Omitir V�nculos de navegaci�n | |
Salir de la Vista de impresi�n | |
Guía de administración del sistema: servicios de seguridad |
Parte I Descripción general de la seguridad
1. Servicios de seguridad (descripción general)
Parte II Seguridad de sistemas, archivos y dispositivos
2. Gestión de seguridad de equipos (descripción general)
3. Control de acceso a sistemas (tareas)
4. Control de acceso a dispositivos (tareas)
Configuración de dispositivos (mapa de tareas)
Configuración de política de dispositivos (mapa de tareas)
Configuración de política de dispositivos
Cómo ver una política de dispositivos
Cómo cambiar la política de dispositivos en un dispositivo existente
Cómo auditar cambios en la política de dispositivos
Cómo recuperar información MIB-II IP de un dispositivo /dev/*
Gestión de asignación de dispositivos (mapa de tareas)
Gestión de asignación de dispositivos
Cómo permitir que un dispositivo pueda asignarse
Cómo autorizar a usuarios para que asignen un dispositivo
Cómo ver la información de asignación de un dispositivo
Asignación forzada de un dispositivo
Desasignación forzada de un dispositivo
Cómo cambiar los dispositivos que se pueden asignar
Cómo auditar la asignación de dispositivos
Asignación de dispositivos (mapa de tareas)
Cómo montar un dispositivo asignado
Cómo desasignar un dispositivo
Protección de dispositivos (referencia)
Comandos de la política de dispositivos
Componentes de la asignación de dispositivos
5. Uso de la herramienta básica de creación de informes de auditoría (tareas)
6. Control de acceso a archivos (tareas)
7. Uso de la herramienta automatizada de mejora de la seguridad (tareas)
Parte III Roles, perfiles de derechos y privilegios
8. Uso de roles y privilegios (descripción general)
9. Uso del control de acceso basado en roles (tareas)
10. Control de acceso basado en roles (referencia)
Parte IV Servicios criptográficos
13. Estructura criptográfica de Oracle Solaris (descripción general)
14. Estructura criptográfica de Oracle Solaris (tareas)
15. Estructura de gestión de claves de Oracle Solaris
Parte V Servicios de autenticación y comunicación segura
16. Uso de servicios de autenticación (tareas)
19. Uso de Oracle Solaris Secure Shell (tareas)
20. Oracle Solaris Secure Shell (referencia)
21. Introducción al servicio Kerberos
22. Planificación del servicio Kerberos
23. Configuración del servicio Kerberos (tareas)
24. Mensajes de error y resolución de problemas de Kerberos
25. Administración de las políticas y los principales de Kerberos (tareas)
26. Uso de aplicaciones Kerberos (tareas)
27. El servicio Kerberos (referencia)
Parte VII Auditoría de Oracle Solaris
28. Auditoría de Oracle Solaris (descripción general)
29. Planificación de la auditoría de Oracle Solaris
30. Gestión de la auditoría de Oracle Solaris (tareas)
Los dispositivos en Oracle Solaris están protegidos por una política de dispositivos. Los dispositivos periféricos se pueden proteger mediante la asignación de dispositivos. La política de dispositivos se aplica por el núcleo. La asignación de dispositivos se habilita de manera opcional y se aplica en el nivel de usuario.
Los comandos de gestión de dispositivos administran la política de dispositivos en archivos locales. La política de dispositivos puede incluir requisitos de privilegios. Sólo el superusuario o un rol con capacidades equivalentes puede gestionar los dispositivos.
En la siguiente tabla, se muestran los comandos de gestión de dispositivos.
Tabla 4-1 Comandos de gestión de dispositivos
|
La asignación de dispositivos puede proteger su sitio contra pérdida de datos, virus informáticos y otras infracciones de seguridad. A diferencia de la política de dispositivos, la asignación de dispositivos es opcional. Los dispositivos no se pueden asignar hasta que se ejecute la secuencia de comandos bsmconv. La asignación de dispositivos utiliza autorizaciones para limitar el acceso a los dispositivos asignables.
Los componentes del mecanismo de asignación de dispositivos son los siguientes:
Los comandos allocate, deallocate, dminfo y list_devices. Para obtener más información, consulte Comandos de asignación de dispositivos.
Secuencias de comandos device-clean para cada dispositivo asignable.
Estos comandos y las secuencias de comandos utilizan los siguientes archivos locales para implementar la asignación de dispositivos:
El archivo /etc/security/device_allocate. Para obtener más información, consulte la página del comando man device_allocate(4).
El archivo /etc/security/device_maps. Para obtener más información, consulte la página del comando man device_maps(4).
Un archivo de bloqueo, en el directorio /etc/security/dev, para cada dispositivo asignable.
Los atributos modificados de los archivos de bloqueo que están asociados con cada dispositivo asignable.
Nota - Es posible que versiones futuras de Oracle Solaris no admitan el directorio /etc/security/dev.
Con opciones de mayúsculas, los comandos allocate, deallocate y list_devices son comandos administrativos. De lo contrario, estos comandos son comandos de usuario. En la siguiente tabla, se muestran los comandos de asignación de dispositivos.
Tabla 4-2 Comandos de asignación de dispositivos
De manera predeterminada, los usuarios deben tener la autorización solaris.device.allocate para reservar un dispositivo asignable. Para crear un perfil de derechos a fin de incluir la autorización solaris.device.allocate, consulte Cómo autorizar a usuarios para que asignen un dispositivo.
Los administradores deben tener la autorización solaris.device.revoke para cambiar el estado de asignación de un dispositivo. Por ejemplo, la opción -U para los comandos allocate y list_devices, y la opción -F para el comando deallocate requieren la autorización solaris.device.revoke.
Para obtener más información, consulte Comandos que requieren autorizaciones.
Un dispositivo está en un estado de error de asignación cuando el comando deallocate no puede realizar la desasignación o cuando el comando allocate no puede realizar la asignación. Cuando un dispositivo asignable se encuentra en un estado de error de asignación, se debe desasignar de manera forzada. Sólo el superusuario o un rol con el perfil de derechos de gestión de dispositivos o de seguridad de dispositivos puede manejar un estado de error de asignación.
El comando deallocate con la opción -F fuerza la desasignación. O bien, puede usar allocate -U para asignar el dispositivo a un usuario. Una vez que el dispositivo está asignado, puede investigar los mensajes de error que aparecen. Después de corregir los problemas con el dispositivo, puede desasignarlo de manera forzada.
Los mapas de dispositivos se crean al configurar la asignación de dispositivos. El comando bsmconv crea un archivo /etc/security/device_maps predeterminado cuando el servicio de auditoría está habilitado. Este archivo device_maps inicial se puede personalizar para su sitio. El archivo device_maps incluye los nombres de los dispositivos, los tipos de dispositivos y los archivos especiales de los dispositivos que están asociados con cada dispositivo asignable.
El archivo device_maps define las asignaciones de archivos especiales para cada dispositivo, que en muchos casos no son intuitivas. Este archivo permite que los programas descubran qué archivos especiales de dispositivos se deben asignar a determinados dispositivos. Puede utilizar el comando dminfo, por ejemplo, para recuperar el nombre del dispositivo, el tipo de dispositivo y los archivos especiales del dispositivo que se deben especificar al configurar un dispositivo asignable. El comando dminfo utiliza el archivo device_maps para comunicar esta información.
Cada dispositivo se representa con una entrada de una línea con el formato:
device-name:device-type:device-list
Ejemplo 4-14 Ejemplo de entrada device_maps
El siguiente es un ejemplo de una entrada en un archivo device_maps para una unidad de disquete, fd0:
fd0:\ fd:\ /dev/diskette /dev/rdiskette /dev/fd0a /dev/rfd0a \ /dev/fd0b /dev/rfd0b /dev/fd0c /dev/fd0 /dev/rfd0c /dev/rfd0:\
Las líneas en el archivo device_maps pueden finalizar con una barra diagonal inversa (\) para continuar una entrada en la línea siguiente. También se pueden incluir comentarios. Un signo de almohadilla (#) indica que hay comentarios en todo el texto subsiguiente hasta la siguiente línea nueva que no está inmediatamente precedida por una barra diagonal inversa. En todos los campos, se permiten espacios iniciales y finales. Los campos se definen del modo siguiente:
Especifica el nombre del dispositivo. Para obtener una lista de los nombres actuales de dispositivos, consulte Cómo ver la información de asignación de un dispositivo.
Especifica el tipo de dispositivo genérico. El nombre genérico es el nombre para la clase de dispositivos, como st, fd o audio. El campo tipo_dispositivo agrupa lógicamente dispositivos relacionados.
Muestra los archivos especiales del dispositivo que están asociados con el dispositivo físico. lista_dispositivo debe contener todos los archivos especiales que permiten el acceso a un dispositivo determinado. Si la lista está incompleta, un usuario malintencionado podrá obtener o modificar información privada. Las entradas válidas para el campo lista_dispositivo reflejan los archivos del dispositivo que están ubicados en el directorio /dev.
El comando bsmconv crea un archivo /etc/security/device_allocate inicial cuando el servicio de auditoría está habilitado. Este archivo device_allocate inicial se puede utilizar como punto de partida. Puede modificar el archivo /etc/security/device_allocate para cambiar los dispositivos de asignables a no asignables, o para agregar dispositivos nuevos. A continuación, se presenta un ejemplo del archivo device_allocate.
st0;st;;;;/etc/security/lib/st_clean fd0;fd;;;;/etc/security/lib/fd_clean sr0;sr;;;;/etc/security/lib/sr_clean audio;audio;;;*;/etc/security/lib/audio_clean
Una entrada en el archivo device_allocate no significa que el dispositivo es asignable, a menos que la entrada indique específicamente que el dispositivo es asignable. En el archivo device_allocate de ejemplo, observe el asterisco (*) en el quinto campo de la entrada del dispositivo de audio. Un asterisco en el quinto campo indica al sistema que el dispositivo no es asignable. Por lo tanto, el dispositivo no se puede utilizar. Si hay otros valores o si no hay ningún valor en este campo, el dispositivo se puede utilizar.
En el archivo device_allocate, cada dispositivo se representa con una entrada de una línea con el formato:
device-name;device-type;reserved;reserved;auths;device-exec
Las líneas en el archivo device_allocate pueden finalizar con una barra diagonal inversa (\) para continuar una entrada en la línea siguiente. También se pueden incluir comentarios. Un signo de almohadilla (#) indica que hay comentarios en todo el texto subsiguiente hasta la siguiente línea nueva que no está inmediatamente precedida por una barra diagonal inversa. En todos los campos, se permiten espacios iniciales y finales. Los campos se definen del modo siguiente:
Especifica el nombre del dispositivo. Para obtener una lista de los nombres actuales de dispositivos, consulte Cómo ver la información de asignación de un dispositivo.
Especifica el tipo de dispositivo genérico. El nombre genérico es el nombre para la clase de dispositivos, como st, fd y sr. El campo tipo_dispositivo agrupa lógicamente dispositivos relacionados. Cuando permita que un dispositivo pueda asignarse, recupere el nombre del dispositivo del campo tipo_dispositivo en el archivo device_maps.
Sun reserva para uso futuro los dos campos marcados como reserved.
Especifica si el dispositivo es asignable. Un asterisco (*) en este campo indica que el dispositivo no es asignable. Una cadena de autorización, o un campo vacío, indica que el dispositivo es asignable. Por ejemplo, la cadena solaris.device.allocate en el campo autorizaciones indica que se necesita la autorización solaris.device.allocate para poder asignar el dispositivo. Un símbolo arroba (@) en este archivo indica que cualquier usuario puede asignar el dispositivo.
Proporciona el nombre de ruta de una secuencia de comandos que se debe invocar para tratamiento especial, como limpieza y protección contra la reutilización del objeto durante el proceso de asignación. La secuencia de comandos ejec_dispositivo se ejecuta cuando el comando deallocate se ejecuta en el dispositivo.
Por ejemplo, la entrada siguiente para el dispositivo sr0 indica que un usuario que cuente con la autorización solaris.device.allocate puede asignar la unidad de CD-ROM:
sr0;sr;reserved;reserved;solaris.device.allocate;/etc/security/lib/sr_clean
Puede decidir aceptar los servicios predeterminados y sus características definidas. Después de instalar un dispositivo nuevo, puede modificar las entradas. Los dispositivos que requieren asignación antes de su uso deben definirse en los archivos device_allocate y device_maps del sistema de ese dispositivo. En la actualidad, las unidades de cinta de cartucho, las unidades de disquete, las unidades de CD-ROM y los chips de audio se consideran asignables. Estos tipos de dispositivos tienen secuencias de comandos device-clean.
Nota - Las unidades de cinta Xylogics o Archive también utilizan la secuencia de comandos st_clean proporcionada para los dispositivos SCSI. Debe crear sus propias secuencias de comandos device-clean para otros dispositivos, como módems, terminales, tabletas gráficas y otros dispositivos asignables. La secuencia de comandos debe cumplir con los requisitos de reutilización de objetos para ese tipo de dispositivo.
La asignación de dispositivos cumple parte de lo que se conoce como requisito de reutilización de objetos. Las secuencias de comandos device-clean abordan el requisito de seguridad que establece que todos los datos utilizables deben depurarse de un dispositivo físico antes de volver a utilizarlo. Los datos se limpian antes de que otro usuario asigne el dispositivo. De manera predeterminada, las unidades de cinta de cartucho, las unidades de disquete, las unidades de CD-ROM y los dispositivos de audio requieren secuencias de comandos device-clean. Oracle Solaris proporciona las secuencias de comandos. Esta sección describe qué acciones realizan las secuencias de comandos device-clean.
La secuencia de comandos st_clean admite tres dispositivos de cinta:
Cinta SCSI de ¼ de pulgada
Cinta Archive de ¼ de pulgada
Cinta de carrete abierto de ½ pulgada
La secuencia de comandos st_clean utiliza la opción rewoffl del comando mt para limpiar el dispositivo. Para obtener más información, consulte la página del comando man mt(1). Si la secuencia de comandos se ejecuta durante el inicio del sistema, la secuencia consulta al dispositivo para determinar si está en línea. Si el dispositivo está en línea, la secuencia de comandos determina si el dispositivo tiene medios. Los dispositivos de cinta de ¼ de pulgada que tienen medios se colocan en el estado de error de asignación. El estado de error de asignación fuerza al administrador a limpiar manualmente el dispositivo.
Durante el funcionamiento normal del sistema, cuando el comando deallocate se ejecuta en modo interactivo, se le indica al usuario que extraiga los medios. La desasignación se retrasa hasta que los medios se hayan extraído del dispositivo.
Las siguientes secuencias de comandos device-clean se proporcionan para disquetes y unidades de CD-ROM:
Secuencia de comandos fd_clean: secuencia de comandos device-clean para disquetes.
Secuencia de comandos sr_clean: secuencia de comandos device-clean para unidades de CD-ROM.
Las secuencias de comandos utilizan el comando eject para extraer los medios de la unidad. Si el comando eject falla, el dispositivo se coloca en el estado de error de asignación. Para obtener más información, consulte la página del comando man eject(1).
Los dispositivos de audio se limpian con una secuencia de comandos audio_clean. La secuencia de comandos realiza una llamada del sistema ioctl AUDIO_GETINFO para leer el dispositivo. A continuación, la secuencia de comandos realiza una llamada del sistema ioctl AUDIO_SETINFO para restablecer la configuración del dispositivo a los valores predeterminados.
Si agrega más dispositivos asignables al sistema, posiblemente deba crear sus propias secuencias de comandos device-clean. El comando deallocate pasa un parámetro a las secuencias de comandos device-clean. El parámetro, que se muestra aquí, es una cadena que contiene el nombre del dispositivo. Para obtener más información, consulte la página del comando man device_allocate(4).
clean-script -[I|i|f|S] device-name
Si las secuencias de comandos device-clean devuelven “0”, son correctas; si devuelven valores mayores que “0”, fallaron. Las opciones -I, -f y -S determinan el modo de ejecución de la secuencia de comandos:
Se necesita durante el inicio del sistema únicamente. Todas las salidas deben ir a la consola del sistema. Si no se pueden expulsar de manera forzada los medios o si la expulsión falla, el dispositivo debe pasar al estado de error de asignación.
Se utiliza para la limpieza forzada. La opción es interactiva y asume que el usuario está disponible para responder a las peticiones de datos. Una secuencia de comandos con esta opción debe intentar completar la limpieza si se produce un error en una parte de ésta.
Se utiliza para la limpieza estándar. La opción es interactiva y asume que el usuario está disponible para responder a las peticiones de datos.