Omitir Vínculos de navegación | |
Salir de la Vista de impresión | |
Administración de Oracle Solaris 11.1: servicios de seguridad Oracle Solaris 11.1 Information Library (Español) |
Parte I Descripción general de la seguridad
1. Servicios de seguridad (descripción general)
Parte II Seguridad de sistemas, archivos y dispositivos
2. Gestión de seguridad de equipos (descripción general)
3. Control de acceso a sistemas (tareas)
4. Servicio de análisis de virus (tareas)
5. Control de acceso a dispositivos (tareas)
6. Verificación de la integridad de archivos mediante el uso de BART (tareas)
7. Control de acceso a archivos (tareas)
Parte III Roles, perfiles de derechos y privilegios
8. Uso de roles y privilegios (descripción general)
9. Uso del control de acceso basado en roles (tareas)
10. Atributos de seguridad en Oracle Solaris (referencia)
Parte IV Servicios criptográficos
11. Estructura criptográfica (descripción general)
12. Estructura criptográfica (tareas)
13. Estructura de gestión de claves
Parte V Servicios de autenticación y comunicación segura
14. Uso de módulos de autenticación conectables
Introducción a la estructura PAM
Cambios en PAM para esta versión
Planificación de la implementación de PAM
Cómo evitar el acceso de tipo .rhost desde sistemas remotos con PAM
Cómo registrar los informes de errores de PAM
Cómo asignar una política PAM personalizada a un usuario
Cómo asignar una nueva política de derechos a todos los usuarios
Configuración de PAM (referencia)
Orden de búsqueda de configuración PAM
Sintaxis de archivo de configuración de PAM
Política de autenticación por usuario
Cómo funciona el apilamiento PAM
17. Uso de autenticación simple y capa de seguridad
18. Autenticación de servicios de red (tareas)
19. Introducción al servicio Kerberos
20. Planificación del servicio Kerberos
21. Configuración del servicio Kerberos (tareas)
22. Mensajes de error y resolución de problemas de Kerberos
23. Administración de las políticas y los principales de Kerberos (tareas)
24. Uso de aplicaciones Kerberos (tareas)
25. El servicio Kerberos (referencia)
Parte VII Auditoría en Oracle Solaris
26. Auditoría (descripción general)
27. Planificación de la auditoría
En esta sección, se tratan algunas tareas que pueden ser necesarias para que la estructura PAM use una determinada política de seguridad. Debe tener en cuenta algunos problemas de seguridad asociados a los archivos de configuración PAM. Para obtener información sobre los problemas de seguridad, consulte Planificación de la implementación de PAM.
|
Tal como se suministra, el archivo de configuración PAM implementa la política de seguridad estándar. Esta política funciona en diversas situaciones. Si debe implementar una política de seguridad distinta, aquí se muestran los problemas en los que se debe centrar:
Determine cuáles son sus necesidades, especialmente qué módulos de servicios PAM debe seleccionar.
Identifique los servicios que necesitan opciones de configuración especiales. Use el nombre de servicio other para proporcionar valores predeterminados para los servicios, si es apropiado.
Decida el orden en que se deben ejecutar los módulos.
Seleccione el indicador de control para cada módulo. Consulte Cómo funciona el apilamiento PAM para obtener más información sobre todos los indicadores de control.
Seleccione las opciones que son necesarias para cada módulo. La página del comando man de cada módulo debe enumerar las opciones especiales.
A continuación, exponemos algunas sugerencias que se deben tener en cuenta antes de cambiar la configuración PAM:
Use entradas de nombre de servicio other para cada tipo de módulo para que cada aplicación no tenga que ser incluida en la configuración PAM.
Asegúrese de tener en cuenta las implicaciones de seguridad de los indicadores de control.
Revise las páginas del comando man que están asociadas a los módulos. Estas páginas del comando man puede ayudar a comprender cómo funciona cada módulo, qué opciones están disponibles y las interacciones entre los módulos apilados.
Precaución - Si la configuración PAM no está configurada correctamente o se daña, es posible que ningún usuario pueda iniciar sesión. Como el comando sulogin no utiliza PAM, se necesita la contraseña de usuario root para iniciar el equipo en modo de usuario único y corregir el problema. |
Después de cambiar la configuración PAM, revise el archivo lo más posible mientras sigue teniendo acceso al sistema para corregir problemas. Pruebe todos los comandos que posiblemente hayan sido afectados por los cambios.
Este procedimiento muestra cómo agregar un nuevo módulo PAM. Es posible crear nuevos módulos para satisfacer políticas de seguridad específicas del sitio o para admitir aplicaciones de terceros.
Antes de empezar
Debe asumir el rol root. Para obtener más información, consulte Cómo usar los derechos administrativos que tiene asignados.
Consulte Cómo funciona el apilamiento PAM para obtener información sobre los indicadores de control.
Se pueden realizar cambios a /etc/pam.conf o /etc/pam.d/service.
Es necesario realizar una comprobación en caso de que el archivo de configuración no esté configurado correctamente. Inicie sesión con un servicio directo, como ssh, y ejecute el comando su.
Nota - El servicio rsh no está activado de manera predeterminada. Para proporcionar una conexión segura, use el comando ssh en su lugar.
Antes de empezar
Debe asumir el rol root. Para obtener más información, consulte Cómo usar los derechos administrativos que tiene asignados.
Este paso impide la lectura de los archivos ~/.rhosts durante una sesión rlogin. Por lo tanto, este paso impide el acceso no autenticado al sistema local desde sistemas remotos. Cualquier acceso rlogin requiere una contraseña, independientemente de la presencia o el contenido de los archivos ~/.rhosts o /etc/hosts.equiv.
Para evitar el acceso no autenticado al sistema, recuerde desactivar el servicio rsh.
# svcadm disable network/shell:default
Desactive también el servicio rlogin, si es necesario.
# svcadm disable network/login:rlogin
Antes de empezar
Debe asumir el rol root. Para obtener más información, consulte Cómo usar los derechos administrativos que tiene asignados.
# svcs system-log STATE STIME FMRI disabled 13:11:55 svc:/system/system-log:rsyslog online 13:13:27 svc:/system/system-log:default
Nota - Si la instancia de servicio rsyslog está en línea, modifique el archivo rsyslog.conf.
Consulte la página del comando man syslog.conf(4) para obtener más información sobre niveles de registro. La mayoría de los informes de errores PAM se realiza para la utilidad LOG_AUTH.
# svcadm refresh system-log:default
Nota - Refresque la instancia de servicio system-log:rsyslog si el servicio rsyslog está en línea.
Antes de empezar
Debe asumir el rol root. Para obtener más información, consulte Cómo usar los derechos administrativos que tiene asignados.
Consulte los comentarios en el texto siguiente para obtener una descripción de los efectos que produce el archivo.
# cat /etc/opt/pam_policy/custom-config # # PAM configuration which uses UNIX authentication for console logins, # LDAP for SSH keyboard-interactive logins, and denies telnet logins. # login auth requisite pam_authtok_get.so.1 login auth required pam_dhkeys.so.1 login auth required pam_unix_auth.so.1 login auth required pam_unix_cred.so.1 login auth required pam_dial_auth.so.1 # sshd-kbdint auth requisite pam_authtok_get.so.1 sshd-kbdint auth binding pam_unix_auth.so.1 server_policy sshd-kbdint auth required pam_unix_cred.so.1 sshd-kbdint auth required pam_ldap.so.1 # telnet auth requisite pam_deny.so.1 telnet account requisite pam_deny.so.1 telnet session requisite pam_deny.so.1 telnet password requisite pam_deny.so.1
El archivo debe ser propiedad de root y no puede ser escrito por grupos ni por cualquier persona.
# ls -l /etc/opt/pam_policy total 5 -r--r--r-- 1 root 4570 Jun 21 12:08 custom-config
El archivo custom-config en /etc/opt/pam_policy está asignado al usuario denominado jill.
# useradd -K pam_policy=/etc/opt/pam_policy/custom-config jill
Antes de empezar
Debe asumir el rol root. Para obtener más información, consulte Cómo usar los derechos administrativos que tiene asignados.
En este ejemplo, se utiliza la política PAM ldap.
# profiles -p "PAM Per-User Policy of LDAP" \ 'set desc="Profile which sets pam_policy=ldap"; set pam_policy=ldap; exit;'
Use pfedit para agregar la nueva política a la declaración PROFS_GRANTED.
# cat /etc/security/policy.conf . . AUTHS_GRANTED= PROFS_GRANTED=Basic Solaris User,PAM Per-User Policy of LDAP CONSOLE_USER=Console User
Ejemplo 14-1 Asignación de un perfil de derechos a un usuario
Si se ha creado un perfil como se mostró en el paso 1 del procedimiento anterior, ese perfil de derechos puede asignarse a un usuario mediante el siguiente comando:
# usermod -P +"PAM Per-User Policy of LDAP" jill