Omitir V�nculos de navegaci�n | |
Salir de la Vista de impresi�n | |
Procedimientos de administradores de Oracle Solaris Trusted Extensions |
1. Conceptos de la administración de Trusted Extensions
2. Herramientas de administración de Trusted Extensions
3. Introducción para administradores de Trusted Extensions (tareas)
4. Requisitos de seguridad del sistema Trusted Extensions (descripción general)
5. Administración de los requisitos de seguridad en Trusted Extensions (tareas)
6. Usuarios, derechos y roles en Trusted Extensions (descripción general)
7. Gestión de usuarios, derechos y roles en Trusted Extensions (tareas)
8. Administración remota en Trusted Extensions (tareas)
9. Trusted Extensions y LDAP (descripción general)
10. Gestión de zonas en Trusted Extensions (tareas)
Zonas y direcciones IP en Trusted Extensions
Zonas y puertos de varios niveles
Zonas e ICMP en Trusted Extensions
Procesos de la zona global y de las zonas con etiquetas
Utilidades de administración de zona en Trusted Extensions
Gestión de zonas (mapa de tareas)
Cómo visualizar las zonas que están preparadas o en ejecución
Cómo visualizar las etiquetas de los archivos montados
Cómo montar en bucle de retorno un archivo que no suele estar visible en una zona con etiquetas
Cómo deshabilitar el montaje de archivos de nivel inferior
Cómo compartir un conjunto de datos de ZFS desde una zona con etiquetas
Cómo permitir que los archivos se vuelvan a etiquetar desde una zona con etiquetas
Cómo configurar un puerto de varios niveles para NFSv3 mediante udp
11. Gestión y montaje de archivos en Trusted Extensions (tareas)
12. Redes de confianza (descripción general)
13. Gestión de redes en Trusted Extensions (tareas)
14. Correo de varios niveles en Trusted Extensions (descripción general)
15. Gestión de impresión con etiquetas (tareas)
16. Dispositivos en Trusted Extensions (descripción general)
17. Gestión de dispositivos para Trusted Extensions (tareas)
18. Auditoría de Trusted Extensions (descripción general)
19. Gestión de software en Trusted Extensions (tareas)
A. Referencia rápida a la administración de Trusted Extensions
B. Lista de las páginas del comando man de Trusted Extensions
El mapa de tareas siguiente describe las tareas de gestión de zonas que son específicas de Trusted Extensions. El mapa también hace referencia a los procedimientos comunes que se realizan en Trusted Extensions de la misma manera en que se realizan en un sistema Oracle Solaris.
|
Este procedimiento crea una secuencia de comandos de shell que muestra las etiquetas de la zona actual y de todas las zonas dominadas por la zona actual.
Antes de empezar
Debe estar en el rol de administrador del sistema en la zona global.
Para obtener detalles, consulte Cómo editar archivos administrativos en Trusted Extensions.
Proporcione el nombre de la ruta de la secuencia de comandos; por ejemplo, /usr/local/scripts/getzonelabels.
#!/bin/sh # echo "NAME\t\tSTATUS\t\tLABEL" echo "====\t\t======\t\t=====" myzone=`zonename` for i in `/usr/sbin/zoneadm list -p` ; do zone=`echo $i | cut -d ":" -f2` status=`echo $i | cut -d ":" -f3` path=`echo $i | cut -d ":" -f4` if [ $zone != global ]; then if [ $myzone = global ]; then path=$path/root/tmp else path=$path/export/home fi fi label=`/usr/bin/getlabel -s $path |cut -d ":" -f2-9` if [ `echo $zone|wc -m` -lt 8 ]; then echo "$zone\t\t$status\t$label" else echo "$zone\t$status\t$label" fi done
# getzonelabels NAME STATUS LABEL ==== ====== ===== global running ADMIN_HIGH needtoknow running CONFIDENTIAL : NEED TO KNOW restricted ready CONFIDENTIAL : RESTRICTED internal running CONFIDENTIAL : INTERNAL public running PUBLIC
Cuando la secuencia de comandos se ejecuta desde la zona global, se muestran las etiquetas de todas las zonas que están preparadas o en ejecución. Aquí está la salida de la zona global para las zonas que se crearon a partir del archivo label_encodings predeterminado:
Ejemplo 10-1 Visualización de las etiquetas de todas las zonas preparadas o en ejecución
En el siguiente ejemplo, un usuario ejecuta la secuencia de comandos getzonelabels en la zona internal.
# getzonelabels NAME STATUS LABEL ==== ====== ===== internal running CONFIDENTIAL : INTERNAL public running PUBLIC
Este procedimiento crea una secuencia de comandos de shell que muestra los sistemas de archivos montados de la zona actual. Cuando la secuencia de comandos se ejecuta desde la zona global, muestra las etiquetas de todos los sistemas de archivos montados en cada zona.
Antes de empezar
Debe estar en el rol de administrador del sistema en la zona global.
Para obtener detalles, consulte Cómo editar archivos administrativos en Trusted Extensions.
Proporcione el nombre de la ruta de la secuencia de comandos; por ejemplo, /usr/local/scripts/getmounts.
#!/bin/sh # for i in `/usr/sbin/mount -p | cut -d " " -f3` ; do /usr/bin/getlabel $i done
# /usr/local/scripts/getmounts /: ADMIN_LOW /dev: ADMIN_LOW /kernel: ADMIN_LOW /lib: ADMIN_LOW /opt: ADMIN_LOW /platform: ADMIN_LOW /sbin: ADMIN_LOW /usr: ADMIN_LOW /var/tsol/doors: ADMIN_LOW /zone/needtoknow/export/home: CONFIDENTIAL : NEED TO KNOW /zone/internal/export/home: CONFIDENTIAL : INTERNAL USE ONLY /zone/restricted/export/home: CONFIDENTIAL : RESTRICTED /proc: ADMIN_LOW /system/contract: ADMIN_LOW /etc/svc/volatile: ADMIN_LOW /etc/mnttab: ADMIN_LOW /dev/fd: ADMIN_LOW /tmp: ADMIN_LOW /var/run: ADMIN_LOW /zone/public/export/home: PUBLIC /root: ADMIN_LOW
Ejemplo 10-2 Visualización de las etiquetas de los sistemas de archivos en la zona restricted
Cuando un usuario común ejecuta la secuencia de comandos desde una zona con etiquetas, la secuencia de comandos getmounts muestra las etiquetas de todos los sistemas de archivos montados en dicha zona. En un sistema en el que las zonas se crean para cada etiqueta en el archivo label_encodings predeterminado, la salida de la zona restricted es la siguiente:
# /usr/local/scripts/getmounts /: CONFIDENTIAL : RESTRICTED /dev: CONFIDENTIAL : RESTRICTED /kernel: ADMIN_LOW /lib: ADMIN_LOW /opt: ADMIN_LOW /platform: ADMIN_LOW /sbin: ADMIN_LOW /usr: ADMIN_LOW /var/tsol/doors: ADMIN_LOW /zone/needtoknow/export/home: CONFIDENTIAL : NEED TO KNOW /zone/internal/export/home: CONFIDENTIAL : INTERNAL USE ONLY /proc: CONFIDENTIAL : RESTRICTED /system/contract: CONFIDENTIAL : RESTRICTED /etc/svc/volatile: CONFIDENTIAL : RESTRICTED /etc/mnttab: CONFIDENTIAL : RESTRICTED /dev/fd: CONFIDENTIAL : RESTRICTED /tmp: CONFIDENTIAL : RESTRICTED /var/run: CONFIDENTIAL : RESTRICTED /zone/public/export/home: PUBLIC /home/gfaden: CONFIDENTIAL : RESTRICTED
Este procedimiento habilita a un usuario en una zona con etiquetas especificada para que vea los archivos que no se exportaron desde la zona global de manera predeterminada.
Antes de empezar
Debe estar en el rol de administrador del sistema en la zona global.
# zoneadm -z zone-name halt
Por ejemplo, habilite a los usuarios comunes para que vean un archivo en el directorio /etc.
# zonecfg -z zone-name add filesystem set special=/etc/filename set directory=/etc/filename set type=lofs add options [ro,nodevices,nosetuid] end exit
Nota - Hay algunos archivos que el sistema no utiliza, por lo que montarlos en bucle de retorno no causaría ningún efecto. Por ejemplo, el software de Trusted Extensions no comprueba el archivo /etc/dfs/dfstab en una zona con etiquetas. Para obtener más información, consulte Uso compartido de archivos desde una zona con etiquetas.
# zoneadm -z zone-name boot
Ejemplo 10-3 Montaje en bucle de retorno del archivo /etc/passwd
En este ejemplo, el administrador de la seguridad desea habilitar a los evaluadores y a los programadores para que verifiquen si sus contraseñas locales se encuentran establecidas. Después de que se detiene la zona sandbox, esta se configura para montar en bucle de retorno el archivo passwd. A continuación, la zona se reinicia.
# zoneadm -z sandbox halt # zonecfg -z sandbox add filesystem set special=/etc/passwd set directory=/etc/passwd set type=lofs add options [ro,nodevices,nosetuid] end exit # zoneadm -z sandbox boot
De manera predeterminada, los usuarios pueden ver los archivos de nivel inferior. Eliminar el privilegio net_mac_aware para impedir la visualización de todos los archivos de nivel inferior de una zona en particular. Para obtener una descripción del privilegio net_mac_aware, consulte la página del comando man privileges(5).
Antes de empezar
Debe estar en el rol de administrador del sistema en la zona global.
# zoneadm -z zone-name halt
Elimine el privilegio net_mac_aware de la zona.
# zonecfg -z zone-name set limitpriv=default,!net_mac_aware exit
# zoneadm -z zone-name boot
Ejemplo 10-4 Cómo impedir que los usuarios vean los archivos de nivel inferior
En este ejemplo, el administrador de la seguridad desea impedir que los usuarios en un sistema se confundan. Por lo tanto, los usuarios pueden ver únicamente los archivos de la etiqueta en la que están trabajando. Entonces, el administrador de la seguridad impide la visualización de todos los archivos de nivel inferior. En este sistema, los usuarios no pueden ver los archivos que se encuentran disponibles públicamente, a menos que estén trabajando en la etiqueta PUBLIC. Además, los usuarios sólo pueden montar archivos en NFS en la etiqueta de las zonas.
# zoneadm -z restricted halt # zonecfg -z restricted set limitpriv=default,!net_mac_aware exit # zoneadm -z restricted boot
# zoneadm -z needtoknow halt # zonecfg -z needtoknow set limitpriv=default,!net_mac_aware exit # zoneadm -z needtoknow boot
# zoneadm -z internal halt # zonecfg -z internal set limitpriv=default,!net_mac_aware exit # zoneadm -z internal boot
Dado que PUBLIC es la etiqueta mínima, el administrador de la seguridad no ejecuta los comandos para la zona PUBLIC.
En este procedimiento, monta un conjunto de datos de ZFS con permisos de lectura y escritura en una zona con etiquetas. Ya que todos los comandos se ejecutan en la zona global, el administrador de la zona global controla la adición de conjuntos de datos de ZFS a las zonas con etiquetas.
Como mínimo, la zona con etiquetas debe estar en el estado ready para compartir un conjunto de datos. La zona puede estar en el estado running.
Antes de empezar
Para configurar la zona con el conjunto de datos, primero debe detener la zona.
# zfs create datasetdir/subdir
El nombre del conjunto de datos puede incluir un directorio, como zone/data.
# zoneadm -z labeled-zone-name halt
# zfs set mountpoint=legacy datasetdir/subdir
La configuración de la propiedad ZFS mountpoint establece la etiqueta del punto de montaje cuando el punto de montaje corresponde a una zona con etiquetas.
# zonecfg -z labeled-zone-name # zonecfg:labeled-zone-name> add fs # zonecfg:labeled-zone-name:dataset> set dir=/subdir # zonecfg:labeled-zone-name:dataset> set special=datasetdir/subdir # zonecfg:labeled-zone-name:dataset> set type=zfs # zonecfg:labeled-zone-name:dataset> end # zonecfg:labeled-zone-name> exit
Si se agrega el conjunto de datos como un sistema de archivos, el conjunto de datos se monta en /data en la zona, antes de que se interprete el archivo dfstab. Este paso garantiza que el conjunto de datos no se monte antes de que se inicie la zona. En concreto, se inicia la zona, se monta el conjunto de datos y, luego, se interpreta el archivo dfstab.
Agregue una entrada para el sistema de archivos del conjunto de datos al archivo /zone/labeled-zone-name/etc/dfs/dfstab. Esta entrada también utiliza el nombre de ruta /subdir.
share -F nfs -d "dataset-comment" /subdir
# zoneadm -z labeled-zone-name boot
Cuando se inicia la zona, se monta el conjunto de datos automáticamente como punto de montaje de lectura y escritura en la zona labeled-zone-name con la etiqueta de la zona labeled-zone-name.
Ejemplo 10-5 Uso compartido y montaje de un conjunto de datos de ZFS desde zonas con etiquetas
En este ejemplo, el administrador agrega un conjunto de datos de ZFS a la zona needtoknow y, luego, lo comparte. El conjunto de datos, zone/data, se encuentra asignado al punto de montaje /mnt. Los usuarios de la zona restricted pueden ver el conjunto de datos.
En primer lugar, el administrador detiene la zona.
# zoneadm -z needtoknow halt
Dado que el conjunto de datos se encuentra asignado a un punto de montaje diferente, el administrador elimina la asignación anterior y, a continuación, establece el nuevo punto de montaje.
# zfs set zoned=off zone/data # zfs set mountpoint=legacy zone/data
A continuación, en la interfaz interactiva zonecfg, el administrador agrega explícitamente el conjunto de datos a la zona needtoknow.
# zonecfg -z needtoknow # zonecfg:needtoknow> add fs # zonecfg:needtoknow:dataset> set dir=/data # zonecfg:needtoknow:dataset> set special=zone/data # zonecfg:needtoknow:dataset> set type=zfs # zonecfg:needtoknow:dataset> end # zonecfg:needtoknow> exit
A continuación, el administrador modifica el archivo /zone/needtoknow/etc/dfs/dfstab para compartir el conjunto de datos. Luego, inicia la zona needtoknow.
## Global zone dfstab file for needtoknow zone share -F nfs -d "App Data on ZFS" /data
# zoneadm -z needtoknow boot
Finalmente se podrá acceder al conjunto de datos.
Los usuarios de la zona restricted, que domina la zona needtoknow, pueden ver el conjunto de datos montado. Para ello, deben cambiar al directorio /data. Deben usar la ruta completa para acceder al conjunto de datos montado desde la perspectiva de la zona global. En este ejemplo, machine1 es el nombre de host del sistema que incluye la zona con etiquetas. El administrador asignó este nombre de host a una dirección IP no compartida.
# cd /net/machine1/zone/needtoknow/root/data
Errores más frecuentes
Si el intento de alcanzar el conjunto de datos desde la etiqueta superior devuelve los mensajes de error not found o No such file or directory, el administrador debe reiniciar el servicio del montador automático mediante la ejecución del comando svcadm restart autofs.
Este procedimiento es un requisito previo para que un usuario pueda volver a etiquetar archivos.
Antes de empezar
Debe estar en el rol de administrador de la seguridad en la zona global.
# zoneadm -z zone-name halt
Agregue los privilegios adecuados a la zona. Los privilegios de las ventanas permiten a los usuarios emplear las operaciones arrastrar y soltar, y cortar y pegar.
# zonecfg -z zone-name set limitpriv=default,win_dac_read,win_mac_read,win_dac_write, win_mac_write,win_selection,file_downgrade_sl exit
# zonecfg -z zone-name set limitpriv=default,win_dac_read,win_mac_read,win_dac_write, win_mac_write,win_selection,sys_trans_label,file_upgrade_sl exit
# zonecfg -z zone-name set limitpriv=default,win_dac_read,win_mac_read,win_dac_write, win_mac_write,win_selection,sys_trans_label,file_downgrade_sl, file_upgrade_sl exit
# zoneadm -z zone-name boot
Para conocer los requisitos del proceso y del usuario que permiten volver a etiquetar, consulte la página del comando man setflabel(3TSOL). Para saber cómo autorizar a un usuario a que vuelva a etiquetar archivos, consulte Cómo habilitar a un usuario para que cambie el nivel de seguridad de los datos.
Ejemplo 10-6 Habilitación de aumentos de nivel desde la zona internal
En este ejemplo, el administrador de la seguridad desea habilitar a los usuarios autorizados de un sistema para que puedan aumentar el nivel de los archivos. Cuando el administrador habilita a los usuarios a aumentar el nivel de la información, les permite proteger la información con el mayor nivel de seguridad. En la zona global, el administrador ejecuta los siguientes comandos de administración de la zona.
# zoneadm -z internal halt # zonecfg -z internal set limitpriv=default,sys_trans_label,file_upgrade_sl exit # zoneadm -z internal boot
Así, los usuarios autorizados pueden aumentar el nivel de la información de internal a restricted desde la zona internal.
Ejemplo 10-7 Habilitación de disminuciones de nivel desde la zona restricted
En este ejemplo, el administrador de la seguridad desea habilitar a los usuarios autorizados de un sistema para que puedan disminuir el nivel de los archivos. Debido a que el administrador no agrega privilegios de las ventanas a la zona, los usuarios autorizados no pueden utilizar File Manager para volver a etiquetar archivos. Para volver a etiquetar archivos, los usuarios deben utilizar el comando setlabel.
Cuando el administrador habilita a los usuarios a disminuir el nivel de la información, permite que los usuarios de menor nivel de seguridad puedan acceder a los archivos. En la zona global, el administrador ejecuta los siguientes comandos de administración de la zona.
# zoneadm -z restricted halt # zonecfg -z restricted set limitpriv=default,file_downgrade_sl exit # zoneadm -z restricted boot
Así, los usuarios autorizados pueden disminuir el nivel de la información de restricted a internal o public desde la zona restricted con el comando setlabel.
Este procedimiento se utiliza para habilitar los montajes de lectura en sentido descendente para NFSv3 mediante udp. Para agregar el puerto de varios niveles se utiliza Solaris Management Console.
Antes de empezar
Debe estar en el rol de administrador de la seguridad en la zona global.
Para obtener detalles, consulte Cómo administrar el sistema local con Solaris Management Console.
El título de la caja de herramientas incluye Scope=Files, Policy=TSOL.
# tnctl -fz /etc/security/tsol/tnzonecfg
Este procedimiento se utiliza cuando una aplicación que se ejecuta en una zona con etiquetas requiere un puerto de varios niveles para comunicarse con la zona. En este procedimiento, un proxy web se comunica con la zona. Para agregar el puerto de varios niveles se utiliza Solaris Management Console.
Antes de empezar
Debe estar en el rol de administrador de la seguridad en la zona global. La zona con etiquetas debe existir. Para obtener detalles, consulte Creación de zonas con etiquetas de Guía de configuración de Oracle Solaris Trusted Extensions.
Para obtener detalles, consulte Cómo administrar el sistema local con Solaris Management Console.
El título de la caja de herramientas incluye Scope=Files, Policy=TSOL.
Haga clic en el menú Action y seleccione Add Template.
# zoneadm -z zone-name boot
Por ejemplo, si las zonas comparten la dirección IP, realice lo siguiente:
# route add proxy labeled-zones-IP-address # route add webservice labeled-zones-IP-address