JavaScript is required to for searching.
Omitir V�nculos de navegaci�n
Salir de la Vista de impresi�n
Guía de administración del sistema: servicios de seguridad
search filter icon
search icon

Información del documento

Prefacio

Parte I Descripción general de la seguridad

1.  Servicios de seguridad (descripción general)

Parte II Seguridad de sistemas, archivos y dispositivos

2.  Gestión de seguridad de equipos (descripción general)

3.  Control de acceso a sistemas (tareas)

4.  Control de acceso a dispositivos (tareas)

5.  Uso de la herramienta básica de creación de informes de auditoría (tareas)

6.  Control de acceso a archivos (tareas)

Uso de permisos UNIX para proteger archivos

Comandos para visualizar y proteger archivos

Propiedad de archivos y directorios

Permisos de archivo UNIX

Permisos de archivo especiales (setuid, setgid y bit de permanencia)

Permiso setuid

Permiso setgid

Bit de permanencia

Valor umask predeterminado

Modos de permiso de archivo

Uso de listas de control de acceso para proteger archivos UFS

Entradas de ACL para archivos UFS

Entradas de ACL para directorios UFS

Comandos para administrar ACL de UFS

Cómo impedir que los archivos ejecutables pongan en riesgo la seguridad

Protección de archivos (mapa de tareas)

Protección de archivos con permisos UNIX (mapa de tareas)

Cómo visualizar información de archivos

Cómo cambiar el propietario de un archivo local

Cómo cambiar la propiedad de grupo de un archivo

Cómo cambiar los permisos de archivo en modo simbólico

Cómo cambiar permisos de archivo en modo absoluto

Cómo cambiar permisos de archivo especiales en modo absoluto

Protección de archivos UFS con ACL (mapa de tareas)

Cómo comprobar si un archivo tiene una ACL

Cómo agregar entradas de ACL a un archivo

Cómo copiar una ACL

Cómo cambiar entradas de ACL en un archivo

Cómo eliminar entradas de ACL de un archivo

Cómo visualizar entradas de ACL de un archivo

Protección contra programas con riesgo de seguridad (mapa de tareas)

Cómo buscar archivos con permisos de archivo especiales

Cómo impedir que programas usen pilas ejecutables

7.  Uso de la herramienta automatizada de mejora de la seguridad (tareas)

Parte III Roles, perfiles de derechos y privilegios

8.  Uso de roles y privilegios (descripción general)

9.  Uso del control de acceso basado en roles (tareas)

10.  Control de acceso basado en roles (referencia)

11.  Privilegios (tareas)

12.  Privilegios (referencia)

Parte IV Servicios criptográficos

13.  Estructura criptográfica de Oracle Solaris (descripción general)

14.  Estructura criptográfica de Oracle Solaris (tareas)

15.  Estructura de gestión de claves de Oracle Solaris

Parte V Servicios de autenticación y comunicación segura

16.  Uso de servicios de autenticación (tareas)

17.  Uso de PAM

18.  Uso de SASL

19.  Uso de Oracle Solaris Secure Shell (tareas)

20.  Oracle Solaris Secure Shell (referencia)

Parte VI Servicio Kerberos

21.  Introducción al servicio Kerberos

22.  Planificación del servicio Kerberos

23.  Configuración del servicio Kerberos (tareas)

24.  Mensajes de error y resolución de problemas de Kerberos

25.  Administración de las políticas y los principales de Kerberos (tareas)

26.  Uso de aplicaciones Kerberos (tareas)

27.  El servicio Kerberos (referencia)

Parte VII Auditoría de Oracle Solaris

28.  Auditoría de Oracle Solaris (descripción general)

29.  Planificación de la auditoría de Oracle Solaris

30.  Gestión de la auditoría de Oracle Solaris (tareas)

31.  Auditoría de Oracle Solaris (referencia)

Glosario

Índice

Cómo impedir que los archivos ejecutables pongan en riesgo la seguridad

Varios errores de seguridad están relacionados con las pilas ejecutables predeterminadas cuando los permisos están establecidos en lectura, escritura y ejecución. Si bien las pilas con permisos de ejecución están permitidas, la mayoría de los programas pueden funcionar correctamente sin utilizar pilas ejecutables.

La variable noexec_user_stack permite especificar si las asignaciones de pilas son ejecutables. La variable está disponible a partir de la versión Solaris 2.6. De manera predeterminada, esta variable está establecida en cero, excepto en aplicaciones de 64 bits, que proporciona un comportamiento compatible con ABI. Si la variable está establecida en un valor que no es cero, el sistema marca la pila de cada uno de los procesos del sistema como que se puede leer y escribir, pero no ejecutar.

Una vez que esta variable se define, se envía una señal SIGSEGV a los programas que intentan ejecutar el código en sus pilas. Esta señal, normalmente, tiene como resultado la terminación del programa con un volcado del núcleo central. Esos programas también generan un mensaje de advertencia que incluye el nombre del programa ofensivo, el ID de proceso y el UID real del usuario que ejecutó el programa. Por ejemplo:

a.out[347] attempt to execute code on stack by uid 555 

El mensaje es registrado por el daemon syslog cuando la utilidad syslog kern está establecida en el nivel notice. Este registro está establecido de manera predeterminada en el archivo syslog.conf, lo que significa que el mensaje se envía a la consola y al archivo /var/adm/messages. Para obtener más información, consulte las páginas del comando man syslogd(1M) y syslog.conf(4).

El mensaje syslog es útil para observar posibles problemas de seguridad. El mensaje también identifica programas válidos que dependen de pilas ejecutables cuyo funcionamiento correcto ha sido impedido al establecer esta variable. Si no desea que se registre ningún mensaje, establezca la variable noexec_user_stack_log en cero, en el archivo /etc/system. Aunque los mensajes no se registran, la señal SIGSEGV puede continuar para hacer que el programa en ejecución finalice con un volcado del núcleo central.

Puede utilizar la función mprotect() si desea que los programas marquen de forma explícita sus pilas como ejecutables. Para obtener más información, consulte la página del comando man mprotect(2).

Debido a las limitaciones de hardware, la capacidad de capturar y generar informes de problemas de pilas ejecutables no está disponible en la mayoría de los sistemas basados en x86. Los sistemas de la familia de productos AMD64 pueden capturar e informar problemas de pilas ejecutables.