Administración de derechos de procesamiento

Esta función se introdujo en el programa piloto Software Express. Además, se incluye en la versión Solaris 10 3/05.

En el software Solaris, las tareas administrativas que antes requerían derechos de superusuario ahora están protegidas por funciones de gestión de derechos para realizar los procesos. La gestión de los derechos para llevar a cabo los procesos se sirve de privilegios para restringir ciertos procesos en los comandos, usuarios, funciones o sistemas. Un privilegio es un derecho perfectamente definido que un proceso requiere para realizar una operación. El sistema restringe los procesos sólo a aquellos privilegios que se requieren para realizar la tarea actual. En consecuencia, se disminuye el número de procesos root que se pueden ver sometidos a un uso indebido. La cantidad de programas setuid se ha reducido considerablemente.

Cuando se instalan, las versiones de Software Express y Solaris 10 3/05 son totalmente compatibles con las versiones anteriores del sistema operativo Solaris en términos de mejoras en los privilegios. Los programas no modificados que se ejecutan como root cuentan con todos los privilegios.

Protección de los dispositivos: los dispositivos se protegen con una política de seguridad. La política se pone en práctica mediante los privilegios. En consecuencia, los permisos de un archivo de dispositivo no determinan por completo la disponibilidad del dispositivo. También se pueden requerir los privilegios para hacer funcionar el dispositivo.

Las interfaces de sistema que antes estaban protegidas con permisos UNIX están protegidas ahora con privilegios. Por ejemplo, a los miembros del grupo sys ya no se les permite abrir automáticamente el dispositivo /dev/ip. Los procesos que se ejecutan con el privilegio net_rawaccess sí pueden acceder al dispositivo /dev/ip. Cuando arranca el sistema, el acceso a todos los dispositivos se restringe hasta que se ejecuta el comando devfsadm durante la secuencia de arranque. La política inicial es lo más estricta posible. La política evita que todos los usuarios, que no sean el superusuario, puedan iniciar conexiones.

Consulte las siguientes páginas de comando man para obtener más información:

• getdevpolicy(1M)

• ppriv(1)

• add_drv(1M)

• update_drv(1M)

• rem_drv(1M)

• devfsadm(1M)

Los procesos que necesitan recuperar información de Solaris IP MIB deberían abrir /dev/arp e insertar los módulos “tcp” y “udp”. No se requiere ningún tipo de privilegios. Este método es equivalente a abrir /dev/ip e impulsar los módulos “arp”, “tcp” y “udp”. Como la apertura de /dev/ip requiere ahora un privilegio, es preferible usar el método /dev/arp.

Para obtener más información, consulte los siguientes apartados de la System Administration Guide: Security Services :

• “Using Roles and Privileges (Overview)”

• “Privileges (Overview)”

• “Privileges (Tasks)”