Gestión de zonas (mapa de tareas)

El mapa de tareas siguiente describe las tareas de gestión de zonas que son específicas de Trusted Extensions. El mapa también hace referencia a los procedimientos comunes que se realizan en Trusted Extensions de la misma manera en que se realizan en un sistema de Oracle Solaris.

Cómo visualizar las zonas que están preparadas o en ejecución

Este procedimiento crea una secuencia de comandos de shell que muestra las etiquetas de la zona actual y de todas las zonas dominadas por la zona actual.

Antes de empezar

Debe estar con el rol de administrador del sistema en la zona global.

1. Utilice el editor de confianza para crear la secuencia de comandos getzonelabels.

   Para obtener detalles, consulte Cómo editar archivos administrativos en Trusted Extensions.

   Proporcione el nombre de la ruta de la secuencia de comandos; por ejemplo, /usr/local/scripts/getzonelabels.

2. Agregue el siguiente contenido y guarde el archivo:

   #!/bin/sh
   #
   echo "NAME\t\tSTATUS\t\tLABEL"
   echo "====\t\t======\t\t====="
   myzone=`zonename`
   for i in `/usr/sbin/zoneadm list -p` ; do
           zone=`echo $i | cut -d ":" -f2`
           status=`echo $i | cut -d ":" -f3`
           path=`echo $i | cut -d ":" -f4`
           if [ $zone != global ]; then
                   if [ $myzone = global ]; then
                           path=$path/root/tmp
                   else
                           path=$path/export/home
                   fi
           fi
           label=`/usr/bin/getlabel -s $path |cut -d ":" -f2-9`
           if [ `echo $zone|wc -m` -lt 8 ]; then
                   echo "$zone\t\t$status\t$label"
           else
                   echo "$zone\t$status\t$label"
           fi
   done

3. Pruebe la secuencia de comandos en la zona global.

   # getzonelabels
   NAME            STATUS          LABEL
   ====            ======          =====
   global          running         ADMIN_HIGH
   needtoknow      running         CONFIDENTIAL : NEED TO KNOW
   restricted      ready           CONFIDENTIAL : RESTRICTED
   internal        running         CONFIDENTIAL : INTERNAL
   public          running         PUBLIC

   Cuando la secuencia de comandos se ejecuta desde la zona global, se muestran las etiquetas de todas las zonas que están preparadas o en ejecución. Aquí está la salida de la zona global para las zonas que se crearon a partir del archivo label_encodings predeterminado:

Ejemplo 10-1 Visualización de las etiquetas de todas las zonas preparadas o en ejecución

En el siguiente ejemplo, un usuario ejecuta la secuencia de comandos getzonelabels en la zona internal.

# getzonelabels
NAME            STATUS          LABEL
====            ======          =====
internal        running         CONFIDENTIAL : INTERNAL
public          running         PUBLIC

Cómo visualizar las etiquetas de los archivos montados

Este procedimiento crea una secuencia de comandos de shell que muestra los sistemas de archivos montados de la zona actual. Cuando la secuencia de comandos se ejecuta desde la zona global, muestra las etiquetas de todos los sistemas de archivos montados en cada zona.

Antes de empezar

Debe estar con el rol de administrador del sistema en la zona global.

1. Utilice el editor de confianza para crear la secuencia de comandos getmounts.

   Para obtener detalles, consulte Cómo editar archivos administrativos en Trusted Extensions.

   Proporcione el nombre de la ruta de la secuencia de comandos; por ejemplo, /usr/local/scripts/getmounts.

2. Agregue el siguiente contenido y guarde el archivo:

   #!/bin/sh
   #
   for i in `/usr/sbin/mount -p | cut -d " " -f3` ; do
           /usr/bin/getlabel $i
   done

3. Pruebe la secuencia de comandos en la zona global.

   # /usr/local/scripts/getmounts
   /:      ADMIN_LOW
   /dev:   ADMIN_LOW
   /kernel:        ADMIN_LOW
   /lib:   ADMIN_LOW
   /opt:   ADMIN_LOW
   /platform:      ADMIN_LOW
   /sbin:  ADMIN_LOW
   /usr:   ADMIN_LOW
   /var/tsol/doors:        ADMIN_LOW
   /zone/needtoknow/export/home:   CONFIDENTIAL : NEED TO KNOW
   /zone/internal/export/home:     CONFIDENTIAL : INTERNAL USE ONLY
   /zone/restricted/export/home:   CONFIDENTIAL : RESTRICTED
   /proc:  ADMIN_LOW
   /system/contract:       ADMIN_LOW
   /etc/svc/volatile:      ADMIN_LOW
   /etc/mnttab:    ADMIN_LOW
   /dev/fd:        ADMIN_LOW
   /tmp:           ADMIN_LOW
   /var/run:       ADMIN_LOW
   /zone/public/export/home:  PUBLIC
   /root:          ADMIN_LOW

Ejemplo 10-2 Visualización de las etiquetas de los sistemas de archivos en la zona restricted

Cuando un usuario común ejecuta la secuencia de comandos desde una zona con etiquetas, la secuencia de comandos getmounts muestra las etiquetas de todos los sistemas de archivos montados en dicha zona. En un sistema en el que las zonas se crean para cada etiqueta en el archivo label_encodings predeterminado, la salida de la zona restricted es la siguiente:

# /usr/local/scripts/getmounts
/:      CONFIDENTIAL : RESTRICTED
/dev:   CONFIDENTIAL : RESTRICTED
/kernel:        ADMIN_LOW
/lib:   ADMIN_LOW
/opt:   ADMIN_LOW
/platform:      ADMIN_LOW
/sbin:  ADMIN_LOW
/usr:   ADMIN_LOW
/var/tsol/doors:        ADMIN_LOW
/zone/needtoknow/export/home:   CONFIDENTIAL : NEED TO KNOW
/zone/internal/export/home:     CONFIDENTIAL : INTERNAL USE ONLY
/proc:  CONFIDENTIAL : RESTRICTED
/system/contract:       CONFIDENTIAL : RESTRICTED
/etc/svc/volatile:      CONFIDENTIAL : RESTRICTED
/etc/mnttab:    CONFIDENTIAL : RESTRICTED
/dev/fd:        CONFIDENTIAL : RESTRICTED
/tmp:   CONFIDENTIAL : RESTRICTED
/var/run:       CONFIDENTIAL : RESTRICTED
/zone/public/export/home:       PUBLIC
/home/gfaden:   CONFIDENTIAL : RESTRICTED

Cómo montar en bucle de retorno un archivo que no suele estar visible en una zona con etiquetas

Este procedimiento activa a un usuario en una zona con etiquetas especificada para que vea los archivos que no se exportaron desde la zona global de manera predeterminada.

Antes de empezar

Debe estar con el rol de administrador del sistema en la zona global.

1. Detenga la zona cuya configuración desea cambiar.

   # zoneadm -z zone-name halt

2. Monte en bucle de retorno un archivo o directorio.

   Por ejemplo, permita que los usuarios comunes vean un archivo en el directorio /etc.

   # zonecfg -z zone-name
    add filesystem
    set special=/etc/filename
    set directory=/etc/filename
    set type=lofs
    add options [ro,nodevices,nosetuid]
    end
    exit

   ---

   Nota - Hay algunos archivos que el sistema no utiliza, por lo que montarlos en bucle de retorno no causaría ningún efecto. Por ejemplo, el software de Trusted Extensions no comprueba el archivo /etc/dfs/dfstab en una zona con etiquetas. Para obtener más información, consulte Uso compartido de archivos desde una zona con etiquetas.

   ---

3. Inicie la zona.

   # zoneadm -z zone-name boot

Ejemplo 10-3 Montaje en bucle de retorno del archivo /etc/passwd

En este ejemplo, el administrador de la seguridad desea permitir que los evaluadores y los programadores verifiquen si sus contraseñas locales se encuentran establecidas. Después de que se detiene la zona sandbox, esta se configura para montar en bucle de retorno el archivo passwd. A continuación, la zona se reinicia.

# zoneadm -z sandbox halt
# zonecfg -z sandbox
 add filesystem
    set special=/etc/passwd
    set directory=/etc/passwd
    set type=lofs
    add options [ro,nodevices,nosetuid]
 end
 exit
# zoneadm -z sandbox boot

Cómo desactivar el montaje de archivos de nivel inferior

De manera predeterminada, los usuarios pueden ver los archivos de nivel inferior. Eliminar el privilegio net_mac_aware para impedir la visualización de todos los archivos de nivel inferior de una zona en particular. Para obtener una descripción del privilegio net_mac_aware, consulte la página del comando man privileges(5).

Antes de empezar

Debe estar con el rol de administrador del sistema en la zona global.

1. Detenga la zona cuya configuración desea cambiar.

   # zoneadm -z zone-name halt

2. Configure la zona para impedir la visualización de los archivos de nivel inferior.

   Elimine el privilegio net_mac_aware de la zona.

   # zonecfg -z zone-name
    set limitpriv=default,!net_mac_aware
    exit

3. Reinicie la zona.

   # zoneadm -z zone-name boot

Ejemplo 10-4 Cómo impedir que los usuarios vean los archivos de nivel inferior

En este ejemplo, el administrador de la seguridad desea impedir que los usuarios en un sistema se confundan. Por lo tanto, los usuarios pueden ver únicamente los archivos de la etiqueta en la que están trabajando. Entonces, el administrador de la seguridad impide la visualización de todos los archivos de nivel inferior. En este sistema, los usuarios no pueden ver los archivos que se encuentran disponibles públicamente, a menos que estén trabajando en la etiqueta PUBLIC. Además, los usuarios sólo pueden montar archivos en NFS en la etiqueta de las zonas.

# zoneadm -z restricted halt
# zonecfg -z restricted
 set limitpriv=default,!net_mac_aware
 exit
# zoneadm -z restricted boot

# zoneadm -z needtoknow halt
# zonecfg -z needtoknow
 set limitpriv=default,!net_mac_aware
 exit
# zoneadm -z needtoknow boot

# zoneadm -z internal halt
# zonecfg -z internal
 set limitpriv=default,!net_mac_aware
 exit
# zoneadm -z internal boot

Dado que PUBLIC es la etiqueta mínima, el administrador de la seguridad no ejecuta los comandos para la zona PUBLIC.

Cómo compartir un conjunto de datos ZFS desde una zona con etiquetas

En este procedimiento, monta un conjunto de datos ZFS con permisos de lectura y escritura en una zona con etiquetas. Ya que todos los comandos se ejecutan en la zona global, el administrador de la zona global controla la agregación de conjuntos de datos ZFS a las zonas con etiquetas.

Como mínimo, la zona con etiquetas debe estar en el estado ready para compartir un conjunto de datos. La zona puede estar en el estado running.

Antes de empezar

Para configurar la zona con el conjunto de datos, primero debe detener la zona.

1. Cree el conjunto de datos ZFS.

   # zfs create datasetdir/subdir

   El nombre del conjunto de datos puede incluir un directorio, como zone/data.

2. En la zona global, detenga la zona con etiquetas.

   # zoneadm -z labeled-zone-name halt

3. Defina el punto de montaje del conjunto de datos.

   # zfs set mountpoint=legacy datasetdir/subdir

   La configuración de la propiedad ZFS mountpoint establece la etiqueta del punto de montaje cuando el punto de montaje corresponde a una zona con etiquetas.

4. Agregue el conjunto de datos a la zona como un sistema de archivos.

   # zonecfg -z labeled-zone-name
   # zonecfg:labeled-zone-name> add fs
   # zonecfg:labeled-zone-name:dataset> set dir=/subdir
   # zonecfg:labeled-zone-name:dataset> set special=datasetdir/subdir
   # zonecfg:labeled-zone-name:dataset> set type=zfs
   # zonecfg:labeled-zone-name:dataset> end
   # zonecfg:labeled-zone-name> exit

   Si se agrega el conjunto de datos como un sistema de archivos, el conjunto de datos se monta en /data en la zona, antes de que se interprete el archivo dfstab. Este paso garantiza que el conjunto de datos no se monte antes de que se inicie la zona. En concreto, se inicia la zona, se monta el conjunto de datos y, luego, se interpreta el archivo dfstab.

5. Comparta el conjunto de datos.

   Agregue una entrada para el sistema de archivos del conjunto de datos al archivo /zone/labeled-zone-name/etc/dfs/dfstab. Esta entrada también utiliza el nombre de ruta /subdir.

   share  -F nfs  -d "dataset-comment"  /subdir

6. Inicie la zona con etiquetas.

   # zoneadm -z labeled-zone-name boot

   Cuando se inicia la zona, se monta el conjunto de datos automáticamente como punto de montaje de lectura y escritura en la zona labeled-zone-name con la etiqueta de la zona labeled-zone-name.

Ejemplo 10-5 Uso compartido y montaje de un conjunto de datos ZFS desde zonas con etiquetas

En este ejemplo, el administrador agrega un conjunto de datos de ZFS a la zona needtoknow y, luego, lo comparte. El conjunto de datos, zone/data, se encuentra asignado al punto de montaje /mnt. Los usuarios de la zona restricted pueden ver el conjunto de datos.

En primer lugar, el administrador detiene la zona.

# zoneadm -z needtoknow halt

Dado que el conjunto de datos se encuentra asignado a un punto de montaje diferente, el administrador elimina la asignación anterior y, a continuación, establece el nuevo punto de montaje.

# zfs set zoned=off zone/data
# zfs set mountpoint=legacy zone/data

A continuación, en la interfaz interactiva zonecfg, el administrador agrega explícitamente el conjunto de datos a la zona needtoknow.

# zonecfg -z needtoknow
# zonecfg:needtoknow> add fs
# zonecfg:needtoknow:dataset> set dir=/data
# zonecfg:needtoknow:dataset> set special=zone/data
# zonecfg:needtoknow:dataset> set type=zfs
# zonecfg:needtoknow:dataset> end
# zonecfg:needtoknow> exit

A continuación, el administrador modifica el archivo /zone/needtoknow/etc/dfs/dfstab para compartir el conjunto de datos. Luego, inicia la zona needtoknow.

## Global zone dfstab file for needtoknow zone
share  -F nfs  -d "App Data on ZFS"  /data

# zoneadm -z needtoknow boot

Finalmente se podrá acceder al conjunto de datos.

Los usuarios de la zona restricted, que domina la zona needtoknow, pueden ver el conjunto de datos montado. Para ello, deben cambiar al directorio /data. Deben usar la ruta completa para acceder al conjunto de datos montado desde la perspectiva de la zona global. En este ejemplo, machine1 es el nombre de host del sistema que incluye la zona con etiquetas. El administrador asignó este nombre de host a una dirección IP no compartida.

# cd /net/machine1/zone/needtoknow/root/data

Errores más frecuentes

Si el intento de acceder al conjunto de datos desde la etiqueta superior devuelve los mensajes de error not found o No such file or directory, el administrador debe reiniciar el servicio del montador automático mediante la ejecución del comando svcadm restart autofs.

Cómo permitir que los archivos se vuelvan a etiquetar desde una zona con etiquetas

Este procedimiento es un requisito previo para que un usuario pueda volver a etiquetar archivos.

Antes de empezar

Debe estar con el rol de administrador de la seguridad en la zona global.

1. Detenga la zona cuya configuración desea cambiar.

   # zoneadm -z zone-name halt

2. Configure la zona para activar la opción de volver a etiquetar.

   Agregue los privilegios adecuados a la zona. Los privilegios de las ventanas permiten a los usuarios emplear las operaciones arrastrar y soltar, y cortar y pegar.

   • Para activar las disminuciones de niveles, agregue el privilegio file_downgrade_sl a la zona.

     # zonecfg -z zone-name
      set limitpriv=default,win_dac_read,win_mac_read,win_dac_write,
      win_mac_write,win_selection,file_downgrade_sl
      exit

   • Para activar las actualizaciones, agregue a la zona los privilegios sys_trans_label y file_upgrade_sl.

     # zonecfg -z zone-name
      set limitpriv=default,win_dac_read,win_mac_read,win_dac_write,
      win_mac_write,win_selection,sys_trans_label,file_upgrade_sl
      exit

   • Para activar los aumentos o las disminuciones de niveles, agregue los tres privilegios a la zona.

     # zonecfg -z zone-name
      set limitpriv=default,win_dac_read,win_mac_read,win_dac_write,
      win_mac_write,win_selection,sys_trans_label,file_downgrade_sl,
      file_upgrade_sl
      exit

3. Reinicie la zona.

   # zoneadm -z zone-name boot

   Para conocer los requisitos del proceso y del usuario que permiten volver a etiquetar, consulte la página del comando man setflabel(3TSOL). Para saber cómo autorizar a un usuario a que vuelva a etiquetar archivos, consulte Cómo activar a un usuario para que cambie el nivel de seguridad de los datos.

Ejemplo 10-6 Activación de aumentos de nivel desde la zona internal

En este ejemplo, el administrador de la seguridad desea activar a los usuarios autorizados de un sistema para que puedan aumentar el nivel de los archivos. Cuando el administrador activa a los usuarios a aumentar el nivel de la información, les permite proteger la información con el mayor nivel de seguridad. En la zona global, el administrador ejecuta los siguientes comandos de administración de la zona.

# zoneadm -z internal halt
# zonecfg -z internal
 set limitpriv=default,sys_trans_label,file_upgrade_sl
 exit
# zoneadm -z internal boot

Así, los usuarios autorizados pueden aumentar el nivel de la información de internal a restricted desde la zona internal.

Ejemplo 10-7 Activación de disminuciones de nivel desde la zona restricted

En este ejemplo, el administrador de la seguridad desea activar a los usuarios autorizados de un sistema para que puedan disminuir el nivel de los archivos. Debido a que el administrador no agrega privilegios de las ventanas a la zona, los usuarios autorizados no pueden utilizar File Manager para volver a etiquetar archivos. Para volver a etiquetar archivos, los usuarios deben utilizar el comando setlabel.

Cuando el administrador activa a los usuarios a disminuir el nivel de la información, permite que los usuarios de menor nivel de seguridad puedan acceder a los archivos. En la zona global, el administrador ejecuta los siguientes comandos de administración de la zona.

# zoneadm -z restricted halt
# zonecfg -z restricted
 set limitpriv=default,file_downgrade_sl
 exit
# zoneadm -z restricted boot

Así, los usuarios autorizados pueden disminuir el nivel de la información de restricted a internal o public desde la zona restricted con el comando setlabel.

Cómo configurar un puerto de varios niveles para NFSv3 mediante udp

Este procedimiento se utiliza para activar los montajes de lectura en sentido descendente para NFSv3 mediante udp. Para agregar el puerto de varios niveles se utiliza Solaris Management Console.

Antes de empezar

Debe estar con el rol de administrador de la seguridad en la zona global.

1. Inicie Solaris Management Console.

   Para obtener detalles, consulte Cómo administrar el sistema local con Solaris Management Console.

2. Seleccione la caja de herramientas Files.

   El título de la caja de herramientas incluye Scope=Files, Policy=TSOL.

3. Configure la zona y el puerto de varios niveles.
   1. Vaya a la herramienta Trusted Network Zones.
   2. Haga doble clic en la zona global.
   3. Agregue un puerto de varios niveles para el protocolo UDP:
      1. Haga clic en Add para Multilevel Ports for Zone's IP Addresses.
      2. Escriba 2049 como número de puerto y haga clic en OK.
   4. Haga clic en OK (Aceptar) para guardar la configuración.
4. Cierre Solaris Management Console.
5. Actualice el núcleo.

   # tnctl -fz /etc/security/tsol/tnzonecfg

Cómo crear un puerto de varios niveles para una zona

Este procedimiento se utiliza cuando una aplicación que se ejecuta en una zona con etiquetas requiere un puerto de varios niveles para comunicarse con la zona. En este procedimiento, un proxy web se comunica con la zona. Para agregar el puerto de varios niveles se utiliza Solaris Management Console.

Antes de empezar

Debe estar con el rol de administrador de la seguridad en la zona global. La zona con etiquetas debe existir. Para obtener detalles, consulte Creating Labeled Zones de Trusted Extensions Configuration Guide.

1. Inicie Solaris Management Console.

   Para obtener detalles, consulte Cómo administrar el sistema local con Solaris Management Console.

2. Seleccione la caja de herramientas Files.

   El título de la caja de herramientas incluye Scope=Files, Policy=TSOL.

3. Agregue el host proxy y el host de servicios web a la lista de equipos.
   1. En System Configuration, diríjase hasta la herramienta Computers and Networks.
   2. En la herramienta Computers, haga clic en el menú Action y seleccione Add Computer.
   3. Agregue el nombre del host y la dirección IP para el host proxy.
   4. Guarde los cambios.
   5. Agregue el nombre del host y la dirección IP para el host de servicios web.
   6. Guarde los cambios.
4. Configure la zona y el puerto de varios niveles.
   1. Vaya a la herramienta Trusted Network Zones.
   2. Seleccione la zona con etiquetas.
   3. En la sección de configuración de puertos de varios niveles para las direcciones IP locales, especifique el campo de puerto y protocolo adecuado.
   4. Guarde los cambios.
5. Personalice una plantilla para la zona. Para ello, realice los siguientes pasos:
   1. Vaya a la herramienta Security Templates.

      Haga clic en el menú Action y seleccione Add Template.

   2. Utilice el nombre del host para el nombre de la plantilla.
   3. Especifique la CIPSO para el tipo de host.
   4. Utilice de la etiqueta de la zona para la etiqueta mínima y la etiqueta máxima.
   5. Asigne la etiqueta de la zona al conjunto de etiquetas de seguridad.
   6. Seleccione la ficha Hosts Explicitly Assigned.
   7. En la sección Add an Entry, agregue la dirección IP que se asocia con la zona.
   8. Guarde los cambios.
6. Cierre Solaris Management Console.
7. Inicie las zonas.

   # zoneadm -z zone-name boot

8. En la zona global, agregue rutas para las nuevas direcciones.

   Por ejemplo, si las zonas comparten la dirección IP, realice lo siguiente:

   # route add proxy labeled-zones-IP-address
   # route add webservice labeled-zones-IP-address