Omitir V�nculos de navegaci�n | |
Salir de la Vista de impresi�n | |
Procedimientos de administradores de Oracle Solaris Trusted Extensions |
1. Conceptos de la administración de Trusted Extensions
2. Herramientas de administración de Trusted Extensions
3. Introducción para administradores de Trusted Extensions (tareas)
4. Requisitos de seguridad del sistema Trusted Extensions (descripción general)
5. Administración de los requisitos de seguridad en Trusted Extensions (tareas)
6. Usuarios, derechos y roles en Trusted Extensions (descripción general)
7. Gestión de usuarios, derechos y roles en Trusted Extensions (tareas)
8. Administración remota en Trusted Extensions (tareas)
9. Trusted Extensions y LDAP (descripción general)
10. Gestión de zonas en Trusted Extensions (tareas)
Procesos de la zona global y de las zonas con etiquetas
Utilidades de administración de zona en Trusted Extensions
Gestión de zonas (mapa de tareas)
Cómo visualizar las zonas que están preparadas o en ejecución
Cómo visualizar las etiquetas de los archivos montados
Cómo montar en bucle de retorno un archivo que no suele estar visible en una zona con etiquetas
Cómo deshabilitar el montaje de archivos de nivel inferior
Cómo compartir un conjunto de datos de ZFS desde una zona con etiquetas
Cómo permitir que los archivos se vuelvan a etiquetar desde una zona con etiquetas
Cómo configurar un puerto de varios niveles para NFSv3 mediante udp
Cómo crear un puerto de varios niveles para una zona
11. Gestión y montaje de archivos en Trusted Extensions (tareas)
12. Redes de confianza (descripción general)
13. Gestión de redes en Trusted Extensions (tareas)
14. Correo de varios niveles en Trusted Extensions (descripción general)
15. Gestión de impresión con etiquetas (tareas)
16. Dispositivos en Trusted Extensions (descripción general)
17. Gestión de dispositivos para Trusted Extensions (tareas)
18. Auditoría de Trusted Extensions (descripción general)
19. Gestión de software en Trusted Extensions (tareas)
A. Referencia rápida a la administración de Trusted Extensions
B. Lista de las páginas del comando man de Trusted Extensions
El sistema Trusted Extensions bien configurado consta de una zona global, que es la instancia del sistema operativo, y una o más zonas no globales con etiquetas. Durante la configuración, Trusted Extensions anexa una sola etiqueta a cada zona; lo que crea las zonas con etiquetas. Las etiquetas proceden del archivo label_encodings. Los administradores pueden crear una zona para cada una de las etiquetas, pero esto no es obligatorio. Es posible tener más etiquetas que zonas con etiquetas en un sistema. No es posible tener más zonas con etiquetas que etiquetas.
Por lo general, en el sistema Trusted Extensions, los sistemas de archivos de una zona suelen montarse en bucle de retorno como sistemas de archivos de bucle de retorno (LOFS, Loopback File System). Todos los archivos y directorios que se pueden escribir en una zona con etiquetas se encuentran en la etiqueta de la zona. De manera predeterminada, el usuario puede visualizar los archivos que están en una zona de una etiqueta inferior a la etiqueta actual del usuario. Esta configuración permite a los usuarios ver sus directorios principales en las etiquetas inferiores a la etiqueta del espacio de trabajo actual. Aunque los usuarios pueden ver los archivos en una etiqueta inferior, no pueden modificarlos. Los usuarios pueden modificar solamente los archivos de un proceso que tenga la misma etiqueta que el archivo.
En Trusted Extensions, la zona global es una zona administrativa. Las zonas con etiquetas son para los usuarios comunes. Los usuarios pueden trabajar en una zona cuya etiqueta se encuentre dentro del rango de acreditación del usuario.
Cada zona tiene una dirección IP asociada y atributos de seguridad. Las zonas pueden configurarse con puertos de varios niveles (MLP, Multilevel Ports). Asimismo, las zonas se pueden configurar con una política para la difusión del protocolo de mensajes de control de Internet (ICMP, Internet Control Message Protocol), como ping.
Para obtener información sobre cómo compartir directorios desde una zona con etiquetas y sobre el montaje de directorios desde zonas con etiquetas de manera remota, consulte el Capítulo 11Gestión y montaje de archivos en Trusted Extensions (tareas).
En Trusted Extensions, las zonas están incorporadas en el producto de zonas de Oracle Solaris. Para obtener detalles, consulte la Parte II, Zones de System Administration Guide: Oracle Solaris Containers-Resource Management and Oracle Solaris Zones. En particular, los problemas de instalación de parches y paquetes afectan Trusted Extensions. Para obtener detalles, consulte el Capítulo 25, About Packages and Patches on a Solaris System With Zones Installed (Overview) de System Administration Guide: Oracle Solaris Containers-Resource Management and Oracle Solaris Zones y el Capítulo 30, Troubleshooting Miscellaneous Solaris Zones Problems de System Administration Guide: Oracle Solaris Containers-Resource Management and Oracle Solaris Zones.
El equipo de configuración inicial asignó direcciones IP a la zona global y a las zonas con etiquetas. En Creación de zonas con etiquetas de Guía de configuración de Oracle Solaris Trusted Extensions, se documentan tres tipos de configuraciones:
El sistema tiene una dirección IP para la zona global y todas las zonas con etiquetas.
Esta configuración es útil para los sistemas que utilizan software de DHCP para obtener su dirección IP. Si no se espera que ningún usuario inicie sesión, el servidor LDAP puede tener esta configuración.
El sistema tiene una dirección IP para la zona global y otra dirección IP que comparten todas las zonas, incluida la zona global. Cualquier zona puede tener una combinación de una dirección exclusiva y una dirección compartida.
Esta configuración es útil para los sistemas en que los usuarios comunes iniciarán sesión. También se puede utilizar para una impresora o un servidor NFS. Esta configuración conserva las direcciones IP.
El sistema tiene una dirección IP para la zona global, y cada zona con etiquetas tiene una dirección IP exclusiva.
Esta configuración sirve para proporcionar acceso a redes físicas separadas de sistemas de un solo nivel. Normalmente, cada zona tiene una dirección IP en una red física diferente de las demás zonas con etiquetas. Debido a que esta configuración se implementa con una sola instancia de IP, la zona global controla las interfaces físicas y gestiona los recursos globales, como la tabla de enrutamiento.
Con la introducción de las instancias de IP exclusivas para las zonas no globales, se suma un cuarto tipo de configuración al SO Oracle Solaris. A partir de la versión Solaris 10 8/07, se pueden asignar instancias de IP propias a las zonas no globales y se pueden gestionar las interfaces físicas propias de estas zonas. En esta configuración, cada zona opera como si fuera un sistema distinto. Para obtener una descripción, consulte Zone Network Interfaces de System Administration Guide: Oracle Solaris Containers-Resource Management and Oracle Solaris Zones.
Sin embargo, en una configuración de este tipo, cada zona con etiquetas opera como si fuera un sistema de una sola etiqueta distinto. Las funciones de redes de varios niveles de Trusted Extensions se basan en las funciones de una pila IP compartida. Los procedimientos de administración en Trusted Extensions asumen que la zona global controla las redes por completo. Por lo tanto, si el equipo de configuración inicial instaló zonas con etiquetas con instancias de IP exclusivas, debe proporcionar o consultar documentación específica del sitio.
De manera predeterminada, las zonas no pueden enviar paquetes a ninguna otra zona ni recibir paquetes de ninguna otra zona. Los puertos de varios niveles habilitan servicios concretos en un puerto para aceptar solicitudes dentro de un rango de etiquetas o de un conjunto de etiquetas. Estos servicios con privilegios pueden responder en la etiqueta de la solicitud. Por ejemplo, quizás desee crear un puerto de explorador web con privilegios que pueda recibir todas las etiquetas, pero cuyas respuestas estén restringidas por etiqueta. De manera predeterminada, las zonas con etiquetas no tienen puertos de varios niveles.
El rango o el conjunto de etiquetas que restringe los paquetes que el puerto de varios niveles puede aceptar se basan en la dirección IP de la zona. Se asigna a la dirección IP una plantilla de host remoto en la base de datos tnrhdb. El rango o el conjunto de etiquetas en la plantilla del host remoto restringen los paquetes que el puerto de varios niveles puede aceptar.
Las restricciones en los puertos de varios niveles para las configuraciones de direcciones IP diferentes son las siguientes:
En los sistemas en que la zona global tiene una dirección IP y cada zona con etiquetas tiene una sola dirección IP, se puede agregar un puerto de varios niveles para un servicio en particular a cada zona. Por ejemplo, el sistema podría configurarse para que el servicio ssh, mediante el puerto TCP 22, sea un puerto de varios niveles en la zona global y en cada zona con etiquetas.
En una configuración típica, a la zona global se le asigna una dirección IP, y las zonas con etiquetas comparten una segunda dirección IP con la zona global. Cuando se agrega un puerto de varios niveles a una interfaz compartida, el paquete de servicio se enruta hacia la zona con etiquetas donde se define el puerto de varios niveles. El paquete se acepta únicamente si la plantilla del host remoto para la zona con etiquetas incluye la etiqueta del paquete. Si el rango es ADMIN_LOW a ADMIN_HIGH, se aceptan todos los paquetes. Si el rango fuera menor, se descartarían los paquetes que no estén dentro del rango.
En la mayoría de los casos, una zona puede definir un puerto determinado para que actúe como puerto de varios niveles en una interfaz compartida. En la situación anterior, donde el puerto ssh está configurado como puerto de varios niveles compartido en una zona no global, ninguna otra zona puede recibir conexiones ssh en la dirección compartida. Sin embargo, la zona global podría definir el puerto ssh como puerto de varios niveles privado para la recepción de conexiones en su dirección específica de la zona.
En un sistema en el que la zona global y las zonas con etiquetas comparten una dirección IP, se podría agregar un puerto de varios niveles para el servicio ssh a una zona. Si el puerto de varios niveles para ssh se agrega a la zona global, ninguna zona con etiquetas puede agregar un puerto de varios niveles para el servicio ssh. De manera similar, si el puerto de varios niveles para el servicio ssh se agrega a una zona con etiquetas, la zona global no se puede configurar con un puerto de varios niveles ssh.
Para ver un ejemplo de la adición de puertos de varios niveles a las zonas con etiquetas, consulte el Ejemplo 13-16.
Las redes transmiten mensajes de difusión y envían paquetes de ICMP a los sistemas de la red. En un sistema de varios niveles, estas transmisiones pueden colapsar el sistema en cada etiqueta. De manera predeterminada, la política de red para las zonas con etiquetas requiere que los paquetes de ICMP se reciban únicamente en la etiqueta que coincide.