Protección del sistema

La mejor manera de realizar las siguientes tareas es siguiendo el orden. En este momento, se instala el SO Oracle Solaris, y sólo el usuario inicial que puede asumir el rol root tiene acceso al sistema.

Tarea	Descripción	Para obtener instrucciones
1. Revisar los paquetes en el sistema.	Comprobar que los paquetes del medio de instalación sean idénticos a los paquetes instalados.	Cómo comprobar los paquetes
2. Proteger la configuración del hardware en el sistema.	Se protege el hardware mediante la solicitud de una contraseña para cambiar la configuración del hardware.	Control de acceso a hardware del sistema (tareas) de Administración de Oracle Solaris 11.1: servicios de seguridad
3. Desactivar servicios innecesarios.	Evitar la ejecución de los procesos que no forman parte de las funciones requeridas del sistema.	Cómo desactivar los servicios innecesarios
5. Evitar que el propietario de la estación de trabajo apague el sistema.	Impedir que el usuario de la consola cierre o suspenda el sistema.	Cómo eliminar la capacidad de gestión de energía de los usuarios
6. Crear un mensaje de advertencia de inicio de sesión que refleje la política de seguridad del sitio.	Notificar a los usuarios y a los posibles atacantes de que el sistema está supervisado.	Cómo insertar un mensaje de seguridad en archivos de banner Cómo insertar un mensaje de seguridad en la pantalla de inicio de sesión del escritorio

Cómo comprobar los paquetes

Inmediatamente después de la instalación, verifique los paquetes a fin de validar la instalación.

Antes de empezar

Debe asumir el rol root. Para obtener más información, consulte Cómo usar los derechos administrativos que tiene asignados de Administración de Oracle Solaris 11.1: servicios de seguridad.

Ejecute el comando pkg verify.
Para llevar un registro, envíe la salida del comando en un archivo.
```
# pkg verify > /var/pkgverifylog
```
Fíjese si hay errores en el registro.
Si encuentra errores, vuelva a realizar la instalación desde los medios o corrija los errores.

Véase también

Para obtener más información, consulte las páginas del comando man pkg(1) y pkg(5). Las páginas del comando man incluyen ejemplos de uso del comando pkg verify.

Cómo desactivar los servicios innecesarios

Utilice este procedimiento para desactivar servicios que no sean necesarios por el propósito de su sistema.

Antes de empezar

Debe asumir el rol root. Para obtener más información, consulte Cómo usar los derechos administrativos que tiene asignados de Administración de Oracle Solaris 11.1: servicios de seguridad.

Enumere los servicios en línea.

# svcs | grep network
online         Sep_07   svc:/network/loopback:default
...
online         Sep_07   svc:/network/ssh:default

Desactive los servicios que no sean necesarios en este sistema.
Por ejemplo, si el sistema no es un servidor NFS ni un servidor web, y los servicios están en línea, desactívelos.
```
# svcadm disable svc:/network/nfs/server:default
# svcadm disable svc:/network/http:apache22
```

Véase también

Para obtener más información, consulte el Capítulo 1, Gestión de servicios (descripción general) de Gestión de servicios y errores en Oracle Solaris 11.1 y la página del comando man svcs(1).

Cómo eliminar la capacidad de gestión de energía de los usuarios

Utilice este procedimiento para evitar que los usuarios de este sistema lo suspendan o lo apaguen.

Antes de empezar

Debe asumir el rol root. Para obtener más información, consulte Cómo usar los derechos administrativos que tiene asignados de Administración de Oracle Solaris 11.1: servicios de seguridad.

Revise los contenidos del perfil de derechos del usuario de la consola.

% getent prof_attr | grep Console
Console User:RO::Manage System as the Console User:
profiles=Desktop Removable Media User,Suspend To RAM,Suspend To Disk,
Brightness,CPU Power Management,Network Autoconf User;
auths=solaris.system.shutdown;help=RtConsUser.html

Cree un perfil de derechos que incluya todos los derechos del perfil del usuario de la consola que quiera que los usuarios retengan.
Para obtener instrucciones, consulte Cómo crear un perfil de derechos de Administración de Oracle Solaris 11.1: servicios de seguridad.
Comente el perfil de derechos del usuario de la consola en el archivo /etc/security/policy.conf.
```
#CONSOLE_USER=Console User
```
Asigne a los usuarios el perfil de derechos que creó en el Paso 2.
```
# usermod -P +new-profile username
```

Véase también

Para obtener más información, consulte Archivo policy.conf de Administración de Oracle Solaris 11.1: servicios de seguridad y las páginas del comando man policy.conf(4) y usermod(1M).

Cómo insertar un mensaje de seguridad en archivos de banner

Utilice este procedimiento para crear mensajes de seguridad en dos archivos de banner que reflejen la política de seguridad del sitio. El contenido de estos archivos de banner se muestra en el inicio de sesión local y remoto.

Nota - Los mensajes de ejemplo que se incluyen en este procedimiento no cumplen con los requisitos del Gobierno de los Estados Unidos y es probable que tampoco cumplan con su política de seguridad. Lo más recomendable es que consulte con el abogado de su empresa acerca de los contenidos del mensaje de seguridad.

Antes de empezar

Debe convertirse en administrador con el perfil de derechos de edición de mensajes de administrador asignado. Para obtener más información, consulte Cómo usar los derechos administrativos que tiene asignados de Administración de Oracle Solaris 11.1: servicios de seguridad.

Agregue un mensaje de seguridad para el archivo /etc/issue.
```
$ pfedit /etc/issue
      ALERT   ALERT   ALERT   ALERT   ALERT

This machine is available to authorized users only.

If you are an authorized user, continue. 

Your actions are monitored, and can be recorded.
```
El comando login muestra los contenidos de /etc/issue antes de la autenticación, al igual que telnet y los servicios FTP. Para permitir que otras aplicaciones usen este archivo, consulte Cómo mostrar un mensaje de seguridad para los usuarios ssh and Cómo insertar un mensaje de seguridad en la pantalla de inicio de sesión del escritorio.
Para obtener más información, consulte las páginas del comando man issue(4) y pfedit(1M).
Agregue un mensaje de seguridad para el archivo /etc/motd.
```
$ pfedit /etc/motd
This system serves authorized users only. Activity is monitored and reported.
```
En Oracle Solaris, el shell inicial del usuario muestra los contenidos del archivo /etc/motd.

Cómo insertar un mensaje de seguridad en la pantalla de inicio de sesión del escritorio

Escoja entre varios métodos para crear un mensaje de seguridad para que los usuarios puedan revisar al iniciar sesión.

Para obtener más información, haga clic en Sistema → Ayuda en el escritorio a fin de abrir el explorador de ayuda de GNOME. También puede usar el comando yelp. Las secuencias de comandos de inicio de sesión de escritorio se describen en la sección GDM Login Scripts and Session Files de la página del comando man gdm(1M).

Nota - El mensaje de ejemplo que se incluye en este procedimiento no cumple con los requisitos del Gobierno de los Estados Unidos y es probable que tampoco cumpla con su política de seguridad. Lo más recomendable es que consulte con el abogado de su empresa acerca de los contenidos del mensaje de seguridad.

Antes de empezar

Para crear un archivo, debe asumir el rol root. Para modificar un archivo existente, debe convertirse en administrador con la autorización solaris.admin.edit/path-to-existing-file asignada.

Para insertar un mensaje de seguridad en la pantalla de inicio de sesión del escritorio, utilice una de las siguientes tres opciones:
Las opciones que crean un cuadro de diálogo pueden usar el mensaje de seguridad en el archivo /etc/issue del Paso 1 de Cómo insertar un mensaje de seguridad en archivos de banner.
- OPCIÓN 1: cree un archivo de escritorio que muestra el mensaje de seguridad en un cuadro de diálogo en el momento del inicio de sesión.
```
# pfedit /usr/share/gdm/autostart/LoginWindow/banner.desktop
[Desktop Entry]
Type=Application
Name=Banner Dialog
Exec=/usr/bin/zenity --text-info --width=800 --height=300 \
--title="Security Message" \
--filename=/etc/issue
OnlyShowIn=GNOME;
X-GNOME-Autostart-Phase=Application
```
  Después de que se haya autenticado en la ventana de inicio de sesión, el usuario deberá cerrar el cuadro de diálogo para llegar al espacio de trabajo. Para las opciones que permiten el comando zenity, consulte la página del comando man zenity(1).
- OPCIÓN 2: modifique una secuencia de comandos de inicialización GDM para mostrar el mensaje de seguridad en un cuadro de diálogo.
  El directorio /etc/gdm contiene tres secuencias de comandos de inicialización que muestran el mensaje de seguridad antes, durante e inmediatamente después del inicio de sesión. Estas secuencias de comandos también están disponibles en la versión Oracle Solaris 10.
  - Muestre los mensaje de seguridad antes de que aparezca la pantalla de inicio de sesión.
```
$ pfedit /etc/gdm/Init/Default
/usr/bin/zenity --text-info --width=800 --height=300 \
--title="Security Message"  --filename=/etc/issue
```
    Para obtener información sobre cómo editar archivos de sistema como usuario no root, consulte la página del comando man pfedit(1M).
  - Muestre el mensaje de seguridad en el espacio de trabajo inicial del usuario después de la autenticación.
```
$ pfedit /etc/gdm/PreSession/Default
/usr/bin/zenity --text-info --width=800 --height=300 \
--title="Security Message"  --filename=/etc/issue
```
    Nota - El cuadro de diálogo se puede cubrir con ventanas en el espacio de trabajo del usuario.
- OPCIÓN 3: modifique la ventana de inicio de sesión para mostrar el mensaje de seguridad sobre el campo de entrada.
  La ventana de inicio de sesión se expande para ajustarse al mensaje. Este método no hace referencia al archivo /etc/issue. Debe escribir el texto en la interfaz gráfica de usuario.
  
  Nota - La ventana de inicio de sesión gdm-greeter-login-window.ui se sobreescribe con los comandos pkg fix y pkg update. Para conservar los cambios, copie el archivo en un directorio de archivos de configuración y combine sus cambios con el nuevo archivo después de actualizar el sistema. Para obtener más información, consulte la página del comando man pkg(5).
  1. Cambie el directorio a la interfaz de usuario de la ventana de inicio de sesión.
```
# cd /usr/share/gdm
```
  2. (Opcional) Guarde una copia de la interfaz de usuario de la ventana de inicio de sesión original.
```
# cp gdm-greeter-login-window.ui /etc/gdm/gdm-greeter-login-window.ui.orig
```
  3. Agregue una etiqueta a la ventana de inicio de sesión mediante el diseñador de interfaces GNOME Toolkit.
    El programa glade-3 abre el diseñador de interfaces GTK+. Debe escribir el mensaje de seguridad en una etiqueta que se muestra sobre el campo de entrada de usuario.
```
# /usr/bin/glade-3 /usr/share/gdm/gdm-greeter-login-window.ui
```
    Para revisar la guía para el diseñador de interfaces, haga clic en Desarrollo, en el explorador de la ayuda de GNOME. La página del comando man glade-3(1) aparece en la sección Aplicaciones de las páginas manuales.
  4. (Opcional) Guarde una copia de la interfaz de usuario de la ventana de inicio de sesión modificada.
```
# cp gdm-greeter-login-window.ui /etc/gdm/gdm-greeter-login-window.ui.site
```

Ejemplo 2-1 Creación de un breve mensaje de advertencia en el inicio de sesión del escritorio

En este ejemplo, el administrador escribe un mensaje breve como un argumento para el comando zenity en el archivo del escritorio. El administrador también utiliza la opción --warning, que muestra un icono de advertencia con el mensaje.

# pfedit /usr/share/gdm/autostart/LoginWindow/bannershort.desktop
[Desktop Entry]
Type=Application
Name=Banner Dialog
Exec=/usr/bin/zenity --warning --width=800  --height=150 --title="Security Message" \
--text="This system serves authorized users only. Activity is monitored and reported."
OnlyShowIn=GNOME;
X-GNOME-Autostart-Phase=Application

Omitir Vínculos de navegación
Salir de la Vista de impresión
	Directrices de seguridad de Oracle Solaris 11 Oracle Solaris 11.1 Information Library (Español)