Omitir Vínculos de navegación | |
Salir de la Vista de impresión | |
Configuración y administración de Trusted Extensions Oracle Solaris 11.1 Information Library (Español) |
Parte I Configuración inicial de Trusted Extensions
1. Planificación de la seguridad para Trusted Extensions
2. Guía básica de configuración de Trusted Extensions
3. Agregación de la función Trusted Extensions a Oracle Solaris (tareas)
4. Configuración de Trusted Extensions (tareas)
5. Configuración de LDAP para Trusted Extensions (tareas)
Parte II Administración de Trusted Extensions
6. Conceptos de la administración de Trusted Extensions
7. Herramientas de administración de Trusted Extensions
8. Requisitos de seguridad del sistema Trusted Extensions (descripción general)
9. Realización de tareas comunes en Trusted Extensions
10. Usuarios, derechos y roles en Trusted Extensions (descripción general)
11. Gestión de usuarios, derechos y roles en Trusted Extensions (tareas)
12. Administración remota en Trusted Extensions (tareas)
13. Gestión de zonas en Trusted Extensions
14. Gestión y montaje de archivos en Trusted Extensions
Posibilidades de montaje en Trusted Extensions
Políticas de Trusted Extensions para sistemas de archivos montados
Política de Trusted Extensions para conjuntos de datos de un solo nivel
Política de Trusted Extensions para conjuntos de datos de varios niveles
Ninguna sustitución de privilegios para la política de lectura y escritura de MAC
Resultados del uso compartido y el montaje de sistemas de archivos en Trusted Extensions
Uso compartido y montaje de archivos en la zona global
Uso compartido y montaje de archivos en una zona etiquetada
Propiedad mlslabel y montaje de sistemas de archivos de un solo nivel
Conjuntos de datos de varios niveles para volver a etiquetar archivos
Montaje de conjuntos de datos de varios niveles desde otro sistema
Servidor NFS y configuración de cliente en Trusted Extensions
Creación de directorios principales en Trusted Extensions
Cambios en el montador automático en Trusted Extensions
Software Trusted Extensions y versiones del protocolo NFS
Copia de seguridad, uso compartido y montaje de archivos con etiquetas (mapa de tareas)
Cómo realizar copias de seguridad de los archivos en Trusted Extensions
Cómo restaurar archivos en Trusted Extensions
Cómo compartir sistemas de archivos de una zona con etiquetas
Cómo montar archivos en NFS en una zona con etiquetas
Cómo resolver problemas por fallos de montaje en Trusted Extensions
15. Redes de confianza (descripción general)
16. Gestión de redes en Trusted Extensions (tareas)
17. Trusted Extensions y LDAP (descripción general)
18. Correo de varios niveles en Trusted Extensions (descripción general)
19. Gestión de impresión con etiquetas (tareas)
20. Dispositivos en Trusted Extensions (descripción general)
21. Gestión de dispositivos para Trusted Extensions (tareas)
22. Auditoría de Trusted Extensions (descripción general)
23. Gestión de software en Trusted Extensions
A. Política de seguridad del sitio
Creación y gestión de una política de seguridad
Política de seguridad del sitio y Trusted Extensions
Recomendaciones de seguridad informática
Recomendaciones de seguridad física
Recomendaciones de seguridad del personal
Infracciones de seguridad comunes
Referencias de seguridad adicionales
B. Lista de comprobación de configuración de Trusted Extensions
Lista de comprobación para la configuración de Trusted Extensions
C. Referencia rápida a la administración de Trusted Extensions
Interfaces administrativas en Trusted Extensions
Interfaces de Oracle Solaris ampliadas por Trusted Extensions
Valores predeterminados de seguridad que brindan mayor protección en Trusted Extensions
Opciones limitadas en Trusted Extensions
D. Lista de las páginas del comando man de Trusted Extensions
Páginas del comando man de Trusted Extensions en orden alfabético
Páginas del comando man de Oracle Solaris modificadas por Trusted Extensions
En el siguiente mapa de tareas, se describen las tareas comunes que se emplean para realizar copias de seguridad y restaurar los datos de sistemas de archivos con etiquetas, y para compartir y montar sistemas de archivos que tienen etiquetas.
|
Antes de empezar
Debe tener asignado el perfil de derechos de copia de seguridad de medios. Debe encontrarse en la zona global.
Los siguientes comandos conservan las etiquetas.
zfs send -r | -R filesystem@snap para copias de seguridad principales
Para conocer los métodos disponibles, incluido el envío de copias de seguridad a un servidor remoto, consulte Envío y recepción de datos ZFS de Administración de Oracle Solaris 11.1: sistemas de archivos ZFS.
/usr/sbin/tar cT para las copias pequeñas
Para obtener detalles sobre la opción T para el comando tar, consulte la página del comando man tar(1).
Una secuencia de comandos que llama a los comandos de copia de seguridad zfs o tar
Antes de empezar
Debe estar con el rol de usuario root en la zona global.
Los siguientes comandos pueden restaurar copias de seguridad etiquetadas.
zfs receive -vF filesystem@snap para restauraciones principales
Para conocer los métodos disponibles, incluida la restauración de copias de seguridad desde un servidor remoto, consulte Envío y recepción de datos ZFS de Administración de Oracle Solaris 11.1: sistemas de archivos ZFS.
/usr/sbin/tar xT para restauraciones pequeñas
Para obtener detalles sobre la opción T para el comando tar, consulte la página del comando man tar(1).
Una secuencia de comandos que llama a los comandos de restauración zfs o tar
Para montar o compartir directorios que se originan en zonas con etiquetas, defina las propiedades de recursos compartidos ZFS correspondientes en el sistema de archivos y, a continuación, reinicie la zona para compartir los directorios con etiquetas.
Precaución - No utilice nombres propietarios para los sistemas de archivos compartidos. Los nombres de los sistemas de archivos compartidos son visibles para todos los usuarios. |
Antes de empezar
Debe tener asignado el perfil de derechos de gestión de sistemas de archivos ZFS.
Para obtener detalles, consulte Cómo agregar un espacio de trabajo en una etiqueta mínima de Guía del usuario de Trusted Extensions.
# zfs create rpool/wdocs1
Por ejemplo, el siguiente conjunto de comandos comparte un sistema de archivos de documentación para escritores. El sistema de archivos se comparte en modo de lectura y escritura para que los escritores puedan modificar sus documentos en este servidor. Los programas setuid no están permitidos.
# zfs set share=name=wdocs1,path=/wdocs1,prot=nfs,setuid=off, exec=off,devices=off rpool/wdocs1 # zfs set sharenfs=on rpool/wdocs1
La línea de comandos se ajustó con fines de visualización.
En la zona global, ejecute uno de los siguientes comandos para cada zona. Cada zona puede compartir sus sistemas de archivos de cualquiera de estas maneras. El uso compartido real tiene lugar cuando las zonas están en estado ready o running.
# zoneadm -z zone-name ready
# zoneadm -z zone-name boot
# zoneadm -z zone-name reboot
En el rol de usuario root, en la zona global, ejecute el siguiente comando:
# zfs get all rpool
Para obtener más información, consulte Consulta de información del sistema de archivos ZFS de Administración de Oracle Solaris 11.1: sistemas de archivos ZFS
Ejemplo 14-1 Uso compartido del sistema de archivos /export/share en la etiqueta PUBLIC
Para las aplicaciones que se ejecutan en la etiqueta PUBLIC, el administrador del sistema permite a los usuarios leer la documentación del sistema de archivos /export/share de la zona public.
En primer lugar, el administrador cambia la etiqueta del espacio de trabajo a public y abre una ventana de terminal. En la ventana, el administrador define propiedades share seleccionadas en el sistema de archivos /reference. El siguiente comando se ajustó con fines de visualización.
# zfs set share=name=reference,path=/reference,prot=nfs, setuid=off,exec=off,devices=off,rdonly=on rpool/wdocs1
A continuación, el administrador comparte el sistema de archivos.
# zfs set sharenfs=on rpool/reference
El administrador deja el espacio de trabajo public y vuelve al espacio de trabajo de Trusted Path. Dado que los usuarios no tienen permiso para iniciar sesión en este sistema de archivos, el administrador establece la zona en el estado "ready" para compartir el sistema de archivos:
# zoneadm -z public ready
Los usuarios pueden acceder al sistema de archivos compartido una vez que se monta en los sistemas de los usuarios.
En Trusted Extensions, las zonas con etiquetas gestionan el montaje de los archivos en su zona. Los sistemas de archivos de hosts con etiquetas y sin etiquetas se pueden montar en un sistema Trusted Extensions con etiquetas. El sistema debe tener una ruta al servidor de archivos en la etiqueta de la zona de montaje.
Para montar los archivos como de lectura y escritura desde un host de una sola etiqueta, la etiqueta asignada del host remoto debe coincidir con la etiqueta de la zona de montaje. Se permiten dos configuraciones de host remoto.
Se asigna al host remoto que no es de confianza la misma etiqueta que la zona de montaje.
El host remoto de confianza es un servidor de varios niveles que incluye la etiqueta de la zona de montaje.
Los sistemas de archivos que se montan mediante una zona de nivel superior son de sólo lectura.
En Trusted Extensions, el archivo de configuración auto_home se personaliza por zona. El archivo se denomina según el nombre de la zona. Por ejemplo, si el sistema tiene una zona global y una zona public, habrá dos archivos auto_home: auto_home_global y auto_home_public.
Trusted Extensions utiliza las mismas interfaces de montaje que Oracle Solaris:
De manera predeterminada, los sistemas de archivos se montan en el inicio.
Para montar los sistemas de archivos de manera dinámica, utilice el comando mount en la zona con etiquetas.
Para montar los directorios principales automáticamente, utilice los archivos de auto_home_nombre_zona.
Para montar otros directorios automáticamente, use los mapas de montaje automático estándares.
Antes de empezar
Debe estar en el sistema cliente, en la zona de la etiqueta de los archivos que desea montar. Verifique que el sistema de archivos que desea montar esté compartido. A menos que esté utilizando el montador automático, debe tener asignado el perfil de derechos de gestión de sistemas de archivos. Para el montaje desde servidores de nivel inferior, la zona de este cliente debe estar configurada con el privilegio net_mac_aware.
La mayoría de los procedimientos requieren la creación de un espacio de trabajo en una etiqueta determinada. Para crear un espacio de trabajo, consulte Cómo agregar un espacio de trabajo en una etiqueta mínima de Guía del usuario de Trusted Extensions.
En la zona con etiquetas, utilice el comando mount.
Antes de empezar
Debe estar en la zona en la etiqueta del sistema de archivos que desea montar. Debe estar con el rol de usuario root.
La dirección se puede asignar de manera directa o de manera indirecta, mediante un mecanismo comodín. La dirección puede estar en una plantilla con etiquetas o sin etiquetas.
Esta etiqueta debe ser coherente con la etiqueta en la que intenta montar los archivos.
Si esta etiqueta es superior a la etiqueta del sistema de archivos montados, no podrá escribir en el montaje, aunque el sistema de archivos remoto se exporte con permisos de lectura y escritura. Sólo puede escribir en el sistema de archivos montados, en la etiqueta del montaje.
Para montar sistemas de archivos de cualquiera de estos servidores, el servidor debe estar asignado a una plantilla sin etiquetas.