Omitir V�nculos de navegaci�n | |
Salir de la Vista de impresi�n | |
Guía de administración del sistema: servicios de seguridad |
Parte I Descripción general de la seguridad
1. Servicios de seguridad (descripción general)
Parte II Seguridad de sistemas, archivos y dispositivos
2. Gestión de seguridad de equipos (descripción general)
3. Control de acceso a sistemas (tareas)
4. Control de acceso a dispositivos (tareas)
5. Uso de la herramienta básica de creación de informes de auditoría (tareas)
6. Control de acceso a archivos (tareas)
7. Uso de la herramienta automatizada de mejora de la seguridad (tareas)
Parte III Roles, perfiles de derechos y privilegios
8. Uso de roles y privilegios (descripción general)
9. Uso del control de acceso basado en roles (tareas)
10. Control de acceso basado en roles (referencia)
Gestión y uso de privilegios (mapa de tareas)
Gestión de privilegios (mapa de tareas)
Cómo determinar los privilegios de un proceso
Cómo determinar los privilegios que necesita un programa
Cómo agregar privilegios a un comando
Cómo asignar privilegios a un usuario o rol
Cómo limitar los privilegios de un usuario o rol
Cómo ejecutar una secuencia de comandos de shell con comandos con privilegios
Determinación de los privilegios (mapa de tareas)
Determinación de los privilegios asignados
Cómo determinar los privilegios que se le asignaron directamente
Cómo determinar los comandos con privilegios que puede ejecutar
Cómo determinar los comandos con privilegios que puede ejecutar un rol
Parte IV Servicios criptográficos
13. Estructura criptográfica de Oracle Solaris (descripción general)
14. Estructura criptográfica de Oracle Solaris (tareas)
15. Estructura de gestión de claves de Oracle Solaris
Parte V Servicios de autenticación y comunicación segura
16. Uso de servicios de autenticación (tareas)
19. Uso de Oracle Solaris Secure Shell (tareas)
20. Oracle Solaris Secure Shell (referencia)
21. Introducción al servicio Kerberos
22. Planificación del servicio Kerberos
23. Configuración del servicio Kerberos (tareas)
24. Mensajes de error y resolución de problemas de Kerberos
25. Administración de las políticas y los principales de Kerberos (tareas)
26. Uso de aplicaciones Kerberos (tareas)
27. El servicio Kerberos (referencia)
Parte VII Auditoría de Oracle Solaris
28. Auditoría de Oracle Solaris (descripción general)
29. Planificación de la auditoría de Oracle Solaris
30. Gestión de la auditoría de Oracle Solaris (tareas)
Cuando se asignan privilegios directamente a un usuario, los privilegios están en vigor en cada shell. Cuando no se asignan privilegios directamente a un usuario, el usuario debe abrir un shell de perfil. Por ejemplo, cuando hay comandos con privilegios asignados en un perfil de derechos que está en la lista de perfiles de derechos del usuario, el usuario debe ejecutar el comando en un shell de perfil.
El siguiente procedimiento muestra cómo determinar si se le asignaron privilegios directamente.
Precaución - El uso inadecuado de los privilegios asignados directamente puede generar infracciones de seguridad involuntarias. Para ver una explicación, consulte Consideraciones de seguridad al asignar directamente atributos de seguridad. |
Consulte Cómo determinar los privilegios de un proceso para conocer el procedimiento.
Los privilegios que se muestran en el conjunto vigente están en vigor a lo largo de la sesión. Si se le asignaron privilegios directamente además del conjunto básico, los privilegios se muestran en el conjunto vigente.
Ejemplo 11-9 Determinación de los privilegios asignados directamente
Si se le asignaron privilegios directamente, su conjunto básico contiene más privilegios que el conjunto básico predeterminado. En este ejemplo, el usuario siempre tiene acceso al privilegio proc_clock_highres.
% /usr/ucb/whoami jdoe % ppriv -v $$ 1800: pfksh flags = <none> E: file_link_any,…,proc_clock_highres,proc_session I: file_link_any,…,proc_clock_highres,proc_session P: file_link_any,…,proc_clock_highres,proc_session L: cpc_cpu,dtrace_kernel,dtrace_proc,dtrace_user,…,sys_time % ppriv -vl proc_clock_highres Allows a process to use high resolution timers.
Ejemplo 11-10 Determinación de los privilegios asignados directamente de un rol
Los roles utilizan un shell administrativo o shell de perfil. Los usuarios que asumen un rol pueden utilizar el shell del rol para enumerar los privilegios que se asignaron directamente al rol. En el siguiente ejemplo, al rol realtime se le asignaron privilegios directamente para gestionar los programas relacionados con la fecha y hora.
% su - realtime Password: <Type realtime password> $ /usr/ucb/whoami realtime $ ppriv -v $$ 1600: pfksh flags = <none> E: file_link_any,…,proc_clock_highres,proc_session,sys_time I: file_link_any,…,proc_clock_highres,proc_session,sys_time P: file_link_any,…,proc_clock_highres,proc_session,sys_time L: cpc_cpu,dtrace_kernel,dtrace_proc,dtrace_user,…,sys_time
Cuando no se asignan privilegios directamente a un usuario, el usuario obtiene acceso a comandos con privilegios a través de un perfil de derechos. Los comandos de un perfil de derechos se deben ejecutar en un shell de perfil.
Antes de empezar
El usuario o el rol que se autentica en Solaris Management Console deben tener la autorización solaris.admin.usermgr.read. El perfil de derechos de usuario de Solaris básico incluye esta autorización.
$ /usr/sadm/bin/smuser list -- -n username -l
Authenticating as user: admin … Please enter a string value for: password :: … User name: username User ID (UID): 130 Primary group: staff Secondary groups: Comment: object mgt jobs Login Shell: /bin/sh Home dir server: system Home directory: /export/home/username AutoHome setup: True Mail server: system Rights: Object Access Management Assigned Roles:
La línea “Rights” muestra los nombres de los perfiles de derechos que se le asignaron directamente.
$ cd /etc/security $ grep "Object Access Management" exec_attr Object Access Management:solaris:cmd:::/usr/bin/chgrp:privs=file_chown Object Access Management:solaris:cmd:::/usr/bin/chown:privs=file_chown Object Access Management:suser:cmd:::/usr/bin/chgrp:euid=0 Object Access Management:suser:cmd:::/usr/bin/chmod:euid=0 …
Los comandos con privilegios agregados se muestran al final de las entradas de política solaris.
Cuando los comandos se escriben un shell común, los comandos no se ejecutan con privilegios y no finalizan correctamente.
% pfsh $
Ejemplo 11-11 Ejecución de comandos con privilegios en un shell de perfil
En el siguiente ejemplo, el usuario jdoe no puede cambiar los permisos de grupo en un archivo desde su shell común. Sin embargo, jdoe puede cambiar los permisos cuando escribe el comando en un shell de perfil.
% whoami jdoe % ls -l useful.script -rwxr-xr-- 1 nodoe eng 262 Apr 2 10:52 useful.script chgrp staff useful.script chgrp: useful.script: Not owner % pfksh $ /usr/ucb/whoami jdoe $ chgrp staff useful.script $ chown jdoe useful.script $ ls -l useful.script -rwxr-xr-- 1 jdoe staff 262 Apr 2 10:53 useful.script
Un rol obtiene acceso a comandos con privilegios a través de un perfil de derechos que contiene comandos con privilegios asignados. La forma más segura de proporcionar a un usuario acceso a comandos con privilegios es asignarles un rol. Después de asumir el rol, el usuario puede ejecutar todos los comandos con privilegios que se incluyen en los perfiles de derechos para dicho rol.
Antes de empezar
El usuario o el rol que se autentica en Solaris Management Console deben tener la autorización solaris.admin.usermgr.read. El perfil de derechos de usuario de Solaris básico incluye esta autorización.
$ /usr/sadm/bin/smuser list -- -n username -l Authenticating as user: primadmin … User name: username User ID (UID): 110 Primary group: staff Secondary groups: Comment: Has admin roles Login Shell: /bin/sh … Rights: Assigned Roles: primadmin, admin
La línea “Assigned Roles” muestra los roles que puede asumir.
% su - devadmin Enter password: Type devadmin password $ whoami devadmin $ profiles Device Security
$ /usr/sadm/bin/smuser list -- -n admin -l Authenticating as user: primadmin … User name: admin User ID (UID): 101 Primary group: sysadmin Secondary groups: Comment: system administrator Login Shell: /bin/pfksh … Rights: System Administrator Assigned Roles:
Dado que el perfil de administrador del sistema representa una recopilación de perfiles, debe enumerar los perfiles en el perfil de administrador del sistema.
$ cd /etc/security $ grep "System Administrator" prof_attr System Administrator:::Can perform most non-security administrative tasks:profiles=Audit Review,Printer Management,Cron Management, Device Management,File System Management,Mail Management,Maintenance and Repair,Media Backup,Media Restore,Name Service Management,Network Management,Object Access Management,Process Management,Software Installation,User Management,All;help=RtSysAdmin.html
Por ejemplo, el perfil de gestión de la red es un perfil complementario del perfil de administrador del sistema. El perfil de gestión de la red incluye diferentes comandos con privilegios.
$ cd /etc/security $ grep "Network Management" exec_attr Network Management:solaris:cmd:::/usr/sbin/ifconfig:privs=sys_net_config Network Management:solaris:cmd:::/usr/sbin/route:privs=sys_net_config …
Los comandos y sus privilegios asignados son los dos últimos campos de las entradas de política solaris. Puede ejecutar estos comandos en un shell de perfil de su rol.
Ejemplo 11-12 Ejecución de los comandos con privilegios en su rol
Cuando un usuario asume un rol, el shell se convierte en un shell de perfil. Por lo tanto, los comandos se ejecutan con los privilegios que se asignaron a los comandos. En el siguiente ejemplo, el rol admin puede cambiar los permisos en el archivo useful.script.
% whoami jdoe % ls -l useful.script -rwxr-xr-- 1 elsee eng 262 Apr 2 10:52 useful.script chgrp admin useful.script chgrp: useful.script: Not owner % su - admin Password: <Type admin password> $ /usr/ucb/whoami admin $ chgrp admin useful.script $ chown admin useful.script $ ls -l useful.script -rwxr-xr-- 1 admin admin 262 Apr 2 10:53 useful.script