Protección de dispositivos (referencia)

Los dispositivos en Oracle Solaris están protegidos por una política de dispositivos. Los dispositivos periféricos se pueden proteger mediante la asignación de dispositivos. La política de dispositivos se aplica por el núcleo. La asignación de dispositivos se habilita de manera opcional y se aplica en el nivel de usuario.

Comandos de la política de dispositivos

Los comandos de gestión de dispositivos administran la política de dispositivos en archivos locales. La política de dispositivos puede incluir requisitos de privilegios. Sólo el superusuario o un rol con capacidades equivalentes puede gestionar los dispositivos.

En la siguiente tabla, se muestran los comandos de gestión de dispositivos.

Tabla 4-1 Comandos de gestión de dispositivos

Comando	Finalidad	Página del comando man
`devfsadm`	Administra los dispositivos y los controladores de dispositivos en un sistema en ejecución. También carga la política de dispositivos. El comando `devfsadm` permite la limpieza de enlaces `/dev` sin referencia a dispositivos de disco, cinta, puerto, audio y pseudodispositivos. Los dispositivos para un controlador con nombre también se pueden volver a configurar.	`devfsadm`(1M)
`getdevpolicy`	Muestra la política asociada con uno o varios dispositivos. Cualquier usuario puede ejecutar este comando.	`getdevpolicy`(1M)
`add_drv`	Agrega un nuevo controlador de dispositivos a un sistema en ejecución. Contiene opciones para agregar la política de dispositivos al nuevo dispositivo. Generalmente, este comando se invoca en una secuencia de comandos cuando se está instalando un controlador de dispositivos.	`add_drv`(1M)
`update_drv`	Actualiza los atributos de un controlador de dispositivos existente. Contiene opciones para actualizar la política de dispositivos para el dispositivo. Generalmente, este comando se invoca en una secuencia de comandos cuando se está instalando un controlador de dispositivos.	`update_drv`(1M)
`rem_drv`	Elimina un dispositivo o un controlador de dispositivos.	`rem_drv`(1M)

Asignación de dispositivos

La asignación de dispositivos puede proteger su sitio contra pérdida de datos, virus informáticos y otras infracciones de seguridad. A diferencia de la política de dispositivos, la asignación de dispositivos es opcional. Los dispositivos no se pueden asignar hasta que se ejecute la secuencia de comandos bsmconv. La asignación de dispositivos utiliza autorizaciones para limitar el acceso a los dispositivos asignables.

Componentes de la asignación de dispositivos

Los componentes del mecanismo de asignación de dispositivos son los siguientes:

Los comandos allocate, deallocate, dminfo y list_devices. Para obtener más información, consulte Comandos de asignación de dispositivos.
Secuencias de comandos device-clean para cada dispositivo asignable.

Estos comandos y las secuencias de comandos utilizan los siguientes archivos locales para implementar la asignación de dispositivos:

El archivo /etc/security/device_allocate. Para obtener más información, consulte la página del comando man device_allocate(4).
El archivo /etc/security/device_maps. Para obtener más información, consulte la página del comando man device_maps(4).
Un archivo de bloqueo, en el directorio /etc/security/dev, para cada dispositivo asignable.
Los atributos modificados de los archivos de bloqueo que están asociados con cada dispositivo asignable.

Nota - Es posible que versiones futuras de Oracle Solaris no admitan el directorio /etc/security/dev.

Comandos de asignación de dispositivos

Con opciones de mayúsculas, los comandos allocate, deallocate y list_devices son comandos administrativos. De lo contrario, estos comandos son comandos de usuario. En la siguiente tabla, se muestran los comandos de asignación de dispositivos.

Tabla 4-2 Comandos de asignación de dispositivos

Comando	Finalidad	Página del comando man
`bsmconv`	Crea las bases de datos para manejar la asignación de dispositivos. También permite el servicio de auditoría. Debe ser superusuario o tener el rol de administrador principal. `devalloc_adm`: permite que los dispositivos puedan asignarse, de modo que los usuarios individuales puedan asignar un dispositivo para uso privado. Impide la asignación de dispositivos; por lo tanto, impide el uso de dispositivos periféricos en un sistema. Elimina los dispositivos de la lista de dispositivos asignables. Si no desea utilizar la auditoría, puede utilizar el comando `devalloc_adm` para habilitar la asignación de dispositivos.	`bsmconv`(1M)
`dminfo`	Busca un dispositivo asignable por tipo de dispositivo, nombre del dispositivo y nombre de ruta completa.	`dminfo`(1M)
`list_devices`	Muestra el estado de los dispositivos asignables. Muestra todos los archivos especiales del dispositivo que están asociados con los dispositivos enumerados en el archivo `device_maps`.	`list_devices`(1)
`list_devices -U`	Muestra los dispositivos asignables o los que están asignados al ID de usuario especificado. Esta opción permite comprobar cuáles dispositivos son asignables y cuáles están asignados a otro usuario. Debe tener la autorización `solaris.device.revoke`.
`allocate`	Reserva un dispositivo asignable para que lo utilice un usuario. De manera predeterminada, un usuario debe tener la autorización `solaris.device.allocate` para poder asignar un dispositivo. Puede modificar el archivo `device_allocate` para que no requiera autorización del usuario. De esa manera, cualquier usuario del sistema puede solicitar la asignación del dispositivo para su uso.	`allocate`(1)
`deallocate`	Elimina la reserva de asignación de un dispositivo.	`deallocate`(1)

Autorizaciones para los comandos de asignación

De manera predeterminada, los usuarios deben tener la autorización solaris.device.allocate para reservar un dispositivo asignable. Para crear un perfil de derechos a fin de incluir la autorización solaris.device.allocate, consulte Cómo autorizar a usuarios para que asignen un dispositivo.

Los administradores deben tener la autorización solaris.device.revoke para cambiar el estado de asignación de un dispositivo. Por ejemplo, la opción -U para los comandos allocate y list_devices, y la opción -F para el comando deallocate requieren la autorización solaris.device.revoke.

Para obtener más información, consulte Comandos que requieren autorizaciones.

Estado de error de asignación

Un dispositivo está en un estado de error de asignación cuando el comando deallocate no puede realizar la desasignación o cuando el comando allocate no puede realizar la asignación. Cuando un dispositivo asignable se encuentra en un estado de error de asignación, se debe desasignar de manera forzada. Sólo el superusuario o un rol con el perfil de derechos de gestión de dispositivos o de seguridad de dispositivos puede manejar un estado de error de asignación.

El comando deallocate con la opción -F fuerza la desasignación. O bien, puede usar allocate -U para asignar el dispositivo a un usuario. Una vez que el dispositivo está asignado, puede investigar los mensajes de error que aparecen. Después de corregir los problemas con el dispositivo, puede desasignarlo de manera forzada.

Archivo `device_maps`

Los mapas de dispositivos se crean al configurar la asignación de dispositivos. El comando bsmconv crea un archivo /etc/security/device_maps predeterminado cuando el servicio de auditoría está habilitado. Este archivo device_maps inicial se puede personalizar para su sitio. El archivo device_maps incluye los nombres de los dispositivos, los tipos de dispositivos y los archivos especiales de los dispositivos que están asociados con cada dispositivo asignable.

El archivo device_maps define las asignaciones de archivos especiales para cada dispositivo, que en muchos casos no son intuitivas. Este archivo permite que los programas descubran qué archivos especiales de dispositivos se deben asignar a determinados dispositivos. Puede utilizar el comando dminfo, por ejemplo, para recuperar el nombre del dispositivo, el tipo de dispositivo y los archivos especiales del dispositivo que se deben especificar al configurar un dispositivo asignable. El comando dminfo utiliza el archivo device_maps para comunicar esta información.

Cada dispositivo se representa con una entrada de una línea con el formato:

device-name:device-type:device-list

Ejemplo 4-14 Ejemplo de entrada device_maps

El siguiente es un ejemplo de una entrada en un archivo device_maps para una unidad de disquete, fd0:

fd0:\
        fd:\
        /dev/diskette /dev/rdiskette /dev/fd0a /dev/rfd0a \
/dev/fd0b /dev/rfd0b /dev/fd0c /dev/fd0 /dev/rfd0c /dev/rfd0:\

Las líneas en el archivo device_maps pueden finalizar con una barra diagonal inversa (\) para continuar una entrada en la línea siguiente. También se pueden incluir comentarios. Un signo de almohadilla (#) indica que hay comentarios en todo el texto subsiguiente hasta la siguiente línea nueva que no está inmediatamente precedida por una barra diagonal inversa. En todos los campos, se permiten espacios iniciales y finales. Los campos se definen del modo siguiente:

nombre_dispositivo: Especifica el nombre del dispositivo. Para obtener una lista de los nombres actuales de dispositivos, consulte Cómo ver la información de asignación de un dispositivo.
tipo_dispositivo: Especifica el tipo de dispositivo genérico. El nombre genérico es el nombre para la clase de dispositivos, como st, fd o audio. El campo tipo_dispositivo agrupa lógicamente dispositivos relacionados.
lista_dispositivo: Muestra los archivos especiales del dispositivo que están asociados con el dispositivo físico. lista_dispositivo debe contener todos los archivos especiales que permiten el acceso a un dispositivo determinado. Si la lista está incompleta, un usuario malintencionado podrá obtener o modificar información privada. Las entradas válidas para el campo lista_dispositivo reflejan los archivos del dispositivo que están ubicados en el directorio /dev.

Archivo `device_allocate`

El comando bsmconv crea un archivo /etc/security/device_allocate inicial cuando el servicio de auditoría está habilitado. Este archivo device_allocate inicial se puede utilizar como punto de partida. Puede modificar el archivo /etc/security/device_allocate para cambiar los dispositivos de asignables a no asignables, o para agregar dispositivos nuevos. A continuación, se presenta un ejemplo del archivo device_allocate.

st0;st;;;;/etc/security/lib/st_clean
fd0;fd;;;;/etc/security/lib/fd_clean
sr0;sr;;;;/etc/security/lib/sr_clean
audio;audio;;;*;/etc/security/lib/audio_clean

Una entrada en el archivo device_allocate no significa que el dispositivo es asignable, a menos que la entrada indique específicamente que el dispositivo es asignable. En el archivo device_allocate de ejemplo, observe el asterisco (*) en el quinto campo de la entrada del dispositivo de audio. Un asterisco en el quinto campo indica al sistema que el dispositivo no es asignable. Por lo tanto, el dispositivo no se puede utilizar. Si hay otros valores o si no hay ningún valor en este campo, el dispositivo se puede utilizar.

En el archivo device_allocate, cada dispositivo se representa con una entrada de una línea con el formato:

device-name;device-type;reserved;reserved;auths;device-exec

Las líneas en el archivo device_allocate pueden finalizar con una barra diagonal inversa (\) para continuar una entrada en la línea siguiente. También se pueden incluir comentarios. Un signo de almohadilla (#) indica que hay comentarios en todo el texto subsiguiente hasta la siguiente línea nueva que no está inmediatamente precedida por una barra diagonal inversa. En todos los campos, se permiten espacios iniciales y finales. Los campos se definen del modo siguiente:

nombre_dispositivo: Especifica el nombre del dispositivo. Para obtener una lista de los nombres actuales de dispositivos, consulte Cómo ver la información de asignación de un dispositivo.
tipo_dispositivo: Especifica el tipo de dispositivo genérico. El nombre genérico es el nombre para la clase de dispositivos, como st, fd y sr. El campo tipo_dispositivo agrupa lógicamente dispositivos relacionados. Cuando permita que un dispositivo pueda asignarse, recupere el nombre del dispositivo del campo tipo_dispositivo en el archivo device_maps.
reserved: Sun reserva para uso futuro los dos campos marcados como reserved.
autorizaciones: Especifica si el dispositivo es asignable. Un asterisco (*) en este campo indica que el dispositivo no es asignable. Una cadena de autorización, o un campo vacío, indica que el dispositivo es asignable. Por ejemplo, la cadena solaris.device.allocate en el campo autorizaciones indica que se necesita la autorización solaris.device.allocate para poder asignar el dispositivo. Un símbolo arroba (@) en este archivo indica que cualquier usuario puede asignar el dispositivo.
ejec_dispositivo: Proporciona el nombre de ruta de una secuencia de comandos que se debe invocar para tratamiento especial, como limpieza y protección contra la reutilización del objeto durante el proceso de asignación. La secuencia de comandos ejec_dispositivo se ejecuta cuando el comando deallocate se ejecuta en el dispositivo.

Por ejemplo, la entrada siguiente para el dispositivo sr0 indica que un usuario que cuente con la autorización solaris.device.allocate puede asignar la unidad de CD-ROM:

sr0;sr;reserved;reserved;solaris.device.allocate;/etc/security/lib/sr_clean

Puede decidir aceptar los servicios predeterminados y sus características definidas. Después de instalar un dispositivo nuevo, puede modificar las entradas. Los dispositivos que requieren asignación antes de su uso deben definirse en los archivos device_allocate y device_maps del sistema de ese dispositivo. En la actualidad, las unidades de cinta de cartucho, las unidades de disquete, las unidades de CD-ROM y los chips de audio se consideran asignables. Estos tipos de dispositivos tienen secuencias de comandos device-clean.

Nota - Las unidades de cinta Xylogics o Archive también utilizan la secuencia de comandos st_clean proporcionada para los dispositivos SCSI. Debe crear sus propias secuencias de comandos device-clean para otros dispositivos, como módems, terminales, tabletas gráficas y otros dispositivos asignables. La secuencia de comandos debe cumplir con los requisitos de reutilización de objetos para ese tipo de dispositivo.

Secuencias de comandos device-clean

La asignación de dispositivos cumple parte de lo que se conoce como requisito de reutilización de objetos. Las secuencias de comandos device-clean abordan el requisito de seguridad que establece que todos los datos utilizables deben depurarse de un dispositivo físico antes de volver a utilizarlo. Los datos se limpian antes de que otro usuario asigne el dispositivo. De manera predeterminada, las unidades de cinta de cartucho, las unidades de disquete, las unidades de CD-ROM y los dispositivos de audio requieren secuencias de comandos device-clean. Oracle Solaris proporciona las secuencias de comandos. Esta sección describe qué acciones realizan las secuencias de comandos device-clean.

Secuencia de comandos device-clean para cintas

La secuencia de comandos st_clean admite tres dispositivos de cinta:

Cinta SCSI de ¼ de pulgada
Cinta Archive de ¼ de pulgada
Cinta de carrete abierto de ½ pulgada

La secuencia de comandos st_clean utiliza la opción rewoffl del comando mt para limpiar el dispositivo. Para obtener más información, consulte la página del comando man mt(1). Si la secuencia de comandos se ejecuta durante el inicio del sistema, la secuencia consulta al dispositivo para determinar si está en línea. Si el dispositivo está en línea, la secuencia de comandos determina si el dispositivo tiene medios. Los dispositivos de cinta de ¼ de pulgada que tienen medios se colocan en el estado de error de asignación. El estado de error de asignación fuerza al administrador a limpiar manualmente el dispositivo.

Durante el funcionamiento normal del sistema, cuando el comando deallocate se ejecuta en modo interactivo, se le indica al usuario que extraiga los medios. La desasignación se retrasa hasta que los medios se hayan extraído del dispositivo.

Secuencias de comandos device-clean para disquetes y unidades de CD-ROM

Las siguientes secuencias de comandos device-clean se proporcionan para disquetes y unidades de CD-ROM:

Secuencia de comandos fd_clean: secuencia de comandos device-clean para disquetes.
Secuencia de comandos sr_clean: secuencia de comandos device-clean para unidades de CD-ROM.

Las secuencias de comandos utilizan el comando eject para extraer los medios de la unidad. Si el comando eject falla, el dispositivo se coloca en el estado de error de asignación. Para obtener más información, consulte la página del comando man eject(1).

Secuencia de comandos device-clean para audio

Los dispositivos de audio se limpian con una secuencia de comandos audio_clean. La secuencia de comandos realiza una llamada del sistema ioctl AUDIO_GETINFO para leer el dispositivo. A continuación, la secuencia de comandos realiza una llamada del sistema ioctl AUDIO_SETINFO para restablecer la configuración del dispositivo a los valores predeterminados.

Redacción de secuencias nuevas de comandos device-clean

Si agrega más dispositivos asignables al sistema, posiblemente deba crear sus propias secuencias de comandos device-clean. El comando deallocate pasa un parámetro a las secuencias de comandos device-clean. El parámetro, que se muestra aquí, es una cadena que contiene el nombre del dispositivo. Para obtener más información, consulte la página del comando man device_allocate(4).

clean-script -[I|i|f|S] device-name

Si las secuencias de comandos device-clean devuelven “0”, son correctas; si devuelven valores mayores que “0”, fallaron. Las opciones -I, -f y -S determinan el modo de ejecución de la secuencia de comandos:

-I: Se necesita durante el inicio del sistema únicamente. Todas las salidas deben ir a la consola del sistema. Si no se pueden expulsar de manera forzada los medios o si la expulsión falla, el dispositivo debe pasar al estado de error de asignación.
-i: Similar a la opción -I, excepto que se suprime la salida.
-f: Se utiliza para la limpieza forzada. La opción es interactiva y asume que el usuario está disponible para responder a las peticiones de datos. Una secuencia de comandos con esta opción debe intentar completar la limpieza si se produce un error en una parte de ésta.
-S: Se utiliza para la limpieza estándar. La opción es interactiva y asume que el usuario está disponible para responder a las peticiones de datos.

Omitir V�nculos de navegaci�n
Salir de la Vista de impresi�n
	Guía de administración del sistema: servicios de seguridad