Omitir V�nculos de navegaci�n | |
Salir de la Vista de impresi�n | |
Directrices de seguridad de Oracle Solaris 11 Oracle Solaris 11 Information Library (Español) |
1. Descripción general de la seguridad de Oracle Solaris 11
2. Configuración de la seguridad de Oracle Solaris 11
Instalación del SO Oracle Solaris
Deshabilitar servicios innecesarios
Quitar a los usuarios la capacidad de gestión de energía
Inserción de un mensaje de seguridad en los archivos de carátula
Inserción de un mensaje de seguridad en la pantalla de inicio de sesión del escritorio
Establecer limitaciones de contraseña más seguras
Establecer el bloqueo de cuenta para los usuarios comunes
Definir un valor umask más restrictivo para los usuarios comunes
Auditar eventos importantes además del inicio y el cierre de sesión
Supervisar eventos lo en tiempo real
Eliminar privilegios básicos innecesarios de los usuarios
Visualización de mensajes de seguridad para usuarios ssh y ftp
Deshabilitar el daemon de enrutamiento de red.
Deshabilitar el reenvío de paquetes de difusión
Deshabilitar las respuestas a las solicitudes de eco
Establecer hosts múltiples estrictos
Definir el número máximo de conexiones TCP incompletas
Definir el número máximo de conexiones TCP pendientes
Especificación de un número aleatorio fuerte para la conexión TCP inicial
Restablecer los valores seguros de los parámetros de red
Protección de los archivos y los sistemas de archivos
Protección y modificación de archivos
Protección de aplicaciones y servicios
Creación de zonas para contener aplicaciones críticas
Gestión de los recursos en las zonas
Adición de SMF a un servicio antiguo
Creación de una instantánea de BART del sistema
Adición de seguridad de varios niveles (con etiquetas)
Configuración de Trusted Extensions
Configuración de IPsec con etiquetas
3. Supervisión y mantenimiento de la seguridad de Oracle Solaris 11
La mejor manera de realizar las siguientes tareas es siguiendo el orden. En este momento, se instala el SO Oracle Solaris 11, y sólo el usuario inicial que puede asumir el rol root tiene acceso al sistema.
|
Inmediatamente después de la instalación, verifique los paquetes a fin de validar la instalación.
Antes de empezar
Debe tener el rol root.
Para llevar un registro, envíe la salida del comando en un archivo.
# pkg verify > /var/pkgverifylog
Véase también
Para obtener más información, consulte las páginas del comando man pkg(1) y pkg(5). Las páginas del comando man incluyen ejemplos de uso del comando pkg verify.
Utilice este procedimiento para deshabilitar servicios que no sean necesarios por el propósito de su sistema.
Antes de empezar
Debe tener el rol root.
# svcs | grep network online Sep_07 svc:/network/loopback:default ... online Sep_07 svc:/network/ssh:default
Por ejemplo, si el sistema no es un servidor NFS ni un servidor web, y los servicios están en línea, deshabilítelos.
# svcadm disable svc:/network/nfs/server:default # svcadm disable svc:/network/http:apache22
Véase también
Para obtener más información, consulte el Capítulo 6, Gestión de servicios (descripción general) de Administración de Oracle Solaris: tareas comunes and the svcs(1) man page.
Utilice este procedimiento para evitar que los usuarios de este sistema lo suspendan o lo apaguen.
Antes de empezar
Debe tener el rol root.
% getent prof_attr | grep Console Console User:RO::Manage System as the Console User: profiles=Desktop Removable Media User,Suspend To RAM,Suspend To Disk, Brightness,CPU Power Management,Network Autoconf User; auths=solaris.system.shutdown;help=RtConsUser.html
Para obtener instrucciones, consulte Cómo crear o cambiar un perfil de derechos de Administración de Oracle Solaris: servicios de seguridad.
#CONSOLE_USER=Console User
# usermod -P +new-profile username
Véase también
Para obtener más información, consulte Archivo policy.conf de Administración de Oracle Solaris: servicios de seguridad y las páginas del comando man policy.conf(4) y usermod(1M).
Utilice este procedimiento para crear mensajes de advertencia que reflejen la política de seguridad del sitio. El contenido de estos archivos se muestra en el inicio de sesión local y remoto.
Nota - Los mensajes de ejemplo que se incluyen en este procedimiento no cumplen con los requisitos del Gobierno de los Estados Unidos y es probable que tampoco cumplan con su política de seguridad.
Antes de empezar
Debe tener el rol root. Lo más recomendable es que consulte con el abogado de su empresa acerca de los contenidos del mensaje de seguridad.
# vi /etc/issue ALERT ALERT ALERT ALERT ALERT This machine is available to authorized users only. If you are an authorized user, continue. Your actions are monitored, and can be recorded.
Para obtener más información, consulte la página del comando man issue(4).
El programa telnet muestra el contenido del archivo /etc/issue como mensaje de inicio de sesión. Para que otras aplicaciones usen este archivo, consulte Visualización de mensajes de seguridad para usuarios ssh y ftp and Inserción de un mensaje de seguridad en la pantalla de inicio de sesión del escritorio.
# vi /etc/motd This system serves authorized users only. Activity is monitored and reported.
Escoja entre varios métodos para crear un mensaje de seguridad para que los usuarios puedan revisar al iniciar sesión.
Para obtener más información, haga clic en Sistema > Ayuda en el escritorio a fin de abrir el explorador de ayuda de GNOME. También puede usar el comando yelp. Las secuencias de comando de inicio de sesión de escritorio se describen en la sección GDM Login Scripts and Session Files de la página del comando man gdm(1M).
Nota - El mensaje de ejemplo que se incluye en este procedimiento no cumple con los requisitos del Gobierno de los Estados Unidos y es probable que tampoco cumpla con su política de seguridad.
Antes de empezar
Debe tener el rol root. Lo más recomendable es que consulte con el abogado de su empresa acerca de los contenidos del mensaje de seguridad.
Dispone de varias opciones. Las opciones que crean un cuadro de diálogo pueden usar el archivo /etc/issue de Paso 1 of Inserción de un mensaje de seguridad en los archivos de carátula.
# vi /usr/share/gdm/autostart/LoginWindow/banner.desktop [Desktop Entry] Type=Application Name=Banner Dialog Exec=/usr/bin/zenity --text-info --width=800 --height=300 \ --title="Security Message" \ --filename=/etc/issue OnlyShowIn=GNOME; X-GNOME-Autostart-Phase=Application
Después de que se haya autenticado en la ventana de inicio de sesión, el usuario deberá cerrar el cuadro de diálogo para llegar al espacio de trabajo. Para las opciones que permiten el comando zenity, consulte la página del comando man zenity(1).
El directorio /etc/gdm contiene tres secuencias de comando de inicialización que muestran el mensaje de seguridad antes, durante e inmediatamente después del inicio de sesión. Estas secuencias de comando también están disponibles en la versión Oracle Solaris 10.
# vi /etc/gdm/Init/Default /usr/bin/zenity --text-info --width=800 --height=300 \ --title="Security Message" \ --filename=/etc/issue
Esta secuencia de comandos se ejecuta antes de que aparezca el espacio de trabajo del usuario. Para crear esta secuencia de comandos, debe modificar la secuencia de comandos Default.sample.
# vi /etc/gdm/PostLogin/Default /usr/bin/zenity --text-info --width=800 --height=300 \ --title="Security Message" \ --filename=/etc/issue
# vi /etc/gdm/PreSession/Default /usr/bin/zenity --text-info --width=800 --height=300 \ --title="Security Message" \ --filename=/etc/issue
Nota - El cuadro de diálogo se puede cubrir con ventanas en el espacio de trabajo del usuario.
La ventana de inicio de sesión se expande para ajustarse al mensaje. Este método no hace referencia al archivo /etc/issue. Debe escribir el texto en la interfaz gráfica de usuario.
Nota - La ventana de inicio de sesión gdm-greeter-login-window.ui se sobreescribe con los comandos pkg fix y pkg update. Para conservar los cambios, copie el archivo en un directorio de archivos de configuración y combine sus cambios con el nuevo archivo después de actualizar el sistema. Para obtener más información, consulte la página del comando man pkg(5).
# cd /usr/share/gdm
# cp gdm-greeter-login-window.ui /etc/gdm/gdm-greeter-login-window.ui.orig
El programa glade-3 abre el diseñador de interfaces GTK+. Debe escribir el mensaje de seguridad en una etiqueta que se muestra sobre el campo de entrada de usuario.
# /usr/bin/glade-3 /usr/share/gdm/gdm-greeter-login-window.ui
Para revisar la guía en el diseñador de interfaces, haga clic en Desarrollo, en el explorador de la ayuda de GNOME. La página del comando man glade-3(1) aparece en la sección Aplicaciones de las páginas manuales.
# cp gdm-greeter-login-window.ui /etc/gdm/gdm-greeter-login-window.ui.site
Ejemplo 2-1 Creación de un breve mensaje de advertencia en el inicio de sesión del escritorio
En este ejemplo, el administrador escribe un mensaje breve como un argumento para el comando zenity en el archivo del escritorio. El administrador también utiliza la opción --warning, que muestra un icono de advertencia con el mensaje.
# vi /usr/share/gdm/autostart/LoginWindow/bannershort.desktop [Desktop Entry] Type=Application Name=Banner Dialog Exec=/usr/bin/zenity --warning --width=800 --height=150 --title="Security Message" \ --text="This system serves authorized users only. Activity is monitored and reported." OnlyShowIn=GNOME; X-GNOME-Autostart-Phase=Application