Omitir Vínculos de navegación | |
Salir de la Vista de impresión | |
Administración de Oracle Solaris 11.1: servicios de seguridad Oracle Solaris 11.1 Information Library (Español) |
Parte I Descripción general de la seguridad
1. Servicios de seguridad (descripción general)
Parte II Seguridad de sistemas, archivos y dispositivos
2. Gestión de seguridad de equipos (descripción general)
3. Control de acceso a sistemas (tareas)
4. Servicio de análisis de virus (tareas)
5. Control de acceso a dispositivos (tareas)
6. Verificación de la integridad de archivos mediante el uso de BART (tareas)
7. Control de acceso a archivos (tareas)
Parte III Roles, perfiles de derechos y privilegios
8. Uso de roles y privilegios (descripción general)
9. Uso del control de acceso basado en roles (tareas)
Visualización y uso de valores predeterminados de RBAC (tareas)
Visualización y uso de valores predeterminados de RBAC (mapa de tareas)
Cómo visualizar todos los atributos de seguridad definidos
Cómo visualizar los derechos asignados
Cómo cambiar los atributos de seguridad de un usuario
Cómo usar los derechos administrativos que tiene asignados
Personalización de RBAC para su sitio (tareas)
Configuración inicial de RBAC (mapa de tareas)
Cómo planificar la implementación de RBAC
Cómo crear un perfil de derechos
Cómo clonar y modificar un perfil de derechos del sistema
Cómo agregar propiedades RBAC a las aplicaciones antiguas
Cómo solucionar problemas de asignación de privilegios y RBAC
Gestión de RBAC (mapa de tareas)
Cómo cambiar la contraseña de un rol
Cómo cambiar los atributos de seguridad de un rol
Cómo volver a ordenar atributos de seguridad asignados
Cómo restringir a un administrador a derechos asignados explícitamente
Cómo permitir que un usuario use su propia contraseña para asumir un rol
Cómo enumerar los privilegios en el sistema
Cómo determinar los privilegios que se le asignaron directamente
Cómo determinar los comandos con privilegios que puede ejecutar
Cómo determinar los privilegios de un proceso
Cómo determinar los privilegios que necesita un programa
Cómo aplicar una política de privilegio extendida a un puerto
Cómo ejecutar una secuencia de comandos de shell con comandos con privilegios
10. Atributos de seguridad en Oracle Solaris (referencia)
Parte IV Servicios criptográficos
11. Estructura criptográfica (descripción general)
12. Estructura criptográfica (tareas)
13. Estructura de gestión de claves
Parte V Servicios de autenticación y comunicación segura
14. Uso de módulos de autenticación conectables
17. Uso de autenticación simple y capa de seguridad
18. Autenticación de servicios de red (tareas)
19. Introducción al servicio Kerberos
20. Planificación del servicio Kerberos
21. Configuración del servicio Kerberos (tareas)
22. Mensajes de error y resolución de problemas de Kerberos
23. Administración de las políticas y los principales de Kerberos (tareas)
24. Uso de aplicaciones Kerberos (tareas)
25. El servicio Kerberos (referencia)
Parte VII Auditoría en Oracle Solaris
26. Auditoría (descripción general)
27. Planificación de la auditoría
Una vez que configura y usa RBAC, utilice los procedimientos siguientes para mantener y modificar RBAC en los sistemas.
El siguiente mapa de tareas hace referencia a los procedimientos para mantener el control de acceso basado en roles (RBAC) después de la implementación inicial de RBAC.
|
Estos procedimientos gestionan atributos de seguridad en usuarios, roles y perfiles de derechos. Para conocer los procedimientos de gestión de usuario básico, consulte el Capítulo 1, Gestión de cuentas de usuario y entornos de usuario (descripción general) de Gestión de las cuentas de usuario y los entornos de usuario en Oracle Solaris 11.1.
Debido a que un rol se puede asignar a varios usuarios, los usuarios a los que se asigna un rol no pueden cambiar la contraseña del rol.
Antes de empezar
Debe asumir el rol root. Para obtener más información, consulte Cómo usar los derechos administrativos que tiene asignados.
# passwd [-r naming-service] rolename
Aplica el cambio de contraseña al repositorio files o ldap. El repositorio predeterminado es files. Si no especifica un repositorio, se cambia la contraseña en todos los repositorios.
Nombre de un rol existente que desea modificar.
Para conocer más opciones de comandos, consulte la página del comando man passwd(1).
Ejemplo 9-24 Cambio de contraseña de un rol
En este ejemplo, el rol root cambia la contraseña del rol devmgt local.
# passwd -r files devmgt New password: Type new password Confirm password: Retype new password
En este ejemplo, el rol root cambia la contraseña del rol devmgt en el servicio de directorios LDAP.
# passwd -r ldap devmgt New password: Type new password Confirm password: Retype new password
En este ejemplo, el rol root cambia la contraseña del rol devmgt en el archivo y LDAP.
# passwd devmgt New password: Type new password Confirm password: Retype new password
Antes de empezar
Debe convertirse en un administrador con el perfil de derechos de seguridad de usuario asignado para cambiar la mayoría de los atributos de seguridad de un rol. Para asignar indicadores de auditoría o cambiar la contraseña de un rol, debe asumir el rol root. Para obtener más información, consulte Cómo usar los derechos administrativos que tiene asignados.
Este comando modifica los atributos de un rol definido en el servicio de nombres local o en LDAP. Los valores de las opciones -A, -P y -R pueden ser modificados por - o +. El signo - indica que se va a restar el valor de los valores asignados actualmente. El signo + indica que se va a sumar el valor a los valores asignados actualmente.
Para obtener más información sobre el comando rolemod, consulte lo siguiente:
Para obtener una descripción breve, consulte la descripción del comando roleadd en Cómo crear un rol.
Para conocer todos los argumentos de este comando, consulte la página del comando man rolemod(1M).
Para obtener la lista de valores de claves para la opción -K, consulte la página del comando man user_attr(4).
El siguiente comando agrega dos perfiles de derechos al rol devmgt en el repositorio LDAP:
$ rolemod -P +"Device Management,File Management" -S ldap devadmin
Ejemplo 9-25 Cambio de los atributos de seguridad de un rol local
En este ejemplo, el administrador de seguridad modifica el rol prtmgt para incluir el perfil de derechos de gestión de VSCAN.
$ rolemod -c "Handles printers and virus scanning" \ -P "Printer Management,VSCAN Management,All" prtmgt
Ejemplo 9-26 Asignación de privilegios directamente a un rol
En este ejemplo, el administrador de seguridad confía al rol systime un privilegio muy específico que afecta la hora del sistema.
$ rolemod -K defaultpriv='proc_clock_highres' systime
Los valores de la palabra clave defaultpriv se encuentran en la lista de privilegios de los procesos del rol en todo momento.
Oracle Solaris lee perfiles de derechos en orden de asignación, como se describe en Orden de búsqueda para atributos de seguridad asignados. En este proceso, puede volver a ordenar perfiles de derechos.
Antes de empezar
Debe convertirse en un administrador con el perfil de derechos de seguridad de usuario asignado. Para obtener más información, consulte Cómo usar los derechos administrativos que tiene asignados.
La lista se muestra en orden.
$ profiles username|rolename
$ usermod | rolemod -P "list-of-profiles"
Ejemplo 9-27 Asignación de perfiles de derechos en un orden específico
En este ejemplo, el administrador determina que un perfil de derechos con comandos con privilegios se muestra después del perfil de todos los derechos para el rol devadmin.
$ profiles devadmin Basic Solaris User All Device Management
Por lo tanto, el rol devadmin no puede ejecutar los comandos de gestión de dispositivo con sus privilegios asignados.
El administrador reasigna los perfiles de derechos para devadmin. Con el nuevo orden de asignación, devadmin puede ejecutar los comandos de dispositivo con sus privilegios asignados.
$ rolemod -P "Device Management,Basic Solaris User,All" $ profiles devadmin Device Management Basic Solaris User All
Puede restringir un rol o un usuario a un número limitado de acciones administrativas de dos formas.
Puede utilizar el perfil de derechos de detención.
El perfil de derechos de detención es la forma más sencilla de crear un shell restringido. Las autorizaciones y los perfiles de derechos que están asignados en el archivo policy.conf no se consultan. Por lo tanto, al rol o al usuario no se le asigna el perfil de derechos de usuario básico de Solaris, el perfil de derechos de usuario de consola ni la autorización solaris.device.cdrw.
Puede modificar el archivo policy.conf en un sistema y requerir que el rol o el usuario utilice ese sistema para tareas administrativas.
Antes de empezar
Debe asumir el rol root. Para obtener más información, consulte Cómo usar los derechos administrativos que tiene asignados.
Por ejemplo, puede limitar al rol auditrev a realizar sólo revisiones de auditoría.
# rolemod -P "Audit Review,Stop" auditrev
Debido a que el rol auditrev no tiene el perfil de derechos de usuario de consola, el auditor no puede cerrar el sistema. Debido a que este rol no tiene la autorización solaris.device.cdrw, el auditor no puede leer o escribir en la unidad de CD-ROM. Debido a que este rol no tiene el perfil de derechos de usuario básico de Solaris, ningún comando que no sean los comandos en el perfil de derechos de revisión de auditoría se puede ejecutar en este rol. Por ejemplo, el comando ls no se ejecutará. El rol utiliza el explorador de archivos para ver los archivos de auditoría.
Para obtener más información, consulte Perfiles de derechos y Orden de búsqueda para atributos de seguridad asignados.
El comando rolemod modifica los atributos de un rol definido en el servicio de nombres local o en LDAP. Para conocer los argumentos de este comando, consulte la página del comando man rolemod(1M). La lista de argumentos de RBAC es similar a la lista para el comando roleadd, como se describe en Cómo crear un rol.
Ejemplo 9-28 Modificación de un sistema para limitar los derechos disponibles a sus usuarios
En este ejemplo, el administrador crea un sistema que sólo es útil para administrar la red. El administrador elimina el perfil de derechos de usuario básico de Solaris y cualquier autorización del archivo policy.conf. El perfil de derechos de usuario de consola no se elimina. Las líneas afectadas en el archivo policy.conf resultante son las siguientes:
... #AUTHS_GRANTED= #PROFS_GRANTED=Basic Solaris User CONSOLE_USER=Console User ...
Sólo un usuario que ha sido asignado de forma explícita autorizaciones, comandos o perfiles de derechos puede usar este sistema. Después de iniciar sesión, el usuario autorizado puede realizar tareas administrativas. Si el usuario autorizado se encuentra en la consola del sistema, el usuario tiene los derechos del usuario de consola.
De manera predeterminada, los usuarios deben escribir la contraseña del rol para asumir un rol. Realice este procedimiento para que asumir un rol en Oracle Solaris sea similar a asumir un rol en un entorno Linux.
Antes de empezar
Asume un rol que incluye el perfil de derechos de seguridad de usuario. Este rol no puede ser el rol cuyo valor roleauth desea cambiar.
$ rolemod -K roleauth=user rolename
Para asumir este rol, los usuarios asignados pueden usar ahora su propia contraseña, no la contraseña que se ha creado específicamente para el rol.
Ejemplo 9-29 Activación de un rol para utilizar la contraseña del usuario asignado al utilizar un perfil de derechos
En este ejemplo, el rol root cambia el valor de roleauth por el rol secadmin en el sistema local.
$ profiles -p "Local System Administrator" profiles:Local System Administrator> set roleauth="user" profiles:Local System Administrator> end profiles:Local System Administrator> exit
Cuando un usuario al que se le asigna el perfil de derechos de administrador de seguridad desea asumir el rol, se le solicita una contraseña. En la secuencia siguiente, el nombre de rol es secadmin:
% su - secadmin Password: Type user password $ /** You are now in a profile shell with administrative rights**/
Si se le han asignado otros roles, el usuario tiene su propia contraseña para autenticarse ante esos roles también.
Ejemplo 9-30 Cambio del valor de roleauth por un rol en el repositorio LDAP
En este ejemplo, el rol root permite a todos los usuarios que pueden asumir el rol secadmin utilizar su propia contraseña al asumir un rol. Esta capacidad se concede a estos usuarios para todos los sistemas que están gestionados por el servidor LDAP.
# rolemod -S ldap -K roleauth=user secadmin
Errores más frecuentes
Si se establece roleauth=user para el rol, la contraseña de usuario permite que el rol autenticado acceda a todos los derechos que están asignados a ese rol. La palabra clave depende de la búsqueda. Para obtener más información, consulte Orden de búsqueda para atributos de seguridad asignados.
Un administrador puede cambiar root a un usuario al retirar un sistema que se ha eliminado de la red. En esta instancia, iniciar sesión en el sistema como root simplifica la limpieza.
Antes de empezar
Debe convertirse en root. Para obtener más información, consulte Cómo usar los derechos administrativos que tiene asignados.
Por ejemplo, elimine la asignación de rol de dos usuarios.
% su - root Password: a!2@3#4$5%6^7 # roles jdoe root # roles kdoe root # roles ldoe secadmin # usermod -R "" jdoe # usermod -R "" kdoe #
# rolemod -K type=normal root
Los usuarios que están actualmente en el rol root lo siguen estando. Otros usuarios que tienen acceso de usuario root pueden cambiar su a root o pueden iniciar sesión en el sistema como el usuario root.
Puede utilizar uno de los siguientes comandos.
# getent user_attr root root::::auths=solaris.*;profiles=All;audit_flags=lo\:no;lock_after_retries=no; min_label=admin_low;clearance=admin_high
Si falta la palabra clave type en la salida o es igual a normal, la cuenta no es un rol.
# userattr type root
Si la salida está vacía o muestra normal, la cuenta no es un rol.
Ejemplo 9-31 Prevención de que el rol root se utilice para configurar un sistema
En este ejemplo, la política de seguridad del sitio requiere que se evite que la cuenta root mantenga el sistema. El administrador ha creado y probado los roles que mantienen el sistema. Estos roles incluyen cada perfil de seguridad y el perfil de derechos de administrador del sistema. Se ha asignado a un usuario de confianza un rol que puede restaurar una copia de seguridad. Ningún rol puede cambiar los indicadores de auditoría para el sistema, un usuario o un perfil de derechos.
Para evitar que la cuenta root se utilice para mantener el sistema, el administrador de seguridad elimina la asignación del rol root. Debido a que la cuenta root debe poder iniciar sesión en el sistema en modo de un solo usuario, la cuenta retiene una contraseña.
# usermod -K roles= jdoe # userattr roles jdoe
Ejemplo 9-32 Cambio de usuario root a rol root
En este ejemplo, el usuario root devuelve el usuario root a un rol.
Primero, el usuario root cambia la cuenta root a un rol y verifica el cambio.
# usermod -K type=role root # getent user_attr root root::::type=role;auths=solaris.*;profiles=All;audit_flags=lo\:no; lock_after_retries=no;min_label=admin_low;clearance=admin_high
A continuación, root asigna el rol root a un usuario local.
# usermod -R root jdoe
Errores más frecuentes
En un entorno de escritorio, no puede iniciar sesión directamente como root cuando root es un rol. Un mensaje de diagnóstico indica que root es un rol en el sistema.
Si no tiene una cuenta local que pueda asumir el rol root, cree una. Como root, inicie sesión en el sistema en el modo de un solo usuario, cree una cuenta de usuario local y una contraseña, y asigne el rol root a la nueva cuenta. A continuación, inicie sesión como el nuevo usuario y asuma el rol root.