Control de acceso a un sistema informático

En el espacio de trabajo, todos los equipos conectados a un servidor pueden considerarse como un gran sistema multifacético. Usted es responsable de la seguridad de este sistema más grande. Debe proteger la red contra los desconocidos que intentan obtener acceso. También debe garantizar la integridad de los datos en los equipos de la red.

En el nivel de archivos, Oracle Solaris proporciona funciones de seguridad estándar que usted puede utilizar para proteger archivos, directorios y dispositivos. En los niveles de sistema y de red, los problemas de seguridad son generalmente los mismos. La primera línea de defensa de seguridad es controlar el acceso al sistema.

Puede controlar y supervisar el acceso al sistema con las siguientes medidas:

Mantenimiento de la seguridad física

Para controlar el acceso al sistema, debe mantener la seguridad física del entorno informático. Por ejemplo, un sistema cuya sesión está iniciada pero desatendida es vulnerable al acceso no autorizado. Un intruso puede obtener acceso al sistema operativo y a la red. El entorno y el hardware del equipo deben estar físicamente protegidos contra el acceso no autorizado.

Puede proteger un sistema SPARC contra el acceso no autorizado a la configuración de hardware. Utilice el comando eeprom para solicitar una contraseña para acceder a la PROM. Para obtener más información, consulte Cómo requerir una contraseña para el acceso al hardware. Para proteger el hardware x86, consulte la documentación del proveedor.

Mantenimiento del control de inicio de sesión

También debe prevenir los inicios de sesión no autorizados en un sistema o en la red. Puede realizar esto mediante la asignación de contraseñas o el control de inicios de sesión. Todas las cuentas de un sistema deben tener una contraseña. Una contraseña es un mecanismo de autenticación simple. Si una cuenta no tiene una contraseña, un intruso que adivina el nombre de un usuario puede acceder a toda la red. Un algoritmo de contraseña complejo protege contra ataques por fuerza bruta.

Cuando un usuario inicia sesión en un sistema, el comando login verifica que el servicio de nombres o la base de datos de servicio de directorios sean apropiados según la información en el servicio de cambio de nombres, svc:/system/name-service/switch. Las siguientes bases de datos pueden afectar el inicio de sesión:

files: designa los archivos /etc en el sistema local
ldap: designa el servicio de directorios LDAP en el servidor LDAP
nis: designa la base de datos NIS en el servidor maestro NIS
dns: designa el servicio de nombre de dominio en la red

Para obtener una descripción del servicio de nombres, consulte la página del comando man nscd(1M). Para obtener información acerca de los servicios de nombres y los servicios de directorios, consulte Oracle Solaris Administration: Naming and Directory Services.

El comando login verifica el nombre de usuario y la contraseña proporcionados por el usuario. Si el nombre de usuario no está en la base de datos de contraseñas, el comando login niega el acceso al sistema. Si la contraseña no es correcta para el nombre de usuario especificado, el comando login niega el acceso al sistema. Cuando el usuario proporciona un nombre de usuario válido y la contraseña correspondiente, se le otorga acceso al sistema.

Los módulos PAM pueden optimizar el inicio de sesión a las aplicaciones después de iniciar sesión correctamente en el sistema. Para obtener más información, consulte el Capítulo 15, Uso de PAM.

Los sistemas Oracle Solaris disponen de mecanismos de autorización y autenticación sofisticados. Para ver una explicación de los mecanismos de autorización y autenticación en el nivel de red, consulte Autenticación y autorización para acceso remoto.

Gestión de información de contraseñas

Cuando los usuarios inician sesión en un sistema, deben proporcionar un nombre de usuario y una contraseña. Aunque los nombres de usuario son de conocimiento público, las contraseñas deben mantenerse en secreto. Únicamente cada usuario individual debe conocer su contraseña. Los usuarios deben seleccionar sus contraseñas con cuidado y cambiarlas con frecuencia.

Las contraseñas se crean inicialmente al configurar una cuenta de usuario. Para mantener la seguridad de las cuentas de usuario, puede configurar la caducidad de las contraseñas para forzar a los usuarios a que cambien las contraseñas regularmente. También puede deshabilitar una cuenta de usuario mediante el bloqueo de la contraseña. Para obtener información detallada sobre la administración de contraseñas, consulte el Capítulo 2, Gestión de grupos y cuentas de usuario (descripción general) de Administración de Oracle Solaris: tareas comunes, y la página del comando man passwd(1).

Contraseñas locales

Si la red utiliza archivos locales para autenticar usuarios, la información de contraseñas se conserva en los archivos /etc/passwd y /etc/shadow del sistema. El nombre de usuario y otra información se conservan en el archivo /etc/passwd. La contraseña cifrada se conserva en un archivo shadow separado, /etc/shadow. Esta medida de seguridad impide que un usuario obtenga acceso a las contraseñas cifradas. Mientras que el archivo /etc/passwd está disponible para cualquier persona que pueda iniciar sesión en un sistema, únicamente un superusuario puede leer el archivo /etc/shadow. Puede utilizar el comando passwd para cambiar la contraseña de un usuario en un sistema local.

Contraseñas NIS

Si la red utiliza NIS para autenticar a los usuarios, la información de contraseñas se conserva en el mapa de contraseñas NIS. NIS no admite la caducidad de las contraseñas. Puede utilizar el comando passwd -r nis para cambiar la contraseña de un usuario que está almacenada en un mapa de contraseñas NIS.

Contraseñas LDAP

El servicio de nombres LDAP de Oracle Solaris almacena información de contraseñas e información shadow en el contenedor ou=people del árbol de directorios LDAP. En el cliente del servicio de nombres LDAP de Oracle Solaris, puede utilizar el comando passwd -r ldap para cambiar la contraseña de un usuario. El servicio de nombres LDAP almacena la contraseña en el depósito LDAP.

La política de contraseñas se aplica en Oracle Directory Server Enterprise Edition. En concreto, el módulo pam_ldap del cliente sigue los controles de políticas de contraseñas que se aplican en Oracle Directory Server Enterprise Edition. Para obtener más información, consulte LDAP Naming Services Security Model de Oracle Solaris Administration: Naming and Directory Services.

Cifrado de contraseña

El cifrado de contraseña seguro proporciona una barrera temprana contra un ataque. El software Oracle Solaris proporciona seis algoritmos de cifrado de contraseña. Los algoritmos Blowfish, MD5 y SHA proporcionan un cifrado de contraseña más sólido que el algoritmo UNIX.

Identificadores de algoritmos de contraseña

Puede especificar la configuración de los algoritmos para su sitio en el archivo /etc/security/policy.conf. En el archivo policy.conf , los algoritmos se denominan según el identificador, como se muestra en la siguiente tabla. Para la asignación identificador-algoritmo, consulte el archivo /etc/security/crypt.conf.

Tabla 2-1 Algoritmos de cifrado de contraseña

Identificador	Descripción	Página del comando man de algoritmo
`1`	El algoritmo MD5 que es compatible con algoritmos MD5 en los sistemas BSD y Linux.	`crypt_bsdmd5`(5)
`2a`	El algoritmo Blowfish que es compatible con el algoritmo Blowfish en los sistemas BSD.	`crypt_bsdbf`(5)
`md5`	El algoritmo MD5 de Sun, que se considera más fuerte que la versión de MD5 de BSD y Linux.	`crypt_sunmd5`(5)
`5`	El algoritmo SHA256. SHA es la sigla en inglés correspondiente al algoritmo de hash seguro. Este algoritmo es un miembro de la familia SHA-2. SHA256 admite contraseñas de 255 caracteres.	`crypt_sha256`(5)
`6`	El algoritmo SHA512.	`crypt_sha512`(5)
`__unix__`	El algoritmo de cifrado UNIX tradicional.	`crypt_unix`(5)

Configuración de algoritmos en el archivo `policy.conf`

A continuación, se muestra la configuración predeterminada de los algoritmos en el archivo policy.conf:

#
…
# crypt(3c) Algorithms Configuration
#
# CRYPT_ALGORITHMS_ALLOW specifies the algorithms that are allowed
to
# be used for new passwords.  This is enforced only in crypt_gensalt(3c).
#
CRYPT_ALGORITHMS_ALLOW=1,2a,md5,5,6

# To deprecate use of the traditional unix algorithm, uncomment below
# and change CRYPT_DEFAULT= to another algorithm.  For example,
# CRYPT_DEFAULT=1 for BSD/Linux MD5.
#
#CRYPT_ALGORITHMS_DEPRECATE=__unix__

# The Oracle Solaris default is a SHA256 based algorithm.  To revert to
# the policy present in Solaris releases set CRYPT_DEFAULT=__unix__,
# which is not listed in crypt.conf(4) since it is internal to libc.
#
CRYPT_DEFAULT=5
…

Al cambiar el valor para CRYPT_DEFAULT, las contraseñas de los usuarios nuevos se cifran con el algoritmo que está asociado al valor nuevo.

Cuando los usuarios existentes cambian sus contraseñas, la manera en que se cifró la contraseña anterior afecta el algoritmo que se utiliza para cifrar la contraseña nueva. Por ejemplo, supongamos lo siguiente: CRYPT_ALGORITHMS_ALLOW=1,2a,md5,5,6 y CRYPT_DEFAULT=1 . La siguiente tabla muestra qué algoritmo se utilizaría para generar la contraseña cifrada.

Identificador = algoritmo de contraseña		Explicación
Contraseña inicial	Contraseña cambiada	Explicación
`1` = `crypt_bsdmd5`	Utiliza el mismo algoritmo	El identificador `1` también es el valor de `CRYPT_DEFAULT`. La contraseña del usuario se seguirá cifrando con el algoritmo `crypt_bsdmd5`.
`2a` = `crypt_bsdbf`	Utiliza el mismo algoritmo	El identificador `2a` está en la lista `CRYPT_ALGORITHMS_ALLOW`. Por lo tanto, la contraseña nueva se cifra con el algoritmo `crypt_bsbdf`.
`md5` = `crypt_md5`	Utiliza el mismo algoritmo	El identificador `md5` está en la lista `CRYPT_ALGORITHMS_ALLOW`. Por lo tanto, la contraseña nueva se cifra con el algoritmo `crypt_md5`.
`5` = `crypt_sha256`	Utiliza el mismo algoritmo	El identificador `5` está en la lista `CRYPT_ALGORITHMS_ALLOW`. Por lo tanto, la contraseña nueva se cifra con el algoritmo `crypt_sha256`.
`6` = `crypt_sha512`	Utiliza el mismo algoritmo	El identificador `6` está en la lista `CRYPT_ALGORITHMS_ALLOW`. Por lo tanto, la contraseña nueva se cifra con el algoritmo `crypt_sha512`.
`__unix__` = `crypt_unix`	Utiliza el algoritmo `crypt_bsdmd5`	El identificador `__unix__` no está en la lista `CRYPT_ALGORITHMS_ALLOW`. Por lo tanto, el algoritmo `crypt_unix` no se puede utilizar. La contraseña nueva se cifra con el algoritmo `CRYPT_DEFAULT`.

Para obtener más información sobre la configuración de opciones de algoritmos, consulte la página del comando man policy.conf(4). Para especificar algoritmos de cifrado de contraseña, consulte Cambio de algoritmo predeterminado para cifrado de contraseña (tareas).

Cuentas especiales del sistema

La cuenta root es una de las diversas cuentas especiales del sistema. De estas cuentas, sólo a la cuenta root se le asigna una contraseña y se la puede utilizar para iniciar sesión. Con la cuenta nuucp, se puede iniciar sesión para realizar transferencias de archivos. Las otras cuentas del sistema sirven para proteger archivos o ejecutar procesos administrativos sin utilizar el poder total de root.

Precaución - Nunca cambie la configuración de contraseña de una cuenta del sistema. Las cuentas del sistema de Oracle Solaris se entregan en un estado seguro y protegido.

En la siguiente tabla, se muestran algunas cuentas del sistema junto con sus usos. Las cuentas del sistema realizan funciones especiales. Cada cuenta tiene un UID que es menor que 100.

Tabla 2-2 Cuentas del sistema y sus usos

Cuenta del sistema	uid	Uso
`root`	`0`	Prácticamente no tiene restricciones. Puede sustituir otros permisos y protecciones. La cuenta `root` tiene acceso a todo el sistema. La contraseña para el inicio de sesión de `root` debe estar protegida muy cuidadosamente. La cuenta `root` posee la mayoría de los comandos de Oracle Solaris.
`daemon`	`1`	Controla el procesamiento en segundo plano.
`bin`	`2`	Posee algunos de los comandos Oracle Solaris.
`sys`	`3`	Posee muchos archivos del sistema.
`adm`	`4`	Posee algunos archivos administrativos.
`lp`	`71`	Posee los archivos de datos del objeto y los archivos de datos de cola de impresión para la impresora.
`uucp`	`5`	Posee los archivos de datos del objeto y los archivos de datos de cola de impresión para UUCP, el programa de copia de UNIX a UNIX.
`nuucp`	`9`	Utilizada por los sistemas remotos para iniciar sesión en el sistema e iniciar transferencias de archivos.

Inicios de sesión remotos

Los inicios de sesión remotos ofrecen una vía tentadora para los intrusos. Oracle Solaris proporciona varios comandos para supervisar, limitar y deshabilitar los inicios de sesión remotos. Para conocer los procedimientos, consulte Protección de inicios de sesión y contraseñas (mapa de tareas).

De manera predeterminada, con los inicios de sesión remotos, no se pueden controlar ni leer determinados dispositivos del sistema, como el mouse, el teclado, el búfer de trama o el dispositivo de audio. Para obtener más información, consulte la página del comando man logindevperm(4).

Omitir V�nculos de navegaci�n
Salir de la Vista de impresi�n
	Administración de Oracle Solaris: servicios de seguridad Oracle Solaris 11 Information Library (Español)