Sun Microsystems Solaris Security Toolkit Administration Guide [fr]
Guide d'administration de
Solaris™ Security Toolkit 4.2
Sun Microsystems, Inc.
www.sun.com
Référence 819-3788-10
Août 2005, révision A
Communiquez vos commentaires sur ce document à : http://www.sun.com/hwdocs/feedback
Copyright 2005 Sun Microsystems, Inc., 4150 Network Circle, Santa Clara, California 95054, États-Unis. Tous droits réservés.
Sun Microsystems, Inc. détient les droits de propriété intellectuelle relatifs à la technologie incorporée dans le produit décrit dans ce document.
En particulier, et sans limitation aucune, ces droits de propriété intellectuelle peuvent inclure un ou plusieurs des brevets américains répertoriés
à l'adresse http://www.sun.com/patents et un ou plusieurs brevets supplémentaires ou demandes de brevet en cours aux États-Unis et dans
d'autres pays.
Le présent document et le produit afférent sont exclusivement distribués avec des licences qui en restreignent l'utilisation, la copie, la
distribution et la décompilation. Aucune partie de ce produit ou document ne peut être reproduite sous quelque forme que ce soit, par quelque
moyen que ce soit, sans l'autorisation écrite préalable de Sun et de ses bailleurs de licence, le cas échéant.
Les logiciels détenus par des tiers, y compris la technologie relative aux polices de caractères, sont protégés par copyright et distribués sous
licence par des fournisseurs de Sun.
Des parties de ce produit peuvent être dérivées des systèmes Berkeley BSD, distribués sous licence par l'Université de Californie. UNIX est une
marque déposée aux États-Unis et dans d'autres pays, distribuée exclusivement sous licence par X/Open Company, Ltd.
Sun, Sun Microsystems, le logo Sun, Java, AnswerBook2, docs.sun.com, et Solaris sont des marques de fabrique ou des marques déposées de
Sun Microsystems, Inc. aux États-Unis et dans d’autres pays.
Toutes les marques SPARC sont utilisées sous licence et désignent des marques de fabrique ou des marques déposées de SPARC International,
Inc., aux États-Unis et dans d'autres pays. Les produits portant les marques déposées SPARC reposent sur une architecture développée par Sun
Microsystems, Inc.
L'interface graphique utilisateur d'OPEN LOOK et Sun™ a été développée par Sun Microsystems, Inc. à l'intention des utilisateurs et
détenteurs de licences. Sun reconnaît les efforts de pionnier de Xerox en matière de recherche et de développement du concept des interfaces
graphique ou visuelle utilisateur pour l'industrie informatique. Sun détient une licence non exclusive de Xerox sur l'interface graphique
utilisateur (IG) Xerox, cette licence couvrant également les détenteurs de licences Sun qui mettent en place des IG OPEN LOOK et se conforment
par ailleurs aux contrats de licence écrits de Sun.
LA DOCUMENTATION EST FOURNIE « EN L'ÉTAT » ET TOUTE AUTRE CONDITION, DÉCLARATION ET GARANTIE, EXPRESSE
OU TACITE, EST FORMELLEMENT EXCLUE, DANS LA MESURE AUTORISÉE PAR LA LOI EN VIGUEUR, Y COMPRIS NOTAMMENT
TOUTE GARANTIE IMPLICITE RELATIVE À LA QUALITÉ MARCHANDE, À L'APTITUDE À UNE UTILISATION PARTICULIÈRE OU
À L'ABSENCE DE CONTREFAÇON.
Papier
recyclable
Table des matières
Préface xvii
1. Introduction 1
Sécurisation de systèmes à l'aide du logiciel Solaris Security Toolkit 1
Mode JumpStart 2
Mode autonome 3
Composants du logiciel 3
Répertoires 4
Répertoire Audit 5
Répertoire Documentation 5
Répertoire man 5
Répertoire Drivers 5
Répertoire Files 9
Répertoire Finish 10
Répertoire OS 10
Répertoire Packages 11
Répertoire Patches 11
Répertoire Profiles 12
Répertoire Sysidcfg 12
iii
Référentiel de données 12
Maintien du contrôle de version 13
Configuration et personnalisation du logiciel Solaris Security Toolkit 13
Stratégies et conditions requises 14
Directives 15
2. Sécurisation de systèmes : application d'une méthodologie 17
Planification et préparation 17
Prise en compte des risques et des avantages 18
Vérification des stratégies et des normes de sécurité, ainsi que de la
documentation correspondante 19
Exemple 1 20
Exemple 2 20
Détermination des conditions requises pour les applications et les services 21
Inventaire des applications et des services opérationnels 21
Détermination des conditions requises pour les services 21
Développement et mise en oeuvre d'un profil Solaris Security Toolkit 30
Installation du logiciel 31
Tâches précédant l’installation 31
Sauvegarde des données 31
Vérification de la stabilité du système 32
Tâches suivant l'installation 32
Vérification des fonctionnalités des applications et des services 33
Vérification de l'installation du profil de sécurité 33
Vérification des fonctionnalités des applications et des services 34
Maintenance de la sécurité du système 34
iv Guide d'administration de Solaris Security Toolkit 4.2 • août 2005
3. Mise à niveau, installation et exécution du logiciel de sécurité 37
Tâches de planification et de préinstallation 38
Dépendances logicielles 38
Détermination du mode à utiliser 38
Mode autonome 39
Mode JumpStart 39
Mise à niveau des procédures 40
▼ Pour mettre à niveau le logiciel Solaris Security Toolkit et le système
d’exploitation Solaris 40
▼ Pour mettre à niveau le logiciel Solaris Security Toolkit uniquement 42
Mise à niveau du SE Solaris uniquement 42
Téléchargement du logiciel de sécurité 42
Téléchargement du logiciel Solaris Security Toolkit 43
▼ Pour télécharger la version pkg 43
Téléchargement du cluster de patchs recommandés 44
▼ Pour télécharger un cluster de patchs recommandés 44
Téléchargement du logiciel FixModes 45
▼ Pour télécharger le logiciel FixModes 46
Téléchargement du logiciel OpenSSH 46
▼ Pour télécharger le logiciel OpenSSH 47
Téléchargement du logiciel MD5 48
▼ Pour télécharger le logiciel MD5 48
Personnalisation des profils de sécurité 50
Installation et exécution du logiciel 50
Exécution du logiciel en mode autonome 51
▼ Pour exécuter le logiciel en mode autonome 54
Option d’audit 55
Option de nettoyage 55
Option d’affichage de l’aide 57
Option de pilote 58
Table des matières v
Option de notification par e-mail 59
Option d’exécution de l’historique 60
Option d’exécution la plus récente 60
Option de fichier de sortie 61
Option de sortie silencieuse 61
Option de répertoire racine 61
Option d’annulation 62
Exécution du logiciel en mode JumpStart 62
▼ Pour exécuter le logiciel en mode JumpStart 63
Validation des modifications système 63
Contrôle d’assurance qualité des services 63
Évaluation de la sécurité de la configuration 64
Validation des profils de sécurité 65
Tâches suivant l'installation 65
4. Annulation de modifications du système 67
Consignation et annulation des changements 67
Conditions requises pour l'annulation de modifications du système 69
Personnalisation de scripts pour l'annulation des modifications 69
Contrôle des fichiers modifiés manuellement 71
Utilisation d'options avec la fonction d'annulation 71
Option de sauvegarde 73
Option de forçage 73
Option de conservation 73
Option de fichier de sortie 74
Option de sortie silencieuse 74
Option de notification par e-mail 74
Annulation de modifications du système 75
▼ Pour annuler une exécution de Solaris Security Toolkit 75
vi Guide d'administration de Solaris Security Toolkit 4.2 • août 2005
5. Configuration et gestion de serveurs JumpStart 83
Configuration de serveurs et d'environnements JumpStart 84
▼ Pour configurer l’environnement au mode JumpStart 84
Utilisation de modèles de profils JumpStart 86
core.profile 87
end-user.profile 87
developer.profile 87
entire-distribution.profile 87
oem.profile 87
minimal-SunFire_Domain*.profile 87
Ajout et suppression de clients 88
Script add-client 88
Script rm-client 90
6. Audit de sécurité de systèmes 91
Maintenance de la sécurité 91
Contrôle de la sécurité avant la sécurisation 92
Personnalisation des audits de sécurité 93
Préparation d'un audit de sécurité 94
Utilisation d'options et contrôle de la sortie des audits 94
Options de ligne de commande 95
Option d’affichage de l’aide 95
Option de notification par e-mail 96
Option de sortie de fichier 97
Option de sortie silencieuse 97
Option de verbosité 98
Sortie de bannières et de messages 99
Sortie de nom d'hôte, de nom de script et d’horodatage 101
Exécution d'un audit de sécurité 102
▼ Pour exécuter un audit de sécurité 103
Table des matières vii
7. Sécurisation d'un système 107
Planification et préparation 107
Suppositions et restrictions 108
Environnement du système 109
Conditions de sécurité requises 109
Création d'un profil de sécurité 110
Installation du logiciel 110
Téléchargement et installation du logiciel de sécurité 111
▼ Pour télécharger et installer le logiciel de sécurité 111
Installation de patchs 111
▼ Pour installer les patchs 112
Spécification et installation du cluster du système d'exploitation 112
▼ Pour spécifier et installer le cluster du système d'exploitation 113
Configuration du serveur et du client JumpStart 114
Préparation de l'infrastructure 114
▼ Pour préparer l'infrastructure 114
Validation et vérification du fichier Rules 117
Personnalisation de la configuration de sécurisation 118
Activation du service FTP 119
▼ Pour activer le service FTP 119
Installation du logiciel Secure Shell 120
▼ Pour installer Secure Shell 120
Activation du service RPC 121
▼ Pour activer RPC 122
Personnalisation du fichier syslog.conf 122
▼ Pour personnaliser le fichier syslog.conf 122
Installation du client 124
▼ Pour installer le client 124
viii Guide d'administration de Solaris Security Toolkit 4.2 • août 2005
Test d'assurance qualité 124
▼ Pour vérifier l'installation du profil 125
▼ Pour vérifier le fonctionnement des applications et des services 126
Glossaire 127
Index 135
Table des matières ix
x Guide d'administration de Solaris Security Toolkit 4.2 • août 2005
Figures
FIGURE 1-1 Structure des composants du logiciel 3
FIGURE 1-2 Flux de contrôle du pilote 7
xi
xii Guide d'administration de Solaris Security Toolkit 4.2 • août 2005
Tableaux
TABLEAU 1-1 Conventions d’attribution de nom de fichier personnalisé 15
TABLEAU 2-1 Liste des services récemment utilisés 28
TABLEAU 3-1 Utilisation des options de ligne de commande avec jass-execute 52
TABLEAU 4-1 Utilisation des options de ligne de commande avec la commande d'annulation 72
TABLEAU 5-1 Commande JumpStart add-client 89
TABLEAU 5-2 Commande JumpStart rm-client 90
TABLEAU 6-1 Utilisation des options de ligne de commande avec la commande d’audit 95
TABLEAU 6-2 Niveaux de verbosité d'un audit 98
TABLEAU 6-3 Affichage des bannières et des messages dans la sortie d'un audit 99
TABLEAU 6-4 Affichage du nom d'hôte, du nom de script et de l'horodatage 101
xiii
xiv Guide d'administration de Solaris Security Toolkit 4.2 • août 2005
Exemples de code
EXEMPLE DE CODE 1-1 Code de flux de contrôle du pilote 8
EXEMPLE DE CODE 2-1 Collecte d'informations sur les objets de système de fichiers 22
EXEMPLE DE CODE 2-2 Collecte d'informations à partir d’un processus en cours 23
EXEMPLE DE CODE 2-3 Identification d'applications chargées de manière dynamique 23
EXEMPLE DE CODE 2-4 Détermination d’un fichier de configuration en cours d'utilisation 25
EXEMPLE DE CODE 2-5 Détermination des applications utilisant RPC 26
EXEMPLE DE CODE 2-6 Validation du service rusers 27
EXEMPLE DE CODE 2-7 Méthode alternative pour la détermination des applications qui utilisent RPC 28
EXEMPLE DE CODE 2-8 Détermination des ports qui appartiennent aux services ou aux applications 29
EXEMPLE DE CODE 2-9 Détermination des processus qui utilisent des fichiers et des ports 29
EXEMPLE DE CODE 3-1 Déplacement d'un fichier de patch dans le répertoire /opt/SUNWjass/Patches 45
EXEMPLE DE CODE 3-2 Échantillon d’utilisation de la ligne de commande en mode autonome 51
EXEMPLE DE CODE 3-3 Exécution du logiciel en mode autonome 54
EXEMPLE DE CODE 3-4 Échantillon de sortie de l’option -c 56
EXEMPLE DE CODE 3-5 Échantillon de sortie de l’option -h 57
EXEMPLE DE CODE 3-6 Échantillon de sortie de l'option -d pilote 59
EXEMPLE DE CODE 3-7 Échantillon de sortie de l'option -H 60
EXEMPLE DE CODE 3-8 Échantillon de sortie de l'option -l 60
EXEMPLE DE CODE 3-9 Échantillon de sortie de l'option -o 61
EXEMPLE DE CODE 3-10 Échantillon de sortie de l'option -q 61
xv
EXEMPLE DE CODE 4-1 Échantillon de sortie de fichiers modifiés manuellement 71
EXEMPLE DE CODE 4-2 Échantillon de sortie de sécurisations pouvant être annulées 76
EXEMPLE DE CODE 4-3 Échantillon de sortie d’une d'annulation portant sur plusieurs entrées de fichier
global 77
EXEMPLE DE CODE 4-4 Échantillon de sortie d'une exception d'annulation 78
EXEMPLE DE CODE 4-5 Échantillon de sortie de l’option de sauvegarde pendant une annulation 79
EXEMPLE DE CODE 4-6 Échantillon de sortie de l’option « Toujours sauvegarder » pendant une annulation 80
EXEMPLE DE CODE 6-1 Échantillon de sortie de l'option -h 96
EXEMPLE DE CODE 6-2 Échantillon de sortie de l'option -o 97
EXEMPLE DE CODE 6-3 Échantillon de sortie de l'option -q 97
EXEMPLE DE CODE 6-4 Échantillon de sortie d'un rapport d'audit contenant uniquement les échecs 100
EXEMPLE DE CODE 6-5 Échantillon de sortie de journal d'audit 102
EXEMPLE DE CODE 6-6 Échantillon de sortie d'un audit 104
EXEMPLE DE CODE 7-1 Ajout d'un client au serveur JumpStart 115
EXEMPLE DE CODE 7-2 Création d'un profil 115
EXEMPLE DE CODE 7-3 Échantillon de sortie d'un script modifié 116
EXEMPLE DE CODE 7-4 Vérification de la validité du fichier rules 116
EXEMPLE DE CODE 7-5 Échantillon de sortie du fichier rules 117
EXEMPLE DE CODE 7-6 Échantillon de script incorrect 118
EXEMPLE DE CODE 7-7 Échantillon de script correct 118
EXEMPLE DE CODE 7-8 Échantillon de sortie du fichier xsp-firewall-hardening.driver modifié 123
EXEMPLE DE CODE 7-9 Évaluation d'une configuration de sécurité 125
xvi Guide d'administration de Solaris Security Toolkit 4.2 • août 2005
Préface
Ce manuel contient des informations de référence facilitant la compréhension et
l’utilisation du logiciel Solaris™ Security Toolkit. Il est essentiellement destiné aux
utilisateurs qui souhaitent sécuriser les systèmes d’exploitation (SE) Solaris™ 8, 9
et
10 à l’aide du logiciel Solaris Security Toolkit, par exemple les administrateurs,
les
consultants, etc., qui déploient de nouveaux systèmes Sun ou sécurisent des
systèmes déployés. Les instructions s’appliquent au logiciel en mode JumpStart™
ou
en mode autonome.
Avant de lire ce document
Vous devez être un administrateur système certifié Sun pour Solaris™ ou un
administrateur réseau certifié Sun pour Solaris™. Vous devez maîtriser les
protocoles et les topologies standard de réseau.
Étant donné que ce document s'adresse à un public varié, votre expérience et vos
connaissances personnelles en matière de sécurité détermineront le type de
consultation et d'utilisation que vous en ferez.
xvii
Organisation de ce document
Ce manuel est un guide de l'utilisateur. Il contient des informations, des instructions
et des directives sur l'utilisation du logiciel en vue de sécuriser des systèmes. Cet
ouvrage est organisé comme suit :
Le chapitre 1 décrit la logique et l'objectif du logiciel Solaris Security Toolkit. Il couvre
les composants clés, les fonctions, les avantages et les plates-formes prises en charge.
Le chapitre 2 propose une méthode de sécurisation des systèmes. Vous pouvez
appliquer le processus Solaris Security Toolkit avant de sécuriser les systèmes à
l'aide du logiciel correspondant.
Le chapitre 3 fournit des instructions sur le téléchargement, l’installation et
l’exécution du logiciel Solaris Security Toolkit et d'autres logiciels de sécurité.
Le chapitre 4 propose des informations et des procédures permettant d’annuler les
modifications introduites par le logiciel Solaris Security Toolkit pendant les
sécurisations.
Le chapitre 5 décrit la configuration et la gestion des serveurs JumpStart en vue
d’utiliser le logiciel Solaris Security Toolkit.
Le chapitre 6 décrit l’audit (la validation) de la sécurité d'un système à l'aide du
logiciel Solaris Security Toolkit. Utilisez les informations et les procédures figurant
dans ce chapitre pour maintenir un profil de sécurité donné après la sécurisation.
Le chapitre 7 applique à un scénario réaliste les informations contenues dans les
chapitres précédents pour installer et sécuriser un nouveau système.
Utilisation des commandes UNIX
Les commandes et procédures de base UNIX®, telles que l’arrêt ou le démarrage
du
système, ou encore la configuration des périphériques, ne sont pas traitées dans
ce document. Pour de plus amples informations à ce sujet, reportez-vous aux
sources suivantes :
■ la documentation accompagnant les logiciels livrés avec le système ;
■ la documentation relative au système d’exploitation Solaris, à l’adresse
http://docs.sun.com.
xviii Guide d'administration de Solaris Security Toolkit 4.2 • août 2005
Invites de shell
Shell Invite
C nom-ordinateur%
superutilisateur C nom-ordinateur#
Bourne et Korn $
Superutilisateur Bourne et Korn #
Conventions typographiques
*
Style
AaBbCc123 Noms de commandes, de
AaBbCc123
AaBbCc123 Titres d’ouvrages, nouveaux
* Il est possible que les paramètres de votre navigateur soient différents.
Signification Exemples
Modifiez le fichier .login.
fichiers et de répertoires ;
sortie affichée à l’écran
Caractères saisis par
l’utilisateur, par opposition à
la sortie affichée à l’écran
termes ou expressions, mots à
mettre en évidence. Variables
de ligne de commande à
remplacer par des noms ou
des valeurs réels.
Utilisez la commande ls -a pour afficher la
liste de tous les fichiers.
% Vous avez reçu du courrier.
% su
Mot de passe :
Lisez le chapitre 6 du Guide de l’utilisateur.
Ces paramètres sont appelés options de classe.
Vous devez vous connecter en tant que
superutilisateur pour effectuer cette opération.
Pour supprimer un fichier, tapez rm
nom_du_fichier.
Préface xix
Utilisation de termes génériques pour les
modèles de matériel
Les systèmes haut de gamme Sun Fire™ ont pour référence les numéros de modèle
suivants :
■ E25K
■ E20K
■ 15K
■ 12K
Les systèmes milieu de gamme Sun Fire™ ont pour référence les numéros de modèle
suivants :
■ E6900
■ E4900
■ 6800
■ 4810
■ 4800
■ 3800
Les systèmes entrée de gamme Sun Fire™ ont pour référence les numéros de modèle
suivants :
■ E2900
■ Netra 1280
■ V1280
■ V890
■ V880
■ V490
■ V480
Systèmes matériels pris en charge
Le logiciel Solaris Security Toolkit 4.2 prend en charge le système SPARC® 64 bits
uniquement et les systèmes x86/x64 exécutés sous le SE Solaris 10. Il ne reconnaît
pas
les systèmes SPARC 32 bits exécutés sous Solaris 8 et 9, par exemple Ultra 2
Creator 3D.
xx Guide d'administration de Solaris Security Toolkit 4.2 • août 2005
Versions du SE Solaris prises en charge
Le support Sun du logiciel Solaris Security Toolkit est disponible uniquement pour les
systèmes d’exploitation Solaris 8, 9 et 10.
Remarque – Dans le cadre de l’utilisation du logiciel Solaris Security Toolkit 4.2,
Solaris 10 peut être utilisé uniquement sur des domaines de systèmes haut de gamme
Sun Fire et non sur le contrôleur système (SC).
Bien qu’il soit possible d’utiliser le logiciel sous les SE Solaris 2.5.1, 2.6 et 7, le
support Sun du logiciel n’est pas disponible pour ces systèmes d’exploitation.
Le logiciel Solaris Security Toolkit détecte automatiquement la version du SE Solaris
installée, puis exécute les tâches appropriées pour cette version.
Dans les exemples du présent document, les scripts vérifiant la version du SE
recherchent les versions 5.x (versions de SunOS™) et non les versions 2.x, 7, 8, 9 ou 10
(versions du SE Solaris). Le
SunOS et du SE Solaris.
TABLEAU P-1 Corrélation entre les versions de SunOS et du SE Solaris
Version de SunOS Version du SE Solaris
5.5.1 2.5.1
5.6 2.6
5.7 7
5.8 8
5.9 9
5.10 10
TABLEAU P-1 indique la corrélation entre les versions de
Préface xxi
Versions de System Management
Services (SMS) prises en charge
Si vous utilisez System Management Services (SMS) 1.4, 1.4.1 et 1.5 pour exécuter le
SC sur des systèmes haut de gamme Sun Fire, le logiciel Solaris Security Toolkit 4.2 est
pris en charge par tous les SE Solaris 8 et 9. Aucune version de SMS n’est reconnue
sous le Solaris 10 lorsque vous utilisez le logiciel Solaris Security Toolkit 4.2.
Remarque – Dans le cadre de l’utilisation du logiciel Solaris Security Toolkit 4.2,
Solaris 10 peut être utilisé uniquement sur des domaines et non sur le contrôleur
système (SC).
Documentation connexe
Les documents en ligne sont disponibles à l’adresse suivante :
http://www.sun.com/products-n-solutions/hardware/docs/
Software/enterprise_computing/systems_management/sst/index.html
Application Titre Référence Format Emplacement
Notes de version Notes de version de Solaris Security Toolkit 4.2 819-3795-10 PDF
HTML
Référence Solaris Security Toolkit 4.2 Reference Manual 819-1503-10 PDF
HTML
Pages Man Solaris Security Toolkit 4.2 Man Page Guide 819-1505-10 PDF En ligne
xxii Guide d'administration de Solaris Security Toolkit 4.2 • août 2005
En ligne
En ligne
Documentation, support et formation
Fonction Sun URL Description
Documentation http://www.sun.com/documentation/ Téléchargement de documents PDF et HTML ;
commandes de documents imprimés
Support http://www.sun.com/support/ Support technique et téléchargement de patchs
Formation http://www.sun.com/training/ Formations Sun
Sites Web tiers
Sun n'assume aucune responsabilité quant à la disponibilité des sites Web tiers
mentionnés dans ce document. Sun ne peut être tenu pour responsable des
informations, du matériel promotionnel ou publicitaire, des produits ou autre
matériel contenus sur ces sites ou accessibles à partir de ces sites ou sources. Sun
ne
pourra en aucun cas être tenu responsable, directement ou indirectement, de tous
dommages ou pertes, réels ou invoqués, causés par ou liés à l'utilisation de tout
contenu, biens ou services disponibles sur ou dans ces sites ou ressources et termes.
Vos commentaires sont les bienvenus
Nous souhaitons améliorer notre documentation. Vos commentaires et suggestions
sont donc les bienvenus. Vous pouvez les envoyer à partir du site suivant :
http://www.sun.com/hwdocs/feedback
N’oubliez pas de joindre le titre et la référence du document à votre message :
Guide d'administration de Solaris Security Toolkit 4.2, référence 819-3788-10.
Préface xxiii
xxiv Guide d'administration de Solaris Security Toolkit 4.2 • août 2005
CHAPITRE
1
Introduction
Ce chapitre décrit la logique et l'objectif du logiciel Solaris Security Toolkit. Il couvre
les composants clés, les fonctionnalités, les avantages et les plates-formes prises en
charge. Ce chapitre contient des directives pour le contrôle de version des
modifications et des déploiements, et fournit des informations importantes sur la
personnalisation du logiciel Solaris Security Toolkit.
Ce chapitre contient les sections suivantes :
■ « Sécurisation de systèmes à l'aide du logiciel Solaris Security Toolkit » à la page 1
■ « Composants du logiciel » à la page 3
■ « Maintien du contrôle de version » à la page 13
■ « Configuration et personnalisation du logiciel Solaris Security Toolkit » à la
page 13
Sécurisation de systèmes à l'aide du logiciel Solaris Security Toolkit
Le logiciel Solaris Security Toolkit, couramment appelé kit d'outils JASS (JumpStart
Architecture and Security Scripts), propose un mécanisme automatisé, extensible et
évolutif permettant de construire des systèmes d’exploitation Solaris et de maintenir
ces derniers sécurisés. À l'aide du logiciel Solaris Security Toolkit, vous pouvez
sécuriser vos systèmes et effectuer des audits de sécurité.
La liste suivante répertorie les termes de ce guide qu'il est important de maîtriser :
■ Sécurisation – Modification des configurations du SE Solaris afin d’améliorer la
sécurité d'un système.
■ Audit – Processus permettant de déterminer si la configuration d'un système est
conforme à un profil de sécurité prédéfini.
1
Remarque – Le terme audit désigne le processus automatisé qui permet au logiciel
Solaris Security Toolkit de valider un niveau de sécurité par rapport à un profil de
sécurité prédéfini. L'emploi de ce terme dans cet ouvrage ne garantit pas la complète
sécurisation du système contrôlé après l'utilisation de l’option d’audit.
■ Score – Nombre d’échecs détectés lors d’un audit. Lorsqu’aucun échec, quel que
soit le type, n’est détecté, le score est 0. Le logiciel Solaris Security Toolkit
augmente le score (également connu sous le nom de valeur de vulnérabilité) de 1
pour chaque échec détecté.
Il existe deux modes d’installation du logiciel Solaris Security Toolkit décrits
brièvement dans la dernière partie de cette section :
■ « Mode JumpStart » à la page 2
■ « Mode autonome » à la page 3
Indépendamment du mode d'installation d’un système, vous pouvez vous servir du
logiciel Solaris Security Toolkit pour sécuriser et minimiser les systèmes. Utilisez
ensuite périodiquement le logiciel Solaris Security Toolkit pour vérifier que le profil de
sécurité des systèmes sécurisés n'a pas été modifié par accident ou par malveillance.
Mode JumpStart
L'installation et la configuration du système doivent être automatisées autant que
possible. L'idéal serait qu'elles soient automatisées à 100 %. Ces tâches comprennent
l'installation et la configuration du système d'exploitation, la configuration du
réseau, les comptes utilisateurs, les applications et la sécurisation. Le logiciel
JumpStart est une technologie qui permet d'automatiser les installations du SE
Solaris. Il fournit un mécanisme d'installation de systèmes sur un réseau sans
intervention humaine ou presque. Le logiciel Solaris Security Toolkit propose une
structure et des scripts permettant la mise en oeuvre et l'automatisation de la
plupart des tâches associées à la sécurisation de systèmes SE Solaris dans les
installations basées sur le logiciel JumpStart. Pour obtenir JumpStart Enterprise
Toolkit (JET), qui facilite les installations basées sur JumpStart et inclut des modules
prenant en charge la sécurisation au moyen du logiciel Solaris Security Toolkit,
consultez le site de téléchargement de Sun à l’adresse suivante :
http://www.sun.com/download/
Pour de plus amples informations sur la technologie JumpStart, reportez-vous à
l'ouvrage Sun BluePrints™ JumpStart Technology: Effective Use in the Solaris Operating
Environment.
2 Guide d'administration de Solaris Security Toolkit 4.2 • août 2005
Mode autonome
Le logiciel Solaris Security Toolkit dispose d'un mode autonome. Ce mode donne accès
à la même fonctionnalité de sécurisation que le mode JumpStart, mais sur des systèmes
déployés. Dans les deux modes, les modifications de sécurité peuvent, et doivent être,
personnalisées afin de remplir les conditions de sécurité requises par votre système.
Indépendamment du mode d'installation d’un système, vous pouvez utiliser le
logiciel Solaris Security Toolkit pour sécuriser les systèmes. Utilisez ensuite
périodiquement le logiciel Solaris Security Toolkit pour vérifier que la configuration
des systèmes sécurisés n'a pas été modifiée par accident ou par malveillance.
Composants du logiciel
Cette section présente la structure des composants du logiciel Solaris Security
Toolkit. Le logiciel Solaris Security Toolkit se compose d’une collection de fichiers et
de répertoires. La
FIGURE 1-1 illustre la structure du logiciel.
JASS_HOME_DIR
/Documentation
/sman1m
/sman4
/sman7
/Drivers
/man
/Files
/Finish
/etc
/root
/var
/Solaris_2.5.1
windex
FIGURE 1-1 Structure des composants du logiciel
/Solaris_2.6
/Solaris_7
/Solaris_8
/Solaris_9
/Solaris_10
/OS
/Packages/Audit /bin /lib
/Patches
/Solaris_2.5.1
/Solaris_2.6
/Solaris_7
/Solaris_8
/Solaris_9
/Solaris_10
Chapitre 1 Introduction 3
/Profiles
/Sysidcfg
Les fichiers programme ou de commande suivants se trouvent dans le répertoire
/bin :
■ add-client – Programme auxiliaire JumpStart pour l’ajout de clients dans un
environnement JumpStart
■ rm-client – Programme auxiliaire JumpStart pour la suppression de clients
d'un environnement JumpStart
■ make-jass-pkg – Commande qui offre la possibilité de créer un package du SE
Solaris à partir du contenu du répertoire Solaris Security Toolkit, pour simplifier
la distribution interne d'une configuration personnalisée Solaris Security Toolkit
■ jass-check-sum – Commande qui permet de déterminer si des fichiers modifiés
par le logiciel Solaris Security Toolkit ont été changés et ce, à l’aide d’une somme
de contrôle créée à chaque exécution du logiciel Solaris Security Toolkit.
■ jass-execute – Commande qui exécute la plupart des fonctionnalités du
logiciel Solaris Security Toolkit
Répertoires
Les composants de l'architecture Solaris Security Toolkit sont organisés dans les
répertoires suivants :
■ /Audit
■ /bin
■ /Documentation
■ /Drivers
■ /Files
■ /Finish
■ /lib
■ /man
■ /OS
■ /Packages
■ /Patches
■ /Profiles
■ /Sysidcfg
Chacun de ces répertoires est décrit dans cette section. Le cas échéant, chaque script,
fichier de configuration ou sous-répertoire est mentionné dans la liste. Pour de plus
amples informations, cette section renvoie également à d'autres chapitres.
La structure du répertoire Solaris Security Toolkit se base sur la structure illustrée
dans l'ouvrage Sun BluePrints JumpStart Technology: Effective Use in the Solaris
Operating Environment.
4 Guide d'administration de Solaris Security Toolkit 4.2 • août 2005
Répertoire Audit
Ce répertoire contient les scripts audit qui permettent d’évaluer la conformité du
système par rapport à un profil de sécurité ou un ensemble de scripts audit défini.
Les scripts de ce répertoire sont organisés en plusieurs catégories :
■ Disable
■ Enable
■ Install
■ Minimize
■ Print
■ Remove
■ Set
■ Update
Pour une liste détaillée des scripts de chaque catégorie et une description de chaque
script, reportez-vous au manuel Solaris Security Toolkit 4.2 Reference Manual.
Répertoire Documentation
Ce répertoire contient des fichiers texte destinés à l’utilisateur, tels que les fichiers
README, EOL_NOTICE et INSTALL.
Répertoire man
Ce répertoire contient des sous-répertoires correspondant aux sections des pages
man de commandes, de fonctions et de pilotes. Il inclut également le fichier windex,
index des commandes fourni à titre gracieux.
Pour de plus amples informations sur les pages man, reportez-vous à celles-ci ou au
manuel Solaris Security Toolkit 4.2 Man Page Guide.
Répertoire Drivers
Ce répertoire contient des fichiers d'informations de configuration indiquant les
fichiers exécutés et installés quand vous utilisez le logiciel Solaris Security Toolkit.
Il
inclut des pilotes, des scripts et des fichiers de configuration.
Exemple de pilotes et de scripts présents dans le répertoire Drivers :
■ audit_{private|public}.funcs
■ common_{log|misc}.funcs
■ {config|hardening|secure}.driver
■ driver.{init|run}
■ driver_{private|public}.funcs
Chapitre 1 Introduction 5
■ finish.init
■ server-{config|hardening|secure}.driver
■ suncluster3x-{config|hardening|secure}.driver
■ sunfire_15k_sc-{config|hardening|secure}.driver
■ undo.{funcs|init|run}
■ user.init.SAMPLE
■ user.run.SAMPLE
Tous les pilotes inclus avec le logiciel Solaris Security Toolkit possèdent trois fichiers :
■ nom-{config|hardening|secure}.driver
Ces trois fichiers sont placés entre parenthèses dans la liste précédente, par exemple
sunfire_15k_sc-{config|hardening|secure}.driver. Les noms de ces
fichiers sont indiqués par souci de précision. Toutefois, pour exécuter un pilote,
utilisez uniquement secure.driver ou le nom-secure.driver. Ce pilote appelle
automatiquement les pilotes associés.
L'architecture de Solaris Security Toolkit comprend des informations de configuration
pour que vous puissiez utiliser les scripts driver, finish et audit dans différents
environnements, sans avoir à les modifier. Toutes les variables utilisées dans les scripts
finish et audit sont conservées dans un ensemble de fichiers de configuration. Ces
fichiers de configuration sont importés par les pilotes, afin que les scripts finish et
audit puissent disposer de ces variables quand elles sont appelées par les pilotes.
Le logiciel Solaris Security Toolkit contient quatre fichiers principaux de
configuration, qui se trouvent tous dans le répertoire Drivers :
■ driver.init
■ finish.init
■ user.init
■ user.run
Le fichier user.run est le fichier dans lequel vous écrivez les versions améliorées
ou de remplacement des fonctions de Solaris Security Toolkit, qui, le cas échéant,
sont automatiquement utilisées.
Attention – Modifiez les définitions de variable dans le fichier de configuration
user.init uniquement, jamais dans les fichiers de configuration driver.init et
finish.init.
Les scripts finish appelés par les pilotes se trouvent dans le répertoire Finish. Les
scripts audit appelés par les pilotes se trouvent dans le répertoire Audit. Les fichiers
installés par les pilotes sont lus à partir du répertoire Files. Pour de plus amples
informations sur les scripts finish, reportez-vous au chapitre 4 du manuel Solaris Security
Toolkit 4.2 Reference Manual. Pour de plus amples informations sur les scripts audit,
reportez-vous au chapitre 5 du manuel Solaris Security Toolkit 4.2 Reference Manual.
6 Guide d'administration de Solaris Security Toolkit 4.2 • août 2005
Loading...