Omitir V�nculos de navegaci�n | |
Salir de la Vista de impresi�n | |
Administración de Oracle Solaris: servicios de seguridad Oracle Solaris 11 Information Library (Español) |
Parte I Descripción general de la seguridad
1. Servicios de seguridad (descripción general)
Parte II Seguridad de sistemas, archivos y dispositivos
2. Gestión de seguridad de equipos (descripción general)
3. Control de acceso a sistemas (tareas)
4. Servicio de análisis de virus (tareas)
5. Control de acceso a dispositivos (tareas)
6. Uso de la herramienta básica de creación de informes de auditoría (tareas)
7. Control de acceso a archivos (tareas)
Parte III Roles, perfiles de derechos y privilegios
8. Uso de roles y privilegios (descripción general)
9. Uso del control de acceso basado en roles (tareas)
Visualización y uso de valores predeterminados de RBAC (tareas)
Visualización y uso de valores predeterminados de RBAC (mapa de tareas)
Cómo visualizar todos los atributos de seguridad definidos
Personalización de RBAC para su sitio (tareas)
Configuración inicial de RBAC (mapa de tareas)
Cómo planificar la implementación de RBAC
Cómo crear o cambiar un perfil de derechos
Cómo agregar propiedades RBAC a las aplicaciones antiguas
Cómo solucionar problemas de asignación de privilegios y RBAC
Gestión de RBAC (mapa de tareas)
Cómo cambiar la contraseña de un rol
Cómo cambiar los atributos de seguridad de un rol
Cómo cambiar las propiedades RBAC de un usuario
Cómo restringir a un usuario a las aplicaciones de escritorio
Cómo restringir a un administrador a derechos asignados explícitamente
Cómo permitir que un usuario use su propia contraseña para asumir un rol
Cómo cambiar el rol root a un usuario
Determinación de los privilegios (mapa de tareas)
Cómo enumerar los privilegios en el sistema
Cómo determinar los privilegios que se le asignaron directamente
Cómo determinar los comandos con privilegios que puede ejecutar
Gestión de privilegios (mapa de tareas)
Cómo determinar los privilegios de un proceso
Cómo determinar los privilegios que necesita un programa
Cómo ejecutar una secuencia de comandos de shell con comandos con privilegios
10. Atributos de seguridad en Oracle Solaris (referencia)
Parte IV Servicios criptográficos
11. Estructura criptográfica (descripción general)
12. Estructura criptográfica (tareas)
13. Estructura de gestión de claves
Parte V Servicios de autenticación y comunicación segura
14. Autenticación de servicios de red (tareas)
17. Uso de Secure Shell (tareas)
19. Introducción al servicio Kerberos
20. Planificación del servicio Kerberos
21. Configuración del servicio Kerberos (tareas)
22. Mensajes de error y resolución de problemas de Kerberos
23. Administración de las políticas y los principales de Kerberos (tareas)
24. Uso de aplicaciones Kerberos (tareas)
25. El servicio Kerberos (referencia)
Parte VII Auditoría en Oracle Solaris
26. Auditoría (descripción general)
27. Planificación de la auditoría
De manera predeterminada, se asignan derechos a los usuarios. Los derechos para todos los usuarios de un sistema se asignan en el archivo /etc/security/policy.conf.
En la instalación de Oracle Solaris, su sistema está configurado con derechos de usuario y derechos de proceso. Sin ninguna configuración adicional, utilice el siguiente mapa de tareas para visualizar y utilizar RBAC.
|
Utilice los siguientes comandos para enumerar las autorizaciones, los perfiles, los derechos y los comandos con atributos de seguridad en el sistema. Para ver una lista de todos los privilegios definidos, consulte Cómo enumerar los privilegios en el sistema.
% getent auth_attr | more solaris.:::All Solaris Authorizations::help=AllSolAuthsHeader.html solaris.account.:::Account Management::help=AccountHeader.html ... solaris.zone.login:::Zone Login::help=ZoneLogin.html solaris.zone.manage:::Zone Deployment::help=ZoneManage.html
% getent prof_attr | more All:::Execute any command as the user or role:help=RtAll.html Audit Configuration:::Configure Solaris Audit:auths=solaris.smf.value.audit; help=RtAuditCfg.html ... Zone Management:::Zones Virtual Application Environment Administration: help=RtZoneMngmnt.html Zone Security:::Zones Virtual Application Environment Security:auths=solaris.zone.*, solaris.auth.delegate;help=RtZoneSecurity.html ...
% getent exec_attr | more All:solaris:cmd:::*: Audit Configuration:solaris:cmd:::/usr/sbin/auditconfig:privs=sys_audit ... Zone Security:solaris:cmd:::/usr/sbin/txzonemgr:uid=0 Zone Security:solaris:cmd:::/usr/sbin/zonecfg:uid=0 ...
Utilice los siguientes comandos para ver las asignaciones de RBAC. Para ver todos los derechos que se pueden asignar, consulte Cómo visualizar todos los atributos de seguridad definidos.
% auths solaris.device.cdrw,solaris.device.mount.removable,solaris.mail.mailq
Estas autorizaciones se asignan a todos los usuarios de manera predeterminada.
% profiles Basic Solaris User All
Estos perfiles de derechos se asignan a todos los usuarios de manera predeterminada.
% roles root
Este rol se asigna al usuario inicial de manera predeterminada. No roles indica que no se le ha asignado un rol.
% ppriv $$ 1234: /bin/csh flags = <none> E: basic I: basic P: basic L: all
A cada usuario se le asigna el conjunto de privilegios básico de manera predeterminada. El conjunto límite son todos los privilegios.
% ppriv -vl basic file_link_any Allows a process to create hardlinks to files owned by a uid different from the process' effective uid. file_read Allows a process to read objects in the filesystem. file_write Allows a process to modify objects in the filesystem. net_access Allows a process to open a TCP, UDP, SDP or SCTP network endpoint. proc_exec Allows a process to call execve(). proc_fork Allows a process to call fork1()/forkall()/vfork() proc_info Allows a process to examine the status of processes other than those it can send signals to. Processes which cannot be examined cannot be seen in /proc and appear not to exist. proc_session Allows a process to send signals or trace processes outside its session.
% profiles -l Basic Solaris User /usr/bin/cdda2wav.bin privs=file_dac_read,sys_devices, proc_priocntl,net_privaddr /usr/bin/cdrecord.bin privs=file_dac_read,sys_devices, proc_lock_memory,proc_priocntl,net_privaddr /usr/bin/readcd.bin privs=file_dac_read,sys_devices,net_privaddr All *
Los perfiles de derechos de un usuario pueden incluir comandos que se ejecutan con privilegios particulares. El perfil de usuario básico de Solaris incluye los comandos que permiten a los usuarios leer y escribir en CD-ROM.
Ejemplo 9-1 Enumeración de autorizaciones de un usuario
% auths username solaris.device.cdrw,solaris.device.mount.removable,solaris.mail.mailq
Ejemplo 9-2 Enumeración de los perfiles de derechos de un rol o un usuario
El siguiente comando muestra los perfiles de derechos de un usuario concreto.
% profiles jdoe jdoe: Basic Solaris User All
El siguiente comando muestra los perfiles de derechos del rol cryptomgt.
% profiles cryptomgt cryptomgt: Crypto Management Basic Solaris User All
El siguiente comando muestra los perfiles de derechos del rol root:
% profiles root root: All Console User Network Wifi Info Desktop Removable Media User Suspend To RAM Suspend To Disk Brightness CPU Power Management Network Autoconf User Basic Solaris User
Ejemplo 9-3 Enumeración de los roles asignados de un usuario
El siguiente comando muestra los roles asignados de un usuario concreto.
% roles jdoe root
Ejemplo 9-4 Enumeración de los privilegios de un usuario sobre comandos específicos
El siguiente comando muestra los comandos con privilegios en los perfiles de derechos de un usuario normal.
% profiles -l jdoe jdoe: Basic Solaris User /usr/bin/cdda2wav.bin privs=file_dac_read,sys_devices, proc_priocntl,net_privaddr /usr/bin/cdrecord.bin privs=file_dac_read,sys_devices, proc_lock_memory,proc_priocntl,net_privaddr /usr/bin/readcd.bin privs=file_dac_read,sys_devices,net_privaddr All *
Antes de empezar
Ya se debe tener asignado el rol. El servicio de nombres se debe actualizar con dicha información.
% roles Comma-separated list of role names is displayed
% su - rolename Password: <Type rolename password> $
El comando su - nombre_rol cambia el shell a un shell de perfil para el rol. Un shell de perfil reconoce los atributos de seguridad, como autorizaciones, privilegios y bits de ID de conjunto.
$ /usr/bin/whoami rolename
Ahora puede realizar tareas del rol en esta ventana de terminal.
Para conocer el procedimiento, consulte Cómo visualizar los derechos asignados.
Ejemplo 9-5 Asunción del rol root
En el ejemplo siguiente, el usuario inicial asume el rol root y enumera los privilegios en el shell del rol.
% roles root % su - root Password: <Type root password> # Prompt changes to root prompt # ppriv $$ 1200: pfksh flags = <none> E: all I: basic P: all L: all
Para obtener información sobre los privilegios, consulte Privilegios (descripción general).
Los derechos administrativos entran en vigor cuando se ejecuta el shell de un perfil. De manera predeterminada, se asigna un shell de perfil a una cuenta de rol. Los roles son cuentas especiales a las que se asignan derechos administrativos específicos, normalmente, para un conjunto relacionado de actividades administrativas, como la revisión de archivos de auditoría.
En el rol root, el usuario inicial tiene todos los derechos administrativos, es decir, el usuario inicial es superusuario. El rol root puede crear otros roles.
Antes de empezar
Para administrar el sistema, debe tener derechos que no se asignan a usuarios normales. Si no es superusuario, se le debe asignar un rol, un perfil de derechos administrativos o privilegios específicos o autorizaciones.
Abra una ventana de terminal.
% su - Password: Type the root password #
Nota - Este método funciona si root es un usuario o un rol. El signo de almohadilla (#) indica que ahora es un superusuario.
En el siguiente ejemplo, asuma un rol de gestión de red. Este rol incluye el perfil de derechos de gestión de red.
% su - networkadmin Password: Type the networkadmin password $
Ahora está en un shell de perfil. En este shell, puede ejecutar snoop, route, dladm y otros comandos. Para obtener más información sobre shells de perfiles, consulte Shells de perfil y RBAC.
Consejo - Utilice los pasos en Cómo visualizar los derechos asignados para ver las capacidades de su rol.
Por ejemplo, la siguiente secuencia de comandos permite examinar los paquetes de red en el shell pfbash:
% pfbash $ anoop
Si no se le ha asignado el privilegio net_observability, el comando snoop falla con un mensaje de error similar al siguiente: snoop: cannot open "net0": Permission denied. Si se le asigna el privilegio directamente o mediante un perfil de derechos o un rol, este comando se ejecuta correctamente. También puede ejecutar comandos con privilegios adicionales en este shell.
Ejecute el comando pfexec con el nombre de un comando con privilegios desde su perfil de derechos. Por ejemplo, el siguiente comando permite examinar los paquetes de red:
% pfexec snoop
Las mismas limitaciones de privilegios se aplican a pfexec y pfbash. Sin embargo, para ejecutar otro comando con privilegios, debe escribir pfexec de nuevo antes de escribir el comando con privilegios.
Ejemplo 9-6 Almacenamiento en la antememoria de la autenticación para facilitar el uso del rol
En este ejemplo, el administrador configura un rol para gestionar la red, pero proporciona facilidad de uso mediante el almacenamiento en la antememoria de la autenticación del usuario. En primer lugar, el administrador crea y asigna el rol.
# roleadd -K roleauth=user -P "Network Management" netmgt # usermod -R +netmgt jdoe
Cuando jdoe utiliza la opción -c al cambiar al rol, se necesita una contraseña antes de que la salida de snoop se muestre:
% su - netmgt -c snoop options Password: snoop output
Si la autenticación no se almacena en la antememoria y jdoe ejecuta el comando de nuevo inmediatamente, una solicitud de contraseña aparece.
El administrador configura el archivo pam.conf para almacenar en la antememoria la autenticación, de modo que una contraseña se requiere inicialmente, pero no hasta que una determinada cantidad de tiempo ha pasado. El administrador coloca todas las pilas personalizadas pam.conf al final del archivo.
# vi /etc/pam.conf ... # ## Cache authentication for switched user # su auth required pam_unix_cred.so.1 su auth sufficient pam_tty_tickets.so.1 su auth requisite pam_authtok_get.so.1 su auth required pam_dhkeys.so.1 su auth required pam_unix_auth.so.1
Después de crear las entradas, el administrador comprueba que no tengan errores ortográficos, omisiones ni repeticiones.
Se requiere toda la pila su. El módulo pam_tty_tickets.so.1 proporciona la antememoria. Para obtener más información sobre PAM, consulte la página del comando man pam.conf(4) y el Capítulo 15, Uso de PAM.
Después de que la pila PAM su se agrega al archivo pam.conf, el rol netmgt se solicita sólo una vez para una contraseña cuando se ejecuta una serie de comandos.
% su - netmgt -c snoop options Password: snoop output % su - netmgt -c snoop options snoop output ...