Omitir V�nculos de navegaci�n | |
Salir de la Vista de impresi�n | |
Procedimientos de administradores de Oracle Solaris Trusted Extensions |
1. Conceptos de la administración de Trusted Extensions
2. Herramientas de administración de Trusted Extensions
3. Introducción para administradores de Trusted Extensions (tareas)
4. Requisitos de seguridad del sistema Trusted Extensions (descripción general)
5. Administración de los requisitos de seguridad en Trusted Extensions (tareas)
6. Usuarios, derechos y roles en Trusted Extensions (descripción general)
7. Gestión de usuarios, derechos y roles en Trusted Extensions (tareas)
8. Administración remota en Trusted Extensions (tareas)
9. Trusted Extensions y LDAP (descripción general)
10. Gestión de zonas en Trusted Extensions (tareas)
Zonas y direcciones IP en Trusted Extensions
Zonas y puertos de varios niveles
Zonas e ICMP en Trusted Extensions
Utilidades de administración de zona en Trusted Extensions
Gestión de zonas (mapa de tareas)
Cómo visualizar las zonas que están preparadas o en ejecución
Cómo visualizar las etiquetas de los archivos montados
Cómo montar en bucle de retorno un archivo que no suele estar visible en una zona con etiquetas
Cómo deshabilitar el montaje de archivos de nivel inferior
Cómo compartir un conjunto de datos de ZFS desde una zona con etiquetas
Cómo permitir que los archivos se vuelvan a etiquetar desde una zona con etiquetas
Cómo configurar un puerto de varios niveles para NFSv3 mediante udp
Cómo crear un puerto de varios niveles para una zona
11. Gestión y montaje de archivos en Trusted Extensions (tareas)
12. Redes de confianza (descripción general)
13. Gestión de redes en Trusted Extensions (tareas)
14. Correo de varios niveles en Trusted Extensions (descripción general)
15. Gestión de impresión con etiquetas (tareas)
16. Dispositivos en Trusted Extensions (descripción general)
17. Gestión de dispositivos para Trusted Extensions (tareas)
18. Auditoría de Trusted Extensions (descripción general)
19. Gestión de software en Trusted Extensions (tareas)
A. Referencia rápida a la administración de Trusted Extensions
B. Lista de las páginas del comando man de Trusted Extensions
En Trusted Extensions, la política de MAC se aplica a todos los procesos, incluso los procesos de la zona global. Los procesos de la zona global se ejecutan en la etiqueta ADMIN_HIGH. Cuando se comparten los archivos de una zona global, se comparten en la etiqueta ADMIN_LOW. Por lo tanto, dado que MAC impide que un proceso con una etiqueta superior modifique un objeto de nivel inferior, generalmente la zona global no puede escribir en un sistema montado en NFS.
Sin embargo, en un número limitado de los casos, las acciones en una zona con etiquetas puede requerir que un proceso de la zona global modifique un archivo en dicha zona.
A fin de habilitar un proceso de la zona global para que monte un sistema de archivos remoto con permisos de lectura y escritura, el montaje debe estar en la ruta de la zona cuya etiqueta corresponde a la del sistema de archivos remoto. El montaje no debe estar en la ruta root de la zona.
El sistema de montaje debe tener una zona en la etiqueta idéntica como el sistema de archivos remoto.
El sistema debe montar el sistema de archivos remoto en la ruta de la zona que tiene etiquetas idénticas.
El sistema no debe montar el sistema de archivos remoto en la ruta root de la zona de la zona que tiene etiquetas idénticas.
Tenga en cuenta una zona que esté denominada como public en la etiqueta PUBLIC. La ruta de la zona es /zone/public/. Todos los directorios de la ruta de la zona se encuentran en la etiqueta PUBLIC; por ejemplo:
/zone/public/dev /zone/public/etc /zone/public/home/username /zone/public/root /zone/public/usr
De los directorios de la ruta de la zona, solamente los archivos que se encuentran en /zone/public/root son visibles desde la zona public. A los demás directorios y archivos en la etiqueta PUBLIC se puede acceder solamente desde la zona global. La ruta /zone/public/root es la ruta root de la zona.
Desde la perspectiva del administrador de la zona public, la ruta root de la zona se ve como /. De manera similar, el administrador de la zona public no puede acceder a un directorio principal del usuario en la ruta de la zona (directorio /zone/public/home/username). Dicho directorio se ve solamente desde la zona global. La zona public monta ese directorio en la ruta root de la zona como /home/ username. Desde la perspectiva de la zona global, este montaje se ve como /zone/public/root/home/username.
El administrador de la zona public puede modificar /home/username. Cuando los archivos del directorio principal del usuario deben modificarse, el proceso de la zona global no utiliza dicha ruta. La zona global utiliza el directorio principal del usuario en la ruta de la zona, /zone/public/home/username.
Los archivos y directorios que se encuentran en la ruta de la zona, /zone/zonename/, pero no en la ruta root de la zona, directorio /zone/zonename/root , pueden modificarse mediante un proceso de la zona global que se ejecute en la etiqueta ADMIN_HIGH.
El administrador de la zona con etiquetas puede modificar los archivos y directorios de la ruta root de la zona, /zone/public/root.
Por ejemplo, cuando un usuario asigna un dispositivo en la zona public, un proceso de la zona global que se ejecuta en la etiqueta ADMIN_HIGH modifica el directorio dev en la ruta de la zona, /zone/public/dev. De manera similar, cuando un usuario guarda una configuración del escritorio, un proceso de la zona global de /zone/public/home/username modifica el archivo de la configuración del escritorio. Por último, para compartir archivos desde una zona con etiquetas, el administrador de la zona global crea el archivo de configuración, dfstab, en la ruta de la zona, /zone/public/etc/dfs/dfstab. El administrador de la zona con etiquetas no puede acceder a ese archivo y no puede compartir archivos desde la zona con etiquetas. Para obtener información sobre cómo compartir un directorio con etiquetas, consulte Cómo compartir directorios desde una zona con etiquetas.