Omitir V�nculos de navegaci�n | |
Salir de la Vista de impresi�n | |
Guía de administración del sistema: servicios de seguridad |
Parte I Descripción general de la seguridad
1. Servicios de seguridad (descripción general)
Parte II Seguridad de sistemas, archivos y dispositivos
2. Gestión de seguridad de equipos (descripción general)
Mejoras de la seguridad de equipos en la versión Solaris 10
Control de acceso a un sistema informático
Mantenimiento de la seguridad física
Mantenimiento del control de inicio de sesión
Gestión de información de contraseñas
Cuentas especiales del sistema
Inicios de sesión de acceso telefónico
Control de acceso a dispositivos
Política de dispositivos (descripción general)
Asignación de dispositivos (descripción general)
Control de acceso a recursos del equipo
Limitación y supervisión del superusuario
Configuración del control de acceso basado en roles para reemplazar al superusuario
Prevención del uso indebido involuntario de los recursos del equipo
Configuración de la variable PATH
Asignación de un shell restringido a los usuarios
Restricción de acceso a datos de archivos
Restricción de archivos ejecutables setuid
Uso de la herramienta automatizada de mejora de la seguridad
Uso de Oracle Solaris Security Toolkit
Uso de la configuración de seguridad predeterminada
Uso de funciones de gestión de recursos
Uso de zonas de Oracle Solaris
Supervisión del uso de los recursos del equipo
Supervisión de la integridad de archivos
Protección de archivos con cifrado
Uso de listas de control de acceso
Mecanismos de seguridad de red
Autenticación y autorización para acceso remoto
Cifrado y sistemas de cortafuegos
Comunicación de problemas de seguridad
3. Control de acceso a sistemas (tareas)
4. Control de acceso a dispositivos (tareas)
5. Uso de la herramienta básica de creación de informes de auditoría (tareas)
6. Control de acceso a archivos (tareas)
7. Uso de la herramienta automatizada de mejora de la seguridad (tareas)
Parte III Roles, perfiles de derechos y privilegios
8. Uso de roles y privilegios (descripción general)
9. Uso del control de acceso basado en roles (tareas)
10. Control de acceso basado en roles (referencia)
Parte IV Servicios criptográficos
13. Estructura criptográfica de Oracle Solaris (descripción general)
14. Estructura criptográfica de Oracle Solaris (tareas)
15. Estructura de gestión de claves de Oracle Solaris
Parte V Servicios de autenticación y comunicación segura
16. Uso de servicios de autenticación (tareas)
19. Uso de Oracle Solaris Secure Shell (tareas)
20. Oracle Solaris Secure Shell (referencia)
21. Introducción al servicio Kerberos
22. Planificación del servicio Kerberos
23. Configuración del servicio Kerberos (tareas)
24. Mensajes de error y resolución de problemas de Kerberos
25. Administración de las políticas y los principales de Kerberos (tareas)
26. Uso de aplicaciones Kerberos (tareas)
27. El servicio Kerberos (referencia)
Parte VII Auditoría de Oracle Solaris
28. Auditoría de Oracle Solaris (descripción general)
29. Planificación de la auditoría de Oracle Solaris
30. Gestión de la auditoría de Oracle Solaris (tareas)
Oracle Solaris es un entorno multiusuario. En un entorno multiusuario, todos los usuarios que iniciaron sesión en un sistema pueden leer los archivos que pertenecen a otros usuarios. Con los permisos de archivo adecuados, los usuarios también pueden utilizar archivos que pertenecen a otros usuarios. Para obtener más información, consulte el Capítulo 6Control de acceso a archivos (tareas). Para obtener instrucciones paso a paso sobre cómo configurar permisos adecuados en los archivos, consulte Protección de archivos (mapa de tareas).
Para mantener un archivo seguro, puede impedir que otros usuarios accedan a él. Por ejemplo, nadie puede leer un archivo con permisos de 600, excepto el propietario y el superusuario. De manera similar, un directorio con permisos de 700 es inaccesible. Sin embargo, alguien que adivine su contraseña o que descubra la contraseña root puede acceder a ese archivo. Además, el archivo inaccesible se conserva en una cinta de copia de seguridad cada vez que se realiza una copia de seguridad de los archivos del sistema en medios sin conexión.
La estructura criptográfica proporciona los comandos digest, mac y encrypt para proteger los archivos. Para obtener más información, consulte el Capítulo 13Estructura criptográfica de Oracle Solaris (descripción general).
Las ACL pueden proporcionar un mayor control de los permisos de archivo. Puede agregar ACL cuando las protecciones de archivos UNIX tradicionales no son suficientes. Las protecciones de archivos UNIX tradicionales proporcionan permisos de lectura, escritura y ejecución para las tres clases de usuarios: propietario, grupo y otros usuarios. Una ACL proporciona un nivel de seguridad de archivos más específico.
Las ACL permiten definir los siguientes permisos de archivo:
Permisos de propietario de archivo
Permisos de archivo para el grupo del propietario
Permisos de archivo para otros usuarios que están fuera del grupo del propietario
Permisos de archivo para usuarios específicos
Permisos de archivo para grupos específicos
Permisos predeterminados para cada una de las categorías anteriores
Para obtener más información sobre el uso de las ACL, consulte Uso de listas de control de acceso para proteger archivos UFS.
Un servidor de archivos de red puede controlar qué archivos están disponibles para uso compartido. Un servidor de archivos de red también puede controlar qué clientes tienen acceso a los archivos y qué tipo de acceso está permitido para esos clientes. En general, el servidor de archivos puede otorgar acceso de lectura y escritura o acceso de sólo lectura a todos los clientes o a clientes específicos. El control de acceso se especifica cuando los recursos están disponibles con el comando share.
El archivo /etc/dfs/dfstab del servidor de archivos enumera los sistemas de archivos que el servidor pone a disposición de los clientes en la red. Para obtener más información sobre el uso compartido de sistemas de archivos, consulte Uso compartido de sistema de archivos automático de Guía de administración del sistema: servicios de red.
Al crear un recurso compartido NFS de un sistema de archivos ZFS, el sistema de archivos se comparte permanentemente hasta que se elimine el recurso compartido. SMF gestiona automáticamente el recurso compartido cuando el sistema se reinicia. Para obtener más información, consulte el Capítulo 3, Oracle Solaris ZFS y sistemas de archivos tradicionales de Guía de administración de Oracle Solaris ZFS.
En general, al superusuario no se le permite el acceso root a los sistemas de archivos que se comparten en la red. El sistema NFS impide el acceso root a los sistemas de archivos montados cambiando el usuario del solicitante al usuario nobody con el ID de usuario 60001. Los derechos de acceso del usuario nobody son los mismos que se otorgan al público. El usuario nobody tiene los derechos de acceso de un usuario sin credenciales. Por ejemplo, si el público sólo tiene permiso de ejecución para un archivo, el usuario nobody sólo puede ejecutar ese archivo.
Un servidor NFS puede otorgar capacidades de superusuario en un sistema de archivos compartidos por host. Para otorgar estos privilegios, utilice la opción root=nombre de host para el comando share. Debe utilizar esta opción con cuidado. Para ver una explicación de las opciones de seguridad con NFS, consulte el Capítulo 6, Acceso a los sistemas de archivos de red (referencia) de Guía de administración del sistema: servicios de red.