Omitir V�nculos de navegaci�n | |
Salir de la Vista de impresi�n | |
Guía de administración del sistema: servicios de seguridad |
Parte I Descripción general de la seguridad
1. Servicios de seguridad (descripción general)
Parte II Seguridad de sistemas, archivos y dispositivos
2. Gestión de seguridad de equipos (descripción general)
3. Control de acceso a sistemas (tareas)
4. Control de acceso a dispositivos (tareas)
Configuración de dispositivos (mapa de tareas)
Configuración de política de dispositivos (mapa de tareas)
Configuración de política de dispositivos
Cómo ver una política de dispositivos
Cómo cambiar la política de dispositivos en un dispositivo existente
Cómo auditar cambios en la política de dispositivos
Cómo recuperar información MIB-II IP de un dispositivo /dev/*
Gestión de asignación de dispositivos (mapa de tareas)
Gestión de asignación de dispositivos
Cómo permitir que un dispositivo pueda asignarse
Cómo autorizar a usuarios para que asignen un dispositivo
Cómo ver la información de asignación de un dispositivo
Asignación forzada de un dispositivo
Desasignación forzada de un dispositivo
Cómo cambiar los dispositivos que se pueden asignar
Cómo auditar la asignación de dispositivos
Asignación de dispositivos (mapa de tareas)
Cómo montar un dispositivo asignado
Cómo desasignar un dispositivo
Protección de dispositivos (referencia)
Comandos de la política de dispositivos
Componentes de la asignación de dispositivos
Comandos de asignación de dispositivos
Secuencias de comandos device-clean
5. Uso de la herramienta básica de creación de informes de auditoría (tareas)
6. Control de acceso a archivos (tareas)
7. Uso de la herramienta automatizada de mejora de la seguridad (tareas)
Parte III Roles, perfiles de derechos y privilegios
8. Uso de roles y privilegios (descripción general)
9. Uso del control de acceso basado en roles (tareas)
10. Control de acceso basado en roles (referencia)
Parte IV Servicios criptográficos
13. Estructura criptográfica de Oracle Solaris (descripción general)
14. Estructura criptográfica de Oracle Solaris (tareas)
15. Estructura de gestión de claves de Oracle Solaris
Parte V Servicios de autenticación y comunicación segura
16. Uso de servicios de autenticación (tareas)
19. Uso de Oracle Solaris Secure Shell (tareas)
20. Oracle Solaris Secure Shell (referencia)
21. Introducción al servicio Kerberos
22. Planificación del servicio Kerberos
23. Configuración del servicio Kerberos (tareas)
24. Mensajes de error y resolución de problemas de Kerberos
25. Administración de las políticas y los principales de Kerberos (tareas)
26. Uso de aplicaciones Kerberos (tareas)
27. El servicio Kerberos (referencia)
Parte VII Auditoría de Oracle Solaris
28. Auditoría de Oracle Solaris (descripción general)
29. Planificación de la auditoría de Oracle Solaris
30. Gestión de la auditoría de Oracle Solaris (tareas)
La política de dispositivos restringe o impide el acceso a los dispositivos que son una parte integral del sistema. La política se aplica en el núcleo.
% getdevpolicy | more DEFAULT read_priv_set=none write_priv_set=none ip:* read_priv_set=net_rawaccess write_priv_set=net_rawaccess …
Ejemplo 4-1 Visualización de la política de dispositivos para un dispositivo específico
En este ejemplo, se muestra la política de dispositivos para tres dispositivos.
% getdevpolicy /dev/allkmem /dev/ipsecesp /dev/hme /dev/allkmem read_priv_set=all write_priv_set=all /dev/ipsecesp read_priv_set=sys_net_config write_priv_set=sys_net_config /dev/hme read_priv_set=net_rawaccess write_priv_set=net_rawaccess
El rol de administrador principal incluye el perfil de derechos de seguridad de dispositivos. También puede asignar el perfil de derechos de seguridad de dispositivos a un rol que cree. Para crear el rol y asignarlo a un usuario, consulte el Ejemplo 9-3.
# update_drv -a -p policy device-driver
Especifica una política para controlador_dispositivo.
Es la política de dispositivos para controlador_dispositivo. La política de dispositivos especifica dos conjuntos de privilegios. Un conjunto es necesario para leer el dispositivo. El otro conjunto es necesario para escribir en el dispositivo.
Es el controlador del dispositivo.
Para obtener más información, consulte la página del comando man update_drv(1M).
Ejemplo 4-2 Cómo agregar una política a un dispositivo existente
En el ejemplo siguiente, la política de dispositivos se agrega al dispositivo ipnat.
# getdevpolicy /dev/ipnat /dev/ipnat read_priv_set=none write_priv_set=none # update_drv -a \ -p 'read_priv_set=net_rawaccess write_priv_set=net_rawaccess' ipnat # getdevpolicy /dev/ipnat /dev/ipnat read_priv_set=net_rawaccess write_priv_set=net_rawaccess
Ejemplo 4-3 Eliminación de una política de un dispositivo
En el ejemplo siguiente, el conjunto de privilegios de lectura se elimina de la política de dispositivos para el dispositivo ipnat.
# getdevpolicy /dev/ipnat /dev/ipnat read_priv_set=net_rawaccess write_priv_set=net_rawaccess # update_drv -a -p write_priv_set=net_rawaccess ipnat # getdevpolicy /dev/ipnat /dev/ipnat read_priv_set=none write_priv_set=net_rawaccess
De manera predeterminada, la clase de auditoría as incluye el evento de auditoría AUE_MODDEVPLCY.
El rol de administrador principal incluye el perfil de administrador principal. Para crear el rol y asignarlo a un usuario, consulte el Capítulo 2, Trabajo con Solaris Management Console (tareas) de Guía de administración del sistema: administración básica.
Agregue la clase as a la línea flags del archivo audit_control. El archivo tendría un aspecto similar al siguiente:
# audit_control file dir:/var/audit flags:lo,as minfree:20 naflags:lo
Para obtener instrucciones detalladas, consulte Cómo modificar el archivo audit_control.
Las aplicaciones que recuperan información MIB-II IP de Oracle Solaris deben abrir /dev/arp, no /dev/ip.
% getdevpolicy /dev/ip /dev/arp /dev/ip read_priv_set=net_rawaccess write_priv_set=net_rawaccess /dev/arp read_priv_set=none write_priv_set=none
Tenga en cuenta que se requiere el privilegio net_rawaccess para la lectura y escritura en /dev/ip. No se requieren privilegios para /dev/arp.
No se requieren privilegios. Este método es equivalente a abrir /dev/ip y utilizar los módulos arp, tcp y udp. Como la apertura de /dev/ip requiere ahora un privilegio, es preferible usar el método /dev/arp.