Omitir V�nculos de navegaci�n | |
Salir de la Vista de impresi�n | |
Directrices de seguridad de Oracle Solaris 11 Oracle Solaris 11 Information Library (Español) |
1. Descripción general de la seguridad de Oracle Solaris 11
2. Configuración de la seguridad de Oracle Solaris 11
Instalación del SO Oracle Solaris
Deshabilitar servicios innecesarios
Quitar a los usuarios la capacidad de gestión de energía
Inserción de un mensaje de seguridad en los archivos de carátula
Inserción de un mensaje de seguridad en la pantalla de inicio de sesión del escritorio
Establecer limitaciones de contraseña más seguras
Establecer el bloqueo de cuenta para los usuarios comunes
Definir un valor umask más restrictivo para los usuarios comunes
Auditar eventos importantes además del inicio y el cierre de sesión
Supervisar eventos lo en tiempo real
Eliminar privilegios básicos innecesarios de los usuarios
Visualización de mensajes de seguridad para usuarios ssh y ftp
Deshabilitar el daemon de enrutamiento de red.
Deshabilitar el reenvío de paquetes de difusión
Deshabilitar las respuestas a las solicitudes de eco
Establecer hosts múltiples estrictos
Definir el número máximo de conexiones TCP incompletas
Definir el número máximo de conexiones TCP pendientes
Especificación de un número aleatorio fuerte para la conexión TCP inicial
Protección de los archivos y los sistemas de archivos
Protección y modificación de archivos
Protección de aplicaciones y servicios
Creación de zonas para contener aplicaciones críticas
Gestión de los recursos en las zonas
Adición de SMF a un servicio antiguo
Creación de una instantánea de BART del sistema
Adición de seguridad de varios niveles (con etiquetas)
Configuración de Trusted Extensions
Configuración de IPsec con etiquetas
3. Supervisión y mantenimiento de la seguridad de Oracle Solaris 11
En este momento, puede que haya creado roles y también usuarios que puedan asumir dichos roles. Sólo el rol root puede modificar archivos de sistema.
De las siguientes tareas de red, realice las que proporcionan seguridad adicional según los requisitos del sitio. Estas tareas de red notifican a los usuarios que inician sesión de manera remota que el sistema está protegido y refuerzan los protocolos de IP, ARP y TCP.
|
Utilice este procedimiento para mostrar advertencias en el inicio de sesión remoto y la transferencia de archivos.
Antes de empezar
Debe tener el rol root. Creó el archivo /etc/issue en Paso 1 of Inserción de un mensaje de seguridad en los archivos de carátula.
# vi /etc/ssh/sshd_config # Banner to be printed before authentication starts. Banner /etc/issue
# svcadm refresh ssh
Para obtener más información, consulte las páginas del comando man issue(4) y sshd_config(4).
# vi /etc/proftpd.conf # Banner to be printed before authentication starts. DisplayConnect /etc/issue
# svcadm restart ftp
Para obtener más información, consulte el sitio web ProFTPD.
Utilice este procedimiento para impedir el enrutamiento de red después de la instalación mediante la especificación de un enrutador predeterminado. De lo contrario, lleve a cabo este procedimiento después de configurar manualmente la ruta.
Nota - Muchos de los procedimientos de configuración de red requieren que el daemon de enrutamiento se desactive. Por lo tanto, puede que haya desactivado este daemon durante la ejecución de un procedimiento de configuración mayor.
Antes de empezar
Debe tener asignado el perfil de derechos de gestión de la red.
# svcs -x svc:/network/routing/route:default svc:/network/routing/route:default (in.routed network routing daemon) State: online since April 10, 2011 05:15:35 AM PDT See: in.routed(1M) See: /var/svc/log/network-routing-route:default.log Impact: None.
Si el servicio no se está ejecutando, puede detenerse aquí.
# routeadm -d ipv4-forwarding -d ipv6-forwarding # routeadm -d ipv4-routing -d ipv6-routing # routeadm -u
# svcs -x routing/route:default svc:/network/routing/route:default (in.routed network routing daemon) State: disabled since April 11, 2011 10:10:10 AM PDT Reason: Disabled by an administrator. See: http://sun.com/msg/SMF-8000-05 See: in.routed(1M) Impact: This service is not running.
Véase también
Página del comando man routeadm(1M)
De manera predeterminada, Oracle Solaris reenvía los paquetes de difusión. Si la política de seguridad de su sitio requiere que se reduzca la posibilidad de desborde de difusión, cambie el valor predeterminado mediante este procedimiento.
Nota - Cuando deshabilita la propiedad de red _forward_directed_broadcasts, se deshabilitan los pings de difusión.
Antes de empezar
Debe tener asignado el perfil de derechos de gestión de la red.
# ipadm set-prop -p _forward_directed_broadcasts=0 ip
# ipadm show-prop -p _forward_directed_broadcasts ip PROTO PROPERTY PERM CURRENT PERSISTENT DEFAULT POSSIBLE ip _forward_directed_broadcasts rw 0 -- 0 0,1
Véase también
Página del comando man ipadm(1M)
Utilice este procedimiento para impedir la difusión de información sobre la topología de la red.
Antes de empezar
Debe tener asignado el perfil de derechos de gestión de la red.
# ipadm set-prop -p _respond_to_echo_broadcast=0 ip # ipadm show-prop -p _respond_to_echo_broadcast ip PROTO PROPERTY PERM CURRENT PERSISTENT DEFAULT POSSIBLE ip _respond_to_echo_broadcast rw 0 -- 1 0,1
# ipadm set-prop -p _respond_to_echo_multicast=0 ipv4 # ipadm set-prop -p _respond_to_echo_multicast=0 ipv6 # ipadm show-prop -p _respond_to_echo_multicast ipv4 PROTO PROPERTY PERM CURRENT PERSISTENT DEFAULT POSSIBLE ipv4 _respond_to_echo_multicast rw 0 -- 1 0,1 # ipadm show-prop -p _respond_to_echo_multicast ipv6 PROTO PROPERTY PERM CURRENT PERSISTENT DEFAULT POSSIBLE ipv6 _respond_to_echo_multicast rw 0 -- 1 0,1
Véase también
Para obtener más información, consulte _respond_to_echo_broadcast y _respond_to_echo_multicast (ipv4 o ipv6) de Manual de referencia de parámetros ajustables de Oracle Solaris y la página del comando man ipadm(1M).
Para los sistemas que son puertas de enlace con otros dominios, como un cortafuegos o un nodo de VPN, utilice este procedimiento para activar la función de hosts múltiples estrictos.
La versión Oracle Solaris 11 presenta una nueva propiedad (hostmodel) , para IPv4 e IPv6. Esta propiedad controla el funcionamiento del envío y la recepción de paquetes IP en un sistema que tiene hosts múltiples.
Antes de empezar
Debe tener asignado el perfil de derechos de gestión de la red.
# ipadm set-prop -p hostmodel=strong ipv4 # ipadm set-prop -p hostmodel=strong ipv6
# ipadm show-prop -p hostmodel ip PROTO PROPERTY PERM CURRENT PERSISTENT DEFAULT POSSIBLE ipv6 hostmodel rw strong strong weak strong,src-priority,weak ipv4 hostmodel rw strong strong weak strong,src-priority,weak
Véase también
Para obtener más información, consulte hostmodel (ipv4 or ipv6) de Manual de referencia de parámetros ajustables de Oracle Solaris y la página del comando man ipadm(1M).
Para obtener más información sobre el uso de los hosts múltiples estrictos, consulte Cómo proteger una VPN con IPsec en modo de túnel de Administración de Oracle Solaris: servicios IP.
Utilice este procedimiento para impedir ataques de denegación de servicio (DOS) mediante el control del número de conexiones pendientes que están incompletas.
Antes de empezar
Debe tener asignado el perfil de derechos de gestión de la red.
# ipadm set-prop -p _conn_req_max_q0=4096 tcp
# ipadm show-prop -p _conn_req_max_q0 tcp PROTO PROPERTY PERM CURRENT PERSISTENT DEFAULT POSSIBLE tcp _conn_req_max_q0 rw 4096 -- 128 1-4294967295
Véase también
Para obtener más información, consulte _conn_req_max_q0 de Manual de referencia de parámetros ajustables de Oracle Solaris y la página del comando man ipadm(1M).
Utilice este procedimiento para impedir ataques de DOS mediante el control del número de conexiones entrantes permitidas.
Antes de empezar
Debe tener asignado el perfil de derechos de gestión de la red.
# ipadm set-prop -p _conn_req_max_q=1024 tcp
# ipadm show-prop -p _conn_req_max_q tcp PROTO PROPERTY PERM CURRENT PERSISTENT DEFAULT POSSIBLE tcp _conn_req_max_q rw 1024 -- 128 1-4294967295
Véase también
Para obtener más información, consulte _conn_req_max_q de Manual de referencia de parámetros ajustables de Oracle Solaris y la página del comando man ipadm(1M).
Este procedimiento define el parámetro de generación de número de secuencia inicial TCP para cumplir con RFC 1948.
Antes de empezar
Debe estar en el rol root para modificar un archivo de sistema.
# vi /etc/default/inetinit # TCP_STRONG_ISS=1 TCP_STRONG_ISS=2
Muchos parámetros de red que son seguros de manera predeterminada son ajustables. Esto significa que pueden modificarse. Si las condiciones del sitio lo permiten, reestablezca los valores predeterminados de los siguientes parámetros ajustables.
Antes de empezar
Debe tener asignado el perfil de derechos de gestión de la red. El valor actual del parámetro es menos seguro que el valor predeterminado.
El valor predeterminado impide los ataques de DOS de paquetes suplantados.
# ipadm set-prop -p _forward_src_routed=0 ipv4 # ipadm set-prop -p _forward_src_routed=0 ipv6 # ipadm show-prop -p _forward_src_routed ipv4 PROTO PROPERTY PERM CURRENT PERSISTENT DEFAULT POSSIBLE ipv4 _forward_src_routed rw 0 -- 0 0,1 # ipadm show-prop -p _forward_src_routed ipv6 PROTO PROPERTY PERM CURRENT PERSISTENT DEFAULT POSSIBLE ipv6 _forward_src_routed rw 0 -- 0 0,1
Para obtener más información, consulte forwarding (ipv4 or ipv6) de Manual de referencia de parámetros ajustables de Oracle Solaris.
El valor predeterminado impide la difusión de información sobre la topología de red.
# ipadm set-prop -p _respond_to_address_mask_broadcast=0 ip # ipadm show-prop -p _respond_to_address_mask_broadcast ip PROTO PROPERTY PERM CURRENT PERSISTENT DEFAULT POSSIBLE ip _respond_to_address_mask_broadcast rw 0 -- 0 0,1
El valor predeterminado elimina las demandas adicionales de CPU en los sistemas e impide la difusión de información sobre la red.
# ipadm set-prop -p _respond_to_timestamp=0 ip # ipadm show-prop -p _respond_to_timestamp ip PROTO PROPERTY PERM CURRENT PERSISTENT DEFAULT POSSIBLE ip _respond_to_timestamp rw 0 -- 0 0,1
El valor predeterminado elimina las demandas adicionales de CPU en los sistemas e impide la difusión de información sobre la red.
# ipadm set-prop -p _respond_to_timestamp_broadcast=0 ip # ipadm show-prop -p _respond_to_timestamp_broadcast ip PROTO PROPERTY PERM CURRENT PERSISTENT DEFAULT POSSIBLE ip _respond_to_timestamp_broadcast rw 0 -- 0 0,1
El valor predeterminado impide las demandas adicionales de CPU en los sistemas.
# ipadm set-prop -p _ignore_redirect=0 ipv4 # ipadm set-prop -p _ignore_redirect=0 ipv6 # ipadm show-prop -p _ignore_redirect ipv4 PROTO PROPERTY PERM CURRENT PERSISTENT DEFAULT POSSIBLE ipv4 _ignore_redirect rw 0 -- 0 0,1 # ipadm show-prop -p _ignore_redirect ipv6 PROTO PROPERTY PERM CURRENT PERSISTENT DEFAULT POSSIBLE ipv6 _ignore_redirect rw 0 -- 0 0,1
Si necesita el enrutamiento de origen de IP para realizar diagnósticos, no deshabilite este parámetro de red.
# ipadm set-prop -p _rev_src_routes=0 tcp # ipadm show-prop -p _rev_src_routes tcp PROTO PROPERTY PERM CURRENT PERSISTENT DEFAULT POSSIBLE tcp _rev_src_routes rw 0 -- 0 0,1
Para obtener más información, consulte _rev_src_routes de Manual de referencia de parámetros ajustables de Oracle Solaris.
El valor predeterminado impide las demandas adicionales de CPU en los sistemas. Por lo general, los redireccionamientos no son necesarios en las redes que están bien diseñadas.
# ipadm set-prop -p _ignore_redirect=0 ipv4 # ipadm set-prop -p _ignore_redirect=0 ipv6 # ipadm show-prop -p _ignore_redirect ipv4 PROTO PROPERTY PERM CURRENT PERSISTENT DEFAULT POSSIBLE ipv4 _ignore_redirect rw 0 -- 0 0,1 # ipadm show-prop -p _ignore_redirect ipv6 PROTO PROPERTY PERM CURRENT PERSISTENT DEFAULT POSSIBLE ipv6 _ignore_redirect rw 0 -- 0 0,1
Véase también
Página del comando man ipadm(1M)