Omitir V�nculos de navegaci�n | |
Salir de la Vista de impresi�n | |
Guía de administración del sistema: servicios de seguridad |
Parte I Descripción general de la seguridad
1. Servicios de seguridad (descripción general)
Parte II Seguridad de sistemas, archivos y dispositivos
2. Gestión de seguridad de equipos (descripción general)
3. Control de acceso a sistemas (tareas)
4. Control de acceso a dispositivos (tareas)
Configuración de dispositivos (mapa de tareas)
Configuración de política de dispositivos (mapa de tareas)
Configuración de política de dispositivos
Cómo ver una política de dispositivos
Cómo cambiar la política de dispositivos en un dispositivo existente
Cómo auditar cambios en la política de dispositivos
Cómo recuperar información MIB-II IP de un dispositivo /dev/*
Gestión de asignación de dispositivos (mapa de tareas)
Gestión de asignación de dispositivos
Cómo permitir que un dispositivo pueda asignarse
Cómo autorizar a usuarios para que asignen un dispositivo
Cómo ver la información de asignación de un dispositivo
Asignación forzada de un dispositivo
Desasignación forzada de un dispositivo
Asignación de dispositivos (mapa de tareas)
Cómo montar un dispositivo asignado
Cómo desasignar un dispositivo
Protección de dispositivos (referencia)
Comandos de la política de dispositivos
Componentes de la asignación de dispositivos
Comandos de asignación de dispositivos
Secuencias de comandos device-clean
5. Uso de la herramienta básica de creación de informes de auditoría (tareas)
6. Control de acceso a archivos (tareas)
7. Uso de la herramienta automatizada de mejora de la seguridad (tareas)
Parte III Roles, perfiles de derechos y privilegios
8. Uso de roles y privilegios (descripción general)
9. Uso del control de acceso basado en roles (tareas)
10. Control de acceso basado en roles (referencia)
Parte IV Servicios criptográficos
13. Estructura criptográfica de Oracle Solaris (descripción general)
14. Estructura criptográfica de Oracle Solaris (tareas)
15. Estructura de gestión de claves de Oracle Solaris
Parte V Servicios de autenticación y comunicación segura
16. Uso de servicios de autenticación (tareas)
19. Uso de Oracle Solaris Secure Shell (tareas)
20. Oracle Solaris Secure Shell (referencia)
21. Introducción al servicio Kerberos
22. Planificación del servicio Kerberos
23. Configuración del servicio Kerberos (tareas)
24. Mensajes de error y resolución de problemas de Kerberos
25. Administración de las políticas y los principales de Kerberos (tareas)
26. Uso de aplicaciones Kerberos (tareas)
27. El servicio Kerberos (referencia)
Parte VII Auditoría de Oracle Solaris
28. Auditoría de Oracle Solaris (descripción general)
29. Planificación de la auditoría de Oracle Solaris
30. Gestión de la auditoría de Oracle Solaris (tareas)
La asignación de dispositivos restringe o impide el acceso a dispositivos periféricos. Se aplican restricciones en el momento de asignación de usuarios. De manera predeterminada, los usuarios deben tener autorización para acceder a dispositivos asignables.
Si ya ha ejecutado el comando bsmconv para habilitar la auditoría, la asignación de dispositivos ya está habilitada en el sistema. Para obtener más información, consulte la página del comando man bsmconv(1M).
El rol de administrador principal incluye el perfil de derechos de control de auditoría. También puede asignar el perfil de derechos de control de auditoría a un rol que cree. Para crear el rol y asignarlo a un usuario, consulte el Ejemplo 9-3.
# bsmconv This script is used to enable the Basic Security Module (BSM). Shall we continue with the conversion now? [y/n] y bsmconv: INFO: checking startup file. bsmconv: INFO: move aside /etc/rc3.d/S81volmgt. bsmconv: INFO: turning on audit module. bsmconv: INFO: initializing device allocation files. The Basic Security Module is ready. If there were any errors, please fix them now. Configure BSM by editing files located in /etc/security. Reboot this system now to come up with BSM enabled.
Nota - Este comando deshabilita el daemon de gestión de volúmenes (/etc/rc3.d/S81volmgt).
El rol de administrador principal incluye el perfil de administrador principal. Para crear el rol y asignarlo a un usuario, consulte el Capítulo 2, Trabajo con Solaris Management Console (tareas) de Guía de administración del sistema: administración básica.
Generalmente, debe crear un perfil de derechos que incluya la autorización solaris.device.allocate. Siga las instrucciones de Cómo crear o modificar un perfil de derechos. Otorgue al perfil de derechos las propiedades adecuadas, como las siguientes:
Nombre del perfil de derechos: Device Allocation
Autorizaciones otorgadas: solaris.device.allocate
Comandos con atributos de seguridad: mount con el privilegio sys_mount y umount con el privilegio sys_mount
Siga las instrucciones de Cómo crear y asignar un rol con la interfaz gráfica de usuario. Utilice las siguientes propiedades del rol como guía:
Nombre del rol: devicealloc
Nombre completo del rol: Device Allocator
Descripción del rol: Allocates and mounts allocated devices
Perfil de derechos: Device Allocation
Este perfil de derechos debe estar en la parte superior de la lista de perfiles incluidos en el rol.
Para ver ejemplos de cómo asignar medios extraíbles, consulte Cómo asignar un dispositivo.
Como el daemon de gestión de volúmenes (vold) no se está ejecutando, los medios extraíbles no se montan automáticamente. Para ver ejemplos de cómo montar un dispositivo asignado, consulte Cómo montar un dispositivo asignado.
Antes de empezar
La asignación de dispositivos debe estar habilitada para que este procedimiento se realice correctamente. Para habilitar la asignación de dispositivos, consulte Cómo permitir que un dispositivo pueda asignarse.
El rol de administrador principal incluye el perfil de derechos de seguridad de dispositivos. También puede asignar el perfil de derechos de seguridad de dispositivos a un rol que cree. Para crear el rol y asignarlo a un usuario, consulte el Ejemplo 9-3.
# list_devices device-name
Donde nombre_dispositivo es uno de los siguientes:
audio[n]: micrófono y altavoz.
fd[n]: unidad de disquete.
sr[n]: unidad de CD-ROM.
st[n]: unidad de cinta.
Errores más frecuentes
Si el comando list_devices devuelve un mensaje de error similar al siguiente, es posible que la asignación de dispositivos no esté habilitada o que usted no cuente con permisos suficientes para recuperar la información.
list_devices: No device maps file entry for specified device.
Para que el comando se ejecute correctamente, habilite la asignación de dispositivos y asuma un rol con la autorización solaris.device.revoke.
La asignación forzada se utiliza cuando alguien ha olvidado desasignar un dispositivo. La asignación forzada también se puede utilizar cuando un usuario tiene una necesidad inmediata de un dispositivo.
Antes de empezar
El usuario o el rol deben tener la autorización solaris.device.revoke.
$ auths solaris.device.allocate solaris.device.revoke
En este ejemplo, la unidad de cinta se asigna de manera forzada al usuario jdoe.
$ allocate -U jdoe
Los dispositivos que un usuario ha asignado no se desasignan automáticamente cuando finaliza el proceso o cuando el usuario cierra la sesión. La desasignación forzada se utiliza cuando un usuario ha olvidado desasignar un dispositivo.
Antes de empezar
El usuario o el rol deben tener la autorización solaris.device.revoke.
$ auths solaris.device.allocate solaris.device.revoke
En este ejemplo, la impresora se desasigna de manera forzada. La impresora ahora está disponible para que otro usuario la asigne.
$ deallocate -f /dev/lp/printer-1
El rol de administrador principal incluye el perfil de derechos de seguridad de dispositivos. También puede asignar el perfil de derechos de seguridad de dispositivos a un rol que cree. Para crear el rol y asignarlo a un usuario, consulte el Ejemplo 9-3.
Cambie el quinto campo en la entrada del dispositivo del archivo device_allocate.
audio;audio;reserved;reserved;solaris.device.allocate;/etc/security/lib/audio_clean fd0;fd;reserved;reserved;solaris.device.allocate;/etc/security/lib/fd_clean sr0;sr;reserved;reserved;solaris.device.allocate;/etc/security/lib/sr_clean
Donde solaris.device.allocate indica que un usuario debe tener la autorización solaris.device.allocate para utilizar el dispositivo.
Ejemplo 4-4 Permiso para que cualquier usuario asigne un dispositivo
En el ejemplo siguiente, cualquier usuario del sistema puede asignar cualquier dispositivo. El quinto campo en cada entrada de dispositivo del archivo device_allocate se cambió al símbolo arroba (@).
$ whoami devicesec $ vi /etc/security/device_allocate audio;audio;reserved;reserved;@;/etc/security/lib/audio_clean fd0;fd;reserved;reserved;@;/etc/security/lib/fd_clean sr0;sr;reserved;reserved;@;/etc/security/lib/sr_clean …
Ejemplo 4-5 Prevención de uso de algunos dispositivos periféricos
En el ejemplo siguiente, el dispositivo de audio no se puede utilizar. El quinto campo en la entrada del dispositivo de audio del archivo device_allocate se cambió a un asterisco (*).
$ whoami devicesec $ vi /etc/security/device_allocate audio;audio;reserved;reserved;*;/etc/security/lib/audio_clean fd0;fd;reserved;reserved;solaris device.allocate;/etc/security/lib/fd_clean sr0;sr;reserved;reserved;solaris device.allocate;/etc/security/lib/sr_clean …
Ejemplo 4-6 Prevención de uso de todos los dispositivos periféricos
En el ejemplo siguiente, no se puede utilizar ningún dispositivo periférico. El quinto campo en cada entrada de dispositivo del archivo device_allocate se cambió a un asterisco (*).
$ whoami devicesec $ vi /etc/security/device_allocate audio;audio;reserved;reserved;*;/etc/security/lib/audio_clean fd0;fd;reserved;reserved;*;/etc/security/lib/fd_clean sr0;sr;reserved;reserved;*;/etc/security/lib/sr_clean …
De manera predeterminada, los comandos de asignación de dispositivos se encuentran en la clase de auditoría other.
El rol de administrador principal incluye el perfil de administrador principal. Para crear el rol y asignarlo a un usuario, consulte el Capítulo 2, Trabajo con Solaris Management Console (tareas) de Guía de administración del sistema: administración básica.
Agregue la clase ot a la línea flags del archivo audit_control. El archivo tendría un aspecto similar al siguiente:
# audit_control file dir:/var/audit flags:lo,ot minfree:20 naflags:lo
Para obtener instrucciones detalladas, consulte Cómo modificar el archivo audit_control.