Omitir Vínculos de navegación | |
Salir de la Vista de impresión | |
Configuración y administración de Trusted Extensions Oracle Solaris 11.1 Information Library (Español) |
Parte I Configuración inicial de Trusted Extensions
1. Planificación de la seguridad para Trusted Extensions
2. Guía básica de configuración de Trusted Extensions
3. Agregación de la función Trusted Extensions a Oracle Solaris (tareas)
4. Configuración de Trusted Extensions (tareas)
5. Configuración de LDAP para Trusted Extensions (tareas)
Parte II Administración de Trusted Extensions
6. Conceptos de la administración de Trusted Extensions
7. Herramientas de administración de Trusted Extensions
8. Requisitos de seguridad del sistema Trusted Extensions (descripción general)
9. Realización de tareas comunes en Trusted Extensions
10. Usuarios, derechos y roles en Trusted Extensions (descripción general)
11. Gestión de usuarios, derechos y roles en Trusted Extensions (tareas)
12. Administración remota en Trusted Extensions (tareas)
13. Gestión de zonas en Trusted Extensions
14. Gestión y montaje de archivos en Trusted Extensions
Posibilidades de montaje en Trusted Extensions
Políticas de Trusted Extensions para sistemas de archivos montados
Política de Trusted Extensions para conjuntos de datos de un solo nivel
Política de Trusted Extensions para conjuntos de datos de varios niveles
Ninguna sustitución de privilegios para la política de lectura y escritura de MAC
Resultados del uso compartido y el montaje de sistemas de archivos en Trusted Extensions
Uso compartido y montaje de archivos en la zona global
Uso compartido y montaje de archivos en una zona etiquetada
Propiedad mlslabel y montaje de sistemas de archivos de un solo nivel
Conjuntos de datos de varios niveles para volver a etiquetar archivos
Montaje de conjuntos de datos de varios niveles desde otro sistema
Servidor NFS y configuración de cliente en Trusted Extensions
Creación de directorios principales en Trusted Extensions
Cambios en el montador automático en Trusted Extensions
Software Trusted Extensions y versiones del protocolo NFS
Copia de seguridad, uso compartido y montaje de archivos con etiquetas (mapa de tareas)
Cómo realizar copias de seguridad de los archivos en Trusted Extensions
Cómo restaurar archivos en Trusted Extensions
Cómo compartir sistemas de archivos de una zona con etiquetas
Cómo montar archivos en NFS en una zona con etiquetas
Cómo resolver problemas por fallos de montaje en Trusted Extensions
15. Redes de confianza (descripción general)
16. Gestión de redes en Trusted Extensions (tareas)
17. Trusted Extensions y LDAP (descripción general)
18. Correo de varios niveles en Trusted Extensions (descripción general)
19. Gestión de impresión con etiquetas (tareas)
20. Dispositivos en Trusted Extensions (descripción general)
21. Gestión de dispositivos para Trusted Extensions (tareas)
22. Auditoría de Trusted Extensions (descripción general)
23. Gestión de software en Trusted Extensions
A. Política de seguridad del sitio
Creación y gestión de una política de seguridad
Política de seguridad del sitio y Trusted Extensions
Recomendaciones de seguridad informática
Recomendaciones de seguridad física
Recomendaciones de seguridad del personal
Infracciones de seguridad comunes
Referencias de seguridad adicionales
B. Lista de comprobación de configuración de Trusted Extensions
Lista de comprobación para la configuración de Trusted Extensions
C. Referencia rápida a la administración de Trusted Extensions
Interfaces administrativas en Trusted Extensions
Interfaces de Oracle Solaris ampliadas por Trusted Extensions
Valores predeterminados de seguridad que brindan mayor protección en Trusted Extensions
Opciones limitadas en Trusted Extensions
D. Lista de las páginas del comando man de Trusted Extensions
Páginas del comando man de Trusted Extensions en orden alfabético
Páginas del comando man de Oracle Solaris modificadas por Trusted Extensions
Aunque Trusted Extensions admite los mismos sistemas de archivos y comandos de gestión de sistemas de archivos que Oracle Solaris, los sistemas de archivos montados en Trusted Extensions están sujetos a las políticas de control de acceso obligatorio (MAC) para ver y modificar los datos etiquetados. Las políticas de montaje y las políticas de lectura y escritura aplican las políticas MAC para el etiquetado.
Para conjuntos de datos de un solo nivel, la política de montaje impide los montajes NFS o LOFS que posiblemente violen MAC. Por ejemplo, la etiqueta de una zona debe dominar todas las etiquetas de su sistema de archivos montado, y solamente los sistemas de archivos con etiquetas iguales pueden montarse con permisos de lectura y escritura. Cualquier sistema de archivos compartidos que pertenezca a otras zonas o a servidores NFS se monta en la etiqueta del propietario.
A continuación, se resume el comportamiento de los conjuntos de datos de un solo nivel montados mediante NFS:
En la zona global, se pueden ver todos los archivos montados, pero únicamente se pueden montar los archivos con la etiqueta ADMIN_HIGH.
En una zona etiquetada, se pueden ver todos los archivos montados que son iguales o inferiores a la etiqueta de la zona, pero únicamente se pueden modificar los archivos en la etiqueta de la zona.
En un sistema que no es de confianza, únicamente pueden verse y modificarse los sistemas de archivos de una zona etiquetada cuya etiqueta es la misma que la etiqueta asignada del sistema que no es de confianza.
Para los conjuntos de datos de un solo nivel montados mediante LOFS, se pueden ver los archivos montados. Están en la etiqueta ADMIN_LOW, de modo que no pueden modificarse.
Para conjuntos de datos de varios niveles, las políticas de lectura y escritura de MAC se aplican en el nivel de granularidad de archivos y directorios, y no de granularidad del sistema de archivos.
Los conjuntos de datos de varios niveles únicamente se pueden montar en la zona global. Las zonas etiquetadas solamente pueden acceder a los conjuntos de datos de varios niveles mediante puntos de montaje LOFS especificados con el comando zonecfg. Para conocer el procedimiento, consulte Cómo crear y compartir un conjunto de datos de varios niveles. Mediante los procesos con privilegios adecuados en la zona global o las zonas etiquetadas, se pueden volver a etiquetar archivos y directorios. Para ver ejemplos de reetiquetado, consulte Guía del usuario de Trusted Extensions.
En la zona global, se pueden ver todos los archivos del conjunto de datos de varios niveles. Se pueden modificar los archivos montados que tienen la etiqueta ADMIN_HIGH.
En una zona etiquetada, el conjunto de datos de varios niveles está montado mediante LOFS. Se pueden ver los archivos montados en la misma etiqueta o en un nivel inferior que la zona. Se pueden modificar los archivos montados en la misma etiqueta que la zona.
Los conjuntos de datos de varios niveles también se pueden compartir desde la zona global mediante NFS. Los clientes remotos pueden ver los archivos que están dominados por la etiqueta de red y modificar los archivos con las mismas etiquetas. Sin embargo, el reetiquetado no es posible en un conjunto de datos de varios niveles montado mediante NFS. Para obtener información sobre los montajes NFS, consulte Montaje de conjuntos de datos de varios niveles desde otro sistema.
Para obtener más información, consulte Conjuntos de datos de varios niveles para volver a etiquetar archivos.
La política MAC para la lectura y escritura de archivos no tiene sustituciones de privilegios. Los conjuntos de datos de un solo nivel únicamente se pueden montar como lectura y escritura si la etiqueta de la zona es igual a la etiqueta del conjunto de datos. Para montajes de sólo lectura, la etiqueta de la zona debe dominar la etiqueta del conjunto de datos. Para conjuntos de datos de varios niveles, todos los archivos y directorios deben estar dominados por la propiedad mlslabel, que se establece de forma predeterminada en ADMIN_HIGH. Para conjuntos de datos de varios niveles, la política MAC se aplica en el nivel de archivo y directorio. La aplicación de la política MAC es invisible para todos los usuarios. Los usuarios no pueden ver un objeto a menos que tengan acceso MAC al objeto.
A continuación, se resumen las políticas de uso compartido y montaje de Trusted Extensions para conjuntos de datos de un solo nivel:
Para que un sistema Trusted Extensions monte un sistema de archivos en otro sistema Trusted Extensions, el servidor y el cliente deben tener plantillas de host remoto compatibles del tipo cipso.
Para que un sistema Trusted Extensions monte un sistema de archivos desde un sistema que no es de confianza, la etiqueta única asignada al sistema que no es de confianza por el sistema Trusted Extensions debe coincidir con la etiqueta de la zona global.
De forma similar, para que una zona etiquetada monte un sistema de archivos desde un sistema que no es de confianza, la etiqueta única asignada al sistema que no es de confianza por el sistema Trusted Extensions debe coincidir con la etiqueta de la zona de montaje.
Se pueden ver los archivos cuyas etiquetas difieren de la zona de montaje y están montados con LOFS, pero no se pueden modificar. Para obtener detalles sobre los montajes NFS, consulte Servidor NFS y configuración de cliente en Trusted Extensions.
A continuación, se resumen las políticas de uso compartido y montaje de Trusted Extensions para conjuntos de datos de varios niveles:
Para que un sistema Trusted Extensions comparta un conjunto de datos de varios niveles con otro sistema, el servidor NFS debe estar configurado como un servicio de varios niveles.
Para que un sistema Trusted Extensions comparta un conjunto de datos de varios niveles con zonas etiquetadas en su propio sistema, la zona global debe montar mediante LOFS el conjunto de datos en las zonas.
La zona etiquetada tiene acceso de escritura a los archivos y directorios montados mediante LOFS cuya etiqueta coincide con la etiqueta de la zona y tiene acceso de lectura a los archivos y los directorios que domina. La política MAC se aplica en el nivel de archivos y directorios individuales.