Omitir V�nculos de navegaci�n | |
Salir de la Vista de impresi�n | |
![]() |
Guía de administración del sistema: servicios de seguridad |
Parte I Descripción general de la seguridad
1. Servicios de seguridad (descripción general)
Parte II Seguridad de sistemas, archivos y dispositivos
2. Gestión de seguridad de equipos (descripción general)
3. Control de acceso a sistemas (tareas)
4. Control de acceso a dispositivos (tareas)
5. Uso de la herramienta básica de creación de informes de auditoría (tareas)
6. Control de acceso a archivos (tareas)
7. Uso de la herramienta automatizada de mejora de la seguridad (tareas)
Parte III Roles, perfiles de derechos y privilegios
8. Uso de roles y privilegios (descripción general)
9. Uso del control de acceso basado en roles (tareas)
10. Control de acceso basado en roles (referencia)
Contenido de los perfiles de derechos
Perfil de derechos de administrador principal
Perfil de derechos de administrador del sistema
Perfil de derechos de operador
Perfil de derechos de gestión de impresoras
Denominación y delegación de autorizaciones
Convenciones de denominación de autorizaciones
Ejemplo de granularidad de autorizaciones
Autoridad de delegación en autorizaciones
Bases de datos que admiten RBAC
Relaciones entre bases de datos de RBAC
Bases de datos de RBAC y servicios de nombres
Comandos que requieren autorizaciones
Parte IV Servicios criptográficos
13. Estructura criptográfica de Oracle Solaris (descripción general)
14. Estructura criptográfica de Oracle Solaris (tareas)
15. Estructura de gestión de claves de Oracle Solaris
Parte V Servicios de autenticación y comunicación segura
16. Uso de servicios de autenticación (tareas)
19. Uso de Oracle Solaris Secure Shell (tareas)
20. Oracle Solaris Secure Shell (referencia)
21. Introducción al servicio Kerberos
22. Planificación del servicio Kerberos
23. Configuración del servicio Kerberos (tareas)
24. Mensajes de error y resolución de problemas de Kerberos
25. Administración de las políticas y los principales de Kerberos (tareas)
26. Uso de aplicaciones Kerberos (tareas)
27. El servicio Kerberos (referencia)
Parte VII Auditoría de Oracle Solaris
28. Auditoría de Oracle Solaris (descripción general)
29. Planificación de la auditoría de Oracle Solaris
30. Gestión de la auditoría de Oracle Solaris (tareas)
En esta sección, se describen algunos perfiles de derechos típicos. Los perfiles de derechos pueden incluir autorizaciones, comandos con atributos de seguridad y perfiles de derechos complementarios. Los perfiles de derechos se enumeran del más al menos poderoso. Si obtener sugerencias sobre cómo distribuir perfiles de derechos a roles en su sitio, consulte Cómo planificar la implementación de RBAC.
Perfil de derechos de administrador principal: proporciona las capacidades de superusuario en un perfil.
Perfil de derechos de administrador del sistema: proporciona un perfil que puede realizar la mayoría de las tareas que no están relacionadas con la seguridad. Este perfil incluye varios perfiles diferentes para crear un rol poderoso.
Perfil de derechos de operador: proporciona capacidades limitadas para gestionar archivos y medios sin conexión. Este perfil incluye perfiles de derechos complementarios para crear un rol simple.
Perfil de derechos de gestión de impresoras: proporciona un número limitado de comandos y autorizaciones para gestionar la impresión. Este perfil es uno de los tantos perfiles que abarcan una sola área de administración.
Perfil de derechos de usuario de Solaris básico: permite a los usuarios utilizar el sistema dentro de los límites de la política de seguridad. Este perfil aparece de manera predeterminada en el archivo policy.conf.
Perfil de derechos "todos": para los roles, proporciona acceso a los comandos que no tienen atributos de seguridad.
Cada perfil de derechos tiene un archivo de ayuda asociado. Los archivos de ayuda están en formato HTML y se pueden personalizar. Los archivos residen en el directorio /usr/lib/help/profiles/locale/C.
El perfil de derechos de administrador principal se asigna al rol más poderoso del sistema. El rol que incluye el perfil de derechos de administrador principal tiene capacidades de superusuario.
La autorización solaris.* asigna de forma eficaz todas las autorizaciones que ofrece el software Oracle Solaris.
La autorización solaris.grant permite a un rol asignar cualquier autorización a cualquier perfil de derechos, rol o usuario.
La asignación de comando *:uid=0;gid=0 permite ejecutar cualquier comando con UID=0 y GID=0.
Puede personalizar el archivo de ayuda RtPriAdmin.html para su sitio, si es necesario. Los archivos de ayuda se almacenan en el directorio /usr/lib/help/profiles/locale/C.
Tenga en cuenta también que si el perfil de derechos de administrador principal no es coherente con la política de seguridad de un sitio, es posible modificar el perfil o no asignarlo. Sin embargo, las capacidades de seguridad del perfil de derechos de administrador principal se deberán gestionar en uno o varios perfiles de derechos diferentes. Los otros perfiles de derechos luego se deberán asignar a roles.
Tabla 10-1 Contenido del perfil de derechos de administrador principal
|
El perfil de derechos de administrador del sistema está diseñado para el rol de administrador del sistema. Dado que el administrador del sistema no tiene las capacidades amplias del administrador principal, no se utilizan caracteres comodín. En cambio, este perfil es un conjunto de perfiles de derechos administrativos, complementarios y discretos que no están relacionados con la seguridad. Se muestran los comandos con atributos de seguridad de uno de los perfiles de derechos complementarios.
Tenga en cuenta que el perfil de derechos "todos" se asigna al final de la lista de perfiles de derechos complementarios.
Tabla 10-2 Contenido del perfil de derechos de administrador del sistema
|
El perfil de derechos de operador es un perfil menos poderoso que ofrece la posibilidad de realizar copias de seguridad y mantenimiento de impresoras. La capacidad de restaurar archivos tiene consecuencias de seguridad adicionales. Por lo tanto, en este perfil, la configuración predeterminada no incluye la capacidad de restaurar archivos.
Tabla 10-3 Contenido del perfil de derechos de operador
|
La gestión de impresoras es un perfil de derechos típico que está diseñado para un área de tareas específica. Este perfil incluye autorizaciones y comandos. La siguiente tabla muestra una lista parcial de los comandos.
Tabla 10-4 Contenido del perfil de derechos de gestión de impresoras
|
De manera predeterminada, el perfil de derechos de usuario de Solaris básico se asigna automáticamente a todos los usuarios a través del archivo policy.conf. Este perfil proporciona autorizaciones básicas que resultan útiles en las operaciones habituales. Tenga en cuenta que la comodidad que ofrece el perfil de derechos de usuario de Solaris básico debe equilibrarse con los requisitos de seguridad del sitio. Es posible que los sitios que necesitan una seguridad más estricta prefieran eliminar este perfil del archivo policy.conf.
Tabla 10-5 Contenido del perfil de derechos de usuario de Solaris básico
|
El perfil de derechos "todos" utiliza caracteres comodín para incluir todos los comandos. Este perfil proporciona a un rol acceso a todos los comandos que no se asignaron explícitamente en otros perfiles de derechos. Sin el perfil de derechos "todos" u otros perfiles de derechos que usan caracteres comodín, un rol sólo tiene acceso a los comandos asignados de forma explícita. Un conjunto de comandos tan limitado no resulta muy práctico. No se incluyen autorizaciones en este perfil.
Si se utiliza, el perfil de derechos "todos" debe ser el último perfil que se asigna. De este modo, se garantiza la aplicación de las asignaciones de atributos de seguridad explícitas en otros perfiles de derechos.
Tabla 10-6 Contenido del perfil de derechos "todos"
|
Los comandos de perfiles de derechos se interpretan en orden. La primera instancia de un comando es la única versión del comando que se utiliza para ese rol o usuario. Diferentes perfiles de derechos pueden incluir el mismo comando. Por lo tanto, el orden de los perfiles de derechos en una lista de perfiles es importante. El perfil de derechos con más capacidades debe aparecer en primer lugar.
Los perfiles de derechos se muestran en la interfaz gráfica de usuario de Solaris Management Console y en el archivo prof_attr. En la interfaz gráfica de usuario de Solaris Management Console, el perfil de derechos con más capacidades debe ser el perfil ubicado en la parte superior de la lista de perfiles de derechos asignados. En el archivo prof_attr, el perfil de derechos con más capacidades debe ser el primero de la lista de perfiles complementarios. Esto garantiza que un comando con atributos de seguridad aparezca antes que ese mismo comando sin atributos de seguridad.
La herramienta Rights de Solaris Management Console ofrece una forma de inspeccionar el contenido de los perfiles de derechos.
Los archivos prof_attr y exec_attr proporcionan una vista más fragmentada. El archivo prof_attr contiene el nombre de cada perfil de derechos definido en el sistema. El archivo también incluye las autorizaciones, los privilegios y los perfiles de derechos complementarios para cada perfil. El archivo exec_attr contiene los nombres de los perfiles de derechos y sus comandos con atributos de seguridad.