Omitir Vínculos de navegación | |
Salir de la Vista de impresión | |
Configuración y administración de Trusted Extensions Oracle Solaris 11.1 Information Library (Español) |
Parte I Configuración inicial de Trusted Extensions
1. Planificación de la seguridad para Trusted Extensions
2. Guía básica de configuración de Trusted Extensions
3. Agregación de la función Trusted Extensions a Oracle Solaris (tareas)
4. Configuración de Trusted Extensions (tareas)
5. Configuración de LDAP para Trusted Extensions (tareas)
Parte II Administración de Trusted Extensions
6. Conceptos de la administración de Trusted Extensions
7. Herramientas de administración de Trusted Extensions
8. Requisitos de seguridad del sistema Trusted Extensions (descripción general)
9. Realización de tareas comunes en Trusted Extensions
10. Usuarios, derechos y roles en Trusted Extensions (descripción general)
11. Gestión de usuarios, derechos y roles en Trusted Extensions (tareas)
12. Administración remota en Trusted Extensions (tareas)
13. Gestión de zonas en Trusted Extensions
14. Gestión y montaje de archivos en Trusted Extensions
Posibilidades de montaje en Trusted Extensions
Políticas de Trusted Extensions para sistemas de archivos montados
Política de Trusted Extensions para conjuntos de datos de un solo nivel
Política de Trusted Extensions para conjuntos de datos de varios niveles
Ninguna sustitución de privilegios para la política de lectura y escritura de MAC
Resultados del uso compartido y el montaje de sistemas de archivos en Trusted Extensions
Uso compartido y montaje de archivos en la zona global
Uso compartido y montaje de archivos en una zona etiquetada
Propiedad mlslabel y montaje de sistemas de archivos de un solo nivel
Conjuntos de datos de varios niveles para volver a etiquetar archivos
Montaje de conjuntos de datos de varios niveles desde otro sistema
Servidor NFS y configuración de cliente en Trusted Extensions
Creación de directorios principales en Trusted Extensions
Cambios en el montador automático en Trusted Extensions
Software Trusted Extensions y versiones del protocolo NFS
Copia de seguridad, uso compartido y montaje de archivos con etiquetas (mapa de tareas)
Cómo realizar copias de seguridad de los archivos en Trusted Extensions
Cómo restaurar archivos en Trusted Extensions
Cómo compartir sistemas de archivos de una zona con etiquetas
Cómo montar archivos en NFS en una zona con etiquetas
Cómo resolver problemas por fallos de montaje en Trusted Extensions
15. Redes de confianza (descripción general)
16. Gestión de redes en Trusted Extensions (tareas)
17. Trusted Extensions y LDAP (descripción general)
18. Correo de varios niveles en Trusted Extensions (descripción general)
19. Gestión de impresión con etiquetas (tareas)
20. Dispositivos en Trusted Extensions (descripción general)
21. Gestión de dispositivos para Trusted Extensions (tareas)
22. Auditoría de Trusted Extensions (descripción general)
23. Gestión de software en Trusted Extensions
A. Política de seguridad del sitio
Creación y gestión de una política de seguridad
Política de seguridad del sitio y Trusted Extensions
Recomendaciones de seguridad informática
Recomendaciones de seguridad física
Recomendaciones de seguridad del personal
Infracciones de seguridad comunes
Referencias de seguridad adicionales
B. Lista de comprobación de configuración de Trusted Extensions
Lista de comprobación para la configuración de Trusted Extensions
C. Referencia rápida a la administración de Trusted Extensions
Interfaces administrativas en Trusted Extensions
Interfaces de Oracle Solaris ampliadas por Trusted Extensions
Valores predeterminados de seguridad que brindan mayor protección en Trusted Extensions
Opciones limitadas en Trusted Extensions
D. Lista de las páginas del comando man de Trusted Extensions
Páginas del comando man de Trusted Extensions en orden alfabético
Páginas del comando man de Oracle Solaris modificadas por Trusted Extensions
En Trusted Extensions, los archivos compartidos pueden facilitar la administración y ofrecen eficacia y velocidad. MAC siempre está en vigor.
Compartir conjuntos de datos de un solo nivel desde una zona etiquetada, mediante NFS: Al igual que en Oracle Solaris, los directorios compartidos facilitan la administración. Por ejemplo, puede instalar las páginas del comando man para Oracle Solaris en un sistema y compartir el directorio de la página del comando man con otros sistemas.
Compartir conjuntos de datos de varios niveles desde la zona global, mediante LOFS: los conjuntos de datos montados mediante LOFS ofrecen eficacia y velocidad al mover archivos de una etiqueta a otra. Los archivos se mueven dentro del conjunto de datos, de modo que no se utilizan operaciones de E/S.
Compartir conjuntos de datos de varios niveles desde la zona global, mediante NFS: un servidor NFS puede compartir con muchos clientes un conjunto de datos que contiene archivos en muchas etiquetas. Esta configuración facilita la administración y proporciona una sola ubicación para la distribución de archivos. No es necesario tener un servidor en una etiqueta determinada para ofrecer servicio a los clientes en esa etiqueta.
El montaje de archivos en la zona global es idéntico al montaje de archivos en Oracle Solaris, sujeto a la política MAC. Los archivos que se comparten desde la zona global se comparten en la etiqueta del archivo. Por lo tanto, los sistemas de archivos de una zona global no se comparten de manera útil con las zonas globales de otros sistemas Trusted Extensions, ya que todos los archivos se comparten en la etiqueta ADMIN_LOW. Los archivos que la zona global comparte de manera útil con otros sistemas son conjuntos de datos de varios niveles.
Los archivos y directorios en un conjunto de datos de un solo nivel que se comparten mediante LOFS desde la zona global se comparten en ADMIN_LOW. Por ejemplo, los archivos /etc/passwd y /etc/shadow de la zona global se pueden montar mediante LOFS en las zonas etiquetadas del sistema. Dado que los archivos son ADMIN_LOW, son visibles y de sólo lectura en las zonas etiquetadas. Los archivos y directorios en conjuntos de datos de varios niveles se comparten en la etiqueta del objeto.
La zona global también puede compartir conjuntos de datos de varios niveles mediante NFS. Un cliente puede solicitar montar el conjunto de datos cuando el servicio NFS está configurado para utilizar puertos de varios niveles. La solicitud funcionará correctamente cuando la etiqueta del cliente se encuentre dentro del rango de etiquetas especificado en la plantilla cipso para la interfaz de red que gestiona la solicitud de montaje NFS del cliente.
Específicamente, el comportamiento de las zonas globales y los archivos montados es el siguiente:
En la zona global en clientes de Trusted Extensions, todo lo que hay en el recurso compartido se puede leer, y los clientes pueden escribir en ADMIN_HIGH, al igual que los procesos de la zona global y local.
Cuando el cliente es una zona etiquetada, los archivos montados son de lectura y escritura cuando la etiqueta de la zona coincide con la etiqueta del archivo compartido.
Cuando el cliente es un sistema sin etiquetar, los archivos montados son de lectura y escritura cuando la etiqueta asignada del cliente coincide con la etiqueta del archivo compartido.
Los clientes en la etiqueta ADMIN_LOW no pueden montar el conjunto de datos.
Para compartir conjuntos de datos de varios niveles con zonas etiquetadas en el mismo sistema, la zona global puede utilizar LOFS.
Para obtener más información sobre la visualización y el reetiquetado de archivos en un montaje NFS, consulte Montaje de conjuntos de datos de varios niveles desde otro sistema.
Una zona etiquetada puede compartir sus archivos con otros sistemas en la etiqueta de la zona. Por lo tanto, los sistemas de archivos de una zona etiquetada se pueden compartir con zonas en la misma etiqueta en otros sistemas Trusted Extensions y con sistemas que no sean de confianza que tengan asignada la misma etiqueta que la zona. Para obtener información acerca de la propiedad ZFS que media estos montajes, consulte Propiedad mlslabel y montaje de sistemas de archivos de un solo nivel.
Los montajes LOFS de la zona global en una zona etiquetada son de sólo lectura para los conjuntos de datos de un solo nivel. Para los conjuntos de datos de varios niveles, la política MAC se aplica por etiqueta de archivo y directorio, como se describe en Ninguna sustitución de privilegios para la política de lectura y escritura de MAC.
ZFS proporciona un atributo de etiqueta de seguridad, mlslabel, que contiene la etiqueta de los datos del conjunto de datos. La propiedad mlslabel se puede heredar. Cuando un conjunto de datos ZFS tiene una etiqueta explícita, el conjunto de datos no se puede montar en un sistema Oracle Solaris que no está configurado con Trusted Extensions.
Si la propiedad mlslabel no está definida, se establece el valor predeterminado none, el cual indica que no hay ninguna etiqueta.
Al montar un conjunto de datos ZFS en una zona con etiquetas, se produce lo siguiente:
Si el conjunto de datos no tiene etiquetas, es decir, la propiedad mlslabel no está definida, el valor de la propiedad mlslabel se modifica a la etiqueta de la zona de montaje.
Para la zona global, la propiedad mlslabel no se establece automáticamente. Si etiqueta explícitamente el conjunto de datos admin_low, el conjunto de datos debe estar montado como de sólo lectura.
Si el conjunto de datos tiene etiquetas, el núcleo verifica que la etiqueta del conjunto de datos coincida con la etiqueta de la zona de montaje. Si las etiquetas no coinciden, el montaje falla, a menos que la zona permita montajes de lectura en sentido descendente. Si la zona permite montajes de lectura en sentido descendente, un sistema de archivos de nivel inferior se monta como de sólo lectura.
Para definir la propiedad mlslabel desde la línea de comandos, escriba algo similar a lo siguiente:
# zfs set mlslabel=public export/publicinfo
El privilegio file_upgrade_sl se necesita para establecer un etiqueta inicial o cambiar una etiqueta no predeterminada a una etiqueta de nivel superior. El privilegio file_downgrade_sl se necesita para eliminar una etiqueta, es decir, para establecer la etiqueta en none. Este privilegio también es necesario para cambiar una etiqueta no predeterminada a una etiqueta de nivel inferior.