Omitir V�nculos de navegaci�n | |
Salir de la Vista de impresi�n | |
Guía de administración del sistema: servicios de seguridad |
Parte I Descripción general de la seguridad
1. Servicios de seguridad (descripción general)
Parte II Seguridad de sistemas, archivos y dispositivos
2. Gestión de seguridad de equipos (descripción general)
Mejoras de la seguridad de equipos en la versión Solaris 10
Control de acceso a un sistema informático
Mantenimiento de la seguridad física
Mantenimiento del control de inicio de sesión
Gestión de información de contraseñas
Cuentas especiales del sistema
Inicios de sesión de acceso telefónico
Control de acceso a recursos del equipo
Limitación y supervisión del superusuario
Configuración del control de acceso basado en roles para reemplazar al superusuario
Prevención del uso indebido involuntario de los recursos del equipo
Configuración de la variable PATH
Asignación de un shell restringido a los usuarios
Restricción de acceso a datos de archivos
Restricción de archivos ejecutables setuid
Uso de la herramienta automatizada de mejora de la seguridad
Uso de Oracle Solaris Security Toolkit
Uso de la configuración de seguridad predeterminada
Uso de funciones de gestión de recursos
Uso de zonas de Oracle Solaris
Supervisión del uso de los recursos del equipo
Supervisión de la integridad de archivos
Protección de archivos con cifrado
Uso de listas de control de acceso
Uso compartido de archivos entre equipos
Restricción de acceso root a archivos compartidos
Mecanismos de seguridad de red
Autenticación y autorización para acceso remoto
Cifrado y sistemas de cortafuegos
Comunicación de problemas de seguridad
3. Control de acceso a sistemas (tareas)
4. Control de acceso a dispositivos (tareas)
5. Uso de la herramienta básica de creación de informes de auditoría (tareas)
6. Control de acceso a archivos (tareas)
7. Uso de la herramienta automatizada de mejora de la seguridad (tareas)
Parte III Roles, perfiles de derechos y privilegios
8. Uso de roles y privilegios (descripción general)
9. Uso del control de acceso basado en roles (tareas)
10. Control de acceso basado en roles (referencia)
Parte IV Servicios criptográficos
13. Estructura criptográfica de Oracle Solaris (descripción general)
14. Estructura criptográfica de Oracle Solaris (tareas)
15. Estructura de gestión de claves de Oracle Solaris
Parte V Servicios de autenticación y comunicación segura
16. Uso de servicios de autenticación (tareas)
19. Uso de Oracle Solaris Secure Shell (tareas)
20. Oracle Solaris Secure Shell (referencia)
21. Introducción al servicio Kerberos
22. Planificación del servicio Kerberos
23. Configuración del servicio Kerberos (tareas)
24. Mensajes de error y resolución de problemas de Kerberos
25. Administración de las políticas y los principales de Kerberos (tareas)
26. Uso de aplicaciones Kerberos (tareas)
27. El servicio Kerberos (referencia)
Parte VII Auditoría de Oracle Solaris
28. Auditoría de Oracle Solaris (descripción general)
29. Planificación de la auditoría de Oracle Solaris
30. Gestión de la auditoría de Oracle Solaris (tareas)
Los dispositivos periféricos conectados a un sistema informático presentan un riesgo de seguridad. Los micrófonos pueden captar conversaciones y transmitirlas a sistemas remotos. Los CD-ROM pueden dejar evidencia de información que el siguiente usuario del dispositivo de CD-ROM podrá leer. Se puede acceder a las impresoras de forma remota. Los dispositivos que son una parte integral del sistema también pueden presentar problemas de seguridad. Por ejemplo, las interfaces de red, como hme0, se consideran dispositivos integrales.
El software Oracle Solaris proporciona dos métodos de control de acceso a los dispositivos. La política de dispositivos restringe o impide el acceso a los dispositivos que son una parte integral del sistema. La política de dispositivos se aplica en el núcleo. La asignación de dispositivos restringe o impide el acceso a los dispositivos periféricos. La asignación de dispositivos se aplica en el momento de la asignación de usuarios.
La política de dispositivos utiliza privilegios para proteger dispositivos seleccionados en el núcleo. Por ejemplo, la política de dispositivos en las interfaces de red, como hme, requiere todos los privilegios de lectura o escritura.
La asignación de dispositivos utiliza autorizaciones para proteger dispositivos periféricos, como impresoras o micrófonos. De manera predeterminada, la asignación de dispositivos está deshabilitada. Una vez habilitada, la asignación de dispositivos puede configurarse para impedir el uso de un dispositivo o para requerir autorización para acceder al dispositivo. Cuando un dispositivo está asignado para su uso, ningún otro usuario puede acceder al dispositivo hasta que el usuario actual lo desasigne.
Un sistema Oracle Solaris puede configurarse en varias áreas para controlar el acceso a los dispositivos:
Configurar política de dispositivos: en Oracle Solaris, puede requerir que el proceso que accede a un dispositivo determinado se esté ejecutando con un conjunto de privilegios. Los procesos sin estos privilegios no pueden utilizar el dispositivo. En el momento del inicio, el software Oracle Solaris configura la política de dispositivos. Los controladores de terceros se pueden configurar con la política de dispositivos durante la instalación. Después de la instalación, usted, como administrador, puede agregar la política de dispositivos a un dispositivo.
Permitir la asignación de dispositivos: al habilitar la asignación de dispositivos, puede restringir el uso de un dispositivo a un usuario a la vez. Además, puede exigir que el usuario cumpla con algunos requisitos de seguridad. Por ejemplo, puede exigir que el usuario esté autorizado para utilizar el dispositivo.
Impedir que se utilicen los dispositivos: puede impedir que cualquier usuario de un sistema informático utilice un dispositivo, como un micrófono. Un quiosco informático puede ser una buena opción para evitar que se utilicen determinados dispositivos.
Restringir un dispositivo a una zona determinada: puede asignar el uso de un dispositivo a una zona no global. Para obtener más información, consulte Uso de dispositivos en zonas no globales de Guía de administración de sistemas: administración de recursos y contenedores de Oracle Solaris y zonas de Oracle Solaris. Para obtener una explicación general de dispositivos y zonas, consulte Dispositivos configurados en zonas de Guía de administración de sistemas: administración de recursos y contenedores de Oracle Solaris y zonas de Oracle Solaris.
El mecanismo de política de dispositivos permite especificar que los procesos que abran un dispositivo requieren determinados privilegios. Únicamente los procesos que se ejecutan con los privilegios especificados por la política de dispositivos pueden acceder a los dispositivos que están protegidos mediante la política de dispositivos. Oracle Solaris proporciona la política de dispositivos predeterminada. Por ejemplo, las interfaces de red, como hme0, requieren que los procesos que acceden a la interfaz se ejecuten con el privilegio net_rawaccess. El requisito se aplica en el núcleo. Para obtener más información sobre los privilegios, consulte Privilegios (descripción general).
En versiones anteriores, los nodos de dispositivos estaban protegidos mediante permisos de archivo únicamente. Por ejemplo, sólo los miembros del grupo sys podían abrir los dispositivos que pertenecían al grupo sys. Ahora, los permisos de archivo no predicen quién puede abrir un dispositivo. En cambio, los dispositivos están protegidos mediante permisos de archivo y la política de dispositivos. Por ejemplo, el archivo /dev/ip tiene 666. Sin embargo, únicamente un proceso con los privilegios adecuados puede abrir el dispositivo.
La configuración de la política de dispositivos se puede auditar. El evento de auditoría AUE_MODDEVPLCY registra los cambios en la política de dispositivos.
Para obtener más información sobre la política de dispositivos, consulte lo siguiente:
El mecanismo de asignación de dispositivos permite restringir el acceso a un dispositivo periférico, como un CD-ROM. El mecanismo se gestiona localmente. Si la asignación de dispositivos no está habilitada, los dispositivos periféricos se protegen únicamente mediante permisos de archivo. Por ejemplo, de manera predeterminada, los dispositivos periféricos están disponibles para los siguientes usos:
Cualquier usuario puede leer y escribir en un disquete o CD-ROM.
Cualquier usuario puede conectar un micrófono.
Cualquier usuario puede acceder a una impresora conectada.
La asignación de dispositivos puede restringir un dispositivo a usuarios autorizados. La asignación de dispositivos también puede impedir que se acceda a un dispositivo en todo momento. Un usuario que asigna un dispositivo tiene el uso exclusivo de ese dispositivo hasta que lo desasigne. Cuando se desasigna un dispositivo, las secuencias de comandos device-clean borran los datos restantes. Puede escribir una secuencia de comandos device-clean para depurar la información de los dispositivos que no tienen una secuencia de comandos. Para ver un ejemplo, consulte Redacción de secuencias nuevas de comandos device-clean.
Se pueden auditar los intentos de asignación de un dispositivo, desasignación de un dispositivo y enumeración de los dispositivos asignables. Los eventos de auditoría forman parte de la clase de auditoría other.
Para obtener más información sobre la asignación de dispositivos, consulte lo siguiente: