Dans la configuration par défaut, les services d'entrée ssh et telnet sont traités par le nom de service other. Le fichier de configuration PAM dans cette procédure modifie les conditions requises pour ssh et telnet.
Avant de commencer
Vous devez prendre le rôle root. Pour plus d'informations, reportez-vous à la section A l’aide de vos droits administratifs attribués du manuel Sécurisation des utilisateurs et des processus dans Oracle Solaris 11.2 .
Utilisez la commande pfedit pour créer le fichier. Placez le fichier dans un répertoire de configuration de site tel que/opt. Vous pouvez également le placer dans le répertoire /etc/security/pam_policy.
Inclure des commentaires explicatifs dans le fichier.
# pfedit /opt/local_pam/ssh-telnet-conf # # PAM configuration which uses UNIX authentication for console logins, # (see pam.d/login), and LDAP for SSH keyboard-interactive logins # This stack explicitly denies telnet logins. # sshd-kbdint auth requisite pam_authtok_get.so.1 sshd-kbdint auth binding pam_unix_auth.so.1 server_policy sshd-kbdint auth required pam_unix_cred.so.1 sshd-kbdint auth required pam_ldap.so.1 # telnet auth requisite pam_deny.so.1 telnet account requisite pam_deny.so.1 telnet session requisite pam_deny.so.1 telnet password requisite pam_deny.so.1
Protégez le fichier avec l'appartenance root et les autorisations 444.
# ls -l /opt/local_pam total 5 -r--r--r-- 1 root 4570 Jun 21 12:08 ssh-telnet-conf
Reportez-vous à la section Assignation d'une stratégie PAM modifiée.
Par défaut, le module zfs_pam_key ne se trouve pas dans le fichier /etc/security/pam_policy/unix. Dans cet exemple, l'administrateur crée une version de la stratégie PAM par utilisateur unix, puis utilise la nouvelle version pour créer les utilisateurs dont les répertoires personnels sont chiffrés.
# cp /etc/security/pam_policy/unix /opt/local_pam/unix-encrypt # pfedit /opt/local_pam/unix-encrypt.conf ... other auth required pam_unix_auth.so.1 other auth required pam_unix_cred.so.1 ## pam_zfs_key auto-creates an encrypted home directory ## other auth required pam_zfs_key.so.1 create
Fichier l'administrateur utilisant cette stratégie lors de l'ajout d'utilisateurs. Notez que le chiffrement ne peut pas être ajouté à un système de fichiers. Le système de fichiers doit être créé avec le chiffrement activé. Pour plus d'informations, reportez-vous à zfs_encrypt(1M).
L'administrateur crée un utilisateurs et assigne un mot de passe.
# useradd -K pam_policy=/opt/local_pam/unix-encrypt.conf jill # passwd jill New Password: xxxxxxxx Re-enter new Password: xxxxxxxx passwd: password successfully changed for jill
Ensuite, l'administrateur crée le répertoire personnel chiffré en vous connectant en tant que l'utilisateur.
# su - jill Password: xxxxxxxx Creating home directory with encryption=on. Your login password will be used as the wrapping key. Oracle Corporation SunOS 5.11 11.2 July 2014 # logout
Pour les options au module de service ZFS, reportez-vous à la page de manuel pam_zfs_key(5).
Enfin, l'administrateur vérifie que le nouveau répertoire d'origine Oracle Home est codée d'un système de fichiers.
# mount -p | grep ~jill rpool/export/home/jill - /export/home/jill zfs - no rw,devices,setuid,nonbmand,exec,rstchown,xattr,atime # zfs get encryption,keysource rpool/export/home/jill NAME PROPERTY VALUE SOURCE rpool/export/home/jill encryption on local rpool/export/home/jill keysource passphrase,prompt local