Planificación de la seguridad de la red
Durante una instalación inicial, Solaris 10 11/06 permite cambiar la configuración de seguridad de la red para que todos los servicios de red, excepto Secure Shell, estén desactivados o se limiten a responder sólo a las solicitudes locales. Esta opción minimiza los puntos débiles potenciales que los agresores externos podrían intentar aprovechar. Asimismo, constituye una base para que los clientes activen únicamente los servicios que necesitan. Esta opción de seguridad sólo está disponible durante una instalación inicial, no durante una modernización. Una modernización mantiene cualquier conjunto de servicios que se hubiera configurado previamente. Si es necesario, puede restringir los servicios de red tras una modernización mediante el uso del comando netservices.
Según el programa de instalación que se utilice, se puede optar por restringir los servicios de red o dejarlos activos de forma predeterminada:
-
En la instalación interactiva de Solaris, puede seleccionar la opción de activar servicios de red de forma predeterminada como en versiones anteriores de Solaris. O, si lo desea, puede seleccionar la opción que restringe los servicios de red. Para obtener una descripción detallada sobre instalaciones manuales, consulte el Capítulo 2, Uso del programa de instalación de Solaris (tareas) de Guía de instalación de Solaris 10 8/07: instalaciones básicas.
-
En una instalación JumpStart automatizada, esta restricción de seguridad puede establecerse con una palabra clave nueva, service_profile, en el archivo sysidcfg. Para obtener más información sobre esta palabra clave, consulte Palabra clave service_profile de Guía de instalación de Solaris 10 8/07: instalaciones basadas en red.
Especificaciones de seguridad restringida
Si opta por la seguridad de red restringida, se desactivan por completo muchos servicios. Otros siguen en activo, pero quedan restringidos a conexiones locales. Secure Shell queda totalmente activo.
Por ejemplo, en la tabla siguiente se enumeran los servicios de red que, en Solaris 10 11/06, quedan restringidos a conexiones locales.
Tabla 4–6 Servicios restringidos SMF en Solaris 10 11/06|
Servicio |
FMRI |
Propiedad |
|---|---|---|
|
rpcbind |
svc:/network/rpc/bind |
config/local_only |
|
syslogd |
svc:/system/system-log |
config/log_from_remote |
|
sendmail |
svc:/network/smtp:sendmail |
config/local_only |
|
smcwebserver |
svc:/system/webconsole:console |
options/tcp_listen |
|
WBEM |
svc:/application/management/wbem |
options/tcp_listen |
|
X server |
svc:/application/x11/x11-server |
options/tcp_listen |
|
dtlogin |
svc:/application/graphical-login/cde-login |
dtlogin/args |
|
ToolTalk |
svc:/network/rpccde-ttdbserver:tcp |
proto=ticotsord |
|
dtcm |
svc:/network/rpccde-calendar-manager |
proto=ticits |
|
BSD print |
svc:/application/print/rfc1179:default |
bind_addr=localhost |
Revisión de la configuración de seguridad tras la instalación
Con la función de seguridad de red restringida, SMF (Service Management Framework) controla todos los servicios afectados. Se puede activar cualquier servicio de red tras una instalación inicial mediante los comandos svcadm y svccfg.
El aceso a red restringido se consigue mediante la invocación del comando netservices que hay en el archivo de actualización de SMF en /var/svc/profile. El comando netservices se puede utilizar para alternar el comportamiento del inicio del servicio.
Para desactivar manualmente los servicios de red, ejecute el comando siguiente:
# netservices limited |
Es un comando válido en sistemas modernizados, en los que de forma predeterminada no se llevan a cabo cambios. Este comando también se usa para restablecer el estado restringido una vez activados determinados servicios.
De la misma manera, se pueden activar los servicios predeterminados tal como estaban en versiones anteriores de Solaris ejecutando el comando siguiente:
# netservices open |
Para obtener más información sobre la revisión de la configuración de seguridad, consulte How to Create an SMF Profile de System Administration Guide: Basic Administration. Consulte también las siguientes páginas de comando man.
-
netservices(1M)
-
svcadm(1M)
-
comandos svccfg(1M)
- © 2010, Oracle Corporation and/or its affiliates