Cette section contient des informations sur les mécanismes de sécurité mis en oeuvre dans Oracle Solaris Cluster.
Une installation sécurisée utilise les fonctions de sécurité critiques suivantes :
Contrôle d'accès basé sur les rôles (RBAC) – Utilisez les autorisations RBAC solaris.cluster.modify, solaris.cluster.admin et solaris.cluster.read pour accéder au cluster. Vous devez vous connecter en tant qu'administrateur disposant du profil de droits User Security (sécurité des utilisateurs) pour modifier la plupart des attributs de sécurité d'un rôle. Pour plus d'informations, reportez-vous à la section Gestion de l’utilisation des droits du manuel Sécurisation des utilisateurs et des processus dans Oracle Solaris 11.3 et à la section Profils de droits RBAC Oracle Solaris Cluster du manuel Guide d’administration système d’Oracle Solaris Cluster 4.3 .
Nouveaux noeuds – Utilisez la commande claccess ou l'utilitaire clsetup avec les privilèges appropriés pour ajouter un noeud à un cluster. Pour plus d'informations, reportez-vous au Chapitre 8, Administration des noeuds du cluster du manuel Guide d’administration système d’Oracle Solaris Cluster 4.3 .
Le paramétrage par défaut du statut d'accès est claccess deny-all. Ne modifiez ce paramétrage que pour effectuer une opération nécessitant des privilèges, telle que l'ajout d'un noeud. Une fois l'opération effectuée, rétablissez le statut deny-all. Si vous envisagez de modifier fréquemment les configurations de cluster, assurez-vous que les nouveaux systèmes sont dignes de confiance. Pour ce faire, sélectionnez un protocole d'authentification plus sécurisé à l'aide de la commande /usr/cluster/bin/claccess -p protocol=authentication-protocol. Pour plus d'informations, reportez-vous à la page de manuel claccess(1CL) et au Chapitre 10, Configuration des services réseau d’authentification du manuel Gestion de Kerberos et d’autres services d’authentification dans Oracle Solaris 11.3 .
Trusted Extensions – La fonctionnalité Oracle Solaris Trusted Extensions peut être activée dans un cluster de zones. Pour plus d'informations, reportez-vous à la section Directives pour Trusted Extensions dans un cluster de zones du manuel Guide d’installation du logiciel Oracle Solaris Cluster 4.3 et à la section Installation et configuration de Trusted Extensions du manuel Guide d’installation du logiciel Oracle Solaris Cluster 4.3 .
Clusters de zones – Un cluster de zones est constitué d'une ou plusieurs zones non globales de marque solaris, solaris10 ou labeled, définies avec l'attribut cluster. Un cluster de zones de marque labeled peut uniquement être utilisé avec la fonction Trusted Extensions du logiciel Oracle Solaris.
Créez un cluster de zones à l'aide de la commande clzonecluster ou de l'utilitaire clsetup. Vous pouvez exécuter les services pris en charge sur le cluster de zones similaire à un cluster global, avec l'isolement fourni par les zones Oracle Solaris. Pour plus d'informations, consultez Création et configuration d’un cluster de zones du manuel Guide d’installation du logiciel Oracle Solaris Cluster 4.3 et à la section Fonctionnement d’un cluster de zones du manuel Guide d’administration système d’Oracle Solaris Cluster 4.3 .
Connexions sécurisées aux consoles de cluster – Vous devez établir des connexions de shell sécurisé aux consoles des noeuds de cluster. Pour plus d'informations sur l'utilitaire pconsole, consultez Etablissement d’une connexion sécurisée aux consoles du cluster du manuel Guide d’administration système d’Oracle Solaris Cluster 4.3 .
Conteneur d'agents communs – L'interface graphique d'Oracle Solaris Cluster Manager met en oeuvre des techniques de cryptage renforcées pour garantir la communication sécurisée entre les piles de gestion Oracle Solaris Cluster sur chaque noeud d'un cluster. Pour plus d'informations, consultez Dépannage d’Oracle Solaris Cluster Manager du manuel Guide d’administration système d’Oracle Solaris Cluster 4.3 .
Journalisation – Le logiciel Oracle Solaris Cluster fait appel à la commande syslogd pour consigner les messages d'erreur et de statut. Pour contrôler l'emplacement de stockage des messages, configurez le fichier /etc/syslog.conf. Il est également conseillé de protéger les fichiers journaux, par exemple /var/adm/messages. Pour plus d'informations, consultez Administration du cluster du manuel Guide d’administration système d’Oracle Solaris Cluster 4.3 .
Audit – Il est activé par défaut dans Oracle Solaris Cluster, comme dans le système d'exploitation Oracle Solaris. La fonction d'audit enregistre toutes les commandes exécutées dans le fichier /var/cluster/logs/commandlog, qui doit être protégé comme il se doit. Pour plus d'informations, consultez Affichage du contenu des journaux de commande d’Oracle Solaris Cluster du manuel Guide d’administration système d’Oracle Solaris Cluster 4.3 .
Sécurisation du système d'exploitation Oracle Solaris – Oracle Solaris Cluster met en oeuvre les techniques de sécurisation pour reconfigurer le système d'exploitation Oracle Solaris à l'état sécurisé. Il peut également activer l'audit du système Oracle Solaris.