Protección de los usuarios y los procesos en Oracle® Solaris 11.2

Salir de la Vista de impresión

 
Actualización: Julio de 2014
 
 

Escalada de privilegios y derechos de usuario

Oracle Solaris proporciona a los administradores mucha flexibilidad al configurar la seguridad. Tal como está instalado, el software impide la escalada de privilegios. La escalada de privilegios se produce cuando un usuario o un proceso obtienen más derechos administrativos de los que se les iban a otorgar inicialmente. En este sentido, "el privilegio" significa que todos los derechos, no sólo son privilegios del núcleo. Consulte Escalada de privilegios y privilegios del núcleo.

El software Oracle Solaris incluye atributos de seguridad que están asignados al rol root únicamente. Con otras protecciones de seguridad implementadas, es posible que un administrador asigne atributos que están diseñados para el rol root a otras cuentas, pero dicha asignación se debe realizar con cuidado.

    El siguiente perfil de derechos y conjunto de autorizaciones puede escalar los privilegios de una cuenta que no sea root:

  • Perfil de derechos de restauración de medios: este perfil no es parte de ningún otro perfil de derechos. Debido a que la restauración de medios proporciona acceso a todo el sistema de archivos raíz, su uso constituye una posible escalada de privilegios. Se podrían restaurar medios alternativos o archivos modificados deliberadamente. De manera predeterminada, el rol root incluye este perfil de derechos.

  • Autorizaciones solaris.*.assign: estas autorizaciones no están asignadas a ningún perfil de derechos. Una cuenta con una autorización solaris.*.assign puede asignar derechos a otros que la cuenta en sí misma no tiene asignados. Por ejemplo, un rol con la autorización solaris.profile.assign puede asignar perfiles de derechos a otras cuentas que el rol en sí mismo no tiene asignados. De manera predeterminada, sólo el rol root tiene autorizaciones solaris.*.assign.

    Asignar autorizaciones solaris.*.delegate, en lugar de autorizaciones solaris.*.assign. Una autorización solaris.*.delegate permite al delegador asignar a otras cuentas sólo aquellos derechos que el delegador posee. Por ejemplo, un rol al que se le asigna la autorización solaris.profile.delegate puede asignar perfiles de derechos que el rol en sí mismo tiene asignado para otros usuarios y roles.

Para la prevención de escalada de privilegios del núcleo, consulte Escalada de privilegios y privilegios del núcleo.

Copyright © 2002, 2014, Oracle y/o sus filiales. Todos los derechos reservados. Advertencia legal
Anterior
Siguiente