Omitir V�nculos de navegaci�n | |
Salir de la Vista de impresi�n | |
Guía de configuración de Oracle Solaris Trusted Extensions |
1. Planificación de la seguridad para Trusted Extensions
2. Guía básica de configuración de Trusted Extensions
3. Adición del software de Trusted Extensions al SO Solaris (tareas)
Responsabilidades del equipo de configuración inicial
Instalación o actualización del SO Solaris para Trusted Extensions
Instalación de un sistema Solaris para la compatibilidad con Trusted Extensions
Preparación de un sistema Solaris instalado para Trusted Extensions
Recopilación de información y toma de decisiones antes de habilitar Trusted Extensions
Recopilación de información del sistema antes de habilitar Trusted Extensions
Toma de decisiones relacionadas con el sistema y la seguridad antes de habilitar Trusted Extensions
Habilitación del servicio de Trusted Extensions
Habilitación de Trusted Extensions
4. Configuración de Trusted Extensions (tareas)
5. Configuración de LDAP para Trusted Extensions (tareas)
6. Configuración de Trusted Extensions en un sistema sin periféricos (tareas)
A. Política de seguridad del sitio
B. Uso de acciones de CDE para instalar zonas en Trusted Extensions
C. Lista de comprobación de configuración de Trusted Extensions
Para cada sistema en el que se va a configurar Trusted Extensions, debe conocer cierta información y tomar algunas decisiones relacionadas con la configuración. Por ejemplo, como va a crear zonas con etiquetas, es posible que desee reservar espacio en el disco donde se puedan clonar las zonas como un sistema de archivos Solaris ZFS. Solaris ZFS proporciona aislamiento adicional para las zonas.
El nombre de host es el nombre del host de la red y es la zona global. En un sistema Solaris, el comando getent devuelve el nombre de host, como en el siguiente ejemplo:
# getent hosts machine1 192.168.0.11 machine1
Un sistema con dos direcciones IP puede funcionar como un servidor de varios niveles. Un sistema con una dirección IP debe tener acceso a un servidor de varios niveles para poder imprimir o realizar tareas de varios niveles. Para obtener una explicación de las opciones de dirección IP, consulte Planificación de acceso de varios niveles.
La mayoría de los sistemas requieren una segunda dirección IP para las zonas con etiquetas. Por ejemplo, el siguiente es un host con una segunda dirección IP para zonas con etiquetas:
# getent hosts machine1-zones 192.168.0.12 machine1-zones
Para el servidor LDAP que está ejecutando el software de Trusted Extensions se necesita la siguiente información:
El nombre del dominio de Trusted Extensions al que presta servicio el servidor LDAP
La dirección IP del servidor LDAP
El nombre del perfil LDAP que se cargará
Para un servidor proxy LDAP, también necesita la contraseña para el proxy LDAP.
En cada sistema en el que se va a configura Trusted Extensions, tome estas decisiones de configuración antes de habilitar el software.
En un sitio seguro, este paso se realiza para cada sistema Solaris instalado.
Para los sistemas basados en SPARC, se ha proporcionado una contraseña y un nivel de seguridad PROM.
Para los sistemas x86, el BIOS está protegido.
En todos los sistemas, el usuario root está protegido con una contraseña.
Si tiene un archivo label_encodings específico del sitio, el archivo se debe comprobar e instalar antes de iniciar otras tareas de configuración. Si su sitio no tiene un archivo label_encodings, puede usar el archivo predeterminado que suministra Sun. Sun también suministra otros archivos label_encodings, que puede encontrar en el directorio /etc/security/tsol. Los archivos de Sun son archivos de demostración. Es posible que no sean adecuados para los sistemas de producción.
Para personalizar un archivo para su sitio, consulte Oracle Solaris Trusted Extensions Label Administration.
En la siguiente tabla se muestran los nombres de etiqueta y los nombres de zona sugeridos para el archivo label_encodings predeterminado.
|
Para facilitar el montaje de NFS, el nombre de zona de una etiqueta determinada debe ser idéntico en todos los sistemas. En algunos sistemas, como los servidores de impresión de varios niveles, no es necesario instalar zonas con etiquetas. No obstante, si instala zonas con etiquetas en un servidor de impresión, los nombres de zona deben ser idénticos a los nombres de zona que figuran en los demás sistemas de la red.
Según la política de seguridad del sitio, es posible que deba asumir un rol para administrar Trusted Extensions. Si es así, o si está configurando el sistema para cumplir con los criterios de una configuración evaluada, debe crear roles en una fase temprana del proceso de configuración.
Si no es necesario que configure el sistema mediante el uso de roles, puede configurar el sistema como superusuario. Este método de configuración es menos seguro. Los registros de auditoría no indican qué usuario fue superusuario durante la configuración. El superusuario puede realizar todas las tareas en el sistema, mientras que un rol puede realizar un conjunto de tareas más limitado. Por lo tanto, la configuración es más controlada cuando es realizada por roles.
Puede crear zonas desde el principio, copiar zonas o clonar zonas. Estos métodos difieren en la velocidad de creación, los requisitos de espacio en el disco y la solidez. Para las compensaciones, consulte Planificación de zonas en Trusted Extensions.
Utilizar archivos locales para la administración es práctico para los sistemas no conectados en red.
LDAP es el servicio de nombres para un entorno de red. Un servidor LDAP relleno es necesario al configurar varios equipos.
Si tiene un servidor LDAP (Sun Java System Directory Server) existente, puede crear un servidor proxy LDAP en un sistema que esté ejecutando Trusted Extensions. El servidor proxy de varios niveles maneja las comunicaciones con el servidor LDAP sin etiquetas.
Si no tiene un servidor LDAP, puede configurar un sistema que ejecute el software de Trusted Extensions como servidor LDAP de varios niveles.
Por ejemplo, quizás desee tener en cuenta los siguientes problemas de seguridad:
Determinar qué dispositivos se pueden conectar al sistema y asignar para su uso.
Identificar a qué impresoras de qué etiquetas se puede acceder desde el sistema.
Identificar los sistemas que tienen un rango de etiquetas limitado, como un sistema de puerta de enlace o un quiosco público.
Identificar qué sistemas con etiquetas se pueden comunicar con determinados sistemas sin etiquetas.