Omitir V�nculos de navegaci�n | |
Salir de la Vista de impresi�n | |
Administración de Oracle Solaris: servicios de seguridad Oracle Solaris 11 Information Library (Español) |
Parte I Descripción general de la seguridad
1. Servicios de seguridad (descripción general)
Parte II Seguridad de sistemas, archivos y dispositivos
2. Gestión de seguridad de equipos (descripción general)
Control de acceso a un sistema informático
Mantenimiento de la seguridad física
Mantenimiento del control de inicio de sesión
Gestión de información de contraseñas
Cuentas especiales del sistema
Control de acceso a recursos del equipo
Limitación y supervisión del superusuario
Configuración del control de acceso basado en roles para reemplazar al superusuario
Prevención del uso indebido involuntario de los recursos del sistema
Configuración de la variable PATH
Asignación de un shell restringido a los usuarios
Restricción de acceso a datos de archivos
Restricción de archivos ejecutables setuid
Uso de la configuración de seguridad predeterminada
Uso de funciones de gestión de recursos
Uso de zonas de Oracle Solaris
Supervisión del uso de los recursos del equipo
Supervisión de la integridad de archivos
Protección de archivos con cifrado
Uso de listas de control de acceso
Uso compartido de archivos entre equipos
Restricción de acceso root a archivos compartidos
Mecanismos de seguridad de red
Autenticación y autorización para acceso remoto
Cifrado y sistemas de cortafuegos
Comunicación de problemas de seguridad
3. Control de acceso a sistemas (tareas)
4. Servicio de análisis de virus (tareas)
5. Control de acceso a dispositivos (tareas)
6. Uso de la herramienta básica de creación de informes de auditoría (tareas)
7. Control de acceso a archivos (tareas)
Parte III Roles, perfiles de derechos y privilegios
8. Uso de roles y privilegios (descripción general)
9. Uso del control de acceso basado en roles (tareas)
10. Atributos de seguridad en Oracle Solaris (referencia)
Parte IV Servicios criptográficos
11. Estructura criptográfica (descripción general)
12. Estructura criptográfica (tareas)
13. Estructura de gestión de claves
Parte V Servicios de autenticación y comunicación segura
14. Autenticación de servicios de red (tareas)
17. Uso de Secure Shell (tareas)
19. Introducción al servicio Kerberos
20. Planificación del servicio Kerberos
21. Configuración del servicio Kerberos (tareas)
22. Mensajes de error y resolución de problemas de Kerberos
23. Administración de las políticas y los principales de Kerberos (tareas)
24. Uso de aplicaciones Kerberos (tareas)
25. El servicio Kerberos (referencia)
Parte VII Auditoría en Oracle Solaris
26. Auditoría (descripción general)
27. Planificación de la auditoría
Los dispositivos periféricos conectados a un sistema informático presentan un riesgo de seguridad. Los micrófonos pueden captar conversaciones y transmitirlas a sistemas remotos. Los CD-ROM pueden dejar evidencia de información que el siguiente usuario del dispositivo de CD-ROM podrá leer. Se puede acceder a las impresoras de forma remota. Los dispositivos que son una parte integral del sistema también pueden presentar problemas de seguridad. Por ejemplo, las interfaces de red, como bge0, se consideran dispositivos integrales.
El software Oracle Solaris proporciona dos métodos de control de acceso a los dispositivos. La política de dispositivos restringe o impide el acceso a los dispositivos que son una parte integral del sistema. La política de dispositivos se aplica en el núcleo. La asignación de dispositivos restringe o impide el acceso a los dispositivos periféricos. La asignación de dispositivos se aplica en el momento de la asignación de usuarios.
La política de dispositivos utiliza privilegios para proteger dispositivos seleccionados en el núcleo. Por ejemplo, la política de dispositivos en las interfaces de red, como bge, requiere todos los privilegios de lectura o escritura.
La asignación de dispositivos utiliza autorizaciones para proteger dispositivos periféricos, como impresoras o micrófonos. De manera predeterminada, la asignación de dispositivos está deshabilitada. Una vez habilitada, la asignación de dispositivos puede configurarse para impedir el uso de un dispositivo o para requerir autorización para acceder al dispositivo. Cuando un dispositivo está asignado para su uso, ningún otro usuario puede acceder al dispositivo hasta que el usuario actual lo desasigne.
Un sistema Oracle Solaris puede configurarse en varias áreas para controlar el acceso a los dispositivos:
Configurar política de dispositivos: en Oracle Solaris, puede requerir que el proceso que accede a un dispositivo determinado se esté ejecutando con un conjunto de privilegios. Los procesos sin estos privilegios no pueden utilizar el dispositivo. En el momento del inicio, el software Oracle Solaris configura la política de dispositivos. Los controladores de terceros se pueden configurar con la política de dispositivos durante la instalación. Después de la instalación, usted, como administrador, puede agregar la política de dispositivos a un dispositivo.
Permitir la asignación de dispositivos: al habilitar la asignación de dispositivos, puede restringir el uso de un dispositivo a un usuario a la vez. Además, puede exigir que el usuario cumpla con algunos requisitos de seguridad. Por ejemplo, puede exigir que el usuario esté autorizado para utilizar el dispositivo.
Impedir que se utilicen los dispositivos: puede impedir que cualquier usuario de un sistema informático utilice un dispositivo, como un micrófono. Un quiosco informático puede ser una buena opción para evitar que se utilicen determinados dispositivos.
Restringir un dispositivo a una zona determinada: puede asignar el uso de un dispositivo a una zona no global. Para obtener más información, consulte Uso de dispositivos en zonas no globales de Administración de Oracle Solaris: zonas de Oracle Solaris, zonas de Oracle Solaris 10 y gestión de recursos. Para obtener una explicación general de dispositivos y zonas, consulte Dispositivos configurados en zonas de Administración de Oracle Solaris: zonas de Oracle Solaris, zonas de Oracle Solaris 10 y gestión de recursos.
El mecanismo de política de dispositivos permite especificar que los procesos que abran un dispositivo requieren determinados privilegios. Únicamente los procesos que se ejecutan con los privilegios especificados por la política de dispositivos pueden acceder a los dispositivos que están protegidos mediante la política de dispositivos. Oracle Solaris proporciona la política de dispositivos predeterminada. Por ejemplo, las interfaces de red, como bge0, requieren que los procesos que acceden a la interfaz se ejecuten con el privilegio net_rawaccess. El requisito se aplica en el núcleo. Para obtener más información sobre los privilegios, consulte Privilegios (descripción general).
En versiones anteriores, los nodos de dispositivos estaban protegidos mediante permisos de archivo únicamente. Por ejemplo, sólo los miembros del grupo sys podían abrir los dispositivos que pertenecían al grupo sys. Ahora, los permisos de archivo no predicen quién puede abrir un dispositivo. En cambio, los dispositivos están protegidos mediante permisos de archivo y la política de dispositivos. Por ejemplo, el archivo /dev/ip tiene 666. Sin embargo, únicamente un proceso con los privilegios adecuados puede abrir el dispositivo.
La configuración de la política de dispositivos se puede auditar. El evento de auditoría AUE_MODDEVPLCY registra los cambios en la política de dispositivos.
Para obtener más información sobre la política de dispositivos, consulte lo siguiente:
El mecanismo de asignación de dispositivos permite restringir el acceso a un dispositivo periférico, como un CD-ROM. El mecanismo se gestiona localmente. Si la asignación de dispositivos no está habilitada, los dispositivos periféricos se protegen únicamente mediante permisos de archivo. Por ejemplo, de manera predeterminada, los dispositivos periféricos están disponibles para los siguientes usos:
Cualquier usuario puede leer y escribir en un disquete o CD-ROM.
Cualquier usuario puede conectar un micrófono.
Cualquier usuario puede acceder a una impresora conectada.
La asignación de dispositivos puede restringir un dispositivo a usuarios autorizados. La asignación de dispositivos también puede impedir que se acceda a un dispositivo en todo momento. Un usuario que asigna un dispositivo tiene el uso exclusivo de ese dispositivo hasta que lo desasigne. Cuando se desasigna un dispositivo, las secuencias de comandos device-clean borran los datos restantes. Puede escribir una secuencia de comandos device-clean para depurar la información de los dispositivos que no tienen una secuencia de comandos. Para ver un ejemplo, consulte Redacción de secuencias nuevas de comandos device-clean.
Se pueden auditar los intentos de asignación de un dispositivo, desasignación de un dispositivo y enumeración de los dispositivos asignables. Los eventos de auditoría forman parte de la clase de auditoría other.
Para obtener más información sobre la asignación de dispositivos, consulte lo siguiente: