Omitir Vínculos de navegación | |
Salir de la Vista de impresión | |
Configuración y administración de Trusted Extensions Oracle Solaris 11.1 Information Library (Español) |
Parte I Configuración inicial de Trusted Extensions
1. Planificación de la seguridad para Trusted Extensions
2. Guía básica de configuración de Trusted Extensions
3. Agregación de la función Trusted Extensions a Oracle Solaris (tareas)
4. Configuración de Trusted Extensions (tareas)
5. Configuración de LDAP para Trusted Extensions (tareas)
Parte II Administración de Trusted Extensions
6. Conceptos de la administración de Trusted Extensions
7. Herramientas de administración de Trusted Extensions
8. Requisitos de seguridad del sistema Trusted Extensions (descripción general)
9. Realización de tareas comunes en Trusted Extensions
Introducción para administradores de Trusted Extensions (mapa de tareas)
Cómo entrar en la zona global en Trusted Extensions
Cómo salir de la zona global en Trusted Extensions
Tareas comunes en Trusted Extensions (mapa de tareas)
Cómo cambiar la contraseña de root
Cómo aplicar una nueva contraseña de usuario local en una zona con etiquetas
Cómo recuperar el control del enfoque actual del escritorio
Cómo obtener el equivalente hexadecimal de una etiqueta
Cómo obtener una etiqueta legible de su forma hexadecimal
Cómo cambiar los valores predeterminados de seguridad en los archivos del sistema
10. Usuarios, derechos y roles en Trusted Extensions (descripción general)
11. Gestión de usuarios, derechos y roles en Trusted Extensions (tareas)
12. Administración remota en Trusted Extensions (tareas)
13. Gestión de zonas en Trusted Extensions
14. Gestión y montaje de archivos en Trusted Extensions
15. Redes de confianza (descripción general)
16. Gestión de redes en Trusted Extensions (tareas)
17. Trusted Extensions y LDAP (descripción general)
18. Correo de varios niveles en Trusted Extensions (descripción general)
19. Gestión de impresión con etiquetas (tareas)
20. Dispositivos en Trusted Extensions (descripción general)
21. Gestión de dispositivos para Trusted Extensions (tareas)
22. Auditoría de Trusted Extensions (descripción general)
23. Gestión de software en Trusted Extensions
A. Política de seguridad del sitio
Creación y gestión de una política de seguridad
Política de seguridad del sitio y Trusted Extensions
Recomendaciones de seguridad informática
Recomendaciones de seguridad física
Recomendaciones de seguridad del personal
Infracciones de seguridad comunes
Referencias de seguridad adicionales
B. Lista de comprobación de configuración de Trusted Extensions
Lista de comprobación para la configuración de Trusted Extensions
C. Referencia rápida a la administración de Trusted Extensions
Interfaces administrativas en Trusted Extensions
Interfaces de Oracle Solaris ampliadas por Trusted Extensions
Valores predeterminados de seguridad que brindan mayor protección en Trusted Extensions
Opciones limitadas en Trusted Extensions
D. Lista de las páginas del comando man de Trusted Extensions
Páginas del comando man de Trusted Extensions en orden alfabético
Páginas del comando man de Oracle Solaris modificadas por Trusted Extensions
En el siguiente mapa de tareas, se describen los procedimientos administrativos comunes en Trusted Extensions.
|
Trusted Extensions proporciona una interfaz gráfica de usuario para cambiar la contraseña.
Para conocer los pasos, consulte Cómo entrar en la zona global en Trusted Extensions.
Si se crean contraseñas independientes por zona, el menú puede indicar Change Workspace Password.
Se deben reiniciar las zonas con etiquetas en los siguientes casos:
Uno o varios usuarios locales han cambiado sus contraseñas.
Todas las zonas utilizan una sola instancia del daemon de caché de servicio de nombres (nscd).
El sistema se administra con archivos, no con LDAP.
Antes de empezar
Debe tener asignado el perfil de derechos de seguridad de la zona.
Utilice uno de los métodos siguientes:
# txzonemgr &
En Labeled Zone Manager, navegue hasta la zona con etiquetas y, en la lista de comandos, seleccione Halt y luego Boot.
Puede optar por apagar o detener el sistema.
El comando zlogin apaga la zona correctamente.
# zlogin labeled-zone shutdown -i 0 # zoneadm -z labeled-zone boot
El subcomando halt omite las secuencias de comandos de apagado.
# zoneadm -z labeled-zone halt # zoneadm -z labeled-zone boot
Errores más frecuentes
Para actualizar automáticamente las contraseñas de usuario de las zonas con etiquetas, debe configurar LDAP o un servicio de nombres por zona. También puede configurar ambos.
Para configurar LDAP, consulte el Capítulo 5, Configuración de LDAP para Trusted Extensions (tareas).
La configuración de un servicio de nombres por zona requiere conocimientos avanzados sobre redes. Para conocer el procedimiento, consulte Cómo configurar un servicio de nombres independiente para cada zona con etiquetas.
La combinación de teclas de aviso de seguridad se puede utilizar para interrumpir un arrastre del puntero o del teclado que provenga de una aplicación que no sea de confianza. Esta combinación de teclas también puede utilizarse para verificar si un arrastre del puntero o del teclado proviene de una aplicación de confianza. En un sistema de varios periféricos que se ha suplantado para que se muestre más de una banda de confianza, esta combinación de teclas dirige el puntero hacia la banda de confianza autorizada.
Presione las teclas simultáneamente para recuperar el control del enfoque actual del escritorio. En el teclado de Sun, el rombo es la tecla Meta.
<Meta> <Stop>
Si el arrastre, como un puntero, no es de confianza, el puntero se mueve hacia la banda. Si el puntero es de confianza, no se pasa a la banda de confianza.
<Alt> <Break>
Presione las teclas simultáneamente para recuperar el control del enfoque del escritorio actual de su equipo portátil.
Ejemplo 9-1 Comprobar si la petición de contraseña es de confianza
En un sistema x86 que se usa con un teclado de Sun, se le solicita una contraseña al usuario. Se arrastra el puntero y se lo ubica en el cuadro de diálogo de contraseña. Para comprobar si el indicador es de confianza, el usuario presiona simultáneamente las teclas <Meta> y <Stop>. Cuando el puntero permanece en el cuadro de diálogo, el usuario sabe que la petición de contraseña es de confianza.
Si el puntero se mueve a la banda de confianza, el usuario se da cuenta de que la petición de contraseña no es de confianza, por lo que debe ponerse en contacto con el administrador.
Ejemplo 9-2 Forzar el puntero hacia la banda de confianza
En este ejemplo, un usuario no está ejecutando ningún proceso de confianza, pero no puede ver el puntero del mouse. Para ubicar el puntero en el centro de la banda de confianza, el usuario presiona simultáneamente las teclas <Meta> y <Stop>.
Este procedimiento proporciona la representación hexadecimal interna de una etiqueta. Esta representación se puede almacenar con seguridad en un directorio público. Para obtener más información, consulte la página del comando man atohexlabel(1M).
Antes de empezar
Debe estar con el rol de administrador de la seguridad en la zona global. Para obtener detalles, consulte Cómo entrar en la zona global en Trusted Extensions.
$ atohexlabel "CONFIDENTIAL : INTERNAL USE ONLY" 0x0004-08-48
La cadena no distingue mayúsculas de minúsculas, pero los espacios en blanco deben ser exactos. Por ejemplo, las siguientes cadenas entre comillas devuelven una etiqueta hexadecimal:
"CONFIDENTIAL : INTERNAL USE ONLY"
"cnf : Internal"
"confidential : internal"
Las siguientes cadenas entre comillas devuelven un error de análisis:
"confidential:internal"
"confidential: internal"
$ atohexlabel -c "CONFIDENTIAL NEED TO KNOW" 0x0004-08-68
Nota - Las etiquetas de sensibilidad y de acreditación en lenguaje natural se forman según las reglas del archivo label_encodings. Cada tipo de etiqueta utiliza reglas de una sección independiente de este archivo. Cuando la etiqueta de sensibilidad y la etiqueta de acreditación expresan el mismo nivel de sensibilidad subyacente, ambas tienen una forma hexadecimal idéntica. Sin embargo, las etiquetas pueden tener diferentes formas en lenguaje natural. Las interfaces del sistema que aceptan etiquetas en lenguaje natural como entrada esperan un tipo de etiqueta. Si las cadenas de texto de los tipos de etiquetas difieren, estas cadenas de texto no se pueden intercambiar.
En el archivo label_encodings, el equivalente de texto de una etiqueta de acreditación no incluye dos puntos (:).
Ejemplo 9-3 Uso del comando atohexlabel
Cuando pasa una etiqueta válida en formato hexadecimal, el comando devuelve el argumento.
$ atohexlabel 0x0004-08-68 0x0004-08-68
Cuando pasa una etiqueta administrativa, el comando devuelve el argumento.
$ atohexlabel admin_high ADMIN_HIGH atohexlabel admin_low ADMIN_LOW
Errores más frecuentes
El mensaje de error atohexlabel parsing error found in <string> at position 0 indica que el argumento <string> que pasó a atohexlabel no es una etiqueta o acreditación válidas. Verifique que no haya errores de escritura y compruebe que la etiqueta exista en el archivo label_encodings que tiene instalado.
Este procedimiento proporciona un modo de reparar las etiquetas almacenadas en las bases de datos internas. Para obtener más información, consulte la página del comando man hextoalabel(1M).
Antes de empezar
Debe estar con el rol de administrador de la seguridad en la zona global.
$ hextoalabel 0x0004-08-68 CONFIDENTIAL : NEED TO KNOW
$ hextoalabel -c 0x0004-08-68 CONFIDENTIAL NEED TO KNOW
Los archivos de los directorios /etc/security y /etc/default contienen valores de seguridad. Para obtener más información, consulte el Capítulo 3, Control de acceso a sistemas (tareas) de Administración de Oracle Solaris 11.1: servicios de seguridad.
Precaución - Reduzca los valores predeterminados de seguridad del sistema únicamente si la política de seguridad del sitio lo permite. |
Antes de empezar
Debe estar en la zona global y tener asignada la autorización solaris.admin.edit/ filename. De manera predeterminada, el rol root tiene esta autorización.
La siguiente tabla muestra los archivos de seguridad y los valores de seguridad que es posible cambiar en los archivos. Los dos primeros archivos son exclusivos de Trusted Extensions.
|