Omitir V�nculos de navegaci�n | |
Salir de la Vista de impresi�n | |
Guía de administración del sistema: servicios de seguridad |
Parte I Descripción general de la seguridad
1. Servicios de seguridad (descripción general)
Parte II Seguridad de sistemas, archivos y dispositivos
2. Gestión de seguridad de equipos (descripción general)
3. Control de acceso a sistemas (tareas)
4. Control de acceso a dispositivos (tareas)
5. Uso de la herramienta básica de creación de informes de auditoría (tareas)
6. Control de acceso a archivos (tareas)
Uso de permisos UNIX para proteger archivos
Comandos para visualizar y proteger archivos
Propiedad de archivos y directorios
Permisos de archivo especiales (setuid, setgid y bit de permanencia)
Uso de listas de control de acceso para proteger archivos UFS
Entradas de ACL para archivos UFS
Entradas de ACL para directorios UFS
Comandos para administrar ACL de UFS
Cómo impedir que los archivos ejecutables pongan en riesgo la seguridad
Protección de archivos (mapa de tareas)
Protección de archivos con permisos UNIX (mapa de tareas)
Cómo visualizar información de archivos
Cómo cambiar el propietario de un archivo local
Cómo cambiar la propiedad de grupo de un archivo
Cómo cambiar los permisos de archivo en modo simbólico
Cómo cambiar permisos de archivo en modo absoluto
Cómo cambiar permisos de archivo especiales en modo absoluto
Protección de archivos UFS con ACL (mapa de tareas)
Cómo comprobar si un archivo tiene una ACL
Cómo agregar entradas de ACL a un archivo
Cómo cambiar entradas de ACL en un archivo
Protección contra programas con riesgo de seguridad (mapa de tareas)
Cómo buscar archivos con permisos de archivo especiales
Cómo impedir que programas usen pilas ejecutables
7. Uso de la herramienta automatizada de mejora de la seguridad (tareas)
Parte III Roles, perfiles de derechos y privilegios
8. Uso de roles y privilegios (descripción general)
9. Uso del control de acceso basado en roles (tareas)
10. Control de acceso basado en roles (referencia)
Parte IV Servicios criptográficos
13. Estructura criptográfica de Oracle Solaris (descripción general)
14. Estructura criptográfica de Oracle Solaris (tareas)
15. Estructura de gestión de claves de Oracle Solaris
Parte V Servicios de autenticación y comunicación segura
16. Uso de servicios de autenticación (tareas)
19. Uso de Oracle Solaris Secure Shell (tareas)
20. Oracle Solaris Secure Shell (referencia)
21. Introducción al servicio Kerberos
22. Planificación del servicio Kerberos
23. Configuración del servicio Kerberos (tareas)
24. Mensajes de error y resolución de problemas de Kerberos
25. Administración de las políticas y los principales de Kerberos (tareas)
26. Uso de aplicaciones Kerberos (tareas)
27. El servicio Kerberos (referencia)
Parte VII Auditoría de Oracle Solaris
28. Auditoría de Oracle Solaris (descripción general)
29. Planificación de la auditoría de Oracle Solaris
30. Gestión de la auditoría de Oracle Solaris (tareas)
El siguiente mapa de tareas indica procedimientos que enumeran las ACL en un archivo UFS, cambian las ACL y copian las ACL en otro archivo.
|
% ls -l filename
donde nombre_archivo especifica el archivo o directorio.
En el resultado, un signo más (+) a la derecha del campo de modo indica que el archivo tiene una ACL.
Ejemplo 6-6 Comprobación para determinar si un archivo tiene una ACL
En el ejemplo siguiente, el archivo ch1.sgm tiene una ACL. La ACL se indica con el signo más (+) a la derecha del campo de modo.
% ls -l ch1.sgm -rwxr-----+ 1 stacey techpubs 167 Nov 11 11:13 ch1.sgm
% setfacl -s user::perms,group::perms,other:perms,mask:perms,acl-entry-list filename ...
Establece una ACL en el archivo. Si un archivo ya tiene una ACL, se sustituye. Esta opción requiere, al menos, las entradas user::, group:: y other::.
Especifica los permisos de propietario de archivo.
Especifica los permisos de propiedad de grupo.
Especifica los permisos para usuarios que no sean el propietario del archivo ni miembros del grupo.
Especifica los permisos para la máscara de la ACL. La máscara indica el número máximo de permisos que están permitidos para los usuarios (excepto el propietario) y para grupos.
Especifica la lista de una o más entradas de ACL para definir para usuarios y grupos específicos en el archivo o directorio. También puede definir entradas de ACL predeterminadas en un directorio. La Tabla 6-7 y la Tabla 6-8 muestran las entradas de ACL válidas.
Especifica uno o más archivos o directorios en los cuales se establecerá la ACL. Varios nombres de archivo (nombre_archivo) se separan con espacios.
Precaución - Si una ACL ya existe en el archivo, la opción -s sustituye toda la ACL con la nueva ACL. |
Para obtener más información, consulte la página del comando man setfacl(1).
% getfacl filename
Para obtener más información, consulte Cómo comprobar si un archivo tiene una ACL.
Ejemplo 6-7 Definición de una ACL en un archivo
En el ejemplo siguiente, los permisos de propietario de archivo están establecidos en lectura y escritura, los permisos de grupo de archivos están establecidos en sólo lectura y otros permisos están establecidos en ninguno en el archivo ch1.sgm. Además, al usuario anusha se le conceden permisos de lectura y escritura en el archivo. Los permisos de máscara de ACL están establecidos en lectura y escritura, lo que significa que ningún usuario ni grupo pueden tener permisos de ejecución.
% setfacl -s user::rw-,group::r--,other:---,mask:rw-,user:anusha:rw- ch1.sgm % ls -l total 124 -rw-r-----+ 1 stacey techpubs 34816 Nov 11 14:16 ch1.sgm -rw-r--r-- 1 stacey techpubs 20167 Nov 11 14:16 ch2.sgm -rw-r--r-- 1 stacey techpubs 8192 Nov 11 14:16 notes % getfacl ch1.sgm # file: ch1.sgm # owner: stacey # group: techpubs user::rw- user:anusha:rw- #effective:rw- group::r-- #effective:r-- mask:rw- other:---
En el ejemplo siguiente, los permisos de propietario de archivo están establecidos en lectura, escritura y ejecución, los permisos de grupo de archivos están establecidos en sólo lectura y otros permisos están establecidos en ninguno. Además, los permisos de máscara de la ACL están establecidos en lectura en el archivo ch2.sgm. Por último, al usuario anusha se le conceden permisos de lectura y escritura. Sin embargo, debido a la máscara de la ACL, los permisos para anusha son de sólo lectura.
% setfacl -s u::7,g::4,o:0,m:4,u:anusha:7 ch2.sgm % getfacl ch2.sgm # file: ch2.sgm # owner: stacey # group: techpubs user::rwx user:anusha:rwx #effective:r-- group::r-- #effective:r-- mask:r-- other:---
% getfacl filename1 | setfacl -f - filename2
Especifica el archivo desde el que se va a copiar la ACL.
Especifica el archivo en el cual se establecerá la ACL copiada.
Ejemplo 6-8 Copia de una ACL
En el ejemplo siguiente, la ACL en ch2.sgm se copia a ch3.sgm.
% getfacl ch2.sgm | setfacl -f - ch3.sgm
% setfacl -m acl-entry-list filename ...
Modifica la entrada de ACL existente.
Especifica la lista de una o más entradas de ACL para modificar en el archivo o directorio. También puede modificar las entradas de ACL predeterminadas en un directorio. La Tabla 6-7 y la Tabla 6-8 muestran las entradas de ACL válidas.
Especifica uno o más archivos o directorios, separados por un espacio.
% getfacl filename
Ejemplo 6-9 Modificación de entradas de ACL en un archivo
En el ejemplo siguiente, los permisos para el usuario anusha se modifican a lectura y escritura.
% setfacl -m user:anusha:6 ch3.sgm % getfacl ch3.sgm # file: ch3.sgm # owner: stacey # group: techpubs user::rw- user::anusha:rw- #effective:r-- group::r- #effective:r-- mask:r-- other:r-
En el siguiente ejemplo, los permisos predeterminados para el grupo staff se modifican a lectura en el directorio book. Además, los permisos de máscara de ACL predeterminados se modifican a lectura y escritura.
% setfacl -m default:group:staff:4,default:mask:6 book
% setfacl -d acl-entry-list filename ...
Elimina las entradas de ACL especificadas.
Especifica la lista de entradas de ACL (sin especificar los permisos) para eliminar del archivo o directorio. Sólo puede eliminar las entradas de la ACL y las entradas de la ACL predeterminadas para usuarios y grupos específicos. La Tabla 6-7 y la Tabla 6-8 muestran las entradas de ACL válidas.
Especifica uno o más archivos o directorios, separados por un espacio.
Como alternativa, puede utilizar el comando setfacl -s para eliminar todas las entradas de la ACL en un archivo y reemplazarlas con las nuevas entradas de la ACL que se han especificado.
% getfacl filename
Ejemplo 6-10 Eliminación de entradas de ACL en un archivo
En el siguiente ejemplo, el usuario anusha se elimina del archivo ch4.sgm.
% setfacl -d user:anusha ch4.sgm
% getfacl [-a | -d] filename ...
Muestra el nombre de archivo, el propietario de archivo, el grupo de archivos y las entradas de la ACL para el archivo o directorio especificado.
Muestra el nombre de archivo, el propietario de archivo, el grupo de archivos y las entradas de la ACL predeterminadas, si existen, para el directorio especificado.
Especifica uno o más archivos o directorios, separados por un espacio.
Si especifica varios nombres de archivo en la línea de comandos, las entradas de la ACL se muestran con una línea en blanco entre cada entrada.
Ejemplo 6-11 Visualización de entradas de ACL de un archivo
En el ejemplo siguiente, se muestran todas las entradas de la ACL para el archivo ch1.sgm. La nota #effective: junto a las entradas de usuario y grupo indica cuáles son los permisos después de ser modificados por la máscara de la ACL.
% getfacl ch1.sgm # file: ch1.sgm # owner: stacey # group: techpubs user::rw- user:anusha:r- #effective:r-- group::rw- #effective:rw- mask:rw- other:---
En el ejemplo siguiente, se muestran las entradas de la ACL predeterminadas para el directorio book.
% getfacl -d book # file: book # owner: stacey # group: techpubs user::rwx user:anusha:r-x #effective:r-x group::rwx #effective:rwx mask:rwx other:--- default:user::rw- default:user:anusha:r-- default:group::rw- default:mask:rw- default:other:---