Omitir Vínculos de navegación | |
Salir de la Vista de impresión | |
Configuración y administración de Trusted Extensions Oracle Solaris 11.1 Information Library (Español) |
Parte I Configuración inicial de Trusted Extensions
1. Planificación de la seguridad para Trusted Extensions
2. Guía básica de configuración de Trusted Extensions
3. Agregación de la función Trusted Extensions a Oracle Solaris (tareas)
4. Configuración de Trusted Extensions (tareas)
5. Configuración de LDAP para Trusted Extensions (tareas)
Parte II Administración de Trusted Extensions
6. Conceptos de la administración de Trusted Extensions
7. Herramientas de administración de Trusted Extensions
8. Requisitos de seguridad del sistema Trusted Extensions (descripción general)
9. Realización de tareas comunes en Trusted Extensions
10. Usuarios, derechos y roles en Trusted Extensions (descripción general)
11. Gestión de usuarios, derechos y roles en Trusted Extensions (tareas)
12. Administración remota en Trusted Extensions (tareas)
13. Gestión de zonas en Trusted Extensions
14. Gestión y montaje de archivos en Trusted Extensions
Posibilidades de montaje en Trusted Extensions
Políticas de Trusted Extensions para sistemas de archivos montados
Política de Trusted Extensions para conjuntos de datos de un solo nivel
Política de Trusted Extensions para conjuntos de datos de varios niveles
Ninguna sustitución de privilegios para la política de lectura y escritura de MAC
Resultados del uso compartido y el montaje de sistemas de archivos en Trusted Extensions
Uso compartido y montaje de archivos en la zona global
Uso compartido y montaje de archivos en una zona etiquetada
Propiedad mlslabel y montaje de sistemas de archivos de un solo nivel
Conjuntos de datos de varios niveles para volver a etiquetar archivos
Montaje de conjuntos de datos de varios niveles desde otro sistema
Servidor NFS y configuración de cliente en Trusted Extensions
Software Trusted Extensions y versiones del protocolo NFS
Copia de seguridad, uso compartido y montaje de archivos con etiquetas (mapa de tareas)
Cómo realizar copias de seguridad de los archivos en Trusted Extensions
Cómo restaurar archivos en Trusted Extensions
Cómo compartir sistemas de archivos de una zona con etiquetas
Cómo montar archivos en NFS en una zona con etiquetas
Cómo resolver problemas por fallos de montaje en Trusted Extensions
15. Redes de confianza (descripción general)
16. Gestión de redes en Trusted Extensions (tareas)
17. Trusted Extensions y LDAP (descripción general)
18. Correo de varios niveles en Trusted Extensions (descripción general)
19. Gestión de impresión con etiquetas (tareas)
20. Dispositivos en Trusted Extensions (descripción general)
21. Gestión de dispositivos para Trusted Extensions (tareas)
22. Auditoría de Trusted Extensions (descripción general)
23. Gestión de software en Trusted Extensions
A. Política de seguridad del sitio
Creación y gestión de una política de seguridad
Política de seguridad del sitio y Trusted Extensions
Recomendaciones de seguridad informática
Recomendaciones de seguridad física
Recomendaciones de seguridad del personal
Infracciones de seguridad comunes
Referencias de seguridad adicionales
B. Lista de comprobación de configuración de Trusted Extensions
Lista de comprobación para la configuración de Trusted Extensions
C. Referencia rápida a la administración de Trusted Extensions
Interfaces administrativas en Trusted Extensions
Interfaces de Oracle Solaris ampliadas por Trusted Extensions
Valores predeterminados de seguridad que brindan mayor protección en Trusted Extensions
Opciones limitadas en Trusted Extensions
D. Lista de las páginas del comando man de Trusted Extensions
Páginas del comando man de Trusted Extensions en orden alfabético
Páginas del comando man de Oracle Solaris modificadas por Trusted Extensions
Los directorios de nivel inferior pueden ser visibles para los usuarios en una zona de nivel superior. El servidor NFS para los directorios de nivel inferior puede ser un sistema Trusted Extensions o un sistema que no es de confianza.
El sistema de confianza requiere la configuración del servidor. El sistema que no es de confianza requiere la configuración del cliente.
Configuración del servidor NFS en un sistema de confianza: para que los directorios de nivel inferior de un sistema de confianza sean visibles en una zona etiquetada, es necesario configurar el servidor.
En la zona global del servidor NFS, debe configurar el servicio NFS como un servicio de varios niveles.
Desde la zona global, el administrador debe agregar el privilegio net_bindmlp a limitpriv de la zona etiquetada.
En la zona etiquetada, exporte el sistema de archivos ZFS definiendo las propiedades del recurso compartido. Cuando el estado de la zona etiquetada es running, el sistema de archivos se comparte en la etiqueta de la zona. Para conocer el procedimiento, consulte Cómo compartir sistemas de archivos de una zona con etiquetas.
Configuración de cliente NFS para un servidor NFS que no es de confianza: dado que el servidor no es de confianza, el cliente NFS debe ser de confianza. El privilegio net_mac_aware debe estar especificado en el archivo de configuración de zona que se utiliza durante la configuración inicial de zona. Por lo tanto, el usuario que tenga permiso para ver todos los directorios principales de nivel inferior también debe tener el privilegio net_mac_aware en cada zona, excepto en la zona más inferior. Para ver un ejemplo, consulte Cómo montar archivos en NFS en una zona con etiquetas.
Los directorios principales son un caso especial en Trusted Extensions.
Debe asegurarse de que se creen los directorios principales en cada zona que los usuarios pueden utilizar.
Además, deben crearse los puntos de montaje del directorio principal en las zonas del sistema del usuario.
Para que los directorios principales montados en NFS funcionen correctamente, se debe usar la ubicación convencional de los directorios, /export/home.
Nota - La secuencia de comandos txzonemgr asume que los directorios principales se monten como /export/home.
En Trusted Extensions, se cambió el montador automático para manejar los directorios principales en cada zona, es decir, en cada etiqueta. Para obtener detalles, consulte Cambios en el montador automático en Trusted Extensions.
Los directorios principales se generan cuando se crean los usuarios. Sin embargo, los directorios principales se crean en la zona global del servidor de directorio principal. En ese servidor, los directorios están montados con LOFS. Los directorios principales se crean automáticamente con el montador automático si se encuentran especificados como montajes LOFS.
Nota - Cuando se suprime un usuario, solamente se suprime el directorio principal del usuario en la zona global. Los directorios principales del usuario en las zonas con etiquetas no se suprimen. Usted debe encargarse de archivar y suprimir los directorios principales en las zonas con etiquetas. Para conocer el procedimiento, consulte Cómo suprimir una cuenta de usuario de un sistema Trusted Extensions.
Sin embargo, el montador automático no puede crear directorios principales en servidores NFS remotos de manera automática. Primero el usuario debe iniciar sesión en el servidor NFS, o se requiere intervención administrativa. Para crear directorios principales para los usuarios, consulte Cómo permitir que los usuarios accedan a sus directorios principales remotos en cada etiqueta mediante el inicio de sesión en cada servidor NFS.
En Trusted Extensions, cada una de las etiquetas requiere un montaje de directorio principal separado. Se modificó el comando automount a fin de gestionar los montajes automáticos con etiquetas. Para cada zona, el montador automático autofs monta un archivo auto_home_ nombre_zona. Por ejemplo, a continuación se muestra la entrada para la zona global en el archivo auto_home_global:
+auto_home_global * -fstype=lofs :/export/home/&
Cuando se inicia una zona que permite montar zonas de nivel inferior, sucede lo siguiente. Los directorios principales de las zonas de nivel inferior se montan como de sólo lectura en /zone/zone-name /export/home. El mapa auto_home_zone-name especifica la ruta /zone como el directorio de origen para un nuevo montaje lofs en /zone/ zone-name/home/ username.
Por ejemplo, a continuación se muestra una entrada auto_home_public en un mapa auto_home_zona_nivel_superior que se genera a partir de una zona de nivel superior:
+auto_home_public * public-zone-IP-address:/export/home/&
La secuencia de comandos txzonemgr configura esta entrada PUBLIC en el archivo auto_master en la zona global:
+auto_master /net -hosts -nosuid,nobrowse /home auto_home -nobrowse /zone/public/home auto_home_public -nobrowse
Cuando se hace referencia a un directorio principal y el nombre no coincide con ninguna de las entradas del mapa auto_home_nombre_zona, el mapa intenta asociar esta especificación de montaje en bucle de retorno. El software crea el directorio principal cuando se cumplen las dos condiciones siguientes:
El mapa encuentra la coincidencia con la especificación de montaje en bucle de retorno.
El nombre del directorio principal coincide con un usuario válido cuyo directorio principal todavía no existe en nombre_zona.
Para obtener detalles sobre los cambios en el montador automático, consulte la página del comando man automount(1M).