Omitir V�nculos de navegaci�n | |
Salir de la Vista de impresi�n | |
Administración de Oracle Solaris: servicios de seguridad Oracle Solaris 11 Information Library (Español) |
Parte I Descripción general de la seguridad
1. Servicios de seguridad (descripción general)
Parte II Seguridad de sistemas, archivos y dispositivos
2. Gestión de seguridad de equipos (descripción general)
3. Control de acceso a sistemas (tareas)
Control de acceso al sistema (mapa de tareas)
Protección de inicios de sesión y contraseñas (tareas)
Protección de inicios de sesión y contraseñas (mapa de tareas)
Cómo cambiar la contraseña root
Cómo mostrar el estado de inicio de sesión de un usuario
Cómo visualizar usuarios sin contraseñas
Cómo deshabilitar temporalmente inicios de sesión de usuarios
Cómo supervisar intentos de inicio de sesión fallidos
Cómo supervisar todos los intentos de inicio de sesión fallidos
Cambio de algoritmo predeterminado para cifrado de contraseña (tareas)
Cómo especificar un algoritmo para cifrado de contraseña
Cómo especificar un nuevo algoritmo de contraseña para un dominio NIS
Cómo especificar un nuevo algoritmo de contraseña para un dominio LDAP
Supervisión y restricción de superusuario (tareas)
Cómo supervisar quién está utilizando el comando su
Cómo restringir y supervisar inicios de sesión de superusuario
Control de acceso a hardware del sistema (tareas)
Cómo requerir una contraseña para el acceso al hardware
Cómo deshabilitar una secuencia de interrupción del sistema
4. Servicio de análisis de virus (tareas)
5. Control de acceso a dispositivos (tareas)
6. Uso de la herramienta básica de creación de informes de auditoría (tareas)
7. Control de acceso a archivos (tareas)
Parte III Roles, perfiles de derechos y privilegios
8. Uso de roles y privilegios (descripción general)
9. Uso del control de acceso basado en roles (tareas)
10. Atributos de seguridad en Oracle Solaris (referencia)
Parte IV Servicios criptográficos
11. Estructura criptográfica (descripción general)
12. Estructura criptográfica (tareas)
13. Estructura de gestión de claves
Parte V Servicios de autenticación y comunicación segura
14. Autenticación de servicios de red (tareas)
17. Uso de Secure Shell (tareas)
19. Introducción al servicio Kerberos
20. Planificación del servicio Kerberos
21. Configuración del servicio Kerberos (tareas)
22. Mensajes de error y resolución de problemas de Kerberos
23. Administración de las políticas y los principales de Kerberos (tareas)
24. Uso de aplicaciones Kerberos (tareas)
25. El servicio Kerberos (referencia)
Parte VII Auditoría en Oracle Solaris
26. Auditoría (descripción general)
27. Planificación de la auditoría
Una alternativa al uso de la cuenta de superusuario es establecer el control de acceso basado en roles (RBAC). Para obtener información general sobre RBAC, consulte Control de acceso basado en roles (descripción general). Para configurar RBAC, consulte el Capítulo 9, Uso del control de acceso basado en roles (tareas).
El archivo sulog lista cada uso del comando su, no sólo los intentos de su que se utilizan para cambiar de usuario a superusuario.
Antes de empezar
Debe tener el rol root.
# more /var/adm/sulog SU 12/20 16:26 + pts/0 stacey-root SU 12/21 10:59 + pts/0 stacey-root SU 01/12 11:11 + pts/0 root-rimmer SU 01/12 14:56 + pts/0 jdoe-root SU 01/12 14:57 + pts/0 jdoe-root
Las entradas muestran la información siguiente:
La fecha y la hora en las que el comando se introdujo.
Si el intento tuvo éxito. Un signo más (+) indica un intento con éxito. Un signo menos (-) indica un intento fallido.
El puerto desde el que se ha ejecutado el comando.
El nombre del usuario y el nombre de la identidad cambiada.
El registro de su en este archivo se habilita de manera predeterminada mediante la siguiente entrada en el archivo /etc/default/su:
SULOG=/var/adm/sulog
Errores más frecuentes
Las entradas que incluyen ??? indican que el terminal de control para el comando su no se pueden identificar. Normalmente, las invocaciones del sistema del comando su antes de que el escritorio aparezca incluyen ???, como en SU 10/10 08:08 + ??? root-root. Después de que el usuario inicia una sesión de escritorio, el comando ttynam devuelve el valor del terminal de control a sulog: SU 10/10 10:10 + pts/3 jdoe-root.
Las entradas similares a las siguientes pueden indicar que el comando su no fue invocado en la línea de comandos: SU 10/10 10:20 + ??? root-oracle. Es posible que un usuario de Trusted Extensions haya cambiado al rol oracle utilizando una GUI.
Este método permite detectar inmediatamente los intentos de acceso al sistema local por parte del usuario root.
Antes de empezar
Debe tener el rol root.
CONSOLE=/dev/console
De manera predeterminada, el dispositivo de consola se establece en /dev/console. Con este valor, root puede iniciar sesión en la consola. root no puede iniciar sesión de manera remota.
Desde un sistema remoto, intente iniciar sesión como root.
mach2 % ssh -l root mach1 Password: <Type root password of mach1> Password: Password: Permission denied (gssapi-keyex,gssapi-with-mic,publickey,keyboard-interactive).
En la configuración predeterminada, root es un rol, y los roles no pueden iniciar sesión. Además, en la configuración predeterminada el protocolo ssh impide el inicio de sesión por parte del usuario root.
De manera predeterminada, los intentos de convertirse en usuario root se imprimen en la consola mediante la utilidad SYSLOG.
% su - Password: <Type root password> #
Se imprime un mensaje en la consola del terminal.
Sep 7 13:22:57 mach1 su: 'su root' succeeded for jdoe on /dev/pts/6
Ejemplo 3-7 Registro de intentos de acceso de superusuario
En este ejemplo, los intentos de superusuario no están siendo registrados por SYSLOG. Por lo tanto, el administrador está registrando esos intentos eliminando el comentario de la entrada #CONSOLE=/dev/console en el archivo /etc/default/su.
# CONSOLE determines whether attempts to su to root should be logged # to the named device # CONSOLE=/dev/console
Cuando un usuario intenta convertirse en superusuario, el intento se imprime en la consola del terminal.
SU 09/07 16:38 + pts/8 jdoe-root
Errores más frecuentes
Para convertirse en superusuario de un sistema remoto cuando el archivo /etc/default/login contiene la entrada CONSOLE predeterminada, los usuarios deben, primero, iniciar sesión con su nombre de usuario. Después de iniciar sesión con su nombre de usuario, los usuarios pueden utilizar el comando su para convertirse en superusuario.
Si la consola muestra una entrada similar a Mar 16 16:20:36 mach1 login: ROOT LOGIN /dev/pts/14 FROM mach2.Example.COM, el sistema permite inicios de sesión root remotos. Para evitar el acceso remoto de superusuario, cambie la entrada #CONSOLE=/dev/console a CONSOLE=/dev/console en el archivo /etc/default/login.