Omitir V�nculos de navegaci�n | |
Salir de la Vista de impresi�n | |
Administración de Oracle Solaris: servicios de seguridad Oracle Solaris 11 Information Library (Español) |
Parte I Descripción general de la seguridad
1. Servicios de seguridad (descripción general)
Parte II Seguridad de sistemas, archivos y dispositivos
2. Gestión de seguridad de equipos (descripción general)
3. Control de acceso a sistemas (tareas)
4. Servicio de análisis de virus (tareas)
5. Control de acceso a dispositivos (tareas)
Configuración de dispositivos (mapa de tareas)
Configuración de política de dispositivos (tareas)
Configuración de política de dispositivos (mapa de tareas)
Cómo ver una política de dispositivos
Cómo cambiar la política de dispositivos en un dispositivo existente
Cómo auditar cambios en la política de dispositivos
Cómo recuperar información MIB-II IP de un dispositivo /dev/*
Gestión de asignación de dispositivos (tareas)
Gestión de asignación de dispositivos (mapa de tareas)
Cómo habilitar la asignación de dispositivos
Cómo autorizar a usuarios para que asignen un dispositivo
Cómo ver la información de asignación de un dispositivo
Asignación forzada de un dispositivo
Desasignación forzada de un dispositivo
Asignación de dispositivos (tareas)
Cómo montar un dispositivo asignado
Cómo desasignar un dispositivo
Protección de dispositivos (referencia)
Comandos de la política de dispositivos
Componentes de la asignación de dispositivos
Servicio de asignación de dispositivos
Perfiles de derechos de asignación de dispositivos
Comandos de asignación de dispositivos
Secuencias de comandos device-clean
6. Uso de la herramienta básica de creación de informes de auditoría (tareas)
7. Control de acceso a archivos (tareas)
Parte III Roles, perfiles de derechos y privilegios
8. Uso de roles y privilegios (descripción general)
9. Uso del control de acceso basado en roles (tareas)
10. Atributos de seguridad en Oracle Solaris (referencia)
Parte IV Servicios criptográficos
11. Estructura criptográfica (descripción general)
12. Estructura criptográfica (tareas)
13. Estructura de gestión de claves
Parte V Servicios de autenticación y comunicación segura
14. Autenticación de servicios de red (tareas)
17. Uso de Secure Shell (tareas)
19. Introducción al servicio Kerberos
20. Planificación del servicio Kerberos
21. Configuración del servicio Kerberos (tareas)
22. Mensajes de error y resolución de problemas de Kerberos
23. Administración de las políticas y los principales de Kerberos (tareas)
24. Uso de aplicaciones Kerberos (tareas)
25. El servicio Kerberos (referencia)
Parte VII Auditoría en Oracle Solaris
26. Auditoría (descripción general)
27. Planificación de la auditoría
La asignación de dispositivos restringe o impide el acceso a dispositivos periféricos. Se aplican restricciones en el momento de asignación de usuarios. De manera predeterminada, los usuarios deben tener autorización para acceder a dispositivos asignables.
El siguiente mapa de tareas hace referencia a los procedimientos para habilitar y configurar la asignación de dispositivos. La asignación de dispositivos está deshabilitada de manera predeterminada. Después de que la asignación de dispositivos esté habilitada, consulte Asignación de dispositivos (tareas) para obtener instrucciones sobre la asignación de dispositivos.
|
Antes de empezar
Se debe tener asignado el perfil de derechos de seguridad de dispositivos.
Para obtener más información, consulte Cómo obtener derechos administrativos.
# svcadm enable svc:/system/device/allocate # svcs -x allocate svc:/system/device/allocate:default (device allocation) State: online since September 10, 2011 01:10:11 PM PDT See: allocate(1) See: deallocate(1) See: list_devices(1) See: device_allocate(1M) See: mkdevalloc(1M) See: mkdevmaps(1M) See: dminfo(1M) See: device_maps(4) See: /var/svc/log/system-device-allocate:default.log Impact: None.
Para deshabilitar el servicio de asignación de dispositivos, utilice el subcomando disable.
# svcadm disable device/allocate
Antes de empezar
Se debe tener asignado el perfil de derechos de seguridad de usuarios.
Para obtener más información, consulte Cómo obtener derechos administrativos.
Generalmente, debe crear un perfil de derechos que incluya la autorización solaris.device.allocate. Siga las instrucciones de Cómo crear o cambiar un perfil de derechos. Otorgue al perfil de derechos las propiedades adecuadas, como las siguientes:
Nombre del perfil de derechos: Device Allocation
Autorizaciones otorgadas: solaris.device.allocate
Comandos con atributos de seguridad: en la base de datos exec_attr, mount con el privilegio sys_mount y umount con el privilegio sys_mount
Siga las instrucciones de Cómo crear un rol. Utilice las siguientes propiedades del rol como guía:
Nombre del rol: devicealloc
Nombre completo del rol: Device Allocator
Descripción del rol: Allocates and mounts allocated devices
Perfil de derechos: Device Allocation
Este perfil de derechos debe ser el primero de la lista de perfiles incluidos en el rol.
Para ver ejemplos de cómo asignar medios extraíbles, consulte Cómo asignar un dispositivo.
Antes de empezar
Ha completado Cómo habilitar la asignación de dispositivos.
Se debe tener asignado el perfil de derechos de seguridad de dispositivos.
Para obtener más información, consulte Cómo obtener derechos administrativos.
# list_devices device-name
Donde nombre_dispositivo es uno de los siguientes:
audio[n]: micrófono y altavoz.
fd[n]: unidad de disquete.
rmdisk[n]: es un dispositivo de medios extraíbles.
sr[n]: unidad de CD-ROM.
st[n]: unidad de cinta.
Errores más frecuentes
Si el comando list_devices devuelve un mensaje de error similar al siguiente, es posible que la asignación de dispositivos no esté habilitada o que usted no cuente con permisos suficientes para recuperar la información.
list_devices: No device maps file entry for specified device.
Para que el comando se ejecute correctamente, habilite la asignación de dispositivos y asuma un rol con la autorización solaris.device.revoke.
La asignación forzada se utiliza cuando alguien ha olvidado desasignar un dispositivo. La asignación forzada también se puede utilizar cuando un usuario tiene una necesidad inmediata de un dispositivo.
Antes de empezar
Se debe tener asignada la autorización solaris.device.revoke.
$ auths solaris.device.allocate solaris.device.revoke
En este ejemplo, la unidad de cinta se asigna de manera forzada al usuario jdoe.
$ allocate -U jdoe
Los dispositivos que un usuario ha asignado no se desasignan automáticamente cuando finaliza el proceso o cuando el usuario cierra la sesión. La desasignación forzada se utiliza cuando un usuario ha olvidado desasignar un dispositivo.
Antes de empezar
Se debe tener asignada la autorización solaris.device.revoke.
$ auths solaris.device.allocate solaris.device.revoke
En este ejemplo, la impresora se desasigna de manera forzada. La impresora ahora está disponible para que otro usuario la asigne.
$ deallocate -f /dev/lp/printer-1
Antes de empezar
La asignación de dispositivos debe estar habilitada para que este procedimiento se realice correctamente. Para habilitar la asignación de dispositivos, consulte Cómo habilitar la asignación de dispositivos. Debe ser superusuario.
Cambie el quinto campo en la entrada del dispositivo del archivo device_allocate.
audio;audio;reserved;reserved;solaris.device.allocate;/etc/security/lib/audio_clean fd0;fd;reserved;reserved;solaris.device.allocate;/etc/security/lib/fd_clean sr0;sr;reserved;reserved;solaris.device.allocate;/etc/security/lib/sr_clean
Donde solaris.device.allocate indica que un usuario debe tener la autorización solaris.device.allocate para utilizar el dispositivo.
Ejemplo 5-4 Permiso para que cualquier usuario asigne un dispositivo
En el ejemplo siguiente, cualquier usuario del sistema puede asignar cualquier dispositivo. El quinto campo en cada entrada de dispositivo del archivo device_allocate se cambió al símbolo arroba (@).
# vi /etc/security/device_allocate audio;audio;reserved;reserved;@;/etc/security/lib/audio_clean fd0;fd;reserved;reserved;@;/etc/security/lib/fd_clean sr0;sr;reserved;reserved;@;/etc/security/lib/sr_clean …
Ejemplo 5-5 Prevención de uso de algunos dispositivos periféricos
En el ejemplo siguiente, el dispositivo de audio no se puede utilizar. El quinto campo en la entrada del dispositivo de audio del archivo device_allocate se cambió a un asterisco (*).
# vi /etc/security/device_allocate audio;audio;reserved;reserved;*;/etc/security/lib/audio_clean fd0;fd;reserved;reserved;solaris device.allocate;/etc/security/lib/fd_clean sr0;sr;reserved;reserved;solaris device.allocate;/etc/security/lib/sr_clean …
Ejemplo 5-6 Prevención de uso de todos los dispositivos periféricos
En el ejemplo siguiente, no se puede utilizar ningún dispositivo periférico. El quinto campo en cada entrada de dispositivo del archivo device_allocate se cambió a un asterisco (*).
# vi /etc/security/device_allocate audio;audio;reserved;reserved;*;/etc/security/lib/audio_clean fd0;fd;reserved;reserved;*;/etc/security/lib/fd_clean sr0;sr;reserved;reserved;*;/etc/security/lib/sr_clean …
De manera predeterminada, los comandos de asignación de dispositivos se encuentran en la clase de auditoría other.
Antes de empezar
Debe tener asignado el perfil de derechos de configuración de auditoría.
Para obtener más información, consulte Cómo obtener derechos administrativos.
# auditconfig -getflags current-flags # auditconfig -setflags current-flags,ot
Para obtener instrucciones detalladas, consulte Cómo preseleccionar clases de auditoría.