Omitir V�nculos de navegaci�n | |
Salir de la Vista de impresi�n | |
Transición de Oracle Solaris 10 a Oracle Solaris 11 Oracle Solaris 11 Information Library (Español) |
1. Transición de Oracle Solaris 10 a Oracle Solaris 11 (descripción general)
2. Transición a los métodos de instalación de Oracle Solaris 11
4. Funciones de gestión de almacenamiento
5. Gestión de sistemas de archivos
7. Gestión de configuración de red
8. Gestión de configuración del sistema
Cambios en las funciones de seguridad
Funciones de seguridad eliminadas
Cambios en la seguridad de los archivos y los sistemas de archivos
La propiedad aclmode se ha vuelto a incorporar
Cifrado de sistemas de archivos ZFS
10. Gestión de las versiones de Oracle Solaris en un entorno virtual
11. Cambios de entorno de usuario y gestión de cuentas de usuario
12. Uso de las funciones de Oracle Solaris Desktop
A. Transición de versiones anteriores de Oracle Solaris 11 a Oracle Solaris 11
La siguiente información describe el funcionamiento de los roles, los derechos y los privilegios en Oracle Solaris 11:
Asignar y delegar autorizaciones: Oracle Solaris proporciona autorizaciones para delegar derechos administrativos específicos a roles y usuarios individuales a fin de implementar la separación de tareas. En Oracle Solaris 10, las autorizaciones que terminan en .grant tienen que delegar una autorización a otro usuario. En Oracle Solaris 11, se usan dos nuevos sufijos: .assign y .delegate. Por ejemplo, solaris.profile.assign y solaris.profile.delegate. El primero concede el derecho de delegar cualquier perfil de derechos a cualquier usuario o rol. El último es más restrictivo, ya que sólo se pueden delegar los perfiles de derechos que ya estén asignados al usuario actual. Como al rol root se le asigna solaris.*, este rol puede asignar cualquier autorización a cualquier usuario o rol. Como medida de seguridad, no se incluye ninguna autorización que termine en .assign de manera predeterminada.
Perfil de derechos Media Restore: este perfil de derechos y conjunto de autorizaciones puede escalar los privilegios de una cuenta que no sea root. El perfil ya existe, pero no es parte de ningún otro perfil de derechos. Debido a que el perfil de derechos Media Restore proporciona acceso a todo el sistema de archivos raíz, su uso constituye una posible escalada de privilegios. Se podrían restaurar medios alternativos o archivos modificados deliberadamente. De manera predeterminada, el rol root incluye este perfil de derechos.
Eliminación del perfil de administrador principal: al usuario inicial que se crea en el momento de la instalación se le otorgan los siguientes roles y derechos:
Rol root
Perfil de derechos System Administrator
Acceso al comando sudo para todos los comandos que se ejecutan como root
Autenticación de roles: puede especificar user o role para la palabra clave roleauth. Consulte user_attr(4).
root como rol: ahora, root es un rol predeterminado. Por lo tanto, no es anónimo y no puede iniciar sesión de manera remota en un sistema. Para obtener más información sobre cómo pasar de rol root a usuario, consulte Cómo cambiar el rol root a un usuario de Administración de Oracle Solaris: servicios de seguridad.
Entre los privilegios básicos de Oracle Solaris 11, se incluyen los siguientes:
file_read
file_write
net_access
Versiones de perfil de shells comunes: ahora, todos los shells comunes tienen su propia versión de perfil. Los siguientes shells de perfiles están disponibles:
pfbash
pfcsh
pfksh
pfksh93
pfrksh93
pfsh
pftcsh
pfzsh
Consulte pfexec(1).
Perfiles de derechos: ahora, las bases de datos user_attr, prof_attr y exec_attr son de sólo lectura. Estas bases de datos de archivos locales se ensamblan a partir de fragmentos que se encuentran en /etc/user_attr.d, /etc/security/prof_attr.d y /etc/security/exec_attr.d. Los archivos de fragmentos no se combinan en una única versión del archivo, sino que se dejan como fragmentos. Este cambio permite que los paquetes otorguen perfiles RBAC parciales o completos. Las entradas que se agregan al depósito de archivos locales con los comandos useradd y profiles se agregan al archivo local-entries en el directorio de fragmentos. Para agregar o modificar un perfil, utilice el comando profiles. Consulte Cómo crear o cambiar un perfil de derechos de Administración de Oracle Solaris: servicios de seguridad.
Perfil de derechos Stop: este perfil permite a los administradores crear cuentas restringidas. Consulte Perfiles de derechos de RBAC de Administración de Oracle Solaris: servicios de seguridad.
Comando pfsh secuencia_comandos : ahora, este comando se ejecuta del mismo modo que el comando pfsh -c secuencia_comandos. Antes, los comandos dentro de una secuencia de comandos no podían aprovechar RBAC, a menos que la secuencia de comandos especificara un shell de perfil como primera línea. Esta regla requería la modificación de cualquier secuencia de comandos que utilizara RBAC, que ahora no es necesario porque al emisor de la secuencia de comandos (o un antecesor en la sesión) puede especificar un shell de perfil.
Comando pfexec: este comando ya no es setuid root. El nuevo atributo de proceso PF_PFEXEC se establece cuando se ejecuta el comando pfexec o un shell de perfil. A continuación, el núcleo establece los privilegios adecuados en exec. Esta implementación garantiza que los subshells tengan privilegios o restricciones, según corresponda.
Cuando el núcleo está procesando un exec(2), el tratamiento de setuid para root es diferente. Tenga en cuenta que el setuid para cualquier otro uid o setgid está igual que antes. Ahora, el núcleo busca una entrada en el perfil RBAC Forced Privilege en exec_attr(4) para determinar con qué privilegios debería ejecutarse el programa. En lugar de hacer que el programa inicie con uid root y todos los privilegios, el programa se ejecuta con el uid actual y solamente los privilegios adicionales que el perfil de ejecución RBAC Forced Privilege ha asignado a ese nombre de ruta.
Cuando se asignan privilegios a un usuario directamente, en efecto, los privilegios están en todos los shells. Cuando no se asignan privilegios directamente a un usuario, el usuario debe abrir un shell de perfil. Por ejemplo, cuando hay comandos con privilegios asignados en un perfil de derechos que está en la lista de perfiles de derechos del usuario, el usuario debe ejecutar el comando en un shell de perfil.
Para ver los privilegios en línea, consulte privileges(5). El formato de los privilegios que se muestra es el que utilizan los desarrolladores.
$ man privileges Standards, Environments, and Macros privileges(5) NAME privileges - process privilege model ... The defined privileges are: PRIV_CONTRACT_EVENT Allow a process to request reliable delivery of events to an event endpoint. Allow a process to include events in the critical event set term of a template which could be generated in volume by the user. ...
Ejemplo 9-1 Visualización de privilegios asignados directamente
Si se le asignaron privilegios directamente, su conjunto básico contiene más privilegios que el conjunto básico predeterminado. En el siguiente ejemplo, el usuario siempre tiene acceso al privilegio proc_clock_highres.
$ /usr/bin/whoami jdoe $ ppriv -v $$ 1800: pfksh flags = <none> E: file_link_any,…,proc_clock_highres,proc_session I: file_link_any,…,proc_clock_highres,proc_session P: file_link_any,…,proc_clock_highres,proc_session L: cpc_cpu,dtrace_kernel,dtrace_proc,dtrace_user,…,sys_time $ ppriv -vl proc_clock_highres Allows a process to use high resolution timers.