Omitir Vínculos de navegación | |
Salir de la Vista de impresión | |
Configuración y administración de Trusted Extensions Oracle Solaris 11.1 Information Library (Español) |
Parte I Configuración inicial de Trusted Extensions
1. Planificación de la seguridad para Trusted Extensions
2. Guía básica de configuración de Trusted Extensions
3. Agregación de la función Trusted Extensions a Oracle Solaris (tareas)
4. Configuración de Trusted Extensions (tareas)
5. Configuración de LDAP para Trusted Extensions (tareas)
Parte II Administración de Trusted Extensions
6. Conceptos de la administración de Trusted Extensions
7. Herramientas de administración de Trusted Extensions
8. Requisitos de seguridad del sistema Trusted Extensions (descripción general)
9. Realización de tareas comunes en Trusted Extensions
10. Usuarios, derechos y roles en Trusted Extensions (descripción general)
11. Gestión de usuarios, derechos y roles en Trusted Extensions (tareas)
12. Administración remota en Trusted Extensions (tareas)
Administración remota en Trusted Extensions
Métodos para administrar sistemas remotos en Trusted Extensions
Configuración y administración de sistemas remotos en Trusted Extensions (mapa de tareas)
Cómo activar la administración remota de un sistema Trusted Extensions remoto
Cómo configurar un sistema Trusted Extensions con Xvnc para el acceso remoto
13. Gestión de zonas en Trusted Extensions
14. Gestión y montaje de archivos en Trusted Extensions
15. Redes de confianza (descripción general)
16. Gestión de redes en Trusted Extensions (tareas)
17. Trusted Extensions y LDAP (descripción general)
18. Correo de varios niveles en Trusted Extensions (descripción general)
19. Gestión de impresión con etiquetas (tareas)
20. Dispositivos en Trusted Extensions (descripción general)
21. Gestión de dispositivos para Trusted Extensions (tareas)
22. Auditoría de Trusted Extensions (descripción general)
23. Gestión de software en Trusted Extensions
A. Política de seguridad del sitio
Creación y gestión de una política de seguridad
Política de seguridad del sitio y Trusted Extensions
Recomendaciones de seguridad informática
Recomendaciones de seguridad física
Recomendaciones de seguridad del personal
Infracciones de seguridad comunes
Referencias de seguridad adicionales
B. Lista de comprobación de configuración de Trusted Extensions
Lista de comprobación para la configuración de Trusted Extensions
C. Referencia rápida a la administración de Trusted Extensions
Interfaces administrativas en Trusted Extensions
Interfaces de Oracle Solaris ampliadas por Trusted Extensions
Valores predeterminados de seguridad que brindan mayor protección en Trusted Extensions
Opciones limitadas en Trusted Extensions
D. Lista de las páginas del comando man de Trusted Extensions
Páginas del comando man de Trusted Extensions en orden alfabético
Páginas del comando man de Oracle Solaris modificadas por Trusted Extensions
Tras activar la administración remota antes de reiniciar el sistema remoto en Trusted Extensions, puede configurar el sistema mediante la informática en red virtual (VNC) o el protocolo ssh.
|
Nota - Consulte su política de seguridad para determinar qué métodos de administración remota están permitidos en su sitio.
En este procedimiento, se activa la autenticación basada en host en un sistema remoto Oracle Solaris antes de agregar la función Trusted Extensions. El sistema remoto es el servidor Secure Shell.
Antes de empezar
El sistema remoto se instala con Oracle Solaris, y es posible acceder a ese sistema. Debe tener el rol root.
Para conocer el procedimiento, consulte Cómo configurar la autenticación basada en host para Secure Shell de Administración de Oracle Solaris 11.1: servicios de seguridad.
Nota - No utilice el comando cat. Copie y pegue la clave pública mediante una conexión Secure Shell. Si el cliente Secure Shell no es un sistema Oracle Solaris, siga las instrucciones de la plataforma para configurar un cliente Secure Shell con la autenticación basada en host.
Después de completar este paso, tendrá una cuenta de usuario en ambos sistemas que puede asumir el rol de usuario root. Se asigna el mismo UID, GID y asignación de rol a las cuentas. También ha generado pares de claves públicas/privadas y tiene claves públicas compartidas.
# pfedit /etc/ssh/sshd_config ## Permit remote login by root PermitRootLogin yes
Un paso posterior limita el inicio de sesión de root a un sistema y un usuario concretos.
Nota - Dado que el administrador asumirá el rol de usuario root, no necesita hacer menos estricta la política de inicio de sesión que impide que root inicie sesión de manera remota.
# svcadm restart ssh
# cd # pfedit .shosts client-host username
El archivo .shosts permite que username en el sistema client-host asuma el rol de usuario root en el servidor, cuando se comparte una clave pública/privada.
# cp /etc/pam.d/other /etc/pam.d/other.orig
# pfedit /etc/pam.d/other ... # Default definition for Account management # Used when service name is not explicitly mentioned for account management # ... #account requisite pam_roles.so.1 # Enable remote role assumption account requisite pam_roles.so.1 allow_remote ...
Esta política permite que username en el sistema client-host asuma un rol en el servidor.
# pfedit /etc/pam.d/other # Default definition for Account management # Used when service name is not explicitly mentioned for account management # ... #account requisite pam_roles.so.1 # Enable remote role assumption account requisite pam_roles.so.1 allow_remote # account required pam_unix_account.so.1 #account required pam_tsol_account.so.1 # Enable unlabeled access to TX system account required pam_tsol_account.so.1 allow_unlabeled
% ssh -l root remote-system
# svcadm enable -s labeld # /usr/sbin/reboot
Ejemplo 12-1 Asignación del tipo de host CIPSO para la administración remota
En este ejemplo, el administrador utiliza un sistema Trusted Extensions para configurar un host Trusted Extensions remoto. Para ello, el administrador utiliza el comando tncfg en cada sistema con el fin de definir el tipo de host del sistema equivalente.
remote-system # tncfg -t cipso add host=192.168.1.12 Client-host
client-host # tncfg -t cipso add host=192.168.1.22 Remote system
Dado que un sistema sin etiquetar también puede configurar el host Trusted Extensions remoto, el administrador deja la opción allow_unlabeled en el archivo pam.conf del host remoto.
La tecnología de informática en red virtual (VNC) conecta un cliente a un servidor remoto y, luego, muestra el escritorio del servidor remoto en una ventana en el cliente. Xvnc es la versión UNIX de VNC, que se basa en un servidor X estándar. En Trusted Extensions, un cliente de cualquier plataforma puede conectarse a un servidor Xvnc que ejecuta Trusted Extensions, iniciar sesión en el servidor Xvnc y, luego, visualizar un escritorio de varios niveles y trabajar en él.
Para obtener más información, consulte las páginas del comando man Xvnc(1) y vncconfig(1).
Antes de empezar
Debe tener instalado y configurado Trusted Extensions en este sistema que se utilizará como servidor Xvnc. La zona global de este sistema tiene una dirección IP fija, es decir, no utiliza el perfil de configuración de red automático, como se describe en la página del comando man netcfg(1M).
Este sistema reconoce los clientes VNC por nombre de host o por dirección IP. En concreto, la plantilla de seguridad admin_low identifica de forma explícita o mediante un comodín los sistemas que pueden ser clientes VNC de este servidor. Para obtener más información sobre cómo configurar la conexión de manera segura, consulte Cómo limitar los hosts que se pueden contactar en la red de confianza.
Si actualmente ejecuta una sesión GNOME en la consola del futuro servidor Xvnc de Trusted Extensions, no tiene activado el uso compartido del escritorio.
Tiene el rol de usuario root en la zona global del futuro servidor Xvnc de Trusted Extensions.
# packagemanager &
En la interfaz gráfica de usuario Package Manager, busque "vnc" y elija entre los servidores disponibles. Una opción es el software de servidor TigerVNC X11/VNC.
Si no puede abrir la interfaz gráfica de usuario, agregue la cuenta root local a la lista de control de acceso del servidor X. Ejecute este comando como el usuario que inició sesión en el servidor X.
% xhost +si:localuser:root
Para obtener más información, consulte las páginas del comando man xhost(1) y Xsecurity(5).
Modifique el archivo de configuración personalizado de GNOME Display Manager (gdm). En el archivo /etc/gdm/custom.conf, escriba Enable=true en el encabezado [xdmcp].
[xdmcp] Enable=true
Consejo - Guarde una copia del archivo Xsession original antes de realizar el cambio.
DISPLAY=unix:$(echo $DISPLAY|sed -e s/::ffff://|cut -d: -f2)
Los archivos del Paso 2 y el Paso 3 están marcados con el atributo de paquetes preserve=true. Para obtener información sobre el efecto que tiene este atributo en los archivos modificados durante las actualizaciones y correcciones de paquetes, consulte la página de comando man pkg(5).
# svcadm enable xvnc-inetd
# svcadm restart gdm
Espere aproximadamente un minuto para que se reinicie el administrador del escritorio. A continuación, puede conectarse un cliente VNC.
# svcs | grep vnc
Para el sistema cliente, puede elegir el software. Puede utilizar el software VNC desde el repositorio de Oracle Solaris.
Para obtener información sobre la preselección de eventos de auditoría por sistema y por usuario, consulte Configuración del servicio de auditoría (tareas) de Administración de Oracle Solaris 11.1: servicios de seguridad.
% /usr/bin/vncviewer Xvnc-server-hostname
Para conocer las opciones de comandos, consulte la página del comando man vncviewer(1).
Continúe con el proceso de inicio de sesión. Para obtener una descripción del resto de los pasos, consulte Inicio de sesión en Trusted Extensions de Guía del usuario de Trusted Extensions.
Ejemplo 12-2 Uso de Vino para compartir un escritorio en un entorno de prueba
En este ejemplo, dos programadores usan el servicio Vino de GNOME para compartir la visualización desde el menú Launch (Lanzar) → System (Sistema) → Preferences (Preferencias) → Desktop Sharing (Compartición de escritorio). Además de los pasos anteriores, flexibilizan la política de Trusted Extensions al permitir la extensión XTEST.
# pfedit /usr/X11/lib/X11/xserver/TrustedExtensionsPolicy ## /usr/X11/lib/X11/xserver/TrustedExtensionsPolicy file ... #extension XTEST extension XTEST ...
Este procedimiento permite utilizar la línea de comandos y la interfaz gráfica de usuario txzonemgr para administrar un sistema Trusted Extensions remoto.
Antes de empezar
El usuario, el rol y la asignación de rol se definen de manera idéntica en los sistemas locales y remotos, como se describe en Cómo activar la administración remota de un sistema Trusted Extensions remoto.
desktop $ xhost + remote-sys
Utilice el comando ssh para iniciar sesión.
desktop $ ssh -X -l identical-username remote-sys Password: Type the user's password remote-sys $
La opción -X permite la visualización de las interfaces gráficas de usuario.
Por ejemplo, asuma el rol de usuario root.
remote-sys $ su - root Password: Type the root password
Ahora está en la zona global. Ahora puede utilizar esta ventana de terminal para administrar el sistema remoto desde la línea de comandos. Las interfaces gráficas de usuario se mostrarán en la pantalla. Si desea ver un ejemplo, consulte el Ejemplo 12-3.
Ejemplo 12-3 Configuración de zonas con etiquetas en un sistema remoto
En este ejemplo, el administrador utiliza la interfaz gráfica de usuario txzonemgr para configurar zonas con etiquetas en un sistema remoto con etiquetas desde un sistema de escritorio con etiquetas. Como en Oracle Solaris, el administrador activa el acceso del sistema de escritorio al servidor X mediante la opción -X para el comando ssh. El usuario jandoe está definido de la misma manera en ambos sistemas y puede asumir el rol remoterole.
TXdesk1 $ xhost + TXnohead4
TXdesk1 $ ssh -X -l jandoe TXnohead4 Password: Ins1PwD1 TXnohead4 $
Para acceder a la zona global, el administrador utiliza la cuenta jandoe para asumir el rol remoterole. Este rol está definido de la misma manera en ambos sistemas.
TXnohead4 # su - remoterole Password: abcd1EFG
En el mismo terminal, el administrador con el rol remoterole inicia la interfaz gráfica de usuario txzonemgr.
TXnohead4 $ /usr/sbin/txzonemgr &
Labeled Zone Manager se ejecuta en el sistema remoto y se visualiza en el sistema local.
Ejemplo 12-4 Inicio de sesión en una zona con etiquetas remota
El administrador desea cambiar un archivo de configuración de un sistema remoto en la etiqueta PUBLIC.
El administrador tiene dos opciones.
Puede iniciar sesión de manera remota en la zona global, mostrar el espacio de trabajo de la zona global y, a continuación, cambiar el espacio de trabajo a la etiqueta PUBLIC, abrir una ventana de terminal y editar el archivo.
Puede iniciar sesión de manera remota en la zona PUBLIC mediante el comando ssh desde una ventana de terminal PUBLIC y, a continuación, editar el archivo.
Tenga en cuenta que, si el sistema remoto ejecuta un daemon de servicio de nombres (nscd) para todas las zonas y utiliza el servicio de nombres de archivos, la contraseña de la zona PUBLIC remota es la contraseña que estaba vigente cuando se inició la zona por última vez. Si se modificó la contraseña de la zona PUBLIC, pero no se inició la zona después del cambio, la contraseña original permite el acceso.
Errores más frecuentes
Si la opción -X no funciona, es posible que deba instalar un paquete. El reenvío de X11 se desactiva cuando no se instala el binario xauth. El siguiente comando carga el binario: pkg install pkg:/x11/session/xauth.