Omitir V�nculos de navegaci�n | |
Salir de la Vista de impresi�n | |
Procedimientos de administradores de Oracle Solaris Trusted Extensions |
1. Conceptos de la administración de Trusted Extensions
2. Herramientas de administración de Trusted Extensions
3. Introducción para administradores de Trusted Extensions (tareas)
4. Requisitos de seguridad del sistema Trusted Extensions (descripción general)
5. Administración de los requisitos de seguridad en Trusted Extensions (tareas)
Tareas comunes en Trusted Extensions (mapa de tareas)
Cómo asignar el editor de su elección como editor de confianza
Cómo cambiar la contraseña de root
Cómo recuperar el control del enfoque actual del escritorio
Cómo obtener el equivalente hexadecimal de una etiqueta
Cómo obtener una etiqueta legible de su forma hexadecimal
Cómo cambiar los valores predeterminados de seguridad en los archivos del sistema
6. Usuarios, derechos y roles en Trusted Extensions (descripción general)
7. Gestión de usuarios, derechos y roles en Trusted Extensions (tareas)
8. Administración remota en Trusted Extensions (tareas)
9. Trusted Extensions y LDAP (descripción general)
10. Gestión de zonas en Trusted Extensions (tareas)
11. Gestión y montaje de archivos en Trusted Extensions (tareas)
12. Redes de confianza (descripción general)
13. Gestión de redes en Trusted Extensions (tareas)
14. Correo de varios niveles en Trusted Extensions (descripción general)
15. Gestión de impresión con etiquetas (tareas)
16. Dispositivos en Trusted Extensions (descripción general)
17. Gestión de dispositivos para Trusted Extensions (tareas)
18. Auditoría de Trusted Extensions (descripción general)
19. Gestión de software en Trusted Extensions (tareas)
A. Referencia rápida a la administración de Trusted Extensions
B. Lista de las páginas del comando man de Trusted Extensions
En el siguiente mapa de tareas, se describen los procedimientos que configuran el entorno de trabajo para los administradores de Trusted Extensions.
|
El editor de confianza utiliza el valor de la variable de entorno $EDITOR como editor.
Antes de empezar
Debe estar en un rol de la zona global.
# echo $EDITOR
A continuación se mencionan los editores posibles. También es posible que la variable $EDITOR no se establezca.
/usr/dt/bin/dtpad: es el editor que CDE proporciona.
/usr/bin/gedit: es el editor que Java Desktop System, versión número proporciona. Solaris Trusted Extensions (JDS) es la versión de confianza de ese escritorio.
/usr/bin/vi: es el editor visual.
Por ejemplo, en el directorio principal del rol, modifique el archivo .kshrc en un shell Korn y el archivo .cshrc en un shell C.
Por ejemplo, en un shell Korn, utilice los siguientes comandos:
# setenv EDITOR=pathname-of-editor # export $EDITOR
En un shell C, utilice el siguiente comando:
# setenv EDITOR=pathname-of-editor
En un shell Bourne, utilice los siguientes comandos:
# EDITOR=pathname-of-editor # export EDITOR
Ejemplo 5-1 Especificación del editor como editor de confianza
El rol de administrador de la seguridad desea utilizar vi para editar los archivos del sistema. El usuario que asume el rol modifica el archivo de inicialización .kshrc en el directorio principal del rol.
$ cd /home/secadmin $ vi .kshrc ## Interactive shell set -o vi ... export EDITOR=vi
La próxima vez que un usuario asuma el rol de administrador de la seguridad, vi será el editor de confianza.
El rol de administrador de la seguridad está autorizado a cambiar la contraseña de una cuenta en cualquier momento mediante Solaris Management Console. Sin embargo, no se puede cambiar la contraseña de una cuenta del sistema mediante Solaris Management Console. La cuenta del sistema es una cuenta que tiene un UID inferior a 100. root es una cuenta del sistema porque su UID es 0.
Si su sitio determinó el superusuario en el rol root, asuma el rol root.
En el menú Trusted Path, elija Change Password.
Ejemplo 5-2 Cambio de la contraseña de un rol
Cualquier usuario que pueda asumir un rol definido en LDAP puede utilizar el menú Trusted Path para cambiar la contraseña del rol. La contraseña de todos los usuarios que intentan asumir el rol se cambia en LDAP.
Como en el SO Oracle Solaris, el rol de administrador principal puede cambiar la contraseña de un rol mediante Solaris Management Console. En Trusted Extensions, el rol de administrador de la seguridad puede cambiar la contraseña de otro rol mediante Solaris Management Console.
La combinación de teclas de aviso de seguridad se puede utilizar para interrumpir un arrastre del puntero o del teclado que provenga de una aplicación que no sea de confianza. Esta combinación de teclas también puede utilizarse para verificar si un arrastre del puntero o del teclado proviene de una aplicación de confianza. En un sistema de varios encabezados que se ha suplantado para que se muestre más de una banda de confianza, esta combinación de teclas dirige el puntero hacia la banda de confianza autorizada.
Presione las teclas simultáneamente para recuperar el control del enfoque actual del escritorio. En el teclado de Sun, el rombo es la tecla Meta.
<Meta> <Stop>
Si el arrastre, como un puntero, no es de confianza, el puntero se mueve hacia la banda. Si el puntero es de confianza, no se pasa a la banda de confianza.
<Alt> <Break>
Presione las teclas simultáneamente para recuperar el control del enfoque del escritorio actual de su equipo portátil.
Ejemplo 5-3 Comprobar si el indicador de contraseña es de confianza
En un sistema x86 que se usa con un teclado de Sun, se le solicita una contraseña al usuario. Se arrastra el puntero y se lo ubica en el cuadro de diálogo de contraseña. Para comprobar si el indicador es de confianza, el usuario presiona simultáneamente las teclas <Meta> y <Stop>. Cuando el puntero permanece en el cuadro de diálogo, el usuario sabe que el indicador de contraseña es de confianza.
Si el puntero se mueve a la banda de confianza, el usuario se da cuenta de que el indicador de contraseña no es de confianza, por lo que debe contactarse con el administrador.
Ejemplo 5-4 Forzar el puntero hacia la banda de confianza
En este ejemplo, un usuario no está ejecutando ningún proceso de confianza, pero no puede ver el puntero del mouse. Para ubicar el puntero en el centro de la banda de confianza, el usuario presiona simultáneamente las teclas <Meta> y <Stop>.
Este procedimiento proporciona la representación hexadecimal interna de una etiqueta. Esta representación se puede almacenar con seguridad en un directorio público. Para obtener más información, consulte la página del comando man atohexlabel(1M).
Antes de empezar
Debe estar en el rol de administrador de la seguridad en la zona global. Para obtener detalles, consulte Cómo entrar en la zona global en Trusted Extensions.
$ atohexlabel "CONFIDENTIAL : NEED TO KNOW" 0x0004-08-68
$ atohexlabel -c "CONFIDENTIAL NEED TO KNOW" 0x0004-08-68
Nota - Las etiquetas de sensibilidad y de acreditación en lenguaje natural se forman según las reglas del archivo label_encodings. Cada tipo de etiqueta utiliza reglas de una sección independiente de este archivo. Cuando la etiqueta de sensibilidad y la etiqueta de acreditación expresan el mismo nivel de sensibilidad subyacente, ambas tienen una forma hexadecimal idéntica. Sin embargo, las etiquetas pueden tener diferentes formas en lenguaje natural. Las interfaces del sistema que aceptan etiquetas en lenguaje natural como entrada esperan un tipo de etiqueta. Si las cadenas de texto de los tipos de etiquetas difieren, estas cadenas de texto no se pueden intercambiar.
En el archivo predeterminado label_encodings, el equivalente de texto de una etiqueta de acreditación no incluye dos puntos (:).
Ejemplo 5-5 Uso del comando atohexlabel
Cuando pasa una etiqueta válida en formato hexadecimal, el comando devuelve el argumento.
$ atohexlabel 0x0004-08-68 0x0004-08-68
Cuando pasa una etiqueta administrativa, el comando devuelve el argumento.
$ atohexlabel admin_high ADMIN_HIGH atohexlabel admin_low ADMIN_LOW
Errores más frecuentes
El mensaje de error atohexlabel parsing error found in <string> at position 0 indica que el argumento <string> que pasó a atohexlabel no es una etiqueta o acreditación válidas. Verifique que no haya errores de escritura y compruebe que la etiqueta exista en el archivo label_encodings que tiene instalado.
Este procedimiento proporciona un modo de reparar las etiquetas almacenadas en las bases de datos internas. Para obtener más información, consulte la página del comando man hextoalabel(1M).
Antes de empezar
Debe estar en el rol de administrador de la seguridad en la zona global.
$ hextoalabel 0x0004-08-68 CONFIDENTIAL : NEED TO KNOW
$ hextoalabel -c 0x0004-08-68 CONFIDENTIAL NEED TO KNOW
En Trusted Extensions, el administrador de la seguridad cambia las configuraciones de seguridad predeterminadas o accede a ellas en un sistema.
Los archivos de los directorios /etc/security y /etc/default contienen configuraciones de seguridad. En el sistema Oracle Solaris, el superusuario puede editar estos archivos. Para obtener información sobre la seguridad de Oracle Solaris, consulte el Capítulo 3, Controlling Access to Systems (Tasks) de System Administration Guide: Security Services.
Precaución - Reduzca los valores predeterminados de seguridad del sistema únicamente si la política de seguridad del sitio lo permite. |
Antes de empezar
Debe estar en el rol de administrador de la seguridad en la zona global.
Para obtener detalles, consulte Cómo editar archivos administrativos en Trusted Extensions.
La siguiente tabla muestra los archivos de seguridad y los parámetros de seguridad que se deben cambiar en los archivos.
|