administration d'oracle solaris 11.1 : services de sécurité · 2014. 3. 5. · tabledesmatières...

Administration d'Oracle® Solaris 11.1 :Services de sécurité

Référence : E36667–03Février 2014

Copyright © 2002, 2014, Oracle et/ou ses affiliés. Tous droits réservés.

Ce logiciel et la documentation qui l'accompagne sont protégés par les lois sur la propriété intellectuelle. Ils sont concédés sous licence et soumis à des restrictionsd'utilisation et de divulgation. Sauf disposition expresse de votre contrat de licence ou de la loi, vous ne pouvez pas copier, reproduire, traduire, diffuser, modifier,accorder de licence, transmettre, distribuer, exposer, exécuter, publier ou afficher le logiciel, même partiellement, sous quelque forme et par quelque procédé que cesoit. Par ailleurs, il est interdit de procéder à toute ingénierie inverse du logiciel, de le désassembler ou de le décompiler, excepté à des fins d'interopérabilité avec deslogiciels tiers ou tel que prescrit par la loi.

Les informations fournies dans ce document sont susceptibles de modification sans préavis. Par ailleurs, Oracle Corporation ne garantit pas qu'elles soient exemptesd'erreurs et vous invite, le cas échéant, à lui en faire part par écrit.

Si ce logiciel, ou la documentation qui l'accompagne, est livré sous licence au Gouvernement des Etats-Unis, ou à quiconque qui aurait souscrit la licence de celogiciel ou l'utilise pour le compte du Gouvernement des Etats-Unis, la notice suivante s'applique :

U.S. GOVERNMENT END USERS:

Oracle programs, including any operating system, integrated software, any programs installed on the hardware, and/or documentation, delivered to U.S.Government end users are "commercial computer software" pursuant to the applicable Federal Acquisition Regulation and agency-specific supplementalregulations. As such, use, duplication, disclosure, modification, and adaptation of the programs, including any operating system, integrated software, any programsinstalled on the hardware, and/or documentation, shall be subject to license terms and license restrictions applicable to the programs. No other rights are granted tothe U.S. Government.

Ce logiciel ou matériel a été développé pour un usage général dans le cadre d'applications de gestion des informations. Ce logiciel ou matériel n'est pas conçu ni n'estdestiné à être utilisé dans des applications à risque, notamment dans des applications pouvant causer un risque de dommages corporels. Si vous utilisez ce logiciel oumatériel dans le cadre d'applications dangereuses, il est de votre responsabilité de prendre toutes les mesures de secours, de sauvegarde, de redondance et autresmesures nécessaires à son utilisation dans des conditions optimales de sécurité. Oracle Corporation et ses affiliés déclinent toute responsabilité quant aux dommagescausés par l'utilisation de ce logiciel ou matériel pour des applications dangereuses.

Oracle et Java sont des marques déposées d'Oracle Corporation et/ou de ses affiliés. Tout autre nom mentionné peut correspondre à des marques appartenant àd'autres propriétaires qu'Oracle.

Intel et Intel Xeon sont des marques ou des marques déposées d'Intel Corporation. Toutes les marques SPARC sont utilisées sous licence et sont des marques ou desmarques déposées de SPARC International, Inc. AMD, Opteron, le logo AMD et le logo AMD Opteron sont des marques ou des marques déposées d'AdvancedMicro Devices. UNIX est une marque déposée de The Open Group.

Ce logiciel ou matériel et la documentation qui l'accompagne peuvent fournir des informations ou des liens donnant accès à des contenus, des produits et des servicesémanant de tiers. Oracle Corporation et ses affiliés déclinent toute responsabilité ou garantie expresse quant aux contenus, produits ou services émanant de tiers. Enaucun cas, Oracle Corporation et ses affiliés ne sauraient être tenus pour responsables des pertes subies, des coûts occasionnés ou des dommages causés par l'accès àdes contenus, produits ou services tiers, ou à leur utilisation.

140305@25097

Table des matières

Préface ...................................................................................................................................................23

Partie I Présentation de la sécurité ................................................................................................................ 25

1 Services de sécurité (présentation) ..................................................................................................27Sécurité du système ............................................................................................................................. 28Services cryptographiques .................................................................................................................. 29Services d'authentification .................................................................................................................. 30Authentification avec chiffrement ..................................................................................................... 31Audit ..................................................................................................................................................... 31Stratégie de sécurité ............................................................................................................................. 31

Partie II Sécurité du système, des fichiers et des périphériques ................................................................33

2 Gestion de la sécurité de la machine (présentation) ..................................................................... 35Contrôle de l'accès à un système informatique ................................................................................ 35

Maintenance de la sécurité physique ......................................................................................... 35Gestion du contrôle de connexion ............................................................................................. 36

Contrôle de l'accès aux périphériques ............................................................................................... 41Stratégie de périphériques (présentation) ................................................................................. 42Allocation des périphériques (présentation) ............................................................................ 42

Contrôle de l'accès aux ressources de la machine ............................................................................ 43Randomisation du format d'espace d'adressage ....................................................................... 43Limitation et contrôle de l'accès superutilisateur ..................................................................... 44Configuration du contrôle d'accès basé sur les rôles pour remplacer le superutilisateur .... 44Prévention des mauvaises utilisations involontaires des ressources système ....................... 44Restriction des fichiers exécutables setuid .............................................................................. 46

3

Utilisation de la configuration Secure by Default .................................................................... 46Utilisation des fonctions de gestion des ressources ................................................................. 47Utilisation des zones Oracle Solaris ........................................................................................... 47Surveillance de l'utilisation des ressources de la machine ....................................................... 47Surveillance de l'intégrité des fichiers ........................................................................................ 48

Contrôle de l'accès aux fichiers .......................................................................................................... 48Protection des fichiers par chiffrement ..................................................................................... 48Utilisation des listes de contrôle d'accès .................................................................................... 49Partage de fichiers entre des machines ...................................................................................... 49Restriction de l'accès root aux fichiers partagés ...................................................................... 50

Contrôle de l'accès réseau ................................................................................................................... 50Mécanismes de sécurité réseau ................................................................................................... 50Authentification et autorisation pour l'accès à distance .......................................................... 51Systèmes pare-feu ........................................................................................................................ 53Chiffrement et systèmes pare-feu ............................................................................................... 54

Génération de rapports sur les problèmes de sécurité .................................................................... 54

3 Contrôle de l'accès aux systèmes (tâches) ....................................................................................... 55Sécurisation des connexions et des mots de passe (tâches) ............................................................ 55

Sécurisation des connexions et des mots de passe (liste des tâches) ...................................... 55▼ Modification du mot de passe root ........................................................................................... 56▼ Affichage de l'état de connexion d'un utilisateur ...................................................................... 57▼ Affichage des utilisateurs sans mots de passe ............................................................................ 58▼ Désactivation temporaire des connexions utilisateur ............................................................. 58

A propos des connexions ayant échoué ..................................................................................... 59Modification de l'algorithme par défaut pour le chiffrement de mot de passe (tâches) .............. 59

▼ Spécification d'un algorithme de chiffrement de mot de passe .............................................. 59▼ Spécification d'un nouvel algorithme de mot de passe pour un domaine NIS ..................... 60▼ Spécification d'un nouvel algorithme de mot de passe pour un domaine LDAP ................. 61

Contrôle et restriction de l'accès root (tâches) ................................................................................ 62▼ Contrôle des utilisateurs de la commande su ........................................................................... 62▼ Restriction et contrôle des connexions root ............................................................................ 63

Contrôle de l'accès au matériel du système (tâches) ........................................................................ 64▼ Spécification d'un mot de passe obligatoire pour l'accès au matériel SPARC ....................... 65▼ Désactivation de la séquence d'abandon d'un système ............................................................ 65

Table des matières

Administration d'Oracle Solaris 11.1 : Services de sécurité • Février 20144

4 Service d'analyse antivirus (tâches) .................................................................................................67A propos de l'analyse antivirus .......................................................................................................... 67A propos du service Vscan ................................................................................................................. 68Utilisation du service Vscan (tâches) ................................................................................................ 69

▼ Activation de l'analyse antivirus sur un système de fichiers .................................................... 69▼ Activation du service vscan ......................................................................................................... 70▼ Ajout d'un moteur d'analyse ....................................................................................................... 70▼ Affichage des propriétés vscan ................................................................................................... 70▼ Modification des propriétés vscan ............................................................................................. 71▼ Exclusion de fichiers des analyses antivirus .............................................................................. 72

5 Contrôle de l'accès aux périphériques (tâches) .............................................................................. 73Configuration de la stratégie de périphériques (tâches) ................................................................. 73

Configuration de la stratégie de périphériques (liste des tâches) ........................................... 73▼ Affichage de la stratégie de périphériques ................................................................................. 74▼ Audit des modifications apportées à la stratégie de périphériques ........................................ 74▼ Récupération d'informations IP MIB-II à partir d'un périphérique /dev/* ........................ 75

Gestion de l'allocation de périphériques (tâches) ............................................................................ 75Gestion de l'allocation des périphériques (liste des tâches) .................................................... 75

▼ Activation de l'allocation de périphériques ............................................................................... 76▼ Autorisation des utilisateurs à allouer un périphérique .......................................................... 77▼ Affichage d'informations d'allocation sur un périphérique .................................................... 77▼ Allocation forcée d'un périphérique .......................................................................................... 78▼ Libération forcée d'un périphérique .......................................................................................... 79▼ Modification des périphériques pouvant être alloués .............................................................. 79▼ Audit de l'allocation de périphériques ....................................................................................... 80

Allocation de périphériques (tâches) ................................................................................................ 81▼ Allocation des périphériques ...................................................................................................... 81▼ Montage d'un périphérique alloué ............................................................................................. 82▼ Libération des périphériques ...................................................................................................... 83

Protection de périphériques (référence) ........................................................................................... 84Commandes de la stratégie de périphériques ........................................................................... 84Allocation de périphériques ....................................................................................................... 85

Table des matières

5

6 Vérification de l'intégrité des fichiers à l'aide de BART (tâches) ..................................................93BART (présentation) ........................................................................................................................... 93

Fonctionnalités BART ................................................................................................................. 93Composants BART ...................................................................................................................... 94

Utilisation de BART (tâches) ............................................................................................................. 96Considérations de sécurité BART .............................................................................................. 96Utilisation de BART (liste des tâches) ....................................................................................... 96

▼ Création d'un manifeste de contrôle .......................................................................................... 96▼ Personnalisation d'un manifeste ................................................................................................ 99▼ Comparaison des manifestes pour le même système dans le temps .................................... 100▼ Comparaison de manifestes de différents systèmes ............................................................... 102▼ Personnalisation d'un rapport BART en spécifiant des attributs de fichiers ....................... 104▼ Personnalisation d'un rapport BART en utilisant un fichier de règles ................................ 104

Manifestes BART, fichiers de règles et rapports (référence) ........................................................ 106Format de fichier manifeste BART .......................................................................................... 106Format de fichier de règles BART ............................................................................................ 107Génération de rapports BART .................................................................................................. 108

7 Contrôle de l'accès aux fichiers (tâches) ........................................................................................ 111Utilisation des autorisations UNIX pour protéger les fichiers ..................................................... 111

Commandes d'affichage et de sécurisation des fichiers ......................................................... 111Propriété des fichiers et des répertoires ................................................................................... 112Autorisations des fichiers UNIX .............................................................................................. 113Autorisations de fichiers spéciales (setuid, setgid et sticky bit) ........................................ 113Valeur umask par défaut ............................................................................................................ 115Modes d'autorisation de fichier ................................................................................................ 116

Utilisation des ACL pour protéger les fichiers UFS ....................................................................... 118Protection contre les problèmes de sécurité causés par les fichiers exécutables ........................ 119Protection des fichiers (tâches) ........................................................................................................ 120

Protection des fichiers avec des autorisations UNIX (liste des tâches) ................................ 120▼ Affichage des informations de fichier ...................................................................................... 120▼ Modification du propriétaire d'un fichier ............................................................................... 121▼ Modification de la propriété de groupe d'un fichier .............................................................. 122▼ Modification des autorisations de fichier en mode symbolique ........................................... 123▼ Modification des autorisations de fichier en mode absolu .................................................... 124

Table des matières


▼ Modification des autorisations de fichier spéciales en mode absolu .................................... 125Protection contre les programmes présentant des risques de sécurité (liste des tâches) ... 126

▼ Recherche de fichiers avec des autorisations de fichier spéciales ......................................... 126▼ Désactivation de l'utilisation de piles exécutables par les programmes .............................. 128

Partie III Rôles, profils de droits et privilèges ............................................................................................... 129

8 Utilisation des rôles et des privilèges (présentation) ................................................................. 131Contrôle d'accès basé sur les rôles (présentation) ......................................................................... 131

RBAC : la solution de substitution au modèle superutilisateur ............................................ 131Eléments et concepts de base RBAC ........................................................................................ 135Escalade des privilèges ............................................................................................................... 138Autorisations RBAC .................................................................................................................. 138Autorisations et privilèges ......................................................................................................... 139Applications privilégiées et RBAC ........................................................................................... 139Profils de droits RBAC ............................................................................................................... 141Rôles RBAC ................................................................................................................................. 141Shells de profil et RBAC ............................................................................................................. 142Champ d'application du service de noms et RBAC ................................................................ 143Considérations relatives à la sécurité lors de l'affectation directe d'attributs de sécurité .. 143Considérations relatives à l'utilisation lors de l'affectation directe d'attributs de sécurité 144

Privilèges (présentation) ................................................................................................................... 144Protection des processus noyau par les privilèges .................................................................. 144Descriptions des privilèges ....................................................................................................... 146Différences administratives sur un système disposant de privilèges ................................... 146Privilèges et ressources du système .......................................................................................... 148Mise en oeuvre des privilèges ................................................................................................... 148Comment les processus obtiennent des privilèges ................................................................. 150Affectation de privilèges ............................................................................................................ 150Privilèges et périphériques ........................................................................................................ 152Privilèges et débogage ................................................................................................................ 153

A propos de RBAC dans cette version ............................................................................................. 153

Table des matières

7

9 Utilisation du contrôle d'accès basé sur les rôles (tâches) ..........................................................155Utilisation de RBAC (tâches) ........................................................................................................... 155Affichage et utilisation des valeurs par défaut RBAC (tâches) ..................................................... 156

Affichage et utilisation des valeurs par défaut RBAC (liste des tâches) ............................... 156▼ Affichage de tous les attributs de sécurité définis ................................................................... 156▼ Affichage des droits qui vous sont affectés .............................................................................. 158▼ Prise d'un rôle ............................................................................................................................. 161▼ Modification des attributs de sécurité d'un utilisateur .......................................................... 162▼ Utilisation de vos droits d'administration .............................................................................. 164

Personnalisation RBAC pour votre site (tâches) ............................................................................ 167Configuration initiale RBAC (liste des tâches) ....................................................................... 168

▼ Planification de votre implémentation RBAC ........................................................................ 169▼ Création d'un rôle ...................................................................................................................... 171▼ Attribution de rôle ..................................................................................................................... 173▼ Audit des rôles ............................................................................................................................ 174▼ Création d'un profil de droits ................................................................................................... 175▼ Clonage et modification d'un profil de droits système .......................................................... 177▼ Création d'une autorisation ...................................................................................................... 180▼ Ajout de propriétés RBAC aux anciennes applications ......................................................... 181▼ Dépannage de RBAC et de l'affectation de privilèges ............................................................ 182

Gestion de RBAC (tâches) ................................................................................................................ 186Gestion de RBAC (liste des tâches) .......................................................................................... 186

▼ Modification du mot de passe d'un rôle .................................................................................. 187▼ Modification des attributs de sécurité d'un rôle ..................................................................... 188▼ Réorganisation des attributs de sécurité affectés .................................................................... 189▼ Limitation d'un administrateur aux droits affectés de manière explicite ............................ 190▼ Octroi à un utilisateur de l'autorisation d'utiliser son propre mot de passe pour prendre un

rôle ............................................................................................................................................... 191▼ Modification du rôle root en utilisateur ................................................................................. 192

Utilisation des privilèges (tâches) .................................................................................................... 194▼ Création d'une liste des privilèges sur le système ................................................................... 195▼ Détermination des privilèges qui vous sont attribués directement ..................................... 196▼ Détermination des commandes privilégiées que vous pouvez exécuter ............................. 197▼ Détermination de privilèges sur un processus ....................................................................... 199▼ Détermination des privilèges requis par un programme ...................................................... 200▼ Application d'une stratégie de privilège étendue à un port ................................................... 202

Table des matières


▼ Exécution d'un script shell avec des commandes privilégiées .............................................. 203

10 Attributs de sécurité dans Oracle Solaris (référence) .................................................................. 205Profils de droits .................................................................................................................................. 205

Affichage du contenu des profils de droits .............................................................................. 207Ordre de recherche pour les attributs de sécurité affectés ............................................................ 207Autorisations ...................................................................................................................................... 208

Conventions de nommage des autorisations .......................................................................... 209Pouvoir de délégation dans les autorisations .......................................................................... 209

Bases de données RBAC .................................................................................................................... 209Bases de données RBAC et services de noms .......................................................................... 210Base de données user_attr ...................................................................................................... 210Base de données auth_attr ...................................................................................................... 211Base de données prof_attr ...................................................................................................... 211Base de données exec_attr ...................................................................................................... 212Fichier policy.conf .................................................................................................................. 212

Commandes RBAC ........................................................................................................................... 213Commandes pour la gestion de RBAC .................................................................................... 213Commandes sélectionnées nécessitant des autorisations ..................................................... 214

Privilèges ............................................................................................................................................. 215Commandes d'administration pour la gestion des privilèges ............................................... 215Fichiers disposant d'informations sur les privilèges .............................................................. 216Privilèges et audit ....................................................................................................................... 217Prévention de l'escalade de privilèges ...................................................................................... 217Anciennes applications et modèle de privilège ...................................................................... 218

Partie IV Services cryptographiques ..............................................................................................................219

11 Structure cryptographique (présentation) ...................................................................................221Introduction à la structure cryptographique ................................................................................. 221Terminologie utilisée dans la structure cryptographique ............................................................. 223Champ d'application de la structure cryptographique ................................................................. 225

Commandes d'administration dans la structure cryptographique ...................................... 226Commandes au niveau de l'utilisateur dans la structure cryptographique ......................... 226

Table des matières

9

Plug-ins de la structure cryptographique ................................................................................ 227Services cryptographiques et zones ................................................................................................. 227Structure cryptographique et FIPS-140 .......................................................................................... 228Structure cryptographique et serveurs SPARC T de cette version ............................................... 228

12 Structure cryptographique (tâches) ..............................................................................................229Protection des fichiers avec la structure cryptographique (tâches) ............................................. 229

Protection de fichiers avec la structure cryptographique (liste des tâches) ......................... 229▼ Génération d'une clé symétrique à l'aide de la commande pktool ...................................... 230▼ Calcul d'une synthèse d'un fichier ............................................................................................ 234▼ Calcul du code MAC d'un fichier ............................................................................................. 235▼ Chiffrement et déchiffrement d'un fichier .............................................................................. 238

Administration de la structure cryptographique (tâches) ............................................................ 241Administration de la structure cryptographique (liste des tâches) ...................................... 241

▼ Etablissement de la liste des fournisseurs disponibles ........................................................... 242▼ Ajout d'un fournisseur de logiciels ........................................................................................... 246▼ Utilisation de la structure cryptographique en mode FIPS-140 ........................................... 247▼ Interdiction de l'utilisation d'un mécanisme au niveau de l'utilisateur ............................... 249▼ Interdiction de l'utilisation d'un fournisseur de logiciels noyau .......................................... 251▼ Etablissement de la liste des fournisseurs de matériel ........................................................... 254▼ Désactivation des mécanismes et fonctions d'un fournisseur de matériel .......................... 255▼ Actualisation ou redémarrage de tous les services cryptographiques ................................. 256

13 Structure de gestion des clés ........................................................................................................... 259Gestion des technologies à clé publique (présentation) ................................................................ 259

Utilitaires de la structure de gestion des clés ........................................................................... 260Gestion de la stratégie KMF ...................................................................................................... 261Gestion de plug-in KMF ............................................................................................................ 261Gestion de keystore KMF .......................................................................................................... 261

Utilisation de la structure de gestion des clés (tâches) .................................................................. 262Utilisation de la structure de gestion des clés (liste des tâches) ............................................ 262

▼ Création d'un certificat à l'aide de la commande pktool gencert ...................................... 263▼ Importation d'un certificat dans votre keystore ..................................................................... 264▼ Exportation d'un certificat et de la clé privée au format PKCS #12 ...................................... 266▼ Génération d'une phrase de passe à l'aide de la commande pktool setpin ...................... 267

Table des matières


▼ Génération d'une paire de clés à l'aide de la commande pktool genkeypair ................... 268▼ Signature d'une demande de certificat à l'aide de la commande pktool signcsr ............ 272▼ Gestion des plug-ins tiers dans KMF ....................................................................................... 273

Partie V Services d'authentification et communication sécurisée .......................................................... 275

14 Utilisation de modules d'authentification enfichables .............................................................. 277PAM (présentation) ........................................................................................................................... 277

Avantages de l'utilisation de PAM ............................................................................................ 277Présentation de la structure PAM ............................................................................................ 278Modifications apportées à la structure des modules PAM pour cette version .................... 279

PAM (tâches) ...................................................................................................................................... 279PAM (liste des tâches) ................................................................................................................ 280Planification de la mise en oeuvre PAM .................................................................................. 280

▼ Ajout d'un module PAM ........................................................................................................... 281▼ Interdiction de l'accès rhost à partir de systèmes distants avec PAM ................................... 282▼ Journalisation de rapports d'erreur PAM ................................................................................ 282▼ Affectation d'une stratégie PAM personnalisée à un utilisateur ........................................... 283▼ Assignation d'une nouvelle stratégie des droits à tous les utilisateurs ................................. 284

Configuration PAM (référence) ...................................................................................................... 285Ordre de recherche de la configuration PAM ......................................................................... 285Syntaxe du fichier de configuration PAM ............................................................................... 285Stratégie d'authentification par utilisateur .............................................................................. 287Fonctionnement de la superposition PAM ............................................................................. 287Exemple de superposition PAM ............................................................................................... 291

15 Utilisation de Secure Shell ...............................................................................................................293Secure Shell (présentation) ............................................................................................................... 293

Authentification Secure Shell ................................................................................................... 294Secure Shell dans l'entreprise .................................................................................................... 295

Secure Shell et le projet OpenSSH ................................................................................................... 296Secure Shell et FIPS-140 ................................................................................................................... 297Configuration de Secure Shell (tâches) ........................................................................................... 298

Configuration de Secure Shell (liste des tâches) ..................................................................... 298

Table des matières

11

▼ Configuration de l'authentification basée sur l'hôte pour Secure Shell ............................... 298▼ Configuration du transfert de port dans Secure Shell ............................................................ 301▼ Création d'exceptions d'utilisateur et d'hôte aux valeurs par défaut de Secure Shell ......... 302▼ Création d'un répertoire isolé pour les fichiers sftp ............................................................. 303

Utilisation de Secure Shell (tâches) ................................................................................................. 304Utilisation de Secure Shell (liste des tâches) ........................................................................... 304

▼ Génération d'une paire de clés publiques ou privées à utiliser avec Secure Shell ............... 305▼ Modification de la phrase de passe pour une clé privée Secure Shell ................................... 307▼ Connexion à un hôte distant avec Secure Shell ...................................................................... 307▼ Réduction des invites de mot de passe dans Secure Shell ...................................................... 308▼ Administration à distance de ZFS à l'aide de Secure Shell ..................................................... 310▼ Utilisation du transfert de port dans Secure Shell .................................................................. 311▼ Copie de fichiers avec Secure Shell ........................................................................................... 313▼ Configuration des connexions Secure Shell par défaut sur les hôtes situés en dehors d'un

pare-feu ....................................................................................................................................... 314

16 Secure Shell (référence) ....................................................................................................................317Session Secure Shell standard ........................................................................................................... 317

Caractéristiques des sessions dans Secure Shell ..................................................................... 318Authentification et échange de clés dans Secure Shell ........................................................... 318Exécution des commandes et transfert de données dans Secure Shell ................................ 319

Configuration des clients et des serveurs dans Secure Shell ......................................................... 320Configuration des clients dans Secure Shell ........................................................................... 320Configuration du serveur dans Secure Shell ........................................................................... 320

Mots-clés dans Secure Shell .............................................................................................................. 320Paramètres spécifiques à l'hôte dans Secure Shell .................................................................. 325Secure Shell et les variables d'environnement de connexion ................................................ 325

Mise à jour des hôtes connus dans Secure Shell ............................................................................. 326Fichier Secure Shell ........................................................................................................................... 326Commandes Secure Shell ................................................................................................................. 329

17 Utilisation de l'authentification simple et de la couche de sécurité .........................................331SASL (présentation) .......................................................................................................................... 331SASL (référence) ................................................................................................................................ 332

Plug-ins SASL ............................................................................................................................. 332

Table des matières


Variable d'environnement SASL .............................................................................................. 332Options SASL ............................................................................................................................. 333

18 Authentification des services réseau (tâches) .............................................................................. 335Présentation du RPC sécurisé .......................................................................................................... 335

Services NFS et RPC sécurisé .................................................................................................... 335Authentification Kerberos ........................................................................................................ 336Chiffrement DES avec NFS sécurisé ........................................................................................ 336Authentification Diffie-Hellman et RPC sécurisé .................................................................. 336

Administration de l'authentification avec le RPC sécurisé (tâches) ............................................ 340Administration du RPC sécurisé (liste des tâches) ................................................................ 340

▼ Redémarrage du serveur de clé RPC sécurisé ......................................................................... 341▼ Configuration d'une clé Diffie-Hellman pour un hôte NIS .................................................. 341▼ Configuration d'une clé Diffie-Hellman pour un utilisateur NIS ........................................ 342▼ Partage de fichiers NFS avec l'authentification Diffie-Hellman ........................................... 343

Partie VI Service Kerberos ................................................................................................................................345

19 Introduction au service Kerberos ...................................................................................................347Description du service Kerberos ...................................................................................................... 347Fonctionnement du service Kerberos ............................................................................................. 348

Authentification initiale : le TGT ............................................................................................. 349Authentifications Kerberos suivantes ...................................................................................... 351Applications distantes Kerberos ............................................................................................... 352Principaux Kerberos .................................................................................................................. 352Domaines Kerberos ................................................................................................................... 353Serveurs Kerberos ...................................................................................................................... 354

Services de sécurité Kerberos ........................................................................................................... 355Composants des différentes versions Kerberos ............................................................................. 356

Composants Kerberos ............................................................................................................... 356A propos de Kerberos dans cette version ................................................................................ 358

20 Planification du service Kerberos ...................................................................................................361Intérêt de la planification des déploiements de Kerberos ............................................................. 361

Table des matières

13

Planification de domaines Kerberos ................................................................................................ 362Noms de domaine ...................................................................................................................... 362Nombre de domaines ................................................................................................................ 362Hiérarchie des domaines ........................................................................................................... 363

Mappage de noms d'hôtes sur des domaines .................................................................................. 363Noms des clients et des principaux de service ................................................................................ 364Ports pour les services d'administration et le KDC ....................................................................... 365Nombre de KDC esclaves ................................................................................................................. 365Mappage d'informations d'identification GSS sur des informations d'identification UNIX ... 366Migration automatique d'utilisateur vers un domaine Kerberos ................................................ 366Choix du système de propagation de base de données ................................................................. 367Synchronisation de l'horloge dans un domaine ............................................................................. 367Options de configuration du client ................................................................................................. 367Amélioration de la sécurité de connexion des clients ................................................................... 368Options de configuration de KDC .................................................................................................. 369Approbation de services pour la délégation ................................................................................... 369Types de chiffrement Kerberos ........................................................................................................ 370URL d'aide en ligne dans l'outil d'administration graphique de Kerberos ................................. 371

21 Configuration du service Kerberos (tâches) .................................................................................. 373Configuration du service Kerberos (liste des tâches) .................................................................... 373Configuration de services Kerberos supplémentaires (liste des tâches) ..................................... 374Configuration des serveurs KDC .................................................................................................... 375

▼ Configuration automatique d'un KDC maître ....................................................................... 376▼ Configuration interactive d'un KDC maître ........................................................................... 377▼ Configuration manuelle d'un KDC maître ............................................................................. 378▼ Configuration d'un KDC pour l'utilisation d'un serveur de données LDAP ...................... 382▼ Configuration automatique d'un KDC esclave ...................................................................... 388▼ Configuration interactive d'un KDC esclave .......................................................................... 389▼ Configuration manuelle d'un KDC esclave ............................................................................ 390▼ Actualisation des clés TGS sur un serveur maître .................................................................. 394

Configuration de l'authentification inter-domaine ....................................................................... 395▼ Etablissement de l'authentification inter-domaine hiérarchique ........................................ 395▼ Etablissement de l'authentification inter-domaine directe ................................................... 396

Configuration des serveurs d'application réseau Kerberos .......................................................... 397

Table des matières


▼ Configuration d'un serveur d'application réseau Kerberos .................................................. 397▼ Utilisation du service de sécurité générique avec Kerberos lors de l'exécution FTP .......... 399

Configuration de serveurs NFS Kerberos ....................................................................................... 400▼ Configuration des serveurs NFS Kerberos .............................................................................. 401▼ Création d'une table d'informations d'identification ............................................................. 403▼ Ajout d'une entrée unique à la table d'informations d'identification ................................... 403▼ Mappage d'informations d'identification entre domaines .................................................... 404▼ Configuration d'un environnement NFS sécurisé avec plusieurs modes de sécurité

Kerberos ...................................................................................................................................... 405Configuration des clients Kerberos ................................................................................................. 407

Configuration des clients Kerberos (liste des tâches) ............................................................ 407▼ Création d'un profil d'installation de client Kerberos ............................................................ 408▼ Configuration automatique d'un client Kerberos .................................................................. 409▼ Configuration interactive d'un client Kerberos ...................................................................... 410▼ Configuration d'un client Kerberos pour un serveur Active Directory ............................... 413▼ Configuration manuelle d'un client Kerberos ........................................................................ 414▼ Désactivation de la vérification du ticket d'octroi de tickets ................................................. 420▼ Accès à un système de fichiers NFS protégé par Kerberos en tant qu'utilisateur root ...... 421▼ Configuration de la migration automatique des utilisateurs dans un domaine Kerberos 422▼ Configuration du verrouillage de compte ............................................................................... 425▼ Renouvellement automatique de tous les tickets d'octroi de tickets .................................... 425

Synchronisation des horloges entre les KDC et les clients Kerberos ........................................... 426Echange d'un KDC maître et d'un KDC esclave ............................................................................ 428

▼ Configuration d'un KDC échangeable .................................................................................... 428▼ Echange d'un KDC maître et d'un KDC esclave ..................................................................... 429

Administration de la base de données Kerberos ............................................................................ 433Sauvegarde et propagation de la base de données Kerberos ................................................. 433

▼ Sauvegarde de la base de données Kerberos ............................................................................ 435▼ Restauration de la base de données Kerberos ......................................................................... 436▼ Conversion d'une base de données Kerberos après une mise à niveau du serveur ............ 436▼ Reconfiguration d'un KDC maître pour l'utilisation de la propagation incrémentielle .... 437▼ Reconfiguration d'un KDC esclave pour l'utilisation de la propagation incrémentielle ... 439▼ Configuration d'un KDC esclave pour l'utilisation de la propagation complète ............... 440▼ Vérification de la synchronisation des serveurs KDC ........................................................... 443▼ Propagation manuelle de la base de données Kerberos aux KDC esclaves ......................... 445

Configuration d'une propagation parallèle ............................................................................. 445

Table des matières

15

Etapes de configuration d'une propagation parallèle ............................................................ 446Administration du fichier stash ................................................................................................ 447

▼ Suppression d'un fichier stash .................................................................................................. 447▼ Utilisation d'une nouvelle clé principale ................................................................................. 448

Gestion d'un KDC sur un serveur d'annuaire LDAP .................................................................... 449▼ Association des attributs de principaux Kerberos dans un type de classe d'objet non

Kerberos ...................................................................................................................................... 450▼ Suppression d'un domaine d'un serveur d'annuaire LDAP .................................................. 451

Renforcement de la sécurité des serveurs Kerberos ...................................................................... 451▼ Restriction de l'accès aux serveurs KDC ................................................................................. 452▼ Utilisation d'un fichier dictionnaire pour augmenter la sécurité de mot de passe ............. 452

22 Messages d'erreur et dépannage de Kerberos ............................................................................. 455Messages d'erreur Kerberos .............................................................................................................. 455

Messages d'erreur de l'outil SEAM ........................................................................................... 455Messages d'erreur Kerberos courants (A-M) .......................................................................... 456Messages d'erreur Kerberos courants (N-Z) ........................................................................... 466

Dépannage de Kerberos .................................................................................................................... 471▼ Identification des problèmes liés aux numéros de version de clé ......................................... 471

Problèmes avec le format du fichier krb5.conf .................................................................... 471Problèmes de propagation de la base de données Kerberos .................................................. 472Problèmes de montage d'un système de fichiers NFS utilisant Kerberos ............................ 472Problèmes liés à l'authentification en tant qu'utilisateur root ............................................. 473Observation du mappage d'informations d'identification GSS sur des informationsd'identification UNIX ................................................................................................................ 473

Utilisation de DTrace avec le service Kerberos .............................................................................. 474

23 Administration des principaux et des stratégies Kerberos (tâches) ........................................ 477Méthodes d'administration des principaux et des stratégies Kerberos ....................................... 477Outil SEAM ........................................................................................................................................ 478

Equivalents de ligne de commande de l'outil SEAM ............................................................. 479Seul fichier modifié par l'outil SEAM ...................................................................................... 479Fonctions d'impression et d'aide en ligne de l'outil SEAM ................................................... 480Utilisation de grandes listes dans l'outil SEAM ...................................................................... 480

▼ Démarrage de l'outil SEAM ...................................................................................................... 481

Table des matières


Gestion des principaux de Kerberos ............................................................................................... 482Gestion des principaux de Kerberos (liste des tâches) ........................................................... 482Automatisation de la création de principaux Kerberos ......................................................... 483

▼ Affichage de la liste des principaux Kerberos ......................................................................... 484▼ Affichage des attributs d'un principal Kerberos ..................................................................... 485▼ Création d'un principal Kerberos ............................................................................................. 487▼ Duplication d'un principal Kerberos ....................................................................................... 490▼ Modification d'un principal Kerberos ..................................................................................... 491▼ Suppression d'un principal Kerberos ....................................................................................... 492▼ Paramétrage des valeurs par défaut pour la création de principaux Kerberos ................... 492▼ Procédure de modification des privilèges d'administration Kerberos ................................ 494

Administration des stratégies Kerberos .......................................................................................... 495Administration des stratégies Kerberos (liste des tâches) ..................................................... 495

▼ Affichage de la liste des stratégies Kerberos ............................................................................ 496▼ Affichage des attributs d'une stratégie Kerberos .................................................................... 498▼ Création d'une stratégie Kerberos ............................................................................................ 500▼ Duplication d'une stratégie Kerberos ...................................................................................... 502▼ Modification d'une stratégie Kerberos .................................................................................... 502▼ Suppression d'une stratégie Kerberos ...................................................................................... 503

Référence de l'outil SEAM ................................................................................................................ 504Descriptions des panneaux de l'outil SEAM ........................................................................... 504Utilisation de l'outil SEAM avec privilèges d'administration Kerberos limités .................. 507

Administration des fichiers keytab .................................................................................................. 509Administration des fichiers keytab (liste des tâches) ............................................................. 510

▼ Ajout d'un principal de service Kerberos à un fichier keytab ................................................ 510▼ Procédure de suppression d'un principal de service d'un fichier keytab ............................. 512▼ Procédure d'affichage de la liste de clés (principaux) dans un fichier keytab ...................... 513▼ Désactivation temporaire de l'authentification d'un service sur un hôte ............................ 513

24 Utilisation des applications Kerberos (tâches) ............................................................................. 517Gestion des tickets Kerberos ............................................................................................................ 517

Avez-vous besoin de vous soucier des tickets ? ....................................................................... 517Création d'un ticket Kerberos ................................................................................................... 518Affichage des tickets Kerberos .................................................................................................. 519Destruction des tickets Kerberos .............................................................................................. 520

Table des matières

17

Gestion des mots de passe Kerberos ................................................................................................ 521Conseils sur le choix d'un mot de passe ................................................................................... 521Modification de votre mot de passe ......................................................................................... 522Octroi de l'accès à votre compte ............................................................................................... 524

Commandes utilisateur Kerberos .................................................................................................... 526Présentation des commandes utilisant Kerberos ................................................................... 527Transfert des tickets Kerberos .................................................................................................. 529Utilisation de commandes utilisant Kerberos (exemples) .................................................... 531

25 Service Kerberos (référence) ...........................................................................................................533Fichiers Kerberos ............................................................................................................................... 533Commandes Kerberos ...................................................................................................................... 535Démons Kerberos .............................................................................................................................. 536Terminologie Kerberos ..................................................................................................................... 537

Terminologie spécifique à Kerberos ........................................................................................ 537Terminologie spécifique à l'authentification .......................................................................... 537Types de tickets .......................................................................................................................... 538

Fonctionnement du système d'authentification Kerberos ........................................................... 543Interaction du service Kerberos avec le DNS et le service nsswitch.conf ................................ 543Obtention de l'accès à un service à l'aide de Kerberos ................................................................... 543

Obtention d'informations d'identification pour le service d'octroi de tickets .................... 544Obtention d'informations d'identification pour un serveur ................................................. 545Obtention de l'accès à un service donné .................................................................................. 546

Utilisation des types de chiffrement Kerberos ............................................................................... 547Utilisation de la table gsscred ......................................................................................................... 549Différences notables entre Oracle Solaris Kerberos et MIT Kerberos ......................................... 549

Partie VII Audit dans Oracle Solaris ................................................................................................................. 551

26 Audit (présentation) .........................................................................................................................553Description de l'audit ........................................................................................................................ 553Terminologie et concepts de l'audit ................................................................................................ 554

Evénements d'audit .................................................................................................................... 557Classes d'audit et présélection .................................................................................................. 558

Table des matières


Enregistrements d'audit et jetons d'audit ................................................................................ 559Modules plug-in d'audit ............................................................................................................ 560Journaux d'audit ......................................................................................................................... 560Stockage et gestion de la piste d'audit ...................................................................................... 562Garantie de la fiabilité de l'horodatage .................................................................................... 563Gestion d'un référentiel distant ................................................................................................ 563

Rapports entre l'audit et la sécurité ................................................................................................. 564Fonctionnement de l'audit ............................................................................................................... 564Configuration de l'audit .................................................................................................................... 565Audit sur un système à zones Oracle Solaris .................................................................................. 567A propos du service d'audit dans cette version .............................................................................. 568

27 Planification de l'audit ......................................................................................................................569Planification de l'audit (tâches) ........................................................................................................ 569

▼ Planification de l'audit par zone ............................................................................................... 570▼ Planification des personnes et objets à auditer ....................................................................... 571▼ Planification de l'espace disque pour les enregistrements d'audit ........................................ 574▼ Préparation de la diffusion des enregistrements d'audit vers le stockage distant ............... 575

Assimilation des concepts de stratégie d'audit ............................................................................... 577Contrôle des coûts d'audit ................................................................................................................ 579

Coût de l'augmentation du temps de traitement des données d'audit ................................. 580Coût de l'analyse des données d'audit ...................................................................................... 580Coût du stockage des données d'audit ..................................................................................... 580

Gestion efficace de l'audit ................................................................................................................. 581

28 Gestion de l'audit (tâches) ...............................................................................................................583Configuration du service d'audit (tâches) ...................................................................................... 583

Configuration du service d'audit (liste des tâches) ................................................................ 584▼ Affichage des paramètres par défaut du service d'audit ......................................................... 584▼ Présélection des classes d'audit ................................................................................................. 586▼ Configuration des caractéristiques d'audit d'un utilisateur .................................................. 587▼ Modification de la stratégie d'audit .......................................................................................... 591▼ Modification des contrôles de file d'attente d'audit ................................................................ 593▼ Configuration de l'alias de messagerie audit_warn .............................................................. 594▼ Ajout d'une classe d'audit .......................................................................................................... 595

Table des matières

19

▼ Modification de l'appartenance à une classe d'un événement d'audit ................................. 597Configuration des journaux d'audit (tâches) ................................................................................. 598

Configuration des journaux d'audit (liste des tâches) ........................................................... 598▼ Création de systèmes de fichiers ZFS pour les fichiers d'audit .............................................. 599▼ Affectation de l'espace d'audit pour la piste d'audit ............................................................... 602▼ Envoi des fichiers d'audit à un référentiel distant ................................................................... 605▼ Configuration d'un référentiel distant pour les fichiers d'audit ........................................... 606▼ Configuration des journaux d'audit syslog ........................................................................... 610

Configuration du service d'audit dans les zones (tâches) ............................................................. 612▼ Configuration identique de toutes les zones pour l'audit ...................................................... 612▼ Configuration de l'audit par zone ............................................................................................ 615

Activation et désactivation du service d'audit (tâches) ................................................................. 616▼ Actualisation du service d'audit ............................................................................................... 616▼ Désactivation du service d'audit ............................................................................................... 618▼ Activation du service d'audit .................................................................................................... 619

Gestion des enregistrements d'audit sur les systèmes locaux (tâches) ........................................ 619Gestion des enregistrements d'audit sur les systèmes locaux (liste des tâches) .................. 620

▼ Affichage des définitions d'enregistrement d'audit ................................................................ 620▼ Fusion des fichiers d'audit de la piste d'audit .......................................................................... 622▼ Sélection des événements d'audit de la piste d'audit .............................................................. 623▼ Affichage du contenu des fichiers d'audit binaires ................................................................. 625▼ Nettoyage d'un fichier d'audit not_terminated .................................................................... 627▼ Contrôle du dépassement de la piste d'audit .......................................................................... 628

Dépannage du service d'audit (tâches) ........................................................................................... 630Dépannage du service d'audit (liste des tâches) ...................................................................... 630

▼ Vérification de l'exécution de l'audit ....................................................................................... 631▼ Atténuation du volume des enregistrements d'audit produits ............................................. 633▼ Audit de toutes les commandes par les utilisateurs ................................................................ 635▼ Recherche des enregistrements d'audit concernant des modifications de fichiers

spécifiques ................................................................................................................................... 637▼ Mise à jour du masque de présélection des utilisateurs connectés ....................................... 639▼ Suppression de l'audit d'événements spécifiques ................................................................... 640▼ Limitation de la taille des fichiers d'audit binaires ................................................................. 641▼ Compression des fichiers d'audit sur un système de fichiers dédié ...................................... 642▼ Audit des connexions à partir d'autres systèmes d'exploitation ........................................... 643▼ Audit des transferts de fichiers FTP et SFTP ........................................................................... 644

Table des matières


29 Audit (référence) ................................................................................................................................647Service d'audit .................................................................................................................................... 647Pages de manuel du service d'audit ................................................................................................. 649Profils de droits pour l'administration de l'audit ........................................................................... 650Audit et zones Oracle Solaris ............................................................................................................ 651Fichiers de configuration d'audit et empaquetage ......................................................................... 651Classes d'audit .................................................................................................................................... 652

Syntaxe de classe d'audit ............................................................................................................ 652Plug-ins d'audit .................................................................................................................................. 653Serveur d'audit à distance ................................................................................................................. 654Stratégie d'audit ................................................................................................................................. 654

Stratégies d'audit des événements asynchrones et synchrones ............................................. 655Caractéristiques de l'audit de processus ......................................................................................... 656Piste d'audit ........................................................................................................................................ 657Conventions relatives aux noms de fichiers d'audit binaires ....................................................... 657Structure d'enregistrement d'audit .................................................................................................. 657

Analyse d'enregistrement d'audit ............................................................................................. 658Formats de jeton d'audit ................................................................................................................... 659

Jeton acl ...................................................................................................................................... 661Jeton argument ........................................................................................................................... 661Jeton attribute ......................................................................................................................... 661Jeton cmd ...................................................................................................................................... 661Jeton exec_args ......................................................................................................................... 662Jeton exec_env ........................................................................................................................... 662Jeton file .................................................................................................................................... 662Jeton fmri .................................................................................................................................... 663Jeton group ................................................................................................................................. 663Jeton header ............................................................................................................................... 663Jeton ip address ....................................................................................................................... 664Jeton ip port .............................................................................................................................. 664Jeton ipc ...................................................................................................................................... 664Jeton IPC_perm ........................................................................................................................... 665Jeton path .................................................................................................................................... 665Jeton path_attr ......................................................................................................................... 665Jeton privilege ......................................................................................................................... 666Jeton process ............................................................................................................................. 666

Table des matières

21

Jeton return ............................................................................................................................... 666Jeton sequence ........................................................................................................................... 666Jeton socket ............................................................................................................................... 667Jeton subject ............................................................................................................................. 667Jeton text .................................................................................................................................... 668Jeton trailer ............................................................................................................................. 668Jeton use of authorization ...................................................................................................668Jeton use of privilege ............................................................................................................668Jeton user .................................................................................................................................... 669Jeton xclient ............................................................................................................................. 669Jeton zonename ........................................................................................................................... 669

Glossaire ............................................................................................................................................. 671

Index ................................................................................................................................................... 683

Table des matières


Préface

Administration d'Oracle Solaris 11.1 : Services de sécurité explique comment administrer lesfonctions de sécurité sur un ou plusieurs systèmes Oracle Solaris.

Remarque – Cette version d'Oracle Solaris prend en charge des systèmes utilisant lesarchitectures de processeur SPARC et x86. Les systèmes pris en charge sont répertoriés dans leslistes de la page Oracle Solaris OS: Hardware Compatibility Lists. Ce document présente lesdifférences d'implémentation en fonction des divers types de plates-formes.

Utilisateurs de ce manuelCe manuel s'adresse aux administrateurs chargés de la sécurité sur les systèmes Oracle Solaris.Pour utiliser ce manuel, vous devez disposer d'au moins deux ans d'expérience enadministration de systèmes UNIX. Les cours de formation en administration de systèmesUNIX peuvent se révéler utiles.

Accès aux services de support OracleLes clients Oracle ont accès au support électronique via My Oracle Support. Pour plusd'informations, visitez le site http://www.oracle.com/pls/topic/lookup?ctx=acc&id=infoou le site http://www.oracle.com/pls/topic/lookup?ctx=acc&id=trs si vous êtesmalentendant.

Conventions typographiquesLe tableau ci-dessous décrit les conventions typographiques utilisées dans ce manuel.

23

http://www.oracle.com/webfolder/technetwork/hcl/index.htmlhttp://www.oracle.com/pls/topic/lookup?ctx=acc&id=infohttp://www.oracle.com/pls/topic/lookup?ctx=acc&id=trs

TABLEAU P–1 Conventions typographiques

Type de caractères Description Exemple

AaBbCc123 Noms des commandes, fichiers et répertoires,ainsi que messages système.

Modifiez votre fichier .login.

Ut

administration d'oracle solaris 11.1 : services de sécurité · 2014. 3. 5. · tabledesmatières...

Documents