Omitir V�nculos de navegaci�n | |
Salir de la Vista de impresi�n | |
Guía de administración del sistema: servicios de seguridad |
Parte I Descripción general de la seguridad
1. Servicios de seguridad (descripción general)
Parte II Seguridad de sistemas, archivos y dispositivos
2. Gestión de seguridad de equipos (descripción general)
3. Control de acceso a sistemas (tareas)
4. Control de acceso a dispositivos (tareas)
5. Uso de la herramienta básica de creación de informes de auditoría (tareas)
6. Control de acceso a archivos (tareas)
Uso de permisos UNIX para proteger archivos
Comandos para visualizar y proteger archivos
Propiedad de archivos y directorios
Permisos de archivo especiales (setuid, setgid y bit de permanencia)
Uso de listas de control de acceso para proteger archivos UFS
Entradas de ACL para archivos UFS
Entradas de ACL para directorios UFS
Comandos para administrar ACL de UFS
Cómo impedir que los archivos ejecutables pongan en riesgo la seguridad
Protección de archivos (mapa de tareas)
Protección de archivos con permisos UNIX (mapa de tareas)
Cómo visualizar información de archivos
Cómo cambiar el propietario de un archivo local
Cómo cambiar la propiedad de grupo de un archivo
Cómo cambiar los permisos de archivo en modo simbólico
Cómo cambiar permisos de archivo en modo absoluto
Cómo cambiar permisos de archivo especiales en modo absoluto
Protección de archivos UFS con ACL (mapa de tareas)
Cómo comprobar si un archivo tiene una ACL
Cómo agregar entradas de ACL a un archivo
Cómo cambiar entradas de ACL en un archivo
Cómo eliminar entradas de ACL de un archivo
Cómo visualizar entradas de ACL de un archivo
Protección contra programas con riesgo de seguridad (mapa de tareas)
7. Uso de la herramienta automatizada de mejora de la seguridad (tareas)
Parte III Roles, perfiles de derechos y privilegios
8. Uso de roles y privilegios (descripción general)
9. Uso del control de acceso basado en roles (tareas)
10. Control de acceso basado en roles (referencia)
Parte IV Servicios criptográficos
13. Estructura criptográfica de Oracle Solaris (descripción general)
14. Estructura criptográfica de Oracle Solaris (tareas)
15. Estructura de gestión de claves de Oracle Solaris
Parte V Servicios de autenticación y comunicación segura
16. Uso de servicios de autenticación (tareas)
19. Uso de Oracle Solaris Secure Shell (tareas)
20. Oracle Solaris Secure Shell (referencia)
21. Introducción al servicio Kerberos
22. Planificación del servicio Kerberos
23. Configuración del servicio Kerberos (tareas)
24. Mensajes de error y resolución de problemas de Kerberos
25. Administración de las políticas y los principales de Kerberos (tareas)
26. Uso de aplicaciones Kerberos (tareas)
27. El servicio Kerberos (referencia)
Parte VII Auditoría de Oracle Solaris
28. Auditoría de Oracle Solaris (descripción general)
29. Planificación de la auditoría de Oracle Solaris
30. Gestión de la auditoría de Oracle Solaris (tareas)
El siguiente mapa de tareas indica procedimientos que buscan ejecutables riesgosos en el sistema y que impiden que los programas se aprovechen de una pila ejecutable.
|
Debe supervisar el sistema para detectar cualquier uso no autorizado de los permisos setuid y setgid en los programas. Los permisos setuid y setgid permiten a los usuarios comunes adquirir capacidades de superusuario. Un archivo ejecutable sospechoso concede propiedad a un usuario en lugar de a root o bin.
El rol de administrador principal incluye el perfil de administrador principal. Para crear el rol y asignarlo a un usuario, consulte el Capítulo 2, Trabajo con Solaris Management Console (tareas) de Guía de administración del sistema: administración básica.
# find directory -user root -perm -4000 -exec ls -ldb {} \; >/tmp/filename
Comprueba todas las rutas montadas a partir del directorio) especificado, que puede ser root (/), sys, bin o mail.
Muestra archivos que sólo son propiedad de root.
Muestra archivos sólo con permisos establecidos en 4000.
Muestra el resultado del comando find en formato ls -ldb.
Es el archivo que contiene los resultados del comando find.
# more /tmp/filename
Para obtener más información sobre los permisos setuid, consulte Permiso setuid.
Ejemplo 6-12 Búsqueda de archivos con permisos setuid
El resultado del siguiente ejemplo muestra que un usuario en un grupo denominado rar ha realizado una copia personal de /usr/bin/sh y ha establecido los permisos como setuid en root. Como resultado, el programa /usr/rar/bin/sh se ejecuta con permisos root.
Este resultado se ha guardado para referencia futura al mover el directorio /var/tmp/chkprm al directorio /export/sysreports/ckprm.
# find / -user root -perm -4000 -exec ls -ldb {} \; > /var/tmp/ckprm # cat /var/tmp/ckprm -r-sr-xr-x 1 root bin 38836 Aug 10 16:16 /usr/bin/at -r-sr-xr-x 1 root bin 19812 Aug 10 16:16 /usr/bin/crontab ---s--x--x 1 root sys 46040 Aug 10 15:18 /usr/bin/ct -r-sr-xr-x 1 root sys 12092 Aug 11 01:29 /usr/lib/mv_dir -r-sr-sr-x 1 root bin 33208 Aug 10 15:55 /usr/lib/lpadmin -r-sr-sr-x 1 root bin 38696 Aug 10 15:55 /usr/lib/lpsched ---s--x--- 1 root rar 45376 Aug 18 15:11 /usr/rar/bin/sh -r-sr-xr-x 1 root bin 12524 Aug 11 01:27 /usr/bin/df -rwsr-xr-x 1 root sys 21780 Aug 11 01:27 /usr/bin/newgrp -r-sr-sr-x 1 root sys 23000 Aug 11 01:27 /usr/bin/passwd -r-sr-xr-x 1 root sys 23824 Aug 11 01:27 /usr/bin/su # mv /var/tmp/ckprm /export/sysreports/ckprm
Para obtener una descripción de los riesgos de seguridad de las pilas ejecutables, consulte Cómo impedir que los archivos ejecutables pongan en riesgo la seguridad.
El rol de administrador principal incluye el perfil de administrador principal. Para crear el rol y asignarlo a un usuario, consulte el Capítulo 2, Trabajo con Solaris Management Console (tareas) de Guía de administración del sistema: administración básica.
set noexec_user_stack=1
# init 6
Ejemplo 6-13 Deshabilitación del registro de mensajes de pilas ejecutables
En este ejemplo, el registro de mensajes de pilas ejecutables se deshabilita y el sistema se reinicia.
# cat /etc/system set noexec_user_stack=1 set noexec_user_stack_log=0 # init 6