Omitir Vínculos de navegación | |
Salir de la Vista de impresión | |
Procedimientos de administradores de Trusted Extensions Oracle Solaris 10 1/13 Information Library (Español) |
1. Conceptos de la administración de Trusted Extensions
2. Herramientas de administración de Trusted Extensions
3. Introducción para administradores de Trusted Extensions (tareas)
4. Requisitos de seguridad del sistema Trusted Extensions (descripción general)
5. Administración de los requisitos de seguridad en Trusted Extensions (tareas)
6. Usuarios, derechos y roles en Trusted Extensions (descripción general)
7. Gestión de usuarios, derechos y roles en Trusted Extensions (tareas)
8. Administración remota en Trusted Extensions (tareas)
Métodos para administrar sistemas remotos en Trusted Extensions
Inicio de sesión remoto por un rol en Trusted Extensions
Administración remota basada en roles desde hosts sin etiquetas
Gestión de inicio de sesión remoto en Trusted Extensions
Administración remota de Trusted Extensions (mapa de tareas)
Cómo iniciar sesión de manera remota desde la línea de comandos en Trusted Extensions
Cómo administrar Trusted Extensions con dtappsession de manera remota
Cómo utilizar Xvnc para acceder de manera remota a un sistema Trusted Extensions
9. Trusted Extensions y LDAP (descripción general)
10. Gestión de zonas en Trusted Extensions (tareas)
11. Gestión y montaje de archivos en Trusted Extensions (tareas)
12. Redes de confianza (descripción general)
13. Gestión de redes en Trusted Extensions (tareas)
14. Correo de varios niveles en Trusted Extensions (descripción general)
15. Gestión de impresión con etiquetas (tareas)
16. Dispositivos en Trusted Extensions (descripción general)
17. Gestión de dispositivos para Trusted Extensions (tareas)
18. Auditoría de Trusted Extensions (descripción general)
19. Gestión de software en Trusted Extensions (tareas)
A. Referencia rápida a la administración de Trusted Extensions
B. Lista de las páginas del comando man de Trusted Extensions
De manera predeterminada, Trusted Extensions no permite la administración remota. La administración remota implicaría un gran riesgo de seguridad si los usuarios de sistemas remotos que no son de confianza pudieran administrar los sistemas que están configurados con Trusted Extensions. Por esto, los sistemas se instalan inicialmente sin la opción que permite la administración de manera remota.
Hasta que la red se configura, todos los hosts remotos se asignan a la plantilla de seguridad admin_low. Por lo tanto, el protocolo CIPSO no se utiliza ni se acepta para ninguna conexión. En este estado inicial, los sistemas permanecen protegidos frente a los ataques remotos mediante varios mecanismos. Entre estos mecanismos, se incluyen la configuración de netservices, la política de inicio de sesión predeterminada y la política de módulos de autentificación enlazables (PAM, Plugable Authentication Modules).
Cuando el perfil de la utilidad de gestión de servicio (SMF) netservices se establece como limited, no se activa ningún servicio remoto a excepción del shell seguro. Sin embargo, el servicio ssh no se puede utilizar para inicios de sesión remotos según lo establecido en las políticas de inicio de sesión y de PAM.
La cuenta root no puede utilizarse para inicios de sesiones remotas porque la política predeterminada para CONSOLE en el archivo /etc/default/login impide que root inicie sesión de manera remota.
Además, dos configuraciones de PAM afectan los inicios de sesión remotos.
El módulo pam_roles siempre rechaza los inicios de sesión locales desde las cuentas de tipo role. De manera predeterminada, este módulo también rechaza inicios de sesión remotos. Sin embargo, el sistema puede configurarse para que acepte los inicios de sesión remotos. Para ello, se debe especificar allow_remote en la entrada pam.conf del sistema.
Además, el módulo pam_tsol_account rechaza los inicios de sesión remotos en la zona global, salvo que se utilice el protocolo CIPSO. Esta política tiene por objeto que la administración remota se realice por medio de otro sistema Trusted Extensions.
Para activar la funcionalidad de inicio de sesión remoto, ambos sistemas deben asignar su igual a una plantilla de seguridad CIPSO. Si este enfoque no resulta práctico, se puede hacer que la política de protocolo de red sea menos estricta. Para ello, debe especificarse la opción allow_unlabeled en el archivo pam.conf. Si alguna de las políticas se hace menos estricta, la plantilla de red predeterminada debe cambiarse para que los equipos arbitrarios no puedan acceder a la zona global. La plantilla admin_low debe usarse con moderación, y la base de datos tnrhdb debe modificarse para que la dirección comodín 0.0.0.0 no se establezca como predeterminada para la etiqueta ADMIN_LOW. Para obtener detalles, consulte Administración remota de Trusted Extensions (mapa de tareas) y Cómo limitar los hosts que se pueden contactar en la red de confianza.