| Ignorer les liens de navigation | |
| Quitter l'aperu | |
|
Configuration et administration de Trusted Extensions Oracle Solaris 11.1 Information Library (Français) |
| Ignorer les liens de navigation | |
| Quitter l'aperu | |
|
|
Configuration et administration de Trusted Extensions Oracle Solaris 11.1 Information Library (Français) |
Partie I Configuration initiale de Trusted Extensions
1. Planification de la sécurité pour Trusted Extensions
2. Déroulement de la configuration de Trusted Extensions
3. Ajout de la fonction Trusted Extensions à Oracle Solaris (tâches)
4. Configuration de Trusted Extensions (tâches)
5. Configuration de LDAP pour Trusted Extensions (tâches)
Partie II Administration de Trusted Extensions
6. Concepts d'administration de Trusted Extensions
7. Outils d'administration de Trusted Extensions
8. Exigences de sécurité sur un système Trusted Extensions (présentation)
9. Exécution de tâches courantes dans Trusted Extensions
10. Utilisateurs, droits et rôles dans Trusted Extensions (présentation)
11. Gestion des utilisateurs, des droits et des rôles dans Trusted Extensions (tâches)
12. Administration à distance dans Trusted Extensions (tâches)
13. Gestion des zones dans Trusted Extensions
14. Gestion et montage de fichiers dans Trusted Extensions
Possibilités de montage dans Trusted Extensions
Stratégies Trusted Extensions pour les systèmes de fichiers montés
Stratégies Trusted Extensions pour les jeux de données à niveau unique
Stratégie Trusted Extensions pour les jeux de données multiniveau
Aucun remplacement de privilège pour la stratégie de lecture-écriture du contrôle MAC
Résultats du partage et du montage de systèmes de fichiers dans Trusted Extensions
Partage et montage de fichiers dans la zone globale
Partage et montage de fichiers dans la zone étiquetée
Propriété mlslabel et montage de systèmes de fichiers à niveau unique
Jeux de données multiniveau pour la modification d'étiquette de fichiers
Montage de jeux de données multiniveau provenant d'un autre système
Configuration du client et du serveur NFS dans Trusted Extensions
Création de répertoires personnels dans Trusted Extensions
Modifications apportées à l'agent de montage automatique dans Trusted Extensions
Logiciel Trusted Extensions et versions du protocole NFS
Sauvegarde, partage et montage de fichiers étiquetés (liste des tâches)
Sauvegarde de fichiers dans Trusted Extensions
Restauration de fichiers dans Trusted Extensions
Partage de systèmes de fichiers à partir d'une zone étiquetée
Montage NFS de fichiers dans une zone étiquetée
Dépannage des échecs de montage dans Trusted Extensions
15. Gestion de réseaux de confiance (présentation)
16. Gestion des réseaux dans Trusted Extensions (tâches)
17. Trusted Extensions et LDAP (présentation)
18. Messagerie multiniveau dans Trusted Extensions (présentation)
19. Gestion de l'impression étiquetée (tâches)
20. Périphériques dans Trusted Extensions (présentation)
21. Gestion des périphériques pour Trusted Extensions (tâches)
22. Audit de Trusted Extensions (présentation)
23. Gestion des logiciels dans Trusted Extensions
A. Stratégie de sécurité du site
Création et gestion d'une stratégie de sécurité
Stratégie de sécurité du site et Trusted Extensions
Recommandations relatives à la sécurité informatique
Recommandations relatives à la sécurité physique
Recommandations relatives à la sécurité du personnel
Violations de sécurité courantes
Références de sécurité supplémentaires
B. Liste de contrôle de configuration pour Trusted Extensions
Liste de contrôle de configuration de Trusted Extensions
C. Guide de référence rapide pour l'administration de Trusted Extensions
Interfaces d'administration dans Trusted Extensions
Interfaces Oracle Solaris étendues par Trusted Extensions
Renforcement des paramètres de sécurité par défaut dans Trusted Extensions
Options limitées dans Trusted Extensions
D. Liste des pages de manuel Trusted Extensions
Pages de manuel Trusted Extensions par ordre alphabétique
Pages de manuel Oracle Solaris modifiées par Trusted Extensions
Dans Trusted Extensions, les fichiers partagés peuvent faciliter l'administration, et fournir efficacité et rapidité. MAC est toujours en vigueur.
Partager des jeux de données à niveau unique à partir d'une zone étiquetée sur un système NFS : comme dans Oracle Solaris, les répertoires partagés facilitent l'administration. Par exemple, vous pouvez installer les pages de manuel pour Oracle Solaris sur un seul système et partager le répertoire de page de manuel avec d'autres systèmes.
Partager des jeux de données multiniveau à partir de la zone globale sur un système LOFS : les jeux de données montés en LOFS fournissent efficacité et vitesse lors du déplacement de fichiers d'une étiquette à une autre. Les fichiers sont déplacés dans le jeu de données, aucune opération d'e/s n'est utilisée.
Partager des jeux de données multiniveau à partir de la zone globale sur un système NFS : un serveur NFS peut partager un jeu de données multiniveau qui contient les fichiers sous plusieurs étiquettes pour plusieurs clients. Une telle configuration facilite l'administration et fournit un seul emplacement pour la distribution de fichiers. Vous n'avez pas besoin d'un serveur sous une étiquette particulière pour servir les clients sous cette étiquette.
Le montage de fichiers dans la zone globale est identique au montage de fichiers dans Oracle Solaris, soumis à la stratégie MAC. Les fichiers partagés à partir de la zone globale sont partagés sous l'étiquette du fichier. Par conséquent, les systèmes de fichiers d'une zone globale ne sont pas partagés de façon utile avec les zones globales d'autres systèmes Trusted Extensions car tous les fichiers sont partagés sous l'étiquette ADMIN_LOW. Les fichiers que la zone globale partage de manière utile avec d'autres systèmes sont des jeux de données multiniveau.
Les fichiers et les dossiers d'un jeu de données à niveau unique qui sont partagés sur le système LOFS à partir de la zone globale sont partagés sous ADMIN_LOW. Par exemple, les fichiers /etc/passwd et /etc/shadow de la zone globale peuvent être montés en LOFS dans les zones étiquetées sur le système. Dans la mesure où les fichiers sont ADMIN_LOW, ils sont visibles et accessibles en lecture seule dans les zones étiquetées. Les fichiers et les répertoires des jeux de données multiniveau sont partagés sous l'étiquette de l'objet.
La zone globale peut également partager des jeux de données multiniveau sur NFS. Un client peut demander de monter le jeu de données lorsque le service NFS est configuré pour utiliser des ports multiniveau. La demande réussit lorsque l'étiquette du client est comprise dans la plage d'étiquettes spécifiée dans le modèle cipso de l'interface réseau qui gère la demande de montage NFS du client.
En particulier, le comportement des zones globales et des fichiers montés est le suivant :
Dans la zone globale sur les clients Trusted Extensions, la totalité du partage est accessible en lecture et les clients peuvent écrire sous ADMIN_HIGH, tous comme les processus de la zone globale peuvent le faire.
Lorsque le client est une zone étiquetée, les fichiers montés sont en lecture/écriture lorsque l'étiquette de la zone correspond à l'étiquette du fichier partagé.
Lorsque le client est un système sans étiquette, les fichiers montés sont en lecture/écriture lorsque l'étiquette assignée du client correspond à l'étiquette du fichier partagé.
Les clients sous l'étiquette ADMIN_LOW ne peuvent pas monter le jeu de données.
Pour partager des jeux de données multiniveau avec des zones étiquetées sur le même système, la zone globale peut utiliser le système LOFS.
Pour plus d'informations sur la visualisation et la modification de l'étiquette de fichiers sur un montage NFS, reportez-vous à la section Montage de jeux de données multiniveau provenant d'un autre système.
Une zone étiquetée peut partager ses fichiers avec d'autres systèmes sous l'étiquette de la zone. Par conséquent, les systèmes de fichiers d'une zone étiquetée peuvent être partagés avec des zones sous la même étiquette sur des systèmes Trusted Extensions, et avec d'autres systèmes non sécurisés auxquels une étiquette identique à celle de la zone est assignée. Pour plus d'informations sur la propriété ZFS qui sert d'intermédiaire à ces montages, reportez-vous à la section Propriété mlslabel et montage de systèmes de fichiers à niveau unique.
Les montages LOFS de la zone globale dans une zone étiquetée sont en lecture seule pour les jeux de données à niveau unique. Pour les jeux de données multiniveau, la stratégie MAC est appliquée par étiquette de fichier et de répertoire, comme décrit dans la section Aucun remplacement de privilège pour la stratégie de lecture-écriture du contrôle MAC.
ZFS fournit un attribut d'étiquette de sécurité, mlslabel, contenant l'étiquette des données dans le jeu de données. La propriété mlslabel peut être héritée. Lorsqu'un jeu de données ZFS dispose d'une étiquette explicite, le jeu de données ne peut pas être monté sur un système Oracle Solaris qui n'est pas configuré avec Trusted Extensions.
Si la propriété mlslabel n'est pas définie, elle est définie par défaut sur la chaîne none, ce qui indique qu'il n'y a aucune étiquette.
Lorsque vous montez un jeu de données ZFS dans une zone étiquetée, les opérations suivantes se produisent :
Si le jeu de données n'est pas étiqueté, c'est-à-dire si la propriété mlslabel n'est pas définie, la valeur de la propriété mlslabel est modifiée sur l'étiquette de la zone de montage.
Pour la zone globale, la propriété mlslabel n'est pas définie automatiquement. Si vous avez explicitement étiqueté le jeu de données admin_low, le jeu de données doit être monté en lecture seule.
Si le jeu de données est étiqueté, le noyau vérifie que l'étiquette du jeu de données correspond à celle de la zone montage. Si les étiquettes ne correspondent pas, le montage échoue, sauf si la zone autorise les montages "read-down". Lorsque la zone autorise les montages "read-down", les systèmes de fichiers de niveau inférieur sont montés en lecture seule.
Pour définir la propriété mlslabel à partir de la ligne de commande, saisissez quelque chose de semblable à ce qui suit :
# zfs set mlslabel=public export/publicinfo
Le privilège file_upgrade_sl est requis pour définir une étiquette initiale ou pour modifier une étiquette non définie par défaut sur une étiquette de niveau supérieur. Le privilège file_downgrade_sl est nécessaire pour supprimer une étiquette, c'est-à-dire, pour définir l'étiquette sur none. Ce privilège est également requis pour modifier une étiquette non définie par défaut sur une étiquette de niveau inférieur.
|