JavaScript is required to for searching.
Omitir V�nculos de navegaci�n
Salir de la Vista de impresi�n
Guía de configuración de Oracle Solaris Trusted Extensions
Red de tecnolog�a de Oracle
Biblioteca
PDF
Vista de impresi�n
Comentarios
search filter icon
search icon

Información del documento

Prefacio

1.  Planificación de la seguridad para Trusted Extensions

2.  Guía básica de configuración de Trusted Extensions

3.  Adición del software de Trusted Extensions al SO Solaris (tareas)

Responsabilidades del equipo de configuración inicial

Instalación o actualización del SO Solaris para Trusted Extensions

Instalación de un sistema Solaris para la compatibilidad con Trusted Extensions

Preparación de un sistema Solaris instalado para Trusted Extensions

Recopilación de información y toma de decisiones antes de habilitar Trusted Extensions

Recopilación de información del sistema antes de habilitar Trusted Extensions

Toma de decisiones relacionadas con el sistema y la seguridad antes de habilitar Trusted Extensions

Habilitación del servicio de Trusted Extensions

Habilitación de Trusted Extensions

4.  Configuración de Trusted Extensions (tareas)

5.  Configuración de LDAP para Trusted Extensions (tareas)

6.  Configuración de Trusted Extensions en un sistema sin periféricos (tareas)

A.  Política de seguridad del sitio

B.  Uso de acciones de CDE para instalar zonas en Trusted Extensions

C.  Lista de comprobación de configuración de Trusted Extensions

Glosario

Índice

Recopilación de información y toma de decisiones antes de habilitar Trusted Extensions

Para cada sistema en el que se va a configurar Trusted Extensions, debe conocer cierta información y tomar algunas decisiones relacionadas con la configuración. Por ejemplo, como va a crear zonas con etiquetas, es posible que desee reservar espacio en el disco donde se puedan clonar las zonas como un sistema de archivos Solaris ZFS. Solaris ZFS proporciona aislamiento adicional para las zonas.

Recopilación de información del sistema antes de habilitar Trusted Extensions

  1. Determine la dirección IP y el nombre de host principal del sistema.

    El nombre de host es el nombre del host de la red y es la zona global. En un sistema Solaris, el comando getent devuelve el nombre de host, como en el siguiente ejemplo:

    # getent hosts machine1
192.168.0.11   machine1
  2. Determine las asignaciones de dirección IP para las zonas con etiquetas.

    Un sistema con dos direcciones IP puede funcionar como un servidor de varios niveles. Un sistema con una dirección IP debe tener acceso a un servidor de varios niveles para poder imprimir o realizar tareas de varios niveles. Para obtener una explicación de las opciones de dirección IP, consulte Planificación de acceso de varios niveles.

    La mayoría de los sistemas requieren una segunda dirección IP para las zonas con etiquetas. Por ejemplo, el siguiente es un host con una segunda dirección IP para zonas con etiquetas:

    # getent hosts machine1-zones
192.168.0.12   machine1-zones
  3. Recopile la información de la configuración de LDAP.

    Para el servidor LDAP que está ejecutando el software de Trusted Extensions se necesita la siguiente información:

    • El nombre del dominio de Trusted Extensions al que presta servicio el servidor LDAP

    • La dirección IP del servidor LDAP

    • El nombre del perfil LDAP que se cargará

    Para un servidor proxy LDAP, también necesita la contraseña para el proxy LDAP.

Toma de decisiones relacionadas con el sistema y la seguridad antes de habilitar Trusted Extensions

En cada sistema en el que se va a configura Trusted Extensions, tome estas decisiones de configuración antes de habilitar el software.

  1. Decida el grado de seguridad con el que se debe proteger el hardware del sistema.

    En un sitio seguro, este paso se realiza para cada sistema Solaris instalado.

    • Para los sistemas basados en SPARC, se ha proporcionado una contraseña y un nivel de seguridad PROM.

    • Para los sistemas x86, el BIOS está protegido.

    • En todos los sistemas, el usuario root está protegido con una contraseña.

  2. Prepare el archivo label_encodings.

    Si tiene un archivo label_encodings específico del sitio, el archivo se debe comprobar e instalar antes de iniciar otras tareas de configuración. Si su sitio no tiene un archivo label_encodings, puede usar el archivo predeterminado que suministra Sun. Sun también suministra otros archivos label_encodings, que puede encontrar en el directorio /etc/security/tsol. Los archivos de Sun son archivos de demostración. Es posible que no sean adecuados para los sistemas de producción.

    Para personalizar un archivo para su sitio, consulte Oracle Solaris Trusted Extensions Label Administration.

  3. A partir de la lista de etiquetas del archivo label_encodings, realice una lista de las zonas con etiquetas que necesita crear.

    En la siguiente tabla se muestran los nombres de etiqueta y los nombres de zona sugeridos para el archivo label_encodings predeterminado.


    Etiqueta
    Nombre de zona
    PUBLIC
    public
    CONFIDENTIAL : INTERNAL
    internal
    CONFIDENTIAL : NEED TO KNOW
    needtoknow
    CONFIDENTIAL : RESTRICTED
    restricted

    Para facilitar el montaje de NFS, el nombre de zona de una etiqueta determinada debe ser idéntico en todos los sistemas. En algunos sistemas, como los servidores de impresión de varios niveles, no es necesario instalar zonas con etiquetas. No obstante, si instala zonas con etiquetas en un servidor de impresión, los nombres de zona deben ser idénticos a los nombres de zona que figuran en los demás sistemas de la red.

  4. Decida cuándo crear roles.

    Según la política de seguridad del sitio, es posible que deba asumir un rol para administrar Trusted Extensions. Si es así, o si está configurando el sistema para cumplir con los criterios de una configuración evaluada, debe crear roles en una fase temprana del proceso de configuración.

    Si no es necesario que configure el sistema mediante el uso de roles, puede configurar el sistema como superusuario. Este método de configuración es menos seguro. Los registros de auditoría no indican qué usuario fue superusuario durante la configuración. El superusuario puede realizar todas las tareas en el sistema, mientras que un rol puede realizar un conjunto de tareas más limitado. Por lo tanto, la configuración es más controlada cuando es realizada por roles.

  5. Seleccione un método de creación de zona.

    Puede crear zonas desde el principio, copiar zonas o clonar zonas. Estos métodos difieren en la velocidad de creación, los requisitos de espacio en el disco y la solidez. Para las compensaciones, consulte Planificación de zonas en Trusted Extensions.

  6. Planifique la configuración de LDAP.

    Utilizar archivos locales para la administración es práctico para los sistemas no conectados en red.

    LDAP es el servicio de nombres para un entorno de red. Un servidor LDAP relleno es necesario al configurar varios equipos.

    • Si tiene un servidor LDAP (Sun Java System Directory Server) existente, puede crear un servidor proxy LDAP en un sistema que esté ejecutando Trusted Extensions. El servidor proxy de varios niveles maneja las comunicaciones con el servidor LDAP sin etiquetas.

    • Si no tiene un servidor LDAP, puede configurar un sistema que ejecute el software de Trusted Extensions como servidor LDAP de varios niveles.

  7. Decida otras cuestiones de seguridad para cada sistema y para la red.

    Por ejemplo, quizás desee tener en cuenta los siguientes problemas de seguridad:

    • Determinar qué dispositivos se pueden conectar al sistema y asignar para su uso.

    • Identificar a qué impresoras de qué etiquetas se puede acceder desde el sistema.

    • Identificar los sistemas que tienen un rango de etiquetas limitado, como un sistema de puerta de enlace o un quiosco público.

    • Identificar qué sistemas con etiquetas se pueden comunicar con determinados sistemas sin etiquetas.

Copyright © 1994, 2011, Oracle y/o sus subsidiarias. Todos los derechos reservados. Advertencia legal
Anterior Siguiente