Omitir Vínculos de navegación | |
Salir de la Vista de impresión | |
Transición de Oracle Solaris 10 a Oracle Solaris 11.1 Oracle Solaris 11.1 Information Library (Español) |
1. Transición de Oracle Solaris 10 a una versión de Oracle Solaris 11 (descripción general)
2. Transición a los métodos de instalación de Oracle Solaris 11
4. Funciones de gestión de almacenamiento
5. Gestión de sistemas de archivos
6. Gestión de software y entornos de inicio
7. Gestión de configuración de red
8. Gestión de configuración del sistema
Cambios en las funciones de seguridad
Cambios en el módulo de autenticación conectable
Funciones de seguridad eliminadas
Roles, derechos, privilegios y autorizaciones
Acerca de los perfiles de derechos
Visualización de privilegios y autorizaciones
Cambios en la seguridad de los archivos y los sistemas de archivos
La propiedad aclmode se ha vuelto a incorporar
10. Gestión de las versiones de Oracle Solaris en un entorno virtual
11. Gestión de cuentas de usuario y entornos de usuario
En las siguientes secciones, se describen los cambios introducidos en materia de seguridad de archivos y sistemas de archivos.
La propiedad aclmode que determina el modo en que se modifican los permisos de ACL en un archivo durante una operación chmod se ha vuelto a introducir en Oracle Solaris 11. Los valores aclmode son discard, mask y passthrough . El valor predeterminado discard es el más restrictivo, y el valor passthrough es el menos restrictivo.
Ejemplo 9-3 Interacción de ACL con las operaciones chmod en archivos ZFS
Los siguientes ejemplos muestran cómo influyen los valores de propiedad aclmode y aclinherit específicos en la interacción de las ACL existentes con una operación chmod que reduce o expande cualquier permiso de ACL existente para ser consistente con la propiedad de un grupo.
En este ejemplo, la propiedad aclmode se establece como mask y la propiedad aclinherit se establece como restricted. Los permisos de ACL de este ejemplo se muestran en modo compacto, que permite ilustrar el cambio de los permisos con más facilidad.
El archivo original y la propiedad de grupo y los permisos de ACL son los siguientes:
# zfs set aclmode=mask pond/whoville # zfs set aclinherit=restricted pond/whoville # ls -lV file.1 -rwxrwx---+ 1 root root 206695 Aug 30 16:03 file.1 user:amy:r-----a-R-c---:-------:allow user:rory:r-----a-R-c---:-------:allow group:sysadmin:rw-p--aARWc---:-------:allow group:staff:rw-p--aARWc---:-------:allow owner@:rwxp--aARWcCos:-------:allow group@:rwxp--aARWc--s:-------:allow everyone@:------a-R-c--s:-------:allow
Una operación chown cambia la propiedad de archivo de file.1, y el usuario propietario, amy, empieza a ver la salida. Por ejemplo:
# chown amy:staff file.1 # su - amy $ ls -lV file.1 -rwxrwx---+ 1 amy staff 206695 Aug 30 16:03 file.1 user:amy:r-----a-R-c---:-------:allow user:rory:r-----a-R-c---:-------:allow group:sysadmin:rw-p--aARWc---:-------:allow group:staff:rw-p--aARWc---:-------:allow owner@:rwxp--aARWcCos:-------:allow group@:rwxp--aARWc--s:-------:allow everyone@:------a-R-c--s:-------:allow
La siguiente operación chmod cambia el modo de los permisos a uno más restrictivo. En este ejemplo, los permisos de ACL modificados de los grupos sysadmin y staff no exceden los permisos del grupo propietario.
$ chmod 640 file.1 $ ls -lV file.1 -rw-r-----+ 1 amy staff 206695 Aug 30 16:03 file.1 user:amy:r-----a-R-c---:-------:allow user:rory:r-----a-R-c---:-------:allow group:sysadmin:r-----a-R-c---:-------:allow group:staff:r-----a-R-c---:-------:allow owner@:rw-p--aARWcCos:-------:allow group@:r-----a-R-c--s:-------:allow everyone@:------a-R-c--s:-------:allow
La siguiente operación chmod cambia el modo de los permisos a uno menos restrictivo. En este ejemplo, los permisos de ACL modificados de los grupos sysadmin y staff se restauran para permitir los mismos permisos que el grupo propietario.
$ chmod 770 file.1 $ ls -lV file.1 -rwxrwx---+ 1 amy staff 206695 Aug 30 16:03 file.1 user:amy:r-----a-R-c---:-------:allow user:rory:r-----a-R-c---:-------:allow group:sysadmin:rw-p--aARWc---:-------:allow group:staff:rw-p--aARWc---:-------:allow owner@:rwxp--aARWcCos:-------:allow group@:rwxp--aARWc--s:-------:allow everyone@:------a-R-c--s:-------:allow
En las versiones anteriores de Oracle Solaris y en esta versión, la función de estructura criptográfica proporciona los comandos encrypt, decrypt y mac para cifrar archivos.
Oracle Solaris 10 no admite cifrado ZFS, pero Oracle Solaris 11 soporta las siguientes funciones de cifrado ZFS:
El cifrado ZFS está integrado con el conjunto de comandos ZFS. Al igual que otras operaciones de ZFS, el cambio de claves y las operaciones de rekey se llevan a cabo en línea.
Puede utilizar las agrupaciones de almacenamiento existentes cuando se actualizan. Tiene la posibilidad de cifrar solamente determinados sistemas de archivos.
Los sistemas de archivos subordinados pueden heredar el cifrado ZFS. La gestión de claves se puede delegar a través de la administración delegada de ZFS.
Los datos se cifran con el estándar de cifrado avanzado (AES, Advanced Encryption Standard) con las longitudes de clave de 128, 192 y 256 en los modos de operación CCM y GCM.
El cifrado ZFS utiliza la función de estructura criptográfica, que automáticamente da acceso a cualquier aceleración de hardware o implementación de software optimizado de algoritmos de cifrado que se encuentre disponible.
Nota - Actualmente, no puede cifrar un sistema de archivos raíz ZFS u otros componentes del sistema operativo, como el directorio /var, incluso si se trata de un sistema de archivos independiente.
Ejemplo 9-4 Creación de un sistema de archivos ZFS cifrado
El ejemplo siguiente muestra cómo crear un sistema de archivos ZFS cifrado. La política de cifrado predeterminada debe proporcionar passphrase, que debe tener un mínimo de 8 caracteres de longitud.
# zfs create -o encryption=on tank/data Enter passphrase for 'tank/data': xxxxxxxx Enter again: xxxxxxxx
El algoritmo de cifrado predeterminado es aes-128-ccm cuando el valor de cifrado de un sistema de archivos está on (activado).
Una vez creado el sistema de archivo cifrado, el cifrado de este no se puede anular. Por ejemplo:
# zfs set encryption=off tank/data cannot set property for 'tank/data': 'encryption' is readonly
Para obtener más información, consulte Cifrado de sistemas de archivos ZFS de Administración de Oracle Solaris 11.1: sistemas de archivos ZFS.
La propiedad file-mac-profile, una novedad de Oracle Solaris 11, permite ejecutar zonas con un sistema de archivos raíz de sólo lectura. Esta función le permite elegir entre cuatro perfiles predefinidos que determinan qué proporción de un sistema de archivos de zonas es de sólo lectura únicamente, incluso para los procesos que tienen privilegios allzone. Consulte Propiedad zonecfg file-mac-profile de Administración de Oracle Solaris 11.1: zonas de Oracle Solaris, zonas de Oracle Solaris 10 y gestión de recursos.