracle Solaris étendues par Trusted Extensions
Renforcement des paramètres de sécurité par défaut dans Trusted Extensions
Options limitées dans Trusted Extensions
D. Liste des pages de manuel Trusted Extensions
Pages de manuel Trusted Extensions par ordre alphabétique
Pages de manuel Oracle Solaris modifiées par Trusted Extensions
Les tâches suivantes peuvent être utiles pour la configuration d'un système Trusted Extensions en fonction de vos besoins. La dernière tâche permet de supprimer la fonction de Trusted Extensions d'un système Oracle Solaris.
|
Les zones étiquetées secondaires permettent d’isoler les services dans différentes zones, tout en autorisant les services à s'exécuter sous la même étiquette. Pour plus d'informations, reportez-vous à la section Zones étiquetées principales et secondaires.
Avant de commencer
La zone principale doit exister. La zone secondaire doit avoir une adresse IP exclusive et ne peut pas demander un bureau.
Vous devez être dans le rôle root dans la zone globale.
Vous pouvez utiliser la ligne de commande ou l'interface graphique de zones étiquetées, txzonemgr.
# tncfg -z secondary-label-service primary=no # tncfg -z secondary-label-service label=public
# txzonemgr &
Accédez à Create a new zone (Créer une nouvelle zone) puis suivez les invites.
Remarque - Le masque de réseau doit être entré dans un format avec préfixe. Par exemple, le masque de réseau 255.255.254.0 requiert le préfixe 23.
# tncfg -z zone info primary primary=no
Exemple 4-6 Création d'une zone pour les scripts publics
Dans cet exemple, l'administrateur isole une zone publique conçue pour exécuter des scripts et des tâches par lots.
# tncfg -z public-scripts primary=no # tncfg -z public-scripts label=public
Les jeux de données multiniveau sont des conteneurs utiles lorsque vous rétrogradez ou mettez à niveau des informations. Pour plus d'informations, reportez-vous à la section Jeux de données multiniveau pour la modification d'étiquette de fichiers. Les jeux de données multiniveau sont également utiles pour que les serveurs de fichiers NFS multiniveau fournissent des fichiers sous un grand nombre d'étiquettes à des clients NFS.
Avant de commencer
Pour créer un jeu de données multiniveau, vous devez être dans le rôle root dans la zone globale.
# zfs create -o mountpoint=/multi -o multilevel=on rpool/multi
rpool/multi est un jeu de données multiniveau monté dans la zone globale dans /multi.
Pour limiter la plage d'étiquettes supérieure du jeu de données, reportez-vous à l'Exemple 4-7.
# getlabel /multi /multi: ADMIN_LOW
Définissez les propriétés ZFS suivantes sur off pour tous les systèmes de fichiers du pool :
# zfs set devices=off rpool/multi # zfs set exec=off rpool/multi # zfs set setuid=off rpool/multi
En règle générale, la compression est définie dans ZFS au niveau du système de fichiers. Toutefois, dans la mesure où tous les systèmes de fichiers présents dans ce pool sont des fichiers de données, la compression est définie au niveau du jeu de données supérieur du pool.
# zfs set compression=on rpool/multi
Reportez-vous également à la section Interactions entre les propriétés de compression, de suppression des doublons et de chiffrement ZFS du manuel Administration d’Oracle Solaris 11.1 : Systèmes de fichiers ZFS.
# cd /multi # mkdir public internal # chmod 777 public internal # setlabel PUBLIC public # setlabel "CNF : INTERNAL" internal
Par exemple, les séries suivantes de commandes zonecfg permettent de monter le jeu de données dans la zone public.
# zonecfg -z public zonecfg:public> add fs zonecfg:public:fs> set dir=/multi zonecfg:public:fs> set special=/multi zonecfg:public:fs> set type=lofs zonecfg:public:fs> end zonecfg:public> exit
Les jeux de données multiniveau autorisent l'écriture de fichiers sous la même étiquette que la zone de montage et de lecture des fichiers de niveau inférieur. L'étiquette des fichiers montés peut être affichée et définie.
# tncfg -z global add mlp_private=2049/tcp # tncfg -z global add mlp_private=111/udp # tncfg -z global add mlp_private=111/tcp
# svcadm restart nfs/server
# share /multi
Les jeux de données multiniveau montés en NFS autorisent l'écriture de fichiers sous la même étiquette que la zone de montage et la lecture des fichiers de niveau inférieur. L'étiquette des fichiers montés ne peut pas être affichée de manière fiable ou définie. Pour plus d'informations, reportez-vous à la section Montage de jeux de données multiniveau provenant d'un autre système.
Exemple 4-7 Création d'un jeu de données multiniveau avec l'étiquette la plus haute sous ADMIN_HIGH
Dans cet exemple, l'administrateur crée un jeu de données multiniveau avec une limite supérieure, ou l'étiquette la plus haute, qui est inférieure à la valeur par défaut, ADMIN_HIGH . À sa création, l'administrateur indique la limite d'étiquette supérieure dans la propriété mslabel. Cette limite supérieure empêche les processus de la zone globale de créer tout fichier ou répertoire dans le jeu de données multiniveau. Seuls les processus de zone étiquetée peuvent créer des répertoires et des fichiers dans le jeu de données. La propriété multilevel étant on, la propriété mlslabel définit la limite supérieure, et non l'étiquette pour un jeu de données à étiquette unique.
# zfs create -o mountpoint=/multiIUO -o multilevel=on \ -o mlslabel="CNF : INTERNAL" rpool/multiIUO
Ensuite, l'administrateur se connecte à chaque zone étiquetée pour créer un répertoire sous cette étiquette dans le jeu de données monté.
# zlogin public # mkdir /multiIUO # chmod 777 /multiIUO # zlogin internal # mkdir /multiIUO # chmod 777 /multiIUO
Les jeux de données multiniveau sont visibles sous l'étiquette de la zone de montage pour les utilisateurs autorisés après la réinitialisation de la zone.
Étapes suivantes
Pour autoriser les utilisateurs à modifier l'étiquetage des fichiers, reportez-vous à la section Octroi de l'autorisation à modifier l'étiquette de fichiers à un utilisateur.
Pour obtenir des instructions sur la modification de l'étiquetage des fichiers, reportez-vous aux sections Mise à niveau de données dans un jeu de données multiniveau du manuel Guide de l’utilisateur Trusted Extensions et Rétrogradation de données dans un jeu de données multiniveau du manuel Guide de l’utilisateur Trusted Extensions.
Lors de la copie sur un média amovible, étiquetez le média avec l'étiquette de sensibilité des informations.
Remarque - Pendant la configuration de Trusted Extensions, le rôle root peut utiliser des médias amovibles pour transférer les fichiers label_encodings à tous les systèmes. Etiquetez le média avec Trusted Path.
Avant de commencer
Pour copier les fichiers d'administration, vous devez être dans le rôle root dans la zone globale.
Utilisez le gestionnaire de périphériques (Device Manager) et insérez un média vierge. Pour plus d'informations, reportez-vous à la section Allocation d’un périphérique dans Trusted Extensions du manuel Guide de l’utilisateur Trusted Extensions.
Le navigateur de fichiers affiche le contenu du média vierge.
Pour plus d'informations, reportez-vous à la section Libération d’un périphérique dans Trusted Extensions du manuel Guide de l’utilisateur Trusted Extensions.
Remarque - N'oubliez pas de placer physiquement sur le média une étiquette indiquant le niveau de sensibilité des fichiers copiés.
Exemple 4-8 Conservation de fichiers de configuration identiques sur tous les systèmes
L'administrateur système souhaite s'assurer que tous les systèmes sont configurés avec les mêmes paramètres. Par conséquent, il crée sur le premier système configuré un répertoire qui ne peut pas être supprimé entre les réinitialisations. Dans ce répertoire, l'administrateur place les fichiers qui doivent être identiques ou très similaires sur tous les systèmes.
Par exemple, l'administrateur modifie le fichier policy.conf ainsi que les fichiers login et passwd pour ce site. L'administrateur copie donc les fichiers suivants dans le répertoire permanent.
# mkdir /export/commonfiles # cp /etc/security/policy.conf \ # cp /etc/default/login \ # cp /etc/default/passwd \ # cp /etc/security/tsol/label_encodings \ /export/commonfiles
L'administrateur utilise le gestionnaire de périphériques (Device Manager) pour allouer un CD-ROM dans la zone globale, transfère les fichiers vers le CD, et appose une étiquette Trusted Path.
Il est recommandé de renommer le fichier Trusted Extensions original avant de le remplacer. Lors de la configuration d'un système, le rôle root renomme et copie les fichiers d'administration.
Avant de commencer
Pour copier les fichiers d'administration, vous devez être dans le rôle root dans la zone globale.
Pour plus d'informations, reportez-vous à la section Allocation d’un périphérique dans Trusted Extensions du manuel Guide de l’utilisateur Trusted Extensions.
Le navigateur de fichiers affiche le contenu.
Par exemple, ajoutez .orig à la fin du fichier d'origine :
# cp /etc/security/tsol/label_encodings /etc/security/tsol/label_encodings.orig
Pour plus d'informations, reportez-vous à la section Libération d’un périphérique dans Trusted Extensions du manuel Guide de l’utilisateur Trusted Extensions.
Vous devez effectuer des étapes spécifiques pour supprimer la fonction Trusted Extensions d'un système Oracle Solaris.
Avant de commencer
Vous êtes dans le rôle root dans la zone globale.
Si vous utilisez des médias amovibles, fixez une étiquette physique indiquant l'étiquette de sensibilité de la zone sur chaque zone archivée.
Pour plus d'informations, reportez-vous à la section Suppression d’une zone non globale du manuel Administration d’Oracle Solaris 11.1 : Oracle Solaris Zones, Oracle Solaris 10 Zones et gestion des ressources.
# svcadm disable labeld
La configuration de différents services peut être nécessaire pour votre système Oracle Solaris. Peuvent être concernés par exemple la configuration réseau de base, les services de noms et le montage de systèmes de fichiers.