Omitir Vínculos de navegación | |
Salir de la Vista de impresión | |
Configuración y administración de Trusted Extensions Oracle Solaris 11.1 Information Library (Español) |
Parte I Configuración inicial de Trusted Extensions
1. Planificación de la seguridad para Trusted Extensions
2. Guía básica de configuración de Trusted Extensions
3. Agregación de la función Trusted Extensions a Oracle Solaris (tareas)
4. Configuración de Trusted Extensions (tareas)
5. Configuración de LDAP para Trusted Extensions (tareas)
Parte II Administración de Trusted Extensions
6. Conceptos de la administración de Trusted Extensions
7. Herramientas de administración de Trusted Extensions
8. Requisitos de seguridad del sistema Trusted Extensions (descripción general)
9. Realización de tareas comunes en Trusted Extensions
10. Usuarios, derechos y roles en Trusted Extensions (descripción general)
11. Gestión de usuarios, derechos y roles en Trusted Extensions (tareas)
12. Administración remota en Trusted Extensions (tareas)
13. Gestión de zonas en Trusted Extensions
Zonas y direcciones IP en Trusted Extensions
Zonas y puertos de varios niveles
Zonas e ICMP en Trusted Extensions
Procesos de la zona global y de las zonas con etiquetas
Zonas etiquetadas primarias y secundarias
Utilidades de administración de zonas en Trusted Extensions
Gestión de zonas (mapa de tareas)
Cómo visualizar las zonas que están preparadas o en ejecución
Cómo visualizar las etiquetas de los archivos montados
Cómo montar en bucle de retorno un archivo que no suele estar visible en una zona con etiquetas
Cómo desactivar el montaje de archivos de nivel inferior
Cómo compartir un conjunto de datos ZFS desde una zona con etiquetas
Cómo permitir que los archivos se vuelvan a etiquetar desde una zona con etiquetas
14. Gestión y montaje de archivos en Trusted Extensions
15. Redes de confianza (descripción general)
16. Gestión de redes en Trusted Extensions (tareas)
17. Trusted Extensions y LDAP (descripción general)
18. Correo de varios niveles en Trusted Extensions (descripción general)
19. Gestión de impresión con etiquetas (tareas)
20. Dispositivos en Trusted Extensions (descripción general)
21. Gestión de dispositivos para Trusted Extensions (tareas)
22. Auditoría de Trusted Extensions (descripción general)
23. Gestión de software en Trusted Extensions
A. Política de seguridad del sitio
Creación y gestión de una política de seguridad
Política de seguridad del sitio y Trusted Extensions
Recomendaciones de seguridad informática
Recomendaciones de seguridad física
Recomendaciones de seguridad del personal
Infracciones de seguridad comunes
Referencias de seguridad adicionales
B. Lista de comprobación de configuración de Trusted Extensions
Lista de comprobación para la configuración de Trusted Extensions
C. Referencia rápida a la administración de Trusted Extensions
Interfaces administrativas en Trusted Extensions
Interfaces de Oracle Solaris ampliadas por Trusted Extensions
Valores predeterminados de seguridad que brindan mayor protección en Trusted Extensions
Opciones limitadas en Trusted Extensions
D. Lista de las páginas del comando man de Trusted Extensions
Páginas del comando man de Trusted Extensions en orden alfabético
Páginas del comando man de Oracle Solaris modificadas por Trusted Extensions
El mapa de tareas siguiente describe las tareas de gestión de zonas que son específicas de Trusted Extensions. El mapa también incluye enlaces a los procedimientos comunes que se realizan en Trusted Extensions de la misma manera que en un sistema Oracle Solaris.
|
Antes de empezar
Debe estar con el rol de administrador del sistema en la zona global.
Los nombres de las zonas, su estado y sus etiquetas se muestran en una interfaz gráfica de usuario.
# zoneadm list -v ID NAME STATUS PATH BRAND IP 0 global running / ipkg shared 5 internal running /zone/internal labeled shared 6 public running /zone/public labeled shared
La salida no muestra las etiquetas de las zonas.
Este procedimiento crea una secuencia de comandos de shell que muestra los sistemas de archivos montados de la zona actual. Cuando la secuencia de comandos se ejecuta desde la zona global, muestra las etiquetas de todos los sistemas de archivos montados en cada zona.
Antes de empezar
Debe estar con el rol de administrador del sistema en la zona global.
Proporcione el nombre de la ruta de la secuencia de comandos; por ejemplo, /usr/local/scripts/getmounts.
#!/bin/sh # for i in `/usr/sbin/mount -p | cut -d " " -f3` ; do /usr/bin/getlabel $i done
# /usr/local/scripts/getmounts /: ADMIN_HIGH /dev: ADMIN_HIGH /system/contract: ADMIN_HIGH /proc: ADMIN_HIGH /system/volatile: ADMIN_HIGH /system/object: ADMIN_HIGH /lib/libc.so.1: ADMIN_HIGH /dev/fd: ADMIN_HIGH /tmp: ADMIN_HIGH /etc/mnttab: ADMIN_HIGH /export: ADMIN_HIGH /export/home: ADMIN_HIGH /export/home/jdoe: ADMIN_HIGH /zone/public: ADMIN_HIGH /rpool: ADMIN_HIGH /zone: ADMIN_HIGH /home/jdoe: ADMIN_HIGH /zone/public: ADMIN_HIGH /zone/snapshot: ADMIN_HIGH /zone/internal: ADMIN_HIGH ...
Ejemplo 13-1 Visualización de las etiquetas de los sistemas de archivos en la zona restricted
Cuando un usuario común ejecuta la secuencia de comandos desde una zona con etiquetas, la secuencia de comandos getmounts muestra las etiquetas de todos los sistemas de archivos montados en dicha zona. En un sistema en el que las zonas se crean para cada etiqueta en el archivo label_encodings predeterminado, la salida de muestra de la zona restricted es la siguiente:
# /usr/local/scripts/getmounts /: CONFIDENTIAL : RESTRICTED /dev: CONFIDENTIAL : RESTRICTED /kernel: ADMIN_LOW /lib: ADMIN_LOW /opt: ADMIN_LOW /platform: ADMIN_LOW /sbin: ADMIN_LOW /usr: ADMIN_LOW /var/tsol/doors: ADMIN_LOW /zone/needtoknow/export/home: CONFIDENTIAL : NEED TO KNOW /zone/internal/export/home: CONFIDENTIAL : INTERNAL USE ONLY /proc: CONFIDENTIAL : RESTRICTED /system/contract: CONFIDENTIAL : RESTRICTED /etc/svc/volatile: CONFIDENTIAL : RESTRICTED /etc/mnttab: CONFIDENTIAL : RESTRICTED /dev/fd: CONFIDENTIAL : RESTRICTED /tmp: CONFIDENTIAL : RESTRICTED /var/run: CONFIDENTIAL : RESTRICTED /zone/public/export/home: PUBLIC /home/jdoe: CONFIDENTIAL : RESTRICTED
Este procedimiento permite que un usuario en una zona con etiquetas especificada vea los archivos que no se exportaron desde la zona global de manera predeterminada.
Antes de empezar
Debe estar con el rol de administrador del sistema en la zona global.
# zoneadm -z zone-name halt
Por ejemplo, permita que los usuarios comunes vean un archivo en el directorio /etc.
# zonecfg -z zone-name add filesystem set special=/etc/filename set directory=/etc/filename set type=lofs add options [ro,nodevices,nosetuid] end exit
# zoneadm -z zone-name boot
Ejemplo 13-2 Montaje en bucle de retorno del archivo /etc/passwd
En este ejemplo, el administrador de la seguridad desea permitir que los evaluadores y los programadores verifiquen si sus contraseñas locales se encuentran establecidas. Después de que se detiene la zona sandbox, esta se configura para montar en bucle de retorno el archivo passwd. A continuación, la zona se reinicia.
# zoneadm -z sandbox halt # zonecfg -z sandbox add filesystem set special=/etc/passwd set directory=/etc/passwd set type=lofs add options [ro,nodevices,nosetuid] end exit # zoneadm -z sandbox boot
De manera predeterminada, los usuarios pueden ver los archivos de nivel inferior. Eliminar el privilegio net_mac_aware para impedir la visualización de todos los archivos de nivel inferior de una zona en particular. Para obtener una descripción del privilegio net_mac_aware, consulte la página del comando man privileges(5).
Antes de empezar
Debe estar con el rol de administrador del sistema en la zona global.
# zoneadm -z zone-name halt
Elimine el privilegio net_mac_aware de la zona.
# zonecfg -z zone-name set limitpriv=default,!net_mac_aware exit
# zoneadm -z zone-name boot
Ejemplo 13-3 Cómo impedir que los usuarios vean los archivos de nivel inferior
En este ejemplo, el administrador de la seguridad desea impedir que los usuarios en un sistema se confundan. Por lo tanto, los usuarios pueden ver únicamente los archivos de la etiqueta en la que están trabajando. Entonces, el administrador de la seguridad impide la visualización de todos los archivos de nivel inferior. En este sistema, los usuarios no pueden ver los archivos que se encuentran disponibles públicamente, a menos que estén trabajando en la etiqueta PUBLIC. Además, los usuarios sólo pueden montar archivos en NFS en la etiqueta de las zonas.
# zoneadm -z restricted halt # zonecfg -z restricted set limitpriv=default,!net_mac_aware exit # zoneadm -z restricted boot
# zoneadm -z needtoknow halt # zonecfg -z needtoknow set limitpriv=default,!net_mac_aware exit # zoneadm -z needtoknow boot
# zoneadm -z internal halt # zonecfg -z internal set limitpriv=default,!net_mac_aware exit # zoneadm -z internal boot
Dado que PUBLIC es la etiqueta mínima, el administrador de la seguridad no ejecuta los comandos para la zona PUBLIC.
En este procedimiento, monta un conjunto de datos ZFS con permisos de lectura y escritura en una zona con etiquetas. Ya que todos los comandos se ejecutan en la zona global, el administrador de la zona global controla la agregación de conjuntos de datos ZFS a las zonas con etiquetas.
Como mínimo, la zona con etiquetas debe estar en el estado ready para compartir un conjunto de datos. La zona puede estar en el estado running.
Antes de empezar
Para configurar la zona con el conjunto de datos, primero debe detener la zona. Debe estar con el rol de usuario root en la zona global.
# zfs create datasetdir/subdir
El nombre del conjunto de datos puede incluir un directorio, como zone/data.
# zoneadm -z labeled-zone-name halt
# zfs set mountpoint=legacy datasetdir/subdir
La configuración de la propiedad ZFS mountpoint establece la etiqueta del punto de montaje cuando el punto de montaje corresponde a una zona con etiquetas.
# zfs set sharenfs=on datasetdir/subdir
# zonecfg -z labeled-zone-name # zonecfg:labeled-zone-name> add fs # zonecfg:labeled-zone-name:dataset> set dir=/subdir # zonecfg:labeled-zone-name:dataset> set special=datasetdir/subdir # zonecfg:labeled-zone-name:dataset> set type=zfs # zonecfg:labeled-zone-name:dataset> end # zonecfg:labeled-zone-name> exit
Si se agrega el conjunto de datos como un sistema de archivos, el conjunto de datos se monta en /data, en la zona. Este paso garantiza que el conjunto de datos no se monte antes de que se inicie la zona.
# zoneadm -z labeled-zone-name boot
Cuando se inicia la zona, se monta el conjunto de datos automáticamente como punto de montaje de lectura y escritura en la zona labeled-zone-name con la etiqueta de la zona labeled-zone-name.
Ejemplo 13-4 Uso compartido y montaje de un conjunto de datos ZFS desde zonas con etiquetas
En este ejemplo, el administrador agrega un conjunto de datos ZFS a la zona needtoknow y, luego, lo comparte. El conjunto de datos, zone/data, se encuentra asignado al punto de montaje /mnt. Los usuarios de la zona restricted pueden ver el conjunto de datos.
En primer lugar, el administrador detiene la zona.
# zoneadm -z needtoknow halt
Dado que el conjunto de datos se encuentra asignado a un punto de montaje diferente, el administrador elimina la asignación anterior y, a continuación, establece el nuevo punto de montaje.
# zfs set zoned=off zone/data # zfs set mountpoint=legacy zone/data
Luego, el administrador comparte el conjunto de datos.
# zfs set sharenfs=on zone/data
A continuación, en la interfaz interactiva zonecfg, el administrador agrega explícitamente el conjunto de datos a la zona needtoknow.
# zonecfg -z needtoknow # zonecfg:needtoknow> add fs # zonecfg:needtoknow:dataset> set dir=/data # zonecfg:needtoknow:dataset> set special=zone/data # zonecfg:needtoknow:dataset> set type=zfs # zonecfg:needtoknow:dataset> end # zonecfg:needtoknow> exit
Luego, el administrador inicia la zona needtoknow.
# zoneadm -z needtoknow boot
Finalmente se podrá acceder al conjunto de datos.
Los usuarios de la zona restricted, que domina la zona needtoknow, pueden ver el conjunto de datos montado. Para ello, deben cambiar al directorio /data. Deben usar la ruta completa para acceder al conjunto de datos montado desde la perspectiva de la zona global. En este ejemplo, machine1 es el nombre de host del sistema que incluye la zona con etiquetas. El administrador asignó este nombre de host a una dirección IP no compartida.
# cd /net/machine1/zone/needtoknow/root/data
Errores más frecuentes
Si el intento de acceder al conjunto de datos desde la etiqueta superior devuelve los mensajes de error not found o No such file or directory, el administrador debe reiniciar el servicio del montador automático mediante la ejecución del comando svcadm restart autofs.
Este procedimiento es un requisito previo para que un usuario pueda volver a etiquetar archivos.
Antes de empezar
La zona que planea configurar debe estar detenida. Debe estar con el rol de administrador de la seguridad en la zona global.
# /usr/sbin/txzonemgr &
Para conocer los requisitos del proceso y del usuario que permiten volver a etiquetar, consulte la página del comando man setflabel(3TSOL). Para saber cómo autorizar a un usuario a que vuelva a etiquetar archivos, consulte Cómo activar a un usuario para que cambie el nivel de seguridad de los datos.
Ejemplo 13-5 Cómo permitir degradaciones únicamente de la zona internal
En este ejemplo, el administrador de seguridad utiliza el comando zonecfg para permitir la degradación de información (no la actualización) de la zona CNF: INTERNAL USE ONLY zone.
# zonecfg -z internal set limitpriv=default,file_downgrade_sl
Ejemplo 13-6 Cómo evitar las disminuciones de nivel desde la zona internal
En este ejemplo, el administrador de la seguridad desea evitar la disminución del nivel de los archivos CNF: INTERNAL USE ONLY en un sistema que anteriormente se utilizaba para disminuir el nivel de los archivos.
El administrador utiliza Labeled Zone Manager para detener la zona internal y, a continuación, selecciona Deny Relabeling en el menú de la zona internal.