| Omitir V�nculos de navegaci�n | |
| Salir de la Vista de impresi�n | |
|
Administración de Oracle Solaris: servicios de seguridad Oracle Solaris 11 Information Library (Español) |
| Omitir V�nculos de navegaci�n | |
| Salir de la Vista de impresi�n | |
|
|
Administración de Oracle Solaris: servicios de seguridad Oracle Solaris 11 Information Library (Español) |
Parte I Descripción general de la seguridad
1. Servicios de seguridad (descripción general)
Parte II Seguridad de sistemas, archivos y dispositivos
2. Gestión de seguridad de equipos (descripción general)
3. Control de acceso a sistemas (tareas)
4. Servicio de análisis de virus (tareas)
5. Control de acceso a dispositivos (tareas)
6. Uso de la herramienta básica de creación de informes de auditoría (tareas)
7. Control de acceso a archivos (tareas)
Parte III Roles, perfiles de derechos y privilegios
8. Uso de roles y privilegios (descripción general)
9. Uso del control de acceso basado en roles (tareas)
10. Atributos de seguridad en Oracle Solaris (referencia)
Parte IV Servicios criptográficos
11. Estructura criptográfica (descripción general)
12. Estructura criptográfica (tareas)
13. Estructura de gestión de claves
Parte V Servicios de autenticación y comunicación segura
14. Autenticación de servicios de red (tareas)
17. Uso de Secure Shell (tareas)
Una sesión de Secure Shell típica
Características de la sesión en Secure Shell
Autenticación e intercambio de claves en Secure Shell
Configuración de cliente y servidor en Secure Shell
Configuración de clientes en Secure Shell
Configuración de servidores en Secure Shell
Palabras clave en Secure Shell
Parámetros específicos de host Secure Shell
Secure Shell y variables de entorno de inicio de sesión
Mantenimiento de hosts conocidos en Secure Shell
19. Introducción al servicio Kerberos
20. Planificación del servicio Kerberos
21. Configuración del servicio Kerberos (tareas)
22. Mensajes de error y resolución de problemas de Kerberos
23. Administración de las políticas y los principales de Kerberos (tareas)
24. Uso de aplicaciones Kerberos (tareas)
25. El servicio Kerberos (referencia)
Parte VII Auditoría en Oracle Solaris
26. Auditoría (descripción general)
27. Planificación de la auditoría
El daemon de Secure Shell (sshd) se inicia, normalmente, durante el inicio cuando los servicios de red se inician. El daemon escucha conexiones de clientes. Una sesión de Secure Shell empieza cuando el usuario ejecuta un comando ssh, scp o sftp. Un daemon sshd nuevo se bifurca para cada conexión entrante. Los daemons bifurcados manejan intercambio de claves, cifrado, autenticación, ejecución de comandos e intercambio de datos con el cliente. Estas características de la sesión son determinadas por archivos de configuración del lado del cliente y archivos de configuración del lado del servidor. Los argumentos de la línea de comandos pueden sustituir los valores de los archivos de configuración.
El cliente y el servidor deben autenticarse entre ellos. Tras una autenticación con éxito, el usuario puede ejecutar comandos de manera remota y copiar datos entre hosts.
El comportamiento del lado del servidor del daemon sshd se controla mediante valores de palabra clave en el archivo /etc/ssh/sshd_config. Por ejemplo, el archivo sshd_config controla los tipos de autenticación que se permiten para acceder al servidor. El comportamiento del lado del servidor también se puede controlar mediante las opciones de línea de comandos cuando el daemon sshd se inicia.
El comportamiento en el lado del cliente está controlado por palabras clave de Secure Shell en este orden de prioridad:
Opciones de línea de comandos
Archivo de configuración del usuario, ~/.ssh/config
Archivo de configuración de todo el sistema, /etc/ssh/ssh_config
Por ejemplo, un usuario puede sustituir el valor Ciphers de la configuración de todo el sistema, que prefiere aes128-ctr, especificando -c aes256–ctr,aes128-ctr,arcfour en la línea de comandos. Ahora se prefiere el primer cifrado, aes256–ctr.
El protocolo de Secure Shell admite autenticación de host/usuario de cliente y autenticación de host de servidor. Las claves criptográficas se cambian para la protección de sesiones de Secure Shell. Secure Shell proporciona varios métodos de autenticación e intercambio de claves. Algunos métodos son opcionales. Los mecanismos de autenticación de clientes se muestran en la Tabla 17-1. Los servidores se autentican con claves públicas de host conocidas.
Para la autenticación, Secure Shell admite la autenticación de usuario y la autenticación interactiva genérica, que generalmente involucra contraseñas. Secure Shell también admite la autenticación con claves públicas de usuario y con claves públicas de host de confianza. Las claves pueden ser RSA o DSA. Los intercambios de claves de sesión constan de intercambios de claves efímeras Diffie-Hellman que se firman en el paso de autenticación de servidor. Además, Secure Shell puede usar credenciales GSS para la autenticación.
A fin de utilizar la GSS-API para la autenticación en Secure Shell, el servidor debe tener credenciales de aceptador GSS-API y el cliente debe tener credenciales de iniciador GSS-API. Se admiten los mecanismos mech_dh y mech_krb5.
Para mech_dh, el servidor tiene credenciales de aceptador GSS-API si root ha ejecutado el comando keylogin.
Para mech_krb5, el servidor tiene credenciales de aceptador GSS-API cuando el principal host que corresponde al servidor tiene una entrada válida en /etc/krb5/krb5.keytab.
El cliente tiene credenciales de iniciador para mech_dh si se ha realizado una de las siguientes acciones:
El comando keylogin se ha ejecutado.
El módulo pam_dhkeys se utiliza en el archivo pam.conf.
El cliente tiene credenciales de iniciador para mech_krb5 si se ha realizado una de las siguientes acciones:
El comando kinit se ha ejecutado.
El módulo pam_krb5 se utiliza en el archivo pam.conf.
Para el uso de mech_dh en una RPC segura, consulte el Capítulo 14, Autenticación de servicios de red (tareas). Para el uso de mech_krb5, consulte el Capítulo 19, Introducción al servicio Kerberos. Para obtener más información sobre los mecanismos, consulte las páginas del comando man mech(4) y mech_spnego(5).
Una vez completada la autenticación, el usuario puede utilizar Secure Shell, generalmente, mediante la solicitud de un shell o la ejecución de un comando. Mediante las opciones del comando ssh, el usuario puede realizar solicitudes. Las solicitudes pueden incluir la asignación de un pseudo-tty, el reenvío de conexiones X11 o conexiones TCP/IP, o la habilitación de un programa de autenticación ssh-agent por medio de una conexión segura.
Los componentes básicos de una sesión de usuario son los siguientes:
El usuario solicita un shell o la ejecución de un comando, que inicia el modo de sesión.
En este modo, los datos se envían o se reciben por medio del terminal en el lado del cliente. En el lado del servidor, los datos se envían por medio del shell o de un comando.
Cuando la transferencia de datos se completa, el programa de usuario finaliza.
Todos los reenvíos de X11 y de TCP/IP se detienen, excepto para las conexiones que ya existen. Las conexiones X11 y TCP/IP existentes permanecen abiertas.
El servidor envía un mensaje de estado de salida al cliente. Cuando todas las conexiones están cerradas, como los puertos reenviados que habían permanecido abiertos, el cliente cierra la conexión al servidor. A continuación, el cliente se cierra.
|