Omitir V�nculos de navegaci�n | |
Salir de la Vista de impresi�n | |
Guía de administración del sistema: servicios de seguridad |
Parte I Descripción general de la seguridad
1. Servicios de seguridad (descripción general)
Parte II Seguridad de sistemas, archivos y dispositivos
2. Gestión de seguridad de equipos (descripción general)
3. Control de acceso a sistemas (tareas)
4. Control de acceso a dispositivos (tareas)
5. Uso de la herramienta básica de creación de informes de auditoría (tareas)
6. Control de acceso a archivos (tareas)
7. Uso de la herramienta automatizada de mejora de la seguridad (tareas)
Parte III Roles, perfiles de derechos y privilegios
8. Uso de roles y privilegios (descripción general)
9. Uso del control de acceso basado en roles (tareas)
10. Control de acceso basado en roles (referencia)
Parte IV Servicios criptográficos
13. Estructura criptográfica de Oracle Solaris (descripción general)
14. Estructura criptográfica de Oracle Solaris (tareas)
15. Estructura de gestión de claves de Oracle Solaris
Parte V Servicios de autenticación y comunicación segura
16. Uso de servicios de autenticación (tareas)
Introducción a la estructura PAM
Planificación de la implementación de PAM
Cómo evitar el acceso de tipo .rhost desde sistemas remotos con PAM
Configuración de PAM (referencia)
Sintaxis de archivo de configuración de PAM
Cómo funciona el apilamiento PAM
19. Uso de Oracle Solaris Secure Shell (tareas)
20. Oracle Solaris Secure Shell (referencia)
21. Introducción al servicio Kerberos
22. Planificación del servicio Kerberos
23. Configuración del servicio Kerberos (tareas)
24. Mensajes de error y resolución de problemas de Kerberos
25. Administración de las políticas y los principales de Kerberos (tareas)
26. Uso de aplicaciones Kerberos (tareas)
27. El servicio Kerberos (referencia)
Parte VII Auditoría de Oracle Solaris
28. Auditoría de Oracle Solaris (descripción general)
29. Planificación de la auditoría de Oracle Solaris
30. Gestión de la auditoría de Oracle Solaris (tareas)
En esta sección, se tratan algunas tareas que pueden ser necesarias para que la estructura PAM use una determinada política de seguridad. Debe tener en cuenta algunos problemas de seguridad asociados al archivo de configuración de PAM. Para obtener información sobre los problemas de seguridad, consulte Planificación de la implementación de PAM.
|
Tal como se suministra, el archivo de configuración pam.conf implementa la política de seguridad estándar. Esta política funciona en diversas situaciones. Si debe implementar una política de seguridad distinta, aquí se muestran los problemas en los que se debe centrar:
Determine cuáles son sus necesidades, especialmente qué módulos de servicios PAM debe seleccionar.
Identifique los servicios que necesitan opciones de configuración especiales. Use other si corresponde.
Decida el orden en que se deben ejecutar los módulos.
Seleccione el indicador de control para cada módulo. Consulte Cómo funciona el apilamiento PAM para obtener más información sobre todos los indicadores de control.
Seleccione las opciones que son necesarias para cada módulo. La página del comando man de cada módulo debe enumerar las opciones especiales.
A continuación, exponemos algunas sugerencias que se deben tener en cuenta antes de cambiar el archivo de configuración de PAM:
Utilice entradas other para cada tipo de módulo para que no sea necesario incluir cada aplicación en /etc/pam.conf.
Asegúrese de tener en cuenta las consecuencias para la seguridad de los indicadores de control binding, sufficient y optional.
Revise las páginas del comando man que están asociadas a los módulos. Estas páginas del comando man puede ayudar a comprender cómo funciona cada módulo, qué opciones están disponibles y las interacciones entre los módulos apilados.
Precaución - Si el archivo de configuración de PAM no está configurado correctamente o se daña el archivo, es posible que ningún usuario pueda iniciar sesión. Como el comando sulogin no utiliza PAM, se necesita la contraseña de usuario root para iniciar el equipo en modo de usuario único y corregir el problema. |
Después de cambiar el archivo /etc/pam.conf, revise el archivo lo más posible mientras sigue teniendo acceso al sistema para corregir problemas. Pruebe todos los comandos que posiblemente hayan sido afectados por los cambios. Un ejemplo es agregar un módulo nuevo al servicio telnet . En este ejemplo, debe utilizar el comando telnet y verificar que los cambios hacen que el comportamiento del servicio sea el esperado.
Este procedimiento muestra cómo agregar un nuevo módulo PAM. Es posible crear nuevos módulos para satisfacer políticas de seguridad específicas del sitio o para admitir aplicaciones de terceros.
Los roles incluyen autorizaciones y comandos con privilegios. Para obtener más información sobre los roles, consulte Configuración de RBAC (mapa de tareas).
Consulte Cómo funciona el apilamiento PAM para obtener información sobre los indicadores de control.
Debe realizar una prueba antes de reiniciar el sistema en caso de que el archivo de configuración no esté configurado correctamente. Inicie sesión con un servicio directo, como ssh, y ejecute el comando su antes de reiniciar el sistema. El servicio puede ser un daemon que se reproduce sólo una vez cuando se inicia el sistema. A continuación, debe reiniciar el sistema para poder verificar que el módulo se haya agregado.
Los roles incluyen autorizaciones y comandos con privilegios. Para obtener más información sobre los roles, consulte Configuración de RBAC (mapa de tareas).
Este paso impide la lectura de los archivos ~/.rhosts durante una sesión rlogin. Por lo tanto, este paso impide el acceso no autenticado al sistema local desde sistemas remotos. Cualquier acceso rlogin requiere una contraseña, independientemente de la presencia o el contenido de los archivos ~/.rhosts o /etc/hosts.equiv.
Para impedir cualquier otro acceso no autenticado a los archivos ~/.rhosts, recuerde que debe deshabilitar el servicio rsh.
# svcadm disable network/shell
Los roles incluyen autorizaciones y comandos con privilegios. Para obtener más información sobre los roles, consulte Configuración de RBAC (mapa de tareas).
Consulte syslog.conf(4) para obtener más información sobre los niveles de registro.
# svcadm refresh system/system-log