Omitir Vínculos de navegación | |
Salir de la Vista de impresión | |
Administración de Oracle Solaris 11.1: servicios de seguridad Oracle Solaris 11.1 Information Library (Español) |
Parte I Descripción general de la seguridad
1. Servicios de seguridad (descripción general)
Parte II Seguridad de sistemas, archivos y dispositivos
2. Gestión de seguridad de equipos (descripción general)
3. Control de acceso a sistemas (tareas)
Protección de inicios de sesión y contraseñas (tareas)
Protección de inicios de sesión y contraseñas (mapa de tareas)
Cómo cambiar la contraseña root
Cómo mostrar el estado de inicio de sesión de un usuario
Cómo visualizar usuarios sin contraseñas
Cómo desactivar temporalmente inicios de sesión de usuarios
Acerca de las conexiones fallidas
Cambio de algoritmo predeterminado para cifrado de contraseña (tareas)
Cómo especificar un algoritmo para cifrado de contraseña
Cómo especificar un nuevo algoritmo de contraseña para un dominio NIS
Cómo especificar un nuevo algoritmo de contraseña para un dominio LDAP
Supervisión y restricción del acceso root (tareas)
Control de acceso a hardware del sistema (tareas)
Cómo requerir una contraseña para el acceso al hardware de SPARC
Cómo desactivar una secuencia de interrupción del sistema
4. Servicio de análisis de virus (tareas)
5. Control de acceso a dispositivos (tareas)
6. Verificación de la integridad de archivos mediante el uso de BART (tareas)
7. Control de acceso a archivos (tareas)
Parte III Roles, perfiles de derechos y privilegios
8. Uso de roles y privilegios (descripción general)
9. Uso del control de acceso basado en roles (tareas)
10. Atributos de seguridad en Oracle Solaris (referencia)
Parte IV Servicios criptográficos
11. Estructura criptográfica (descripción general)
12. Estructura criptográfica (tareas)
13. Estructura de gestión de claves
Parte V Servicios de autenticación y comunicación segura
14. Uso de módulos de autenticación conectables
17. Uso de autenticación simple y capa de seguridad
18. Autenticación de servicios de red (tareas)
19. Introducción al servicio Kerberos
20. Planificación del servicio Kerberos
21. Configuración del servicio Kerberos (tareas)
22. Mensajes de error y resolución de problemas de Kerberos
23. Administración de las políticas y los principales de Kerberos (tareas)
24. Uso de aplicaciones Kerberos (tareas)
25. El servicio Kerberos (referencia)
Parte VII Auditoría en Oracle Solaris
26. Auditoría (descripción general)
27. Planificación de la auditoría
De manera predeterminada, el rol root se asigna el usuario inicial, y no puede iniciar sesión directamente en el sistema local ni de manera remota en cualquier sistema Oracle Solaris.
El archivo sulog lista cada uso del comando (su) del usuario de cambio, no sólo los intentos de su que se utilizan para cambiar de usuario a root.
Antes de empezar
Debe asumir el rol root. Para obtener más información, consulte Cómo usar los derechos administrativos que tiene asignados.
# more /var/adm/sulog SU 12/20 16:26 + pts/0 stacey-root SU 12/21 10:59 + pts/0 stacey-root SU 01/12 11:11 + pts/0 root-rimmer SU 01/12 14:56 + pts/0 jdoe-root SU 01/12 14:57 + pts/0 jdoe-root
Las entradas muestran la información siguiente:
La fecha y la hora en las que el comando se introdujo.
Si el intento se realizó correctamente. Un signo más (+) indica un intento con éxito. Un signo menos (-) indica un intento fallido.
El puerto desde el que se ha ejecutado el comando.
El nombre del usuario y el nombre de la identidad cambiada.
El registro de su en este archivo se activa de manera predeterminada mediante la siguiente entrada en el archivo /etc/default/su:
SULOG=/var/adm/sulog
Errores más frecuentes
Las entradas que incluyen ??? indican que el terminal de control para el comando su no se pueden identificar. Normalmente, las invocaciones del sistema del comando su antes de que el escritorio aparezca incluyen ???, como en SU 10/10 08:08 + ??? root-root. Después de que el usuario inicia una sesión de escritorio, el comando ttynam devuelve el valor del terminal de control a sulog: SU 10/10 10:10 + pts/3 jdoe-root.
Las entradas similares a las siguientes pueden indicar que el comando su no fue invocado en la línea de comandos: SU 10/10 10:20 + ??? root-oracle. Es posible que un usuario de Trusted Extensions haya cambiado al rol oracle utilizando una GUI.
Este método permite detectar inmediatamente los intentos de acceso al sistema local por parte del usuario root.
Antes de empezar
Debe asumir el rol root. Para obtener más información, consulte Cómo usar los derechos administrativos que tiene asignados.
CONSOLE=/dev/console
De manera predeterminada, el dispositivo de consola se establece en /dev/console. Con este valor, root puede iniciar sesión en la consola. root no puede iniciar sesión de manera remota.
Desde un sistema remoto, intente iniciar sesión como root.
mach2 % ssh -l root mach1 Password: <Type root password of mach1> Password: Password: Permission denied (gssapi-keyex,gssapi-with-mic,publickey,keyboard-interactive).
En la configuración predeterminada, root es un rol, y los roles no pueden iniciar sesión. Además, en la configuración predeterminada el protocolo ssh impide el inicio de sesión por parte del usuario root.
De manera predeterminada, los intentos de convertirse en usuario root se imprimen en la consola mediante la utilidad SYSLOG.
% su - Password: <Type root password> #
Se imprime un mensaje en la consola del terminal.
Sep 7 13:22:57 mach1 su: 'su root' succeeded for jdoe on /dev/pts/6
Ejemplo 3-5 Registro de intentos de acceso root
En este ejemplo, los intentos de root no están siendo registrados por SYSLOG. Por lo tanto, el administrador está registrando esos intentos eliminando el comentario de la entrada #CONSOLE=/dev/console en el archivo /etc/default/su.
# CONSOLE determines whether attempts to su to root should be logged # to the named device # CONSOLE=/dev/console
Cuando un usuario intenta convertirse en root, el intento se imprime en la consola del terminal.
SU 09/07 16:38 + pts/8 jdoe-root
Errores más frecuentes
Para convertir root desde un sistema remoto cuando el archivo /etc/default/login contiene la entrada CONSOLE predeterminada, los usuarios primero deben iniciar sesión con su nombre de usuario. Después de iniciar sesión con su nombre de usuario, los usuarios pueden utilizar el comando su para convertirse en root.
Si la consola muestra una entrada similar a Last login: Wed Sep 7 15:13:11 2011 from mach2, el sistema se configura para permitir inicios de sesión root remotos. Para evitar el acceso remoto de root, cambie la entrada #CONSOLE=/dev/console a CONSOLE=/dev/console en el archivo /etc/default/login. Para devolver el protocolo ssh al predeterminado, consulte la página del comando man sshd_config(4).