Mejoras de seguridad

Este apartado describe las nuevas características del sistema operativo Solaris 8 que afectan a la seguridad del sistema y la propiedad de directorios y sistemas de archivos.

Tarjetas inteligentes de Solaris

La característica Tarjeta inteligente de Solaris implementa el estándar de OCF (Open Card Framework) 1.1. Los administradores de seguridad pueden utilizar esta tecnología para proteger un escritorio de ordenador o una aplicación individual, solicitando a los usuarios que se autentiquen con una tarjeta inteligente. Todos los sistemas que vayan a ser protegidos por tarjetas inteligentes de Solaris requieren un lector de tarjeta. Para acceder a aplicaciones o escritorios protegidos, los usuarios deben insertar primero sus tarjetas inteligentes en los lectores y después escribir los números de identificación privados (PIN) correspondientes a ellas. Las máquinas principales usan los PIN y las contraseñas de usuario integradas en sus tarjetas para comprobar si los usuarios son quienes dicen ser.

Las tarjetas inteligentes de Solaris admiten dos lectores de tarjeta externos, el Sun Smart Card Reader I y el iButton Reader. Se admiten tres tarjetas inteligentes, las tarjetas Cyberflex e iButton basado en Java y la tarjeta Payflex.

Solaris Smart Cards Administration Guide indica a los administradores de seguridad cómo deben configurar la admisión de tarjetas inteligentes en sus ubicaciones. También enseña a los usuarios qué es la tecnología de tarjetas inteligentes.

Permisos de directorios y sistemas de archivos predeterminados

Muchos directorios y archivos de sistema de la versión Solaris 8 tienen una propiedad predeterminada diferente y permisos más estrictos que en versiones anteriores. Los cambios de permisos y propiedad predeterminados son:

• La propiedad de directorios y archivos predeterminada ha cambiado de bin a root

• Los archivos y directorios que antes tenían permisos predeterminados de 775 ahora tienen permisos predeterminados de 755

• Los archivos y directorios que antes tenían permisos predeterminados de 664 ahora tienen permisos predeterminados de 644

• El umask predeterminado del sistema es 022

Tenga esto presente al crear un paquete para añadirlo a un sistema que esté ejecutando la versión Solaris 8:

• Todos los archivos y directorios deben tener "root" como el propietario predeterminado

• Los directorios y ejecutables deben tener permisos predeterminados de 555 o 755

• Los archivos normales deben tener permisos predeterminados de 644 o 444

• Los archivos set-uid y set-gid no pueden ser escritos por el propietario, salvo que éste sea root

Estos cambios no afectan a todos los archivos y directorios de esta versión; por ejemplo, los cambios no se aplican a los directorios y archivos CDE ni OpenWindows.

Control de acceso basado en la posición

Los sistemas clásicos basados en superusuarios conceden capacidades totales a todo aquél que pueda convertirse en superusuario. Con el control de acceso basado en la posición (RBAC) del sistema operativo Solaris 8, los administradores pueden asignar capacidades administrativas limitadas a los usuarios normales. Esto se logra gracias a tres características nuevas:

• Autorizaciones: derechos de usuario que garantizan acceso a funciones restringidas

• Perfiles de ejecución: mecanismos de integración para agrupar autorizaciones y comandos con atributos especiales, por ejemplo la identificación de superusuario

• Posiciones: tipos especiales de cuentas de usuario, pensadas para realizar una serie de tareas administrativas

El administrador crea un perfil de ejecución que contiene autorizaciones y comandos privilegiados para una tarea o conjunto de tareas específicos. Ese perfil puede asignarse directamente a un usuario o a una posición. Las posiciones se asignan, a su vez, a los usuarios. Para obtener acceso a una posición, el usuario con la posición asignada debe ejecutar el comando su. Las posiciones tienen la ventaja de ser cuentas compartidas que no necesitan actualización cuando cambian las responsabilidades individuales. Los siguientes archivos nuevos admiten RBAC:

• /etc/user_attr: almacena atributos de seguridad ampliada relacionados con los usuarios y las posiciones

• /etc/security/auth_attr: enumera y describe las autorizaciones

• /etc/security/prof_attr: enumera los perfiles de ejecución y las autorizaciónes correspondientes

• /etc/security/exec_attr: asocia los atributos de ejecución a los perfiles de ejecución

• /etc/security/policy.conf: proporciona la configuración de normas de seguridad para los atributos a nivel de usuario

Para obtener más información, véase System Administration Guide, Volume 2

Administración centralizada de los eventos de auditoría de usuario

El archivo /etc/security/audit_user, que almacena las clases de preselección de auditoría para usuarios y posiciones, ahora se admite en el cambio de nombre. Ya no es necesario definir los eventos de auditoría para un usuario en todos los sistemas a los que tiene acceso.

Admisión del cliente Sun Enterprise Authentication Mechanism (Kerberos V5)

Esta característica proporciona la infraestructura de cliente del Kerberos V5, que se añade al módulo Pluggable Authentication Module (PAM) y a los programas de utilidades que pueden utilizarse para proteger aplicaciones basadas en RPC, como el servicio NFS. Kerberos proporciona una autenticación, integridad o admisión de privacidad más sólidas a nivel de servidor o usuario. Los clientes Kerberos pueden utilizarse junto con Sun Enterprise Authentication Mechanism (SEAM) (parte de SEAS 3.0) o con otro software Kerberos V5 (por ejemplo, la distribución MIT) para crear una solución de acceso única para la red.

Para obtener más información, consulte System Administration Guide, Volume 2.