Omitir V�nculos de navegaci�n | |
Salir de la Vista de impresi�n | |
Guía de administración del sistema: servicios de seguridad |
Parte I Descripción general de la seguridad
1. Servicios de seguridad (descripción general)
Parte II Seguridad de sistemas, archivos y dispositivos
2. Gestión de seguridad de equipos (descripción general)
3. Control de acceso a sistemas (tareas)
Control de acceso al sistema (mapa de tareas)
Protección de inicios de sesión y contraseñas (mapa de tareas)
Protección de inicios de sesión y contraseñas
Cómo mostrar el estado de inicio de sesión de un usuario
Cómo visualizar usuarios sin contraseñas
Cómo deshabilitar temporalmente inicios de sesión de usuarios
Cómo supervisar intentos de inicio de sesión fallidos
Cómo supervisar todos los intentos de inicio de sesión fallidos
Cómo crear una contraseña de marcación telefónica
Cómo deshabilitar temporalmente inicios de sesión de marcación telefónica
Cambio del algoritmo de contraseña (mapa de tareas)
Cambio de algoritmo predeterminado para cifrado de contraseña
Cómo especificar un algoritmo para cifrado de contraseña
Cómo especificar un nuevo algoritmo de contraseña para un dominio NIS
Cómo especificar un nuevo algoritmo de contraseña para un dominio NIS+
Cómo especificar un nuevo algoritmo de contraseña para un dominio LDAP
Cómo instalar un módulo de cifrado de contraseña de un tercero
Supervisión y restricción de superusuario (mapa de tareas)
Supervisión y restricción de superusuario
Cómo supervisar quién está utilizando el comando su
Cómo restringir y supervisar inicios de sesión de superusuario
SPARC: control de acceso a hardware del sistema (mapa de tareas)
Control de acceso a hardware del sistema
Cómo requerir una contraseña para el acceso al hardware
Cómo deshabilitar una secuencia de interrupción del sistema
4. Control de acceso a dispositivos (tareas)
5. Uso de la herramienta básica de creación de informes de auditoría (tareas)
6. Control de acceso a archivos (tareas)
7. Uso de la herramienta automatizada de mejora de la seguridad (tareas)
Parte III Roles, perfiles de derechos y privilegios
8. Uso de roles y privilegios (descripción general)
9. Uso del control de acceso basado en roles (tareas)
10. Control de acceso basado en roles (referencia)
Parte IV Servicios criptográficos
13. Estructura criptográfica de Oracle Solaris (descripción general)
14. Estructura criptográfica de Oracle Solaris (tareas)
15. Estructura de gestión de claves de Oracle Solaris
Parte V Servicios de autenticación y comunicación segura
16. Uso de servicios de autenticación (tareas)
19. Uso de Oracle Solaris Secure Shell (tareas)
20. Oracle Solaris Secure Shell (referencia)
21. Introducción al servicio Kerberos
22. Planificación del servicio Kerberos
23. Configuración del servicio Kerberos (tareas)
24. Mensajes de error y resolución de problemas de Kerberos
25. Administración de las políticas y los principales de Kerberos (tareas)
26. Uso de aplicaciones Kerberos (tareas)
27. El servicio Kerberos (referencia)
Parte VII Auditoría de Oracle Solaris
28. Auditoría de Oracle Solaris (descripción general)
29. Planificación de la auditoría de Oracle Solaris
30. Gestión de la auditoría de Oracle Solaris (tareas)
Una alternativa al uso de la cuenta de superusuario es establecer el control de acceso basado en roles. El control de acceso basado en roles se denomina RBAC. Para obtener información general sobre RBAC, consulte Control de acceso basado en roles (descripción general). Para configurar RBAC, consulte el Capítulo 9Uso del control de acceso basado en roles (tareas).
El archivo sulog lista cada uso del comando su, no sólo los intentos de su que se utilizan para cambiar de usuario a superusuario.
# more /var/adm/sulog SU 12/20 16:26 + pts/0 stacey-root SU 12/21 10:59 + pts/0 stacey-root SU 01/12 11:11 + pts/0 root-rimmer SU 01/12 14:56 + pts/0 pmorph-root SU 01/12 14:57 + pts/0 pmorph-root
Las entradas muestran la información siguiente:
La fecha y la hora en las que el comando se introdujo.
Si el intento tuvo éxito. Un signo más (+) indica un intento con éxito. Un signo menos (-) indica un intento fallido.
El puerto desde el que se ha ejecutado el comando.
El nombre del usuario y el nombre de la identidad cambiada.
El registro de su en este archivo se habilita de manera predeterminada mediante la siguiente entrada en el archivo /etc/default/su:
SULOG=/var/adm/sulog
Errores más frecuentes
Las entradas que incluyen ??? indican que el terminal de control para el comando su no se pueden identificar. Normalmente, las invocaciones del sistema del comando su antes de que el escritorio aparezca incluyen ???, como en SU 10/10 08:08 + ??? root-root. Después de que el usuario inicia una sesión de escritorio, el comando ttynam devuelve el valor del terminal de control a sulog: SU 10/10 10:10 + pts/3 jdoe-root.
Las entradas similares a las siguientes pueden indicar que el comando su no fue invocado en la línea de comandos: SU 10/10 10:20 + ??? root-oracle. Es posible que el usuario haya cambiado al rol oracle utilizando una GUI.
Este método detecta inmediatamente intentos de superusuarios de acceder al sistema local.
CONSOLE=/dev/console
De manera predeterminada, el dispositivo de consola se establece en /dev/console. Con este valor, root puede iniciar sesión en la consola. root no puede iniciar sesión de manera remota.
Desde un sistema remoto, intente iniciar sesión como superusuario.
mach2 % rlogin -l root mach1 Password: <Type root password of mach1> Not on system console Connection closed.
De manera predeterminada, los intentos de convertirse en superusuario son impresos en la consola por la utilidad SYSLOG.
% su - Password: <Type root password> #
Se imprime un mensaje en la consola del terminal.
Sep 7 13:22:57 mach1 su: 'su root' succeeded for jdoe on /dev/pts/6
Ejemplo 3-7 Registro de intentos de acceso de superusuario
En este ejemplo, los intentos de superusuario no están siendo registrados por SYSLOG. Por lo tanto, el administrador está registrando esos intentos eliminando el comentario de la entrada #CONSOLE=/dev/console en el archivo /etc/default/su.
# CONSOLE determines whether attempts to su to root should be logged # to the named device # CONSOLE=/dev/console
Cuando un usuario intenta convertirse en superusuario, el intento se imprime en la consola del terminal.
SU 09/07 16:38 + pts/8 jdoe-root
Errores más frecuentes
Para convertirse en superusuario de un sistema remoto cuando el archivo /etc/default/login contiene la entrada CONSOLE predeterminada, los usuarios deben, primero, iniciar sesión con su nombre de usuario. Después de iniciar sesión con su nombre de usuario, los usuarios pueden utilizar el comando su para convertirse en superusuario.
Si la consola muestra una entrada similar a Mar 16 16:20:36 mach1 login: ROOT LOGIN /dev/pts/14 FROM mach2.Example.COM, el sistema permite inicios de sesión root remotos. Para evitar el acceso remoto de superusuario, cambie la entrada #CONSOLE=/dev/console a CONSOLE=/dev/console en el archivo /etc/default/login.