Protección de los usuarios

En este momento, sólo el usuario inicial que pueda asumir el rol root tiene acceso al sistema. La mejor manera de realizar las siguientes tareas es siguiendo el orden, antes de que los usuarios comunes puedan iniciar sesión.

Tarea	Descripción	Para obtener instrucciones
Requerir contraseñas seguras y cambios de contraseña frecuentes.	Aumentar las limitaciones de la contraseña predeterminada en cada sistema.	Establecer limitaciones de contraseña más seguras
Configurar permisos de archivo restrictivos para los usuarios comunes.	Fijar un valor más restrictivo que `022` para los permisos de archivo de los usuarios comunes.	Definir un valor `umask` más restrictivo para los usuarios comunes.
Establecer el bloqueo de cuenta para los usuarios comunes.	En sistemas que no se usan para la administración, establecer el bloqueo de cuenta en todo el sistema y reducir la cantidad de inicios de sesión que activan el bloqueo.	Establecer el bloqueo de cuenta para los usuarios comunes
Preseleccionar clases de auditoría adicionales.	Proporcionar mejores supervisión y registro de las amenazas potenciales para el sistema.	Auditar eventos importantes además del inicio y el cierre de sesión
Enviar resúmenes de texto de eventos de auditoría a la utilidad `syslog`.	Proporcionar cobertura en tiempo real de eventos de auditoría importantes, como los inicios de sesión y los intentos de inicio de sesión.	Supervisar eventos `lo` en tiempo real
Crear roles.	Distribuir tareas administrativas discretas a varios usuarios de confianza para que ningún usuario pueda dañar el sistema.	Configuración de cuentas de usuario de Administración de Oracle Solaris: tareas comunes Cómo crear un rol de Administración de Oracle Solaris: servicios de seguridad Cómo asignar un rol de Administración de Oracle Solaris: servicios de seguridad.
Mostrar aplicaciones permitidas solamente en el escritorio del usuario.	Impedir que los usuarios vean o usen aplicaciones para las que no tienen autorización de uso.	Consulte Cómo limitar el acceso de un usuario a las aplicaciones de escritorio de Configuración y administración de Trusted Extensions.
Limitar los privilegios del usuario.	Eliminar privilegios básicos que los usuarios no necesiten.	Eliminar privilegios básicos innecesarios de los usuarios

Establecer limitaciones de contraseña más seguras

Utilice este procedimiento si los valores predeterminados no cumplen con los requisitos de seguridad del sitio. Los pasos siguen la lista de entradas en el archivo /etc/default/passwd.

Antes de empezar

Antes de cambiar los valores predeterminados, asegúrese de que los cambios permitan a todos los usuarios realizar la autenticación en sus aplicaciones y en otros sistemas de la red.

Debe tener el rol root.

Edite el archivo /etc/default/passwd.
1. Solicite a los usuarios que cambien sus contraseñas todos los meses, pero nunca cada menos de tres semanas.
```
## /etc/default/passwd
##
MAXWEEKS=
MINWEEKS=
MAXWEEKS=4
MINWEEKS=3
```
2. Solicite una contraseña de al menos ocho caracteres.
```
#PASSLENGTH=6
PASSLENGTH=8
```
3. Mantenga un historial de contraseñas.
```
#HISTORY=0
HISTORY=10
```
4. Requiera que haya alguna diferencia mínima con la última contraseña.
```
#MINDIFF=3
MINDIFF=4
```
5. Solicite que haya al menos una letra en mayúscula.
```
#MINUPPER=0
MINUPPER=1
```
6. Solicite que haya al menos un dígito.
```
#MINDIGIT=0
MINDIGIT=1
```

Véase también

Para ver la lista de variables que limitan la creación de contraseñas, consulte el archivo /etc/default/passwd. Los valores predeterminados se indican en el archivo.
Para obtener información sobre las limitaciones de contraseña que se aplican después de la instalación, consulte El sistema de acceso está limitado y supervisado.
Página del comando man passwd(1)

Establecer el bloqueo de cuenta para los usuarios comunes

Utilice este procedimiento para bloquear cuentas de usuarios comunes después de un determinado número de intentos de inicio de sesión fallidos.

Nota - No establezca el bloqueo de cuenta para los usuarios que pueden asumir roles, ya que esto puede bloquear el rol.

Antes de empezar

Debe tener el rol root. No establezca esta protección en la totalidad de un sistema que utilice para las actividades administrativas.

Establezca el atributo de seguridad LOCK_AFTER_RETRIES en YES (sí).

Para todo el sistema.

# vi /etc/security/policy.conf
...
#LOCK_AFTER_RETRIES=NO
LOCK_AFTER_RETRIES=YES
...

Para un usuario.

# usermod -K lock_after_retries=yes username

Establezca el atributo de seguridad RETRIES en 3.

# vi /etc/default/login
...
#RETRIES=5
RETRIES=3
...

Véase también

Para leer una explicación de los atributos de seguridad de los usuarios y los roles, consulte el Capítulo 10, Atributos de seguridad en Oracle Solaris (referencia) de Administración de Oracle Solaris: servicios de seguridad.
Las páginas del comando man seleccionadas son: policy.conf(4) y user_attr(4).

Definir un valor `umask` más restrictivo para los usuarios comunes

Si el valor umask predeterminado (022) no es lo suficientemente restrictivo, defina una máscara más restrictiva mediante el siguiente procedimiento.

Antes de empezar

Debe tener el rol root.

Modifique el valor de umask en los perfiles de inicio de sesión de la estructura básica de directorios para los distintos shells.
Oracle Solaris proporciona directorios para que los administradores personalicen los valores predeterminados de shell de usuario. Estas estructuras de directorios incluyen archivos como .profile , .bashrc y .kshrc.

Elija uno de los siguientes valores:
- umask 027: proporciona una protección de archivos moderada
  
  (740) – w para el grupo, rwx para otros
- umask 026: proporciona una protección de archivos un poco más estricta
  
  (741) – w para el grupo, rw para otros
- umask 077: proporciona una protección de archivos completa
  
  (700) – sin acceso ni para el grupo ni para otros

Véase también

Para obtener más información, consulte lo siguiente:

Configuración de cuentas de usuario de Administración de Oracle Solaris: tareas comunes
Valor umask predeterminado de Administración de Oracle Solaris: servicios de seguridad
Las páginas del comando man seleccionadas son: usermod(1M) y umask(1).

Auditar eventos importantes además del inicio y el cierre de sesión

Utilice este procedimiento para auditar los comandos administrativos, los intentos de invasión del sistema y otros eventos importantes según lo especificado por la política de seguridad.

Nota - Puede que los ejemplos de este procedimiento no sean suficientes para su política de seguridad.

Antes de empezar

Debe tener el rol root. Implementará la política de seguridad de su sitio respecto de la auditoría.

Audite todos los usos de los comandos con privilegios por parte de los usuarios y los roles.
Para todos los usuarios y los roles, agregue el evento de auditoría AUE_PFEXEC a su máscara de preselección.
```
# usermod -K audit_flags=lo,ps:no username
```
```
# rolemod -K audit_flags=lo,ps:no rolename
```
Registre los argumentos de los comandos auditados.
```
# auditconfig -setpolicy +argv
```
Registre el entorno en el que se ejecutan los comandos auditados.
```
# auditconfig -setpolicy +arge
```

Véase también

Para obtener información sobre la política de auditoría, consulte Política de auditoría de Administración de Oracle Solaris: servicios de seguridad.
Para obtener ejemplos sobre cómo establecer indicadores de auditoría, consulte Configuración del servicio de auditoría (tareas) de Administración de Oracle Solaris: servicios de seguridad y Solución de problemas del servicio de auditoría (tareas) de Administración de Oracle Solaris: servicios de seguridad.
Para ver cómo configurar la auditoría, consulte la página del comando man auditconfig(1M).

Supervisar eventos `lo` en tiempo real

Utilice este procedimiento para activar el complemento audit_syslog para los eventos que desea supervisar en el momento en que se producen.

Antes de empezar

Debe estar en el rol root para modificar el archivo syslog.conf. Para realizar otros pasos debe tener asignado el perfil de derechos de configuración de auditoría.

Envíe la clase lo al complemento audit_syslog para activarlo.
```
# auditconfig -setplugin audit_syslog active p_flags=lo
```
Agregue una entrada audit.notice al archivo syslog.conf.
La entrada predeterminada incluye la ubicación del archivo de registro.
```
# cat /etc/syslog.conf
…
audit.notice       /var/adm/auditlog
```
Cree el archivo de registro.
```
# touch /var/adm/auditlog
```
Refresque la información de configuración para el servicio syslog.
```
# svcadm refresh system/system-log
```
Refresque el servicio de auditoría.
El servicio de auditoría lee los cambios en el complemento de auditoría tras el refrescamiento.
```
# audit -s
```

Véase también

Para ver cómo enviar resúmenes de auditoría a otro sistema, consulte el ejemplo de Cómo configurar registros de auditoría syslog de Administración de Oracle Solaris: servicios de seguridad.
El servicio de auditoría puede generar muchas salidas. Para gestionar los registros, consulte la página del comando man logadm(1M).
Para ver cómo supervisar la salida, consulte Supervisión de los resúmenes de auditoría de audit_syslog.

Eliminar privilegios básicos innecesarios de los usuarios

En determinadas circunstancias, uno o más de los tres privilegios básicos se pueden quitar del conjunto básico de un usuario común.

file_link_any: permite a un proceso crear enlaces físicos con archivos que sean propiedad de un UID distinto del UID efectivo del proceso.
proc_info: permite a un proceso examinar el estado de los procesos que no sean aquellos a los que puede enviar señales. Los procesos que no se pueden examinar no se pueden ver en /proc y aparecen como no existentes.
proc_session: permite a un proceso enviar señales o rastrear procesos fuera de su sesión.

Antes de empezar

Debe tener el rol root.

Impida que el usuario cree un enlace con un archivo que no sea de su propiedad.
```
# usermod -K defaultpriv=basic,!file_link_any user
```
Impida que el usuario examine procesos que no sean de su propiedad.
```
# usermod -K defaultpriv=basic,!proc_info user
```
Impida que el usuario inicie una segunda sesión, como el inicio de una sesión ssh, desde la sesión actual del usuario.
```
# usermod -K defaultpriv=basic,!proc_session user
```

Quite los tres privilegios del conjunto básico de un usuario.

# usermod -K defaultpriv=basic,!file_link_any,!proc_info,!proc_session user

Véase también

Para obtener más información, consulte el Capítulo 8, Uso de roles y privilegios (descripción general) de Administración de Oracle Solaris: servicios de seguridad y la página del comando man privileges(5).

Omitir V�nculos de navegaci�n
Salir de la Vista de impresi�n
	Directrices de seguridad de Oracle Solaris 11 Oracle Solaris 11 Information Library (Español)