Omitir Vínculos de navegación | |
Salir de la Vista de impresión | |
Directrices de seguridad de Oracle Solaris 11 Oracle Solaris 11.1 Information Library (Español) |
1. Descripción general de seguridad de Oracle Solaris
2. Configuración de la seguridad de Oracle Solaris
Instalación del SO Oracle Solaris
Cómo desactivar los servicios innecesarios
Cómo eliminar la capacidad de gestión de energía de los usuarios
Cómo insertar un mensaje de seguridad en archivos de banner
Cómo insertar un mensaje de seguridad en la pantalla de inicio de sesión del escritorio
Cómo establecer restricciones de contraseñas más seguras
Cómo establecer el bloqueo de cuenta para usuarios normales
Cómo definir un valor umask más restrictivo para usuarios normales
Cómo auditar eventos importantes además del inicio y el cierre de sesión
Cómo supervisar eventos lo en tiempo real
Cómo eliminar privilegios básicos innecesarios de los usuarios
Cómo mostrar un mensaje de seguridad para los usuarios ssh
Cómo utilizar los envoltorios TCP
Protección de los archivos y los sistemas de archivos
Cómo limitar el tamaño del sistema de archivos tmpfs
Protección y modificación de archivos
Protección de aplicaciones y servicios
Creación de zonas para contener aplicaciones críticas
Gestión de los recursos en las zonas
Agregación de SMF a un servicio antiguo
Creación de una instantánea de BART del sistema
Agregación de seguridad de varios niveles (con etiquetas)
Configuración de Trusted Extensions
Configuración de IPsec con etiquetas
3. Supervisión y mantenimiento de la seguridad de Oracle Solaris
En este momento, sólo el usuario inicial que pueda asumir el rol root tiene acceso al sistema. La mejor manera de realizar las siguientes tareas es siguiendo el orden, antes de que los usuarios comunes puedan iniciar sesión.
|
Utilice este procedimiento si los valores predeterminados no cumplen con los requisitos de seguridad del sitio. Los pasos siguen la lista de entradas en el archivo /etc/default/passwd.
Antes de empezar
Antes de cambiar los valores predeterminados, asegúrese de que los cambios permitan a todos los usuarios realizar la autenticación en sus aplicaciones y en otros sistemas de la red.
Debe asumir el rol root. Para obtener más información, consulte Cómo usar los derechos administrativos que tiene asignados de Administración de Oracle Solaris 11.1: servicios de seguridad.
## /etc/default/passwd ## MAXWEEKS= MINWEEKS= MAXWEEKS=4 MINWEEKS=3
#PASSLENGTH=6 PASSLENGTH=8
#HISTORY=0 HISTORY=10
#MINDIFF=3 MINDIFF=4
#MINUPPER=0 MINUPPER=1
#MINDIGIT=0 MINDIGIT=1
Véase también
Para ver la lista de variables que limitan la creación de contraseñas, consulte el archivo /etc/default/passwd. Los valores predeterminados se indican en el archivo.
Para obtener información sobre las limitaciones de contraseña que se aplican después de la instalación, consulte El sistema de acceso está limitado y supervisado.
Página del comando man passwd(1).
Utilice este procedimiento para bloquear cuentas de usuarios comunes después de un determinado número de intentos de inicio de sesión fallidos.
Nota - No establezca el bloqueo de cuenta para los usuarios que pueden asumir roles, ya que esto puede bloquear el rol.
Antes de empezar
No establezca esta protección en la totalidad de un sistema que utilice para las actividades administrativas.
Debe asumir el rol root. Para obtener más información, consulte Cómo usar los derechos administrativos que tiene asignados de Administración de Oracle Solaris 11.1: servicios de seguridad.
# pfedit /etc/security/policy.conf ... #LOCK_AFTER_RETRIES=NO LOCK_AFTER_RETRIES=YES ...
# usermod -K lock_after_retries=yes username
# pfedit /etc/default/login ... #RETRIES=5 RETRIES=3 ...
Véase también
Para obtener una explicación de los atributos de seguridad de los usuarios y los roles, consulte el Capítulo 10, Atributos de seguridad en Oracle Solaris (referencia) de Administración de Oracle Solaris 11.1: servicios de seguridad.
Las páginas del comando man seleccionadas son: policy.conf(4) y user_attr(4).
Si el valor umask predeterminado (022) no es lo suficientemente restrictivo, defina una máscara más restrictiva mediante el siguiente procedimiento.
Antes de empezar
Debe asumir el rol root. Para obtener más información, consulte Cómo usar los derechos administrativos que tiene asignados de Administración de Oracle Solaris 11.1: servicios de seguridad.
Oracle Solaris proporciona directorios para que los administradores personalicen los valores predeterminados de shell de usuario. Estas estructuras de directorios incluyen archivos, como .profile, .bashrc y .kshrc.
Elija uno de los siguientes valores:
umask 026: proporciona una protección de archivos moderada
(741): r para el grupo, x para otros
umask 027: proporciona una protección de archivos estricta
(740): r para el grupo, sin acceso para otros
umask 077: proporciona una protección de archivos completa
(700): sin acceso ni para el grupo ni para otros
Véase también
Para obtener más información, consulte lo siguiente:
Valor umask predeterminado de Administración de Oracle Solaris 11.1: servicios de seguridad
Las páginas del comando man seleccionadas son: usermod(1M) y umask(1)
Utilice este procedimiento para auditar los comandos administrativos, los intentos de invasión del sistema y otros eventos importantes según lo especificado por la política de seguridad.
Nota - Puede que los ejemplos de este procedimiento no sean suficientes para su política de seguridad.
Antes de empezar
Debe asumir el rol root. Para obtener más información, consulte Cómo usar los derechos administrativos que tiene asignados de Administración de Oracle Solaris 11.1: servicios de seguridad.
Para todos los usuarios y los roles, agregue el evento de auditoría AUE_PFEXEC a su máscara de preselección.
# usermod -K audit_flags=lo,ps:no username
# rolemod -K audit_flags=lo,ps:no rolename
# auditconfig -setpolicy +argv
# auditconfig -setpolicy +arge
Véase también
Para obtener información sobre la política de auditoría, consulte Política de auditoría de Administración de Oracle Solaris 11.1: servicios de seguridad.
Para obtener ejemplos de cómo establecer indicadores de auditoría, consulte Configuración del servicio de auditoría (tareas) de Administración de Oracle Solaris 11.1: servicios de seguridad and Solución de problemas del servicio de auditoría (tareas) de Administración de Oracle Solaris 11.1: servicios de seguridad.
Para ver cómo configurar la auditoría, consulte la página del comando man auditconfig(1M).
Utilice este procedimiento para activar el complemento audit_syslog para los eventos que desea supervisar en el momento en que se producen.
Antes de empezar
Debe asumir el rol root para modificar el archivo syslog.conf. Para realizar otros pasos debe tener asignado el perfil de derechos de configuración de auditoría. Para obtener más información, consulte Cómo usar los derechos administrativos que tiene asignados de Administración de Oracle Solaris 11.1: servicios de seguridad.
# auditconfig -setplugin audit_syslog active p_flags=lo
# svcs system-log STATE STIME FMRI disabled 13:11:55 svc:/system/system-log:rsyslog online 13:13:27 svc:/system/system-log:default
Consejo - Si la instancia de servicio rsyslog está en línea, modifique el archivo rsyslog.conf.
La entrada predeterminada incluye la ubicación del archivo de registro.
# cat /etc/syslog.conf … audit.notice /var/adm/auditlog
# touch /var/adm/auditlog
# svcadm refresh system-log:default
Nota - Refresque la instancia de servicio system-log:rsyslog si el servicio rsyslog está en línea.
El servicio de auditoría lee los cambios en el complemento de auditoría tras el refrescamiento.
# audit -s
Véase también
Para ver cómo enviar resúmenes de auditoría a otro sistema, consulte el ejemplo de Cómo configurar registros de auditoría syslog de Administración de Oracle Solaris 11.1: servicios de seguridad.
El servicio de auditoría puede generar muchas salidas. Para gestionar los registros, consulte la página del comando man logadm(1M).
Para ver cómo supervisar la salida, consulte Supervisión de los resúmenes de auditoría de audit_syslog.
En determinadas circunstancias, uno o más de los tres privilegios básicos se pueden quitar del conjunto básico de un usuario común.
file_link_any: permite a un proceso crear enlaces físicos con archivos que sean propiedad de un UID distinto del UID efectivo del proceso.
proc_info: permite a un proceso examinar el estado de los procesos que no sean aquellos a los que puede enviar señales. Los procesos que no se pueden examinar no se pueden ver en /proc y aparecen como no existentes.
proc_session: permite a un proceso enviar señales o rastrear procesos fuera de su sesión.
Antes de empezar
Debe asumir el rol root. Para obtener más información, consulte Cómo usar los derechos administrativos que tiene asignados de Administración de Oracle Solaris 11.1: servicios de seguridad.
# usermod -K 'defaultpriv=basic,!file_link_any' user
# usermod -K 'defaultpriv=basic,!proc_info' user
# usermod -K 'defaultpriv=basic,!proc_session' user
# usermod -K 'defaultpriv=basic,!file_link_any,!proc_info,!proc_session' user
Véase también
Para obtener más información, consulte el Capítulo 8, Uso de roles y privilegios (descripción general) de Administración de Oracle Solaris 11.1: servicios de seguridad y la página del comando man privileges(5).