JavaScript is required to for searching.
Omitir V�nculos de navegaci�n
Salir de la Vista de impresi�n
Guía de administración del sistema: servicios de seguridad
Red de tecnolog�a de Oracle
Biblioteca
PDF
Vista de impresi�n
Comentarios
search filter icon
search icon

Información del documento

Prefacio

Parte I Descripción general de la seguridad

1.  Servicios de seguridad (descripción general)

Parte II Seguridad de sistemas, archivos y dispositivos

2.  Gestión de seguridad de equipos (descripción general)

3.  Control de acceso a sistemas (tareas)

4.  Control de acceso a dispositivos (tareas)

5.  Uso de la herramienta básica de creación de informes de auditoría (tareas)

6.  Control de acceso a archivos (tareas)

Uso de permisos UNIX para proteger archivos

Comandos para visualizar y proteger archivos

Propiedad de archivos y directorios

Permisos de archivo UNIX

Permisos de archivo especiales (setuid, setgid y bit de permanencia)

Permiso setuid

Permiso setgid

Bit de permanencia

Valor umask predeterminado

Modos de permiso de archivo

Uso de listas de control de acceso para proteger archivos UFS

Entradas de ACL para archivos UFS

Entradas de ACL para directorios UFS

Comandos para administrar ACL de UFS

Cómo impedir que los archivos ejecutables pongan en riesgo la seguridad

Protección de archivos (mapa de tareas)

Protección de archivos con permisos UNIX (mapa de tareas)

Cómo visualizar información de archivos

Cómo cambiar el propietario de un archivo local

Cómo cambiar la propiedad de grupo de un archivo

Cómo cambiar los permisos de archivo en modo simbólico

Cómo cambiar permisos de archivo en modo absoluto

Cómo cambiar permisos de archivo especiales en modo absoluto

Protección de archivos UFS con ACL (mapa de tareas)

Cómo comprobar si un archivo tiene una ACL

Cómo agregar entradas de ACL a un archivo

Cómo copiar una ACL

Cómo cambiar entradas de ACL en un archivo

Cómo eliminar entradas de ACL de un archivo

Cómo visualizar entradas de ACL de un archivo

Protección contra programas con riesgo de seguridad (mapa de tareas)

Cómo buscar archivos con permisos de archivo especiales

Cómo impedir que programas usen pilas ejecutables

7.  Uso de la herramienta automatizada de mejora de la seguridad (tareas)

Parte III Roles, perfiles de derechos y privilegios

8.  Uso de roles y privilegios (descripción general)

9.  Uso del control de acceso basado en roles (tareas)

10.  Control de acceso basado en roles (referencia)

11.  Privilegios (tareas)

12.  Privilegios (referencia)

Parte IV Servicios criptográficos

13.  Estructura criptográfica de Oracle Solaris (descripción general)

14.  Estructura criptográfica de Oracle Solaris (tareas)

15.  Estructura de gestión de claves de Oracle Solaris

Parte V Servicios de autenticación y comunicación segura

16.  Uso de servicios de autenticación (tareas)

17.  Uso de PAM

18.  Uso de SASL

19.  Uso de Oracle Solaris Secure Shell (tareas)

20.  Oracle Solaris Secure Shell (referencia)

Parte VI Servicio Kerberos

21.  Introducción al servicio Kerberos

22.  Planificación del servicio Kerberos

23.  Configuración del servicio Kerberos (tareas)

24.  Mensajes de error y resolución de problemas de Kerberos

25.  Administración de las políticas y los principales de Kerberos (tareas)

26.  Uso de aplicaciones Kerberos (tareas)

27.  El servicio Kerberos (referencia)

Parte VII Auditoría de Oracle Solaris

28.  Auditoría de Oracle Solaris (descripción general)

29.  Planificación de la auditoría de Oracle Solaris

30.  Gestión de la auditoría de Oracle Solaris (tareas)

31.  Auditoría de Oracle Solaris (referencia)

Glosario

Índice

Protección contra programas con riesgo de seguridad (mapa de tareas)

El siguiente mapa de tareas indica procedimientos que buscan ejecutables riesgosos en el sistema y que impiden que los programas se aprovechen de una pila ejecutable.

Tarea
Descripción
Para obtener instrucciones
Buscar archivos con permisos especiales
Localiza archivos con el bit setuid establecido, pero que no son propiedad del usuario root.
Cómo buscar archivos con permisos de archivo especiales
Evitar que pilas ejecutables se desborden
Impide que los programas se aprovechen de una pila ejecutable.
Cómo impedir que programas usen pilas ejecutables
Evitar el registro de mensajes de pilas ejecutables
Desactiva el registro de mensajes de pilas ejecutables.
Ejemplo 6-13

Cómo buscar archivos con permisos de archivo especiales

Debe supervisar el sistema para detectar cualquier uso no autorizado de los permisos setuid y setgid en los programas. Los permisos setuid y setgid permiten a los usuarios comunes adquirir capacidades de superusuario. Un archivo ejecutable sospechoso concede propiedad a un usuario en lugar de a root o bin.

  1. Asuma el rol de administrador principal o conviértase en superusuario.

    El rol de administrador principal incluye el perfil de administrador principal. Para crear el rol y asignarlo a un usuario, consulte el Capítulo 2, Trabajo con Solaris Management Console (tareas) de Guía de administración del sistema: administración básica.

  2. Busque archivos con permisos setuid mediante el comando find.
    # find directory -user root -perm -4000 -exec ls -ldb {} \; >/tmp/filename
    find directorio

    Comprueba todas las rutas montadas a partir del directorio) especificado, que puede ser root (/), sys, bin o mail.

    -user root

    Muestra archivos que sólo son propiedad de root.

    -perm -4000

    Muestra archivos sólo con permisos establecidos en 4000.

    -exec ls -ldb

    Muestra el resultado del comando find en formato ls -ldb.

    /tmp/nombre_archivo

    Es el archivo que contiene los resultados del comando find.

  3. Muestra los resultados en /tmp/nombre_archivo.
    # more /tmp/filename

    Para obtener más información sobre los permisos setuid, consulte Permiso setuid.

Ejemplo 6-12 Búsqueda de archivos con permisos setuid

El resultado del siguiente ejemplo muestra que un usuario en un grupo denominado rar ha realizado una copia personal de /usr/bin/sh y ha establecido los permisos como setuid en root. Como resultado, el programa /usr/rar/bin/sh se ejecuta con permisos root.

Este resultado se ha guardado para referencia futura al mover el directorio /var/tmp/chkprm al directorio /export/sysreports/ckprm.

# find / -user root -perm -4000 -exec ls -ldb {} \; > /var/tmp/ckprm
# cat /var/tmp/ckprm
-r-sr-xr-x 1 root bin 38836 Aug 10 16:16 /usr/bin/at
-r-sr-xr-x 1 root bin 19812 Aug 10 16:16 /usr/bin/crontab
---s--x--x 1 root sys 46040 Aug 10 15:18 /usr/bin/ct
-r-sr-xr-x 1 root sys 12092 Aug 11 01:29 /usr/lib/mv_dir
-r-sr-sr-x 1 root bin 33208 Aug 10 15:55 /usr/lib/lpadmin
-r-sr-sr-x 1 root bin 38696 Aug 10 15:55 /usr/lib/lpsched
---s--x--- 1 root rar 45376 Aug 18 15:11 /usr/rar/bin/sh
-r-sr-xr-x 1 root bin 12524 Aug 11 01:27 /usr/bin/df
-rwsr-xr-x 1 root sys 21780 Aug 11 01:27 /usr/bin/newgrp
-r-sr-sr-x 1 root sys 23000 Aug 11 01:27 /usr/bin/passwd
-r-sr-xr-x 1 root sys 23824 Aug 11 01:27 /usr/bin/su
# mv /var/tmp/ckprm /export/sysreports/ckprm

Cómo impedir que programas usen pilas ejecutables

Para obtener una descripción de los riesgos de seguridad de las pilas ejecutables, consulte Cómo impedir que los archivos ejecutables pongan en riesgo la seguridad.

  1. Asuma el rol de administrador principal o conviértase en superusuario.

    El rol de administrador principal incluye el perfil de administrador principal. Para crear el rol y asignarlo a un usuario, consulte el Capítulo 2, Trabajo con Solaris Management Console (tareas) de Guía de administración del sistema: administración básica.

  2. Edite el archivo /etc/system y agregue la siguiente línea:
    set noexec_user_stack=1
  3. Reinicie el sistema.
    # init 6

Ejemplo 6-13 Deshabilitación del registro de mensajes de pilas ejecutables

En este ejemplo, el registro de mensajes de pilas ejecutables se deshabilita y el sistema se reinicia.

# cat /etc/system
set noexec_user_stack=1
set noexec_user_stack_log=0
# init 6
Copyright © 2002, 2011, Oracle y/o sus subsidiarias. Todos los derechos reservados. Advertencia legal
Anterior Siguiente