JavaScript is required to for searching.
Omitir V�nculos de navegaci�n
Salir de la Vista de impresi�n
Guía de administración del sistema: servicios de seguridad
search filter icon
search icon

Información del documento

Prefacio

Parte I Descripción general de la seguridad

1.  Servicios de seguridad (descripción general)

Parte II Seguridad de sistemas, archivos y dispositivos

2.  Gestión de seguridad de equipos (descripción general)

3.  Control de acceso a sistemas (tareas)

4.  Control de acceso a dispositivos (tareas)

5.  Uso de la herramienta básica de creación de informes de auditoría (tareas)

6.  Control de acceso a archivos (tareas)

7.  Uso de la herramienta automatizada de mejora de la seguridad (tareas)

Parte III Roles, perfiles de derechos y privilegios

8.  Uso de roles y privilegios (descripción general)

9.  Uso del control de acceso basado en roles (tareas)

10.  Control de acceso basado en roles (referencia)

11.  Privilegios (tareas)

12.  Privilegios (referencia)

Parte IV Servicios criptográficos

13.  Estructura criptográfica de Oracle Solaris (descripción general)

14.  Estructura criptográfica de Oracle Solaris (tareas)

15.  Estructura de gestión de claves de Oracle Solaris

Parte V Servicios de autenticación y comunicación segura

16.  Uso de servicios de autenticación (tareas)

17.  Uso de PAM

18.  Uso de SASL

19.  Uso de Oracle Solaris Secure Shell (tareas)

Oracle Solaris Secure Shell (descripción general)

Autenticación de Oracle Solaris Secure Shell

Secure Shell en la empresa

Oracle Solaris Secure Shell y el proyecto OpenSSH

Oracle Solaris Secure Shell (mapa de tareas)

Configuración de Oracle Solaris Secure Shell (mapa de tareas)

Configuración de Oracle Solaris Secure Shell (tareas)

Cómo configurar la autenticación basada en host para Secure Shell

Cómo habilitar Secure Shell v1

Cómo configurar el reenvío del puerto en Secure Shell

Uso de Oracle Solaris Secure Shell (mapa de tareas)

Uso de Oracle Solaris Secure Shell (tareas)

Cómo generar un par de clave pública y clave privada para utilizar con Secure Shell

Cómo cambiar la frase de contraseña de una clave privada de Secure Shell

Cómo iniciar sesión en un host remoto con Secure Shell

Cómo reducir indicadores de contraseñas en Secure Shell

Cómo configurar el comando ssh-agent para que se ejecute automáticamente en el CDE

Cómo utilizar el reenvío del puerto en Secure Shell

Cómo copiar archivos con Secure Shell

Cómo configurar conexiones predeterminadas a hosts fuera de un cortafuegos

20.  Oracle Solaris Secure Shell (referencia)

Parte VI Servicio Kerberos

21.  Introducción al servicio Kerberos

22.  Planificación del servicio Kerberos

23.  Configuración del servicio Kerberos (tareas)

24.  Mensajes de error y resolución de problemas de Kerberos

25.  Administración de las políticas y los principales de Kerberos (tareas)

26.  Uso de aplicaciones Kerberos (tareas)

27.  El servicio Kerberos (referencia)

Parte VII Auditoría de Oracle Solaris

28.  Auditoría de Oracle Solaris (descripción general)

29.  Planificación de la auditoría de Oracle Solaris

30.  Gestión de la auditoría de Oracle Solaris (tareas)

31.  Auditoría de Oracle Solaris (referencia)

Glosario

Índice

Configuración de Oracle Solaris Secure Shell (tareas)

De manera predeterminada, la autenticación basada en host y el uso de ambos protocolos no están habilitados en Secure Shell. El cambio de estos valores predeterminados requiere intervención administrativa. Para que el reenvío del puerto funcione, también se requiere intervención administrativa.

Cómo configurar la autenticación basada en host para Secure Shell

El siguiente procedimiento configura un sistema de clave pública en el que la clave pública del cliente se utiliza para la autenticación en el servidor. El usuario también debe crear un par de clave pública y clave privada.

En el procedimiento, los términos cliente y host local hacen referencia al equipo en el que un usuario introduce el comando ssh. Los términos servidor y host remoto hacen referencia al equipo al que el cliente está intentando acceder.

  1. Asuma el rol de administrador principal o conviértase en superusuario.

    El rol de administrador principal incluye el perfil de administrador principal. Para crear el rol y asignarlo a un usuario, consulte el Capítulo 2, Trabajo con Solaris Management Console (tareas) de Guía de administración del sistema: administración básica.

  2. En el cliente, habilite la autenticación basada en host.

    En el archivo de configuración del cliente, /etc/ssh/ssh_config, escriba la siguiente entrada:

    HostbasedAuthentication yes

    Para ver la sintaxis del archivo, consulte la página del comando man ssh_config(4).

  3. En el servidor, habilite la autenticación basada en host.

    En el archivo de configuración del servidor, /etc/ssh/sshd_config, escriba la misma entrada:

    HostbasedAuthentication yes

    Para ver la sintaxis del archivo, consulte la página del comando man sshd_config(4).

  4. En el servidor, configure un archivo que permita que el cliente se reconozca como un host de confianza.

    Para obtener más información, consulte la sección FILES de la página del comando man sshd(1M).

    • Agregue el cliente como una entrada al archivo /etc/ssh/shosts.equiv del servidor.
      client-host
    • También puede indicar a los usuarios que agreguen una entrada para el cliente a sus archivos ~/.shosts en el servidor.
      client-host
  5. En el servidor, asegúrese de que el daemon sshd pueda acceder a la lista de hosts de confianza.

    Establezca IgnoreRhosts en no en el archivo /etc/ssh/sshd_config.

    ## sshd_config
    IgnoreRhosts no
  6. Asegúrese de que los usuarios de Secure Shell en su sitio tengan cuentas en ambos hosts.
  7. Realice una de las siguientes acciones para colocar la clave pública del cliente en el servidor.
    • Modifique el archivo sshd_config en el servidor y luego indique a sus usuarios que agreguen las claves de host públicas del cliente a sus archivos ~/.ssh/known_hosts.
      ## sshd_config
      IgnoreUserKnownHosts no

      Para obtener instrucciones para el usuario, consulte Cómo generar un par de clave pública y clave privada para utilizar con Secure Shell.

    • Copie la clave pública del cliente en el servidor.

      Las claves de host se almacenan en el directorio /etc/ssh. Las claves suelen ser generadas por el daemon sshd al iniciar por primera vez.

      1. Agregue la clave al archivo /etc/ssh/ssh_known_hosts en el servidor.

        En el cliente, escriba el comando en una línea sin barra diagonal inversa.

        # cat /etc/ssh/ssh_host_dsa_key.pub | ssh RemoteHost \
        'cat >> /etc/ssh/ssh_known_hosts && echo "Host key copied"'
      2. Cuando se le pida, proporcione la contraseña de inicio de sesión.

        Cuando el archivo se copia, se muestra el mensaje “Host key copied” (clave de host copiada).

        Cada línea en el archivo /etc/ssh/ssh_known_hosts consta de campos que están separados por espacios:

        hostnames algorithm-name publickey comment
      3. Edite el archivo /etc/ssh/ssh_known_hosts y agregue RemoteHost como el primer campo en la entrada copiada.
        ## /etc/ssh/ssh_known_hosts File
        RemoteHost <copied entry>

Ejemplo 19-1 Configuración de autenticación basada en host

En el siguiente ejemplo, cada host está configurado como servidor y como cliente. Un usuario en cualquiera de los hosts puede iniciar una conexión ssh al otro host. La siguiente configuración hace que cada host sea un servidor y un cliente:

Cómo habilitar Secure Shell v1

Este procedimiento resulta útil cuando un host interopera con hosts que ejecutan v1 y v2.

  1. Asuma el rol de administrador principal o conviértase en superusuario.

    El rol de administrador principal incluye el perfil de administrador principal. Para crear el rol y asignarlo a un usuario, consulte el Capítulo 2, Trabajo con Solaris Management Console (tareas) de Guía de administración del sistema: administración básica.

  2. Configure el host para que utilice ambos protocolos de Secure Shell.

    Edite el archivo /etc/ssh/sshd_config.

    # Protocol 2
    Protocol 2,1
  3. Proporcione un archivo separado para la clave de host de v1.

    Agregue una entrada HostKey al archivo /etc/ssh/sshd_config.

    HostKey /etc/ssh/ssh_host_rsa_key
    HostKey /etc/ssh/ssh_host_dsa_key
    HostKey /etc/ssh/ssh_host_rsa1_key
  4. Genere una clave de host para v1.
    # ssh-keygen -t rsa1 -f /etc/ssh/ssh_host_rsa1_key -N ''
    -t rsa1

    Indica el algoritmo RSA para v1.

    -f

    Indica el archivo que contiene la clave de host.

    -N ''

    Indica que no se requiere ninguna frase de contraseña.

  5. Reinicie el daemon sshd.
    # svcadm restart network/ssh:default

    También puede reiniciar el sistema.

Cómo configurar el reenvío del puerto en Secure Shell

El reenvío del puerto permite que un puerto local sea reenviado a un host remoto. Efectivamente, un socket se asigna para escuchar el puerto en el lado local. De forma similar, un puerto se puede especificar en el lado remoto.


Nota - El reenvío del puerto de Secure Shell debe utilizar conexiones TCP. Secure Shell no admite conexiones UDP para el reenvío del puerto.


  1. Asuma el rol de administrador principal o conviértase en superusuario.

    El rol de administrador principal incluye el perfil de administrador principal. Para crear el rol y asignarlo a un usuario, consulte el Capítulo 2, Trabajo con Solaris Management Console (tareas) de Guía de administración del sistema: administración básica.

  2. Configure un valor de Secure Shell en el servidor remoto para permitir el reenvío del puerto.

    Cambie el valor de AllowTcpForwarding a yes en el archivo /etc/ssh/sshd_config.

    # Port forwarding
    AllowTcpForwarding yes
  3. Reinicie el servicio de Secure Shell.
    remoteHost# svcadm restart network/ssh:default

    Para obtener información sobre la gestión de servicios persistentes, consulte el Capítulo 18, Gestión de servicios (descripción general) de Guía de administración del sistema: administración básica y la página del comando man svcadm(1M).

  4. Verifique que el reenvío del puerto se pueda utilizar.
    remoteHost# /usr/bin/pgrep -lf sshd
     1296 ssh -L 2001:remoteHost:23 remoteHost