Tareas comunes en Trusted Extensions (mapa de tareas)

En el siguiente mapa de tareas, se describen los procedimientos que configuran el entorno de trabajo para los administradores de Trusted Extensions.

Cómo asignar el editor de su elección como editor de confianza

El editor de confianza utiliza el valor de la variable de entorno $EDITOR como editor.

Antes de empezar

Debe estar en un rol de la zona global.

1. Determine el valor de la variable $EDITOR.

   # echo $EDITOR

   A continuación se mencionan los editores posibles. También es posible que la variable $EDITOR no se establezca.

   • /usr/dt/bin/dtpad: es el editor que CDE proporciona.

   • /usr/bin/gedit: es el editor que Java Desktop System, versión número proporciona. Solaris Trusted Extensions (JDS) es la versión de confianza de ese escritorio.

   • /usr/bin/vi: es el editor visual.

2. Establezca el valor de la variable $EDITOR.
   • Para definir el valor de manera permanente, modifique el valor en el archivo de inicialización del shell del rol.

     Por ejemplo, en el directorio principal del rol, modifique el archivo .kshrc en un shell Korn y el archivo .cshrc en un shell C.

   • Para definir el valor del shell actual, establézcalo en la ventana de terminal.

     Por ejemplo, en un shell Korn, utilice los siguientes comandos:

     # setenv EDITOR=pathname-of-editor
     # export $EDITOR

     En un shell C, utilice el siguiente comando:

     # setenv EDITOR=pathname-of-editor

     En un shell Bourne, utilice los siguientes comandos:

     # EDITOR=pathname-of-editor
     # export EDITOR

Ejemplo 5-1 Especificación del editor como editor de confianza

El rol de administrador de la seguridad desea utilizar vi para editar los archivos del sistema. El usuario que asume el rol modifica el archivo de inicialización .kshrc en el directorio principal del rol.

$ cd /home/secadmin
$ vi .kshrc

## Interactive shell
set -o vi
...
export EDITOR=vi

La próxima vez que un usuario asuma el rol de administrador de la seguridad, vi será el editor de confianza.

Cómo cambiar la contraseña de root

El rol de administrador de la seguridad está autorizado a cambiar la contraseña de una cuenta en cualquier momento mediante Solaris Management Console. Sin embargo, no se puede cambiar la contraseña de una cuenta del sistema mediante Solaris Management Console. La cuenta del sistema es una cuenta que tiene un UID inferior a 100. root es una cuenta del sistema porque su UID es 0.

1. Conviértase en superusuario.

   Si su sitio determinó el superusuario en el rol root, asuma el rol root.

2. Seleccione Change Password en el menú Trusted Path.
   • En Trusted JDS, haga clic en el símbolo de confianza de la banda de confianza.

     En el menú Trusted Path, elija Change Password.

     
     
   • En Solaris Trusted Extensions (CDE), abra el menú Trusted Path.
     1. Haga clic con el tercer botón del mouse en el área de selección de espacios de trabajo.
     2. Seleccione Change Password en el menú Trusted Path.
     
     
3. Cambie la contraseña y confirme el cambio.

Ejemplo 5-2 Cambio de la contraseña de un rol

Cualquier usuario que pueda asumir un rol definido en LDAP puede utilizar el menú Trusted Path para cambiar la contraseña del rol. La contraseña de todos los usuarios que intentan asumir el rol se cambia en LDAP.

Como en el SO Oracle Solaris, el rol de administrador principal puede cambiar la contraseña de un rol mediante Solaris Management Console. En Trusted Extensions, el rol de administrador de la seguridad puede cambiar la contraseña de otro rol mediante Solaris Management Console.

Cómo recuperar el control del enfoque actual del escritorio

La combinación de teclas de aviso de seguridad se puede utilizar para interrumpir un arrastre del puntero o del teclado que provenga de una aplicación que no sea de confianza. Esta combinación de teclas también puede utilizarse para verificar si un arrastre del puntero o del teclado proviene de una aplicación de confianza. En un sistema de varios encabezados que se ha suplantado para que se muestre más de una banda de confianza, esta combinación de teclas dirige el puntero hacia la banda de confianza autorizada.

1. Para recuperar el control de un teclado de Sun, utilice la siguiente combinación de teclas.

   Presione las teclas simultáneamente para recuperar el control del enfoque actual del escritorio. En el teclado de Sun, el rombo es la tecla Meta.

   <Meta> <Stop>

   Si el arrastre, como un puntero, no es de confianza, el puntero se mueve hacia la banda. Si el puntero es de confianza, no se pasa a la banda de confianza.

2. Si no utiliza un teclado de Sun, use la siguiente combinación de teclas.

   <Alt> <Break>

   Presione las teclas simultáneamente para recuperar el control del enfoque del escritorio actual de su equipo portátil.

Ejemplo 5-3 Comprobar si el indicador de contraseña es de confianza

En un sistema x86 que se usa con un teclado de Sun, se le solicita una contraseña al usuario. Se arrastra el puntero y se lo ubica en el cuadro de diálogo de contraseña. Para comprobar si el indicador es de confianza, el usuario presiona simultáneamente las teclas <Meta> y <Stop>. Cuando el puntero permanece en el cuadro de diálogo, el usuario sabe que el indicador de contraseña es de confianza.

Si el puntero se mueve a la banda de confianza, el usuario se da cuenta de que el indicador de contraseña no es de confianza, por lo que debe contactarse con el administrador.

Ejemplo 5-4 Forzar el puntero hacia la banda de confianza

En este ejemplo, un usuario no está ejecutando ningún proceso de confianza, pero no puede ver el puntero del mouse. Para ubicar el puntero en el centro de la banda de confianza, el usuario presiona simultáneamente las teclas <Meta> y <Stop>.

Cómo obtener el equivalente hexadecimal de una etiqueta

Este procedimiento proporciona la representación hexadecimal interna de una etiqueta. Esta representación se puede almacenar con seguridad en un directorio público. Para obtener más información, consulte la página del comando man atohexlabel(1M).

Antes de empezar

Debe estar en el rol de administrador de la seguridad en la zona global. Para obtener detalles, consulte Cómo entrar en la zona global en Trusted Extensions.

• Para obtener el valor hexadecimal de una etiqueta, realice una de las acciones siguientes.
  • Para obtener el valor hexadecimal de una etiqueta de sensibilidad, pase la etiqueta al comando.

    $ atohexlabel "CONFIDENTIAL : NEED TO KNOW"
    0x0004-08-68

  • Para obtener el valor hexadecimal de una acreditación, utilice la opción -c.

    $ atohexlabel -c "CONFIDENTIAL NEED TO KNOW"
    0x0004-08-68

    ---

    Nota - Las etiquetas de sensibilidad y de acreditación en lenguaje natural se forman según las reglas del archivo label_encodings. Cada tipo de etiqueta utiliza reglas de una sección independiente de este archivo. Cuando la etiqueta de sensibilidad y la etiqueta de acreditación expresan el mismo nivel de sensibilidad subyacente, ambas tienen una forma hexadecimal idéntica. Sin embargo, las etiquetas pueden tener diferentes formas en lenguaje natural. Las interfaces del sistema que aceptan etiquetas en lenguaje natural como entrada esperan un tipo de etiqueta. Si las cadenas de texto de los tipos de etiquetas difieren, estas cadenas de texto no se pueden intercambiar.

    En el archivo predeterminado label_encodings, el equivalente de texto de una etiqueta de acreditación no incluye dos puntos (:).

    ---

Ejemplo 5-5 Uso del comando atohexlabel

Cuando pasa una etiqueta válida en formato hexadecimal, el comando devuelve el argumento.

$ atohexlabel 0x0004-08-68
0x0004-08-68

Cuando pasa una etiqueta administrativa, el comando devuelve el argumento.

$ atohexlabel admin_high
ADMIN_HIGH
atohexlabel admin_low
ADMIN_LOW

Errores más frecuentes

El mensaje de error atohexlabel parsing error found in <string> at position 0 indica que el argumento <string> que pasó a atohexlabel no es una etiqueta o acreditación válidas. Verifique que no haya errores de escritura y compruebe que la etiqueta exista en el archivo label_encodings que tiene instalado.

Cómo obtener una etiqueta legible de su forma hexadecimal

Este procedimiento proporciona un modo de reparar las etiquetas almacenadas en las bases de datos internas. Para obtener más información, consulte la página del comando man hextoalabel(1M).

Antes de empezar

Debe estar en el rol de administrador de la seguridad en la zona global.

• Para obtener el equivalente de texto de la representación interna de una etiqueta, realice una de las acciones siguientes.
  • Para obtener el equivalente de texto de una etiqueta de sensibilidad, pase la forma hexadecimal de la etiqueta.

    $ hextoalabel 0x0004-08-68
    CONFIDENTIAL : NEED TO KNOW

  • Para obtener el equivalente de texto de una acreditación, utilice la opción -c.

    $ hextoalabel -c 0x0004-08-68
    CONFIDENTIAL NEED TO KNOW

Cómo cambiar los valores predeterminados de seguridad en los archivos del sistema

En Trusted Extensions, el administrador de la seguridad cambia las configuraciones de seguridad predeterminadas o accede a ellas en un sistema.

Los archivos de los directorios /etc/security y /etc/default contienen configuraciones de seguridad. En el sistema Oracle Solaris, el superusuario puede editar estos archivos. Para obtener información sobre la seguridad de Oracle Solaris, consulte el Capítulo 3, Controlling Access to Systems (Tasks) de System Administration Guide: Security Services.

---

Precaución - Reduzca los valores predeterminados de seguridad del sistema únicamente si la política de seguridad del sitio lo permite.

---

Antes de empezar

Debe estar en el rol de administrador de la seguridad en la zona global.

• Utilice el editor de confianza para editar el archivo del sistema.

  Para obtener detalles, consulte Cómo editar archivos administrativos en Trusted Extensions.

  La siguiente tabla muestra los archivos de seguridad y los parámetros de seguridad que se deben cambiar en los archivos.

  
  

  Archivo Tarea Para obtener más información /etc/default/login Reducir el número permitido de intentos de introducción de contraseña. Consulte el ejemplo de How to Monitor All Failed Login Attempts de System Administration Guide: Security Services. Página del comando man passwd(1) /etc/default/kbd Deshabilitar la interrupción del teclado. How to Disable a System’s Abort Sequence de System Administration Guide: Security Services Nota - En los hosts que los administradores utilizan para realizar la depuración, la configuración predeterminada para KEYBOARD_ABORT permite el acceso al depurador del núcleo kadb. Para obtener más información sobre el depurador, consulte la página del comando man kadb(1M). /etc/security/policy.conf Solicitar un algoritmo más potente para las contraseñas de usuario. Eliminar un privilegio básico de todos los usuarios de este host. Restringir a los usuarios de este host a las autorizaciones de usuario de Solaris básico. Página del comando man policy.conf(4) /etc/default/passwd Solicitar a los usuarios que cambien las contraseñas con frecuencia. Solicitar a los usuarios que creen contraseñas que sean extremadamente diferentes. Solicitar una contraseña de usuario más larga. Solicitar una contraseña que no se pueda encontrar en el diccionario. Página del comando man passwd(1)