Omitir V�nculos de navegaci�n | |
Salir de la Vista de impresi�n | |
Guía de administración del sistema: servicios de seguridad |
Parte I Descripción general de la seguridad
1. Servicios de seguridad (descripción general)
Parte II Seguridad de sistemas, archivos y dispositivos
2. Gestión de seguridad de equipos (descripción general)
3. Control de acceso a sistemas (tareas)
4. Control de acceso a dispositivos (tareas)
5. Uso de la herramienta básica de creación de informes de auditoría (tareas)
6. Control de acceso a archivos (tareas)
Uso de permisos UNIX para proteger archivos
Comandos para visualizar y proteger archivos
Propiedad de archivos y directorios
Permisos de archivo especiales (setuid, setgid y bit de permanencia)
Uso de listas de control de acceso para proteger archivos UFS
Entradas de ACL para archivos UFS
Entradas de ACL para directorios UFS
Comandos para administrar ACL de UFS
Cómo impedir que los archivos ejecutables pongan en riesgo la seguridad
Protección de archivos (mapa de tareas)
Protección de archivos con permisos UNIX (mapa de tareas)
Cómo visualizar información de archivos
Cómo cambiar el propietario de un archivo local
Cómo cambiar la propiedad de grupo de un archivo
Cómo cambiar los permisos de archivo en modo simbólico
Cómo cambiar permisos de archivo en modo absoluto
Cómo cambiar permisos de archivo especiales en modo absoluto
Protección de archivos UFS con ACL (mapa de tareas)
Cómo comprobar si un archivo tiene una ACL
Cómo agregar entradas de ACL a un archivo
Cómo cambiar entradas de ACL en un archivo
Cómo eliminar entradas de ACL de un archivo
Cómo visualizar entradas de ACL de un archivo
Protección contra programas con riesgo de seguridad (mapa de tareas)
Cómo buscar archivos con permisos de archivo especiales
Cómo impedir que programas usen pilas ejecutables
7. Uso de la herramienta automatizada de mejora de la seguridad (tareas)
Parte III Roles, perfiles de derechos y privilegios
8. Uso de roles y privilegios (descripción general)
9. Uso del control de acceso basado en roles (tareas)
10. Control de acceso basado en roles (referencia)
Parte IV Servicios criptográficos
13. Estructura criptográfica de Oracle Solaris (descripción general)
14. Estructura criptográfica de Oracle Solaris (tareas)
15. Estructura de gestión de claves de Oracle Solaris
Parte V Servicios de autenticación y comunicación segura
16. Uso de servicios de autenticación (tareas)
19. Uso de Oracle Solaris Secure Shell (tareas)
20. Oracle Solaris Secure Shell (referencia)
21. Introducción al servicio Kerberos
22. Planificación del servicio Kerberos
23. Configuración del servicio Kerberos (tareas)
24. Mensajes de error y resolución de problemas de Kerberos
25. Administración de las políticas y los principales de Kerberos (tareas)
26. Uso de aplicaciones Kerberos (tareas)
27. El servicio Kerberos (referencia)
Parte VII Auditoría de Oracle Solaris
28. Auditoría de Oracle Solaris (descripción general)
29. Planificación de la auditoría de Oracle Solaris
30. Gestión de la auditoría de Oracle Solaris (tareas)
El siguiente mapa de tareas indica procedimientos que enumeran permisos de archivo, cambian permisos de archivo y protegen archivos con permisos de archivo especiales.
|
Visualice información sobre todos los archivos en un directorio mediante el comando ls.
% ls -la
Muestra el formato largo que incluye la propiedad de usuario, la propiedad de grupo y los permisos de archivo.
Muestra todos los archivos, incluidos los archivos ocultos que empiezan con un punto (.).
Ejemplo 6-1 Visualización de información de archivos
En el siguiente ejemplo, se muestra una lista parcial de los archivos en el directorio /sbin.
% cd /sbin % ls -la total 13456 drwxr-xr-x 2 root sys 512 Sep 1 14:11 . drwxr-xr-x 29 root root 1024 Sep 1 15:40 .. -r-xr-xr-x 1 root bin 218188 Aug 18 15:17 autopush lrwxrwxrwx 1 root root 21 Sep 1 14:11 bpgetfile -> ... -r-xr-xr-x 1 root bin 505556 Aug 20 13:24 dhcpagent -r-xr-xr-x 1 root bin 456064 Aug 20 13:25 dhcpinfo -r-xr-xr-x 1 root bin 272360 Aug 18 15:19 fdisk -r-xr-xr-x 1 root bin 824728 Aug 20 13:29 hostconfig -r-xr-xr-x 1 root bin 603528 Aug 20 13:21 ifconfig -r-xr-xr-x 1 root sys 556008 Aug 20 13:21 init -r-xr-xr-x 2 root root 274020 Aug 18 15:28 jsh -r-xr-xr-x 1 root bin 238736 Aug 21 19:46 mount -r-xr-xr-x 1 root sys 7696 Aug 18 15:20 mountall . . .
Cada una de las líneas muestra información sobre un archivo en el siguiente orden:
Tipo de archivo, por ejemplo, d. Para obtener una lista de tipos de archivo, consulte Propiedad de archivos y directorios.
Permisos, por ejemplo, r-xr-xr-x. Para obtener una descripción, consulte Propiedad de archivos y directorios.
Número de enlaces físicos, por ejemplo, 2.
Propietario del archivo, por ejemplo, root.
Grupo del archivo, por ejemplo, bin.
Tamaño del archivo, en bytes, por ejemplo, 7696.
Fecha de creación del archivo o la última fecha en la que el archivo se modificó, por ejemplo, Aug 18 15:20.
Nombre del archivo, por ejemplo, mountall.
El propietario del archivo, el rol de administrador principal o el superusuario pueden cambiar la propiedad de cualquier archivo.
% ls -l example-file -rw-r--r-- 1 janedoe staff 112640 May 24 10:49 example-file
El rol de administrador principal incluye el perfil de administrador principal. Para crear el rol y asignarlo a un usuario, consulte el Capítulo 2, Trabajo con Solaris Management Console (tareas) de Guía de administración del sistema: administración básica.
# chown stacey example-file
# ls -l example-file -rw-r--r-- 1 stacey staff 112640 May 26 08:50 example-file
Ejemplo 6-2 Cómo permitir que los usuarios cambien la propiedad de sus propios archivos
Consideración de seguridad: necesita una buena razón para cambiar el valor de la variable rstchown a cero. Este valor permite a un usuario cambiar la propiedad de sus archivos a otro nombre de usuario.
En este ejemplo, el valor de la variable rstchown se define en cero, en el archivo /etc/system. Este valor permite al propietario de un archivo utilizar el comando chown para cambiar la propiedad del archivo a otro usuario. Este valor también permite al propietario utilizar el comando chgrp para establecer la propiedad de grupo de un archivo en un grupo al que el propietario no pertenece. El cambio entra en vigor cuando se reinicia el sistema.
set rstchown = 0
Para obtener más información, consulte las páginas del comando man chown(1) y chgrp(1).
Además, tenga en cuenta que los sistemas de archivos montados en NFS tienen otras restricciones para cambiar propiedades y grupos. Para obtener más información sobre la restricción del acceso a sistemas montados en NFS, consulte el Capítulo 6, Acceso a los sistemas de archivos de red (referencia) de Guía de administración del sistema: servicios de red.
El rol de administrador principal incluye el perfil de administrador principal. Para crear el rol y asignarlo a un usuario, consulte el Capítulo 2, Trabajo con Solaris Management Console (tareas) de Guía de administración del sistema: administración básica.
$ chgrp scifi example-file
Para obtener información sobre la configuración de grupos, consulte el Capítulo 4, Gestión de grupos y cuentas de usuario (descripción general) de Guía de administración del sistema: administración básica.
$ ls -l example-file -rw-r--r-- 1 stacey scifi 112640 June 20 08:55 example-file
Consulte también el Ejemplo 6-2.
Sólo el propietario o el superusuario actuales pueden utilizar el comando chmod para cambiar los permisos de archivo de un archivo o directorio.
% chmod who operator permissions filename
Especifica los permisos de qué usuarios se van a cambiar.
Especifica la operación que se va a realizar.
Especifica qué permisos se van a cambiar. Para obtener la lista de símbolos válidos, consulte la Tabla 6-5.
Especifica el archivo o directorio.
% ls -l filename
Ejemplo 6-3 Cambio de permisos en modo simbólico
En el siguiente ejemplo, el permiso de lectura se quita de otros.
% chmod o-r example-file1
En el siguiente ejemplo, los permisos de lectura y ejecución se agregan para usuario, grupo y otros.
$ chmod a+rx example-file2
En el siguiente ejemplo, los permisos de lectura, escritura y ejecución se asignan a grupo.
$ chmod g=rwx example-file3
Sólo el propietario o el superusuario actuales pueden utilizar el comando chmod para cambiar los permisos de archivo de un archivo o directorio.
% chmod nnn filename
Especifica los valores octales que representan los permisos para el propietario de archivo, el grupo de archivos y otros, en ese orden. Para obtener la lista de valores octales válidos, consulte la Tabla 6-4.
Especifica el archivo o directorio.
Nota - Al utilizar el comando chmod para cambiar los permisos de grupo de archivos en un archivo con entradas de ACL, tanto los permisos de grupo de archivos como la máscara de la ACL se cambian a los nuevos permisos. Tenga en cuenta que los nuevos permisos de la máscara de la ACL pueden cambiar los permisos para otros usuarios y grupos que tienen entradas de ACL en el archivo. Utilice el comando getfacl para asegurarse de que los permisos adecuados se establezcan para todas las entradas de la ACL. Para obtener más información, consulte la página del comando man getfacl(1).
% ls -l filename
Ejemplo 6-4 Cambio de permisos en modo absoluto
En el siguiente ejemplo, los permisos de un directorio público se cambian de 744 (lectura, escritura, ejecución; sólo lectura; y sólo lectura) a 755 (lectura, escritura, ejecución; lectura y ejecución; y lectura y ejecución).
# ls -ld public_dir drwxr--r-- 1 jdoe staff 6023 Aug 5 12:06 public_dir # chmod 755 public_dir # ls -ld public_dir drwxr-xr-x 1 jdoe staff 6023 Aug 5 12:06 public_dir
En el siguiente ejemplo, los permisos de una secuencia de comandos de shell ejecutable se cambian de lectura y escritura a lectura, escritura y ejecución.
% ls -l my_script -rw------- 1 jdoe staff 6023 Aug 5 12:06 my_script % chmod 700 my_script % ls -l my_script -rwx------ 1 jdoe staff 6023 Aug 5 12:06 my_script
Sólo el propietario actual o un usuario con capacidades de superusuario pueden utilizar el comando chmod para cambiar los permisos especiales en un archivo o directorio.
% chmod nnnn filename
Especifica los valores octales que cambian los permisos en el archivo o directorio. El valor octal que se encuentra más a la izquierda establece los permisos especiales en el archivo. Para obtener la lista de valores octales válidos para permisos especiales, consulte la Tabla 6-6.
Especifica el archivo o directorio.
Nota - Al utilizar el comando chmod para cambiar los permisos de grupo de archivos en un archivo con entradas de ACL, tanto los permisos de grupo de archivos como la máscara de la ACL se cambian a los nuevos permisos. Tenga en cuenta que los nuevos permisos de la máscara de ACL pueden cambiar los permisos para otros usuarios y grupos que tienen entradas de ACL en el archivo. Utilice el comando getfacl para asegurarse de que los permisos adecuados se establezcan para todas las entradas de la ACL. Para obtener más información, consulte la página del comando man getfacl(1).
% ls -l filename
Ejemplo 6-5 Establecimiento de permisos de archivo especiales en modo absoluto
En el ejemplo siguiente, el permiso setuid está establecido en el archivo dbprog.
# chmod 4555 dbprog # ls -l dbprog -r-sr-xr-x 1 db staff 12095 May 6 09:29 dbprog
En el ejemplo siguiente, el permiso setgid está establecido en el archivo dbprog2.
# chmod 2551 dbprog2 # ls -l dbprog2 -r-xr-s--x 1 db staff 24576 May 6 09:30 dbprog2
En el siguiente ejemplo, el permiso de bit de permanencia está establecido en el directorio public_dir.
# chmod 1777 public_dir # ls -ld public_dir drwxrwxrwt 2 jdoe staff 512 May 15 15:27 public_dir