Omitir Vínculos de navegación | |
Salir de la Vista de impresión | |
Procedimientos de administradores de Trusted Extensions Oracle Solaris 10 1/13 Information Library (Español) |
1. Conceptos de la administración de Trusted Extensions
Software de Trusted Extensions y el SO Oracle Solaris
Similitudes entre Trusted Extensions y el SO Oracle Solaris
Diferencias entre Trusted Extensions y el SO Oracle Solaris
Sistemas de varios periféricos y escritorio de Trusted Extensions
Conceptos básicos de Trusted Extensions
Protecciones de Trusted Extensions
Trusted Extensions y el control de acceso
Etiquetas en el software Trusted Extensions
Relaciones de dominio entre etiquetas
Archivo de codificaciones de etiqueta
Qué protegen las etiquetas y dónde aparecen
2. Herramientas de administración de Trusted Extensions
3. Introducción para administradores de Trusted Extensions (tareas)
4. Requisitos de seguridad del sistema Trusted Extensions (descripción general)
5. Administración de los requisitos de seguridad en Trusted Extensions (tareas)
6. Usuarios, derechos y roles en Trusted Extensions (descripción general)
7. Gestión de usuarios, derechos y roles en Trusted Extensions (tareas)
8. Administración remota en Trusted Extensions (tareas)
9. Trusted Extensions y LDAP (descripción general)
10. Gestión de zonas en Trusted Extensions (tareas)
11. Gestión y montaje de archivos en Trusted Extensions (tareas)
12. Redes de confianza (descripción general)
13. Gestión de redes en Trusted Extensions (tareas)
14. Correo de varios niveles en Trusted Extensions (descripción general)
15. Gestión de impresión con etiquetas (tareas)
16. Dispositivos en Trusted Extensions (descripción general)
17. Gestión de dispositivos para Trusted Extensions (tareas)
18. Auditoría de Trusted Extensions (descripción general)
19. Gestión de software en Trusted Extensions (tareas)
A. Referencia rápida a la administración de Trusted Extensions
B. Lista de las páginas del comando man de Trusted Extensions
El software de Trusted Extensions agrega etiquetas a un sistema que ejecuta el sistema operativo Solaris (SO Oracle Solaris). Las etiquetas implementan el control de acceso obligatorio (MAC, Mandatory Access Control). El MAC, junto con el control de acceso discrecional (DAC, Discretionary Access Control), protege los sujetos (procesos) y objetos (datos) del sistema. El software Trusted Extensions proporciona interfaces para gestionar la configuración, la asignación y la política de etiquetas.
El software de Trusted Extensions utiliza perfiles de derechos, roles, auditoría, privilegios y otras funciones de seguridad del SO Oracle Solaris. Puede utilizar Oracle Solaris Secure Shell (SSH), BART, la estructura criptográfica de Oracle Solaris, IPsec o Filtro IP con Trusted Extensions.
Como en el SO Oracle Solaris, los usuarios pueden estar limitados a utilizar las aplicaciones que son necesarias para realizar su trabajo. Se puede autorizar a otros usuarios para que realicen más tareas.
Como en el SO Oracle Solaris, las capacidades que antes estaban asignadas al superusuario se asignan a “roles” individuales y discretos.
Como en el SO Oracle Solaris, los privilegios protegen los procesos. También se utilizan las zonas para procesos independientes.
Como en el SO Oracle Solaris, se pueden auditar los eventos del sistema.
Trusted Extensions utiliza los archivos de configuración del sistema del SO Oracle Solaris, como policy.conf y exec_attr.
El software Trusted Extensions amplía el SO Oracle Solaris. La siguiente lista proporciona una descripción general. Para obtener una referencia rápida, consulte el Apéndice AReferencia rápida a la administración de Trusted Extensions.
Trusted Extensions controla el acceso a los datos mediante marcas de seguridad especiales que se denominan etiquetas. Las etiquetas proporcionan el control de acceso obligatorio (MAC). Se brinda la protección de MAC además de los permisos de archivos UNIX o el control de acceso discrecional (DAC). Las etiquetas se asignan directamente a los usuarios, las zonas, los dispositivos, las ventanas y los puntos finales de red. De manera implícita, las etiquetas se asignan a los procesos, los archivos y otros objetos del sistema.
Los usuarios comunes no pueden invalidar el MAC. Trusted Extensions requiere que los usuarios comunes operen en las zonas con etiquetas. De manera predeterminada, ningún usuario o proceso de las zonas con etiquetas puede invalidar el MAC.
Como en el SO Oracle Solaris, la capacidad de invalidar la política de seguridad puede asignarse a procesos o usuarios específicos en los casos en que puede invalidarse el MAC. Por ejemplo, los usuarios pueden estar autorizados para cambiar la etiqueta de un archivo. Este tipo de acciones aumentan o disminuyen el nivel de sensibilidad de la información en dicho archivo.
Trusted Extensions complementa los comandos y los archivos de configuración existentes. Por ejemplo, Trusted Extensions agrega eventos de auditoría, autorizaciones, privilegios y perfiles de derechos.
Algunas funciones que son opcionales en un sistema Oracle Solaris son obligatorias en un sistema Trusted Extensions. Por ejemplo, las zonas y los roles son necesarios en un sistema que esté configurado con Trusted Extensions.
Algunas funciones que son opcionales en un sistema Oracle Solaris son recomendadas en un sistema Trusted Extensions. Por ejemplo, en Trusted Extensions, el usuario root debe transformarse en el rol root.
Trusted Extensions puede cambiar el comportamiento predeterminado del SO Oracle Solaris. Por ejemplo, en un sistema configurado con Trusted Extensions, la auditoría está activada de manera predeterminada. También se requiere la asignación de dispositivos.
Trusted Extensions puede reducir la oferta de opciones que están disponibles en el SO Oracle Solaris. Por ejemplo, en un sistema que está configurado con Trusted Extensions, no se admite el servicio de nombres NIS+. Además, en Trusted Extensions, todas las zonas son zonas con etiquetas. A diferencia del SO Oracle Solaris, las zonas con etiquetas deben utilizar la misma agrupación de ID de usuario e ID de grupo. Asimismo, en Trusted Extensions, las zonas con etiquetas pueden compartir una dirección IP.
Trusted Extensions proporciona versiones de confianza de dos escritorios. Para trabajar en un entorno con etiquetas, los usuarios de escritorios de Trusted Extensions deben utilizar uno de los siguientes escritorios:
Solaris Trusted Extensions (CDE): es la versión de confianza del entorno de escritorio común (CDE, Common Desktop Environment). Puede abreviarse como Trusted CDE.
Solaris Trusted Extensions (JDS): es la versión de confianza de Java Desktop System, versión number. Puede abreviarse como Trusted JDS.
Trusted Extensions proporciona interfaces gráficas de usuario (GUI) e interfaces de la línea de comandos (CLI) adicionales. Por ejemplo, Trusted Extensions proporciona Device Allocation Manager para administrar dispositivos. Además, el comando updatehome se utiliza para colocar los archivos de inicio en el directorio principal de un usuario común en cada etiqueta.
Trusted Extensions requiere el uso de determinadas interfaces gráficas de usuario para la administración. Por ejemplo, en un sistema que está configurado con Trusted Extensions, se utiliza la consola Solaris Management Console para administrar los usuarios, los roles y la red. Asimismo, en Trusted CDE, Admin Editor se utiliza para editar los archivos del sistema.
Trusted Extensions limita lo que pueden visualizar los usuarios. Por ejemplo, el usuario que no puede asignar un dispositivo tampoco puede visualizarlo.
Trusted Extensions limita las opciones de escritorio de los usuarios. Por ejemplo, los usuarios disponen de un tiempo limitado de inactividad de la estación de trabajo antes de que se bloquee la pantalla.
Cuando los monitores de un sistema de varios periféricos de Trusted Extensions están configurados de forma horizontal, la banda de confianza abarca todos los monitores. Cuando los monitores están configurados de forma vertical, la banda de confianza aparece en el monitor ubicado en el extremo inferior.
Cuando los distintos espacios de trabajo se muestran en los supervisores de un sistema de varios encabezados, Trusted CDE y Trusted JDS procesan la banda de confianza de diferentes maneras.
En el escritorio de Trusted JDS, cada supervisor muestra una banda de confianza.
En el escritorio de Trusted CDE, aparece una banda de confianza en el supervisor principal.
Precaución - Si aparece una segunda banda de confianza en un sistema de varios encabezados de Trusted CDE, el sistema operativo no genera la banda. Es posible que tenga un programa no autorizado en el sistema. Póngase en contacto con el administrador de la seguridad inmediatamente. Para determinar qué banda de confianza es la adecuada, consulte Cómo recuperar el control del enfoque actual del escritorio. |