Omitir Vínculos de navegación | |
Salir de la Vista de impresión | |
Transición de Oracle Solaris 10 a Oracle Solaris 11.1 Oracle Solaris 11.1 Information Library (Español) |
1. Transición de Oracle Solaris 10 a una versión de Oracle Solaris 11 (descripción general)
2. Transición a los métodos de instalación de Oracle Solaris 11
4. Funciones de gestión de almacenamiento
5. Gestión de sistemas de archivos
6. Gestión de software y entornos de inicio
7. Gestión de configuración de red
8. Gestión de configuración del sistema
Roles, derechos, privilegios y autorizaciones
Acerca de los perfiles de derechos
Visualización de privilegios y autorizaciones
Cambios en la seguridad de los archivos y los sistemas de archivos
La propiedad aclmode se ha vuelto a incorporar
Cifrado de sistemas de archivos ZFS
10. Gestión de las versiones de Oracle Solaris en un entorno virtual
11. Gestión de cuentas de usuario y entornos de usuario
Oracle Solaris 11 presenta los siguientes cambios fundamentales en materia de seguridad:
Ejecución aleatoria de la disposición del espacio de direcciones (ASLR): a partir de Oracle Solaris 11.1, ASLR ejecuta de forma aleatoria las direcciones que son utilizadas por un determinado binario. ASLR hace que fallen determinados tipos de ataques que están basados en el conocimiento de la ubicación exacta de ciertos intervalos de memoria y detecta el intento cuando es probable que detenga el ejecutable. Utilice el comando sxadm para configurar ASLR. Utilice el comando elfedit para cambiar las etiquetas en un binario. Consulte sxadm(1M) and elfedit(1).
Editor administrativo: a partir de Oracle Solaris 11.1, puede utilizar el comando pfedit para editar archivos del sistema. Si lo define el administrador del sistema, el valor de este editor es $EDITOR. Si el editor no está definido, el comando vi se utiliza de manera predeterminada. Inicie el editor de la siguiente manera:
$ pfedit system-filename
Consulte la página del comando man pfedit(1M) y el Capítulo 3, Control de acceso a sistemas (tareas) de Administración de Oracle Solaris 11.1: servicios de seguridad.
Auditoría: ahora, la auditoría es un servicio y se encuentra habilitada de manera predeterminada. No es necesario reiniciar al habilitar o deshabilitar este servicio. El comando auditconfig se utiliza para ver información sobre la política de auditoría y, también, para modificarla. La auditoría de objetos públicos genera menos ruido en la pista de auditoría. Además, la auditoría de eventos que no son del núcleo no tiene impactos de rendimiento.
Para obtener información sobre la creación de un sistema de archivos ZFS para archivos de auditoría, consulte Cómo crear sistemas de archivos ZFS para archivos de auditoría de Administración de Oracle Solaris 11.1: servicios de seguridad.
Servidor de auditoría remoto (ARS): función que recibe y almacena los registros de auditoría de un sistema que se está auditando, y está configurada con un complemento audit_remote activo. Para distinguir un sistema auditado de un ARS, el sistema auditado se debe calificar como el sistema auditado localmente. Esta función es nueva en Oracle Solaris 11.1. Consulte la información sobre la opción -setremote en la página del comando man auditconfig(1M).
Herramienta básica de creación de informes de auditoría (BART, Basic Audit Reporting Tool): ahora, el hash predeterminado que utiliza la BART es SHA256, no MD5. Además, para que SHA256 sea el hash predeterminado, también puede seleccionar el algoritmo de hash. Consulte el Capítulo 6, Verificación de la integridad de archivos mediante el uso de BART (tareas) de Administración de Oracle Solaris 11.1: servicios de seguridad.
Estructura criptográfica: ahora, esta función incluye más algoritmos, mecanismos, complementos y compatibilidades para la aceleración por hardware de SPARC T4 e Intel. Además, Oracle Solaris 11 proporciona una mejor alineación con la criptografía de NSA Suite B.
Proveedores de Kerberos DTrace: se agregó un nuevo proveedor de DTrace USDT que proporciona los sondeos para los mensajes de Kerberos (unidades de datos de protocolo). Los sondeos se modelan según los tipos de mensaje de Kerberos que se describen en RFC4120.
Mejoras en la gestión de claves:
Compatibilidad del almacén de claves PKCS#11 para las claves RSA en el módulo de la plataforma confianza
Acceso de PKCS#11 a Oracle Key Manager para efectuar una gestión de claves empresariales centralizada
Cambios en el comando lofi: ahora, el comando lofi admite el cifrado de dispositivos de bloque. Consulte lofi(7D).
Cambios en el comando profiles: en Oracle Solaris 10, el comando se utiliza sólo con el fin de enumerar perfiles para un usuario o un rol específicos, o privilegios de un usuario para comandos específicos. En Oracle Solaris 11, también puede crear y modificar perfiles en archivos y en LDAP mediante el comando profiles. Consulte profiles(1).
Comando sudo: el comando sudo es nuevo en Oracle Solaris 11. Este comando genera los registros de auditoría de Oracle Solaris durante la ejecución de comandos. El comando también elimina el privilegio básico proc_exec si la entrada de comando sudoers está etiquetada como NOEXEC.
Cifrado del sistema de archivos ZFS: el cifrado del sistema de archivos ZFS está diseñado para mantener seguros los datos. Consulte Cifrado de sistemas de archivos ZFS.
Propiedad rstchown: el parámetro ajustable rstchown que se utilizaba en las versiones anteriores para restringir operaciones chown ahora es una propiedad del sistema de archivos ZFS, rstchown, y también es una opción de montaje del sistema de archivos general. Consulte Administración de Oracle Solaris 11.1: sistemas de archivos ZFS y mount(1M).
Si intenta configurar este parámetro obsoleto en el archivo /etc/system, aparecerá el siguiente mensaje:
sorry, variable 'rstchown' is not defined in the 'kernel'
Se admiten las siguientes funciones de seguridad de la red:
Intercambio de claves de Internet (IKE, Internet Key Exchange) e IPsec: ahora, IKE incluye más grupos Diffie-Hellman y además puede utilizar grupos de criptografía de curva elíptica (ECC, Elliptic Curve Cryptography). IPsec incluye los modos AES-CCM y AES-GCM, y puede proteger el tráfico en la red para la función Trusted Extensions de Oracle Solaris (Trusted Extensions).
Cortafuegos IPfilter: el cortafuegos IPfilter, que es similar a la función IPfilter de código abierto, es compatible, es manejable y ahora está altamente integrado con SMF. Esta función permite el acceso selectivo a los puertos en función de la dirección IP.
Kerberos: ahora, Kerberos puede efectuar la autenticación mutua de clientes y servidores. Además, se incluye la compatibilidad con la autenticación inicial mediante los certificados X.509 con el protocolo PKINIT. Consulte la Parte VI, Servicio Kerberos de Administración de Oracle Solaris 11.1: servicios de seguridad.
Seguridad predeterminada: esta función se introdujo en Oracle Solaris 10, pero era netservices limited y venía desactivada de manera predeterminada. En Oracle Solaris 11, esta función está activada. La función de seguridad predeterminada se utiliza para deshabilitar y proteger varios servicios de red de los ataques, y para minimizar la exposición de la red. Tenga en cuenta que sólo SSH se encuentra habilitado.
SSH: ahora se proporciona compatibilidad para la autenticación de hosts y usuarios mediante los certificados X.509.
Se introdujeron los siguientes cambios en el módulo de autenticación conectable (PAM):
Módulo para activar pilas PAM por usuario: permite configurar la política de autenticación PAM por usuario cuando se utiliza junto con la nueva clave pam_policy RBAC (user_attr(4)). El archivo pam.conf predeterminado también se ha actualizado para permitir el uso de esta función especificando pam_policy en los atributos extendidos de un usuario o en un perfil que se asigna a un usuario. Por ejemplo:
# usermod -K pam_policy=krb5_only username
Consulte pam_user_policy(5).
Configuración de PAM en /etc/pam.d: agrega compatibilidad para configurar PAM usando archivos por servicio. Como resultado, el contenido del archivo /etc/pam.conf se ha migrado a varios archivos dentro del directorio /etc/pam.d/ según el nombre de servicio PAM pertinente. Este mecanismo ahora es el método de configuración de PAM en Oracle Solaris y es el método predeterminado que se utiliza para todas las instalaciones nuevas. El archivo /etc/pam.conf aún se está consultando, por lo que cualquier cambio nuevo o existente que se realice en este archivo se sigue reconociendo.
Si nunca ha editado el archivo /etc/pam.conf, éste sólo contiene comentarios que lo dirigen a los equivalentes por servicio en el directorio /etc/pam.d/. Si ha editado previamente el archivo /etc/pam.conf, por ejemplo, para activar LDAP o Kerberos, un nuevo nombre de archivo (/etc/pam.conf.new) se entrega con los cambios realizados. Consulte pam.conf(4).
Etiqueta definitive agregada a pam.conf: el archivo pam.conf ahora incluye definitive control_flag. Consulte pam.conf(4).
Las siguientes funciones de seguridad se han excluido de Oracle Solaris 11:
Herramienta automatizada de mejora de la seguridad (ASET): la funcionalidad ASET se reemplaza por una combinación de IPfilter, que incluye svc.ipfd, BART, SMF y otras funciones de seguridad compatibles con Oracle Solaris 11.
Tarjetas inteligentes: la compatibilidad con tarjetas inteligentes ya no está disponible.