Omitir V�nculos de navegaci�n | |
Salir de la Vista de impresi�n | |
Configuración y administración de Trusted Extensions Oracle Solaris 11 Information Library (Español) |
Parte I Configuración inicial de Trusted Extensions
1. Planificación de la seguridad para Trusted Extensions
2. Guía básica de configuración de Trusted Extensions
3. Adición de la función Trusted Extensions a Oracle Solaris (tareas)
4. Configuración de Trusted Extensions (tareas)
5. Configuración de LDAP para Trusted Extensions (tareas)
Parte II Administración de Trusted Extensions
6. Conceptos de la administración de Trusted Extensions
7. Herramientas de administración de Trusted Extensions
8. Requisitos de seguridad del sistema Trusted Extensions (descripción general)
9. Realización de tareas comunes en Trusted Extensions (tareas)
10. Usuarios, derechos y roles en Trusted Extensions (descripción general)
11. Gestión de usuarios, derechos y roles en Trusted Extensions (tareas)
12. Administración remota en Trusted Extensions (tareas)
13. Gestión de zonas en Trusted Extensions (tareas)
Procesos de la zona global y de las zonas con etiquetas
Utilidades de administración de zonas en Trusted Extensions
Gestión de zonas (mapa de tareas)
Cómo visualizar las zonas que están preparadas o en ejecución
Cómo visualizar las etiquetas de los archivos montados
Cómo montar en bucle de retorno un archivo que no suele estar visible en una zona con etiquetas
Cómo deshabilitar el montaje de archivos de nivel inferior
Cómo compartir un conjunto de datos ZFS desde una zona con etiquetas
Cómo permitir que los archivos se vuelvan a etiquetar desde una zona con etiquetas
14. Gestión y montaje de archivos en Trusted Extensions (tareas)
15. Redes de confianza (descripción general)
16. Gestión de redes en Trusted Extensions (tareas)
17. Trusted Extensions y LDAP (descripción general)
18. Correo de varios niveles en Trusted Extensions (descripción general)
19. Gestión de impresión con etiquetas (tareas)
20. Dispositivos en Trusted Extensions (descripción general)
21. Gestión de dispositivos para Trusted Extensions (tareas)
22. Auditoría de Trusted Extensions (descripción general)
23. Gestión de software en Trusted Extensions (referencia)
A. Política de seguridad del sitio
Creación y gestión de una política de seguridad
Política de seguridad del sitio y Trusted Extensions
Recomendaciones de seguridad informática
Recomendaciones de seguridad física
Recomendaciones de seguridad del personal
Infracciones de seguridad comunes
Referencias de seguridad adicionales
B. Lista de comprobación de configuración de Trusted Extensions
Lista de comprobación para la configuración de Trusted Extensions
C. Referencia rápida a la administración de Trusted Extensions
Interfaces administrativas en Trusted Extensions
Interfaces de Oracle Solaris ampliadas por Trusted Extensions
Valores predeterminados de seguridad que brindan mayor protección en Trusted Extensions
Opciones limitadas en Trusted Extensions
D. Lista de las páginas del comando man de Trusted Extensions
Páginas del comando man de Trusted Extensions en orden alfabético
Páginas del comando man de Oracle Solaris modificadas por Trusted Extensions
El sistema Trusted Extensions bien configurado consta de una zona global, que es la instancia del sistema operativo, y una o más zonas no globales con etiquetas. Durante la configuración, Trusted Extensions anexa una sola etiqueta a cada zona; lo que crea las zonas con etiquetas. Las etiquetas proceden del archivo label_encodings. Puede crear una zona para cada etiqueta, pero esto no es obligatorio. Es posible tener más etiquetas que zonas con etiquetas en un sistema. No es posible tener más zonas con etiquetas que etiquetas.
En un sistema Trusted Extensions, la zona global es únicamente una zona administrativa. Las zonas con etiquetas son para los usuarios comunes. Los usuarios pueden trabajar en una zona cuya etiqueta se encuentre dentro del rango de acreditación del usuario.
En un sistema Trusted Extensions, los sistemas de archivos de una zona suelen montarse en la zona global como un sistema de archivos de bucle de retorno (LOFS, Loopback File System). Todos los archivos y directorios que se pueden escribir en una zona con etiquetas se encuentran en la etiqueta de la zona. De manera predeterminada, el usuario puede visualizar los archivos que están en una zona de una etiqueta inferior a la etiqueta actual del usuario. Esta configuración permite a los usuarios ver sus directorios principales en las etiquetas inferiores a la etiqueta del espacio de trabajo actual. Aunque los usuarios pueden ver los archivos en una etiqueta inferior, no pueden modificarlos. Los usuarios pueden modificar solamente los archivos de un proceso que tenga la misma etiqueta que el archivo.
Cada zona es un sistema de archivos ZFS discreto. Cada zona tiene una dirección IP y atributos de seguridad asociados. Las zonas pueden configurarse con puertos de varios niveles (MLP, Multilevel Ports). Asimismo, las zonas se pueden configurar con una política para la difusión del protocolo de mensajes de control de Internet (ICMP, Internet Control Message Protocol), como ping.
Para obtener información sobre cómo compartir directorios desde una zona con etiquetas y cómo montar directorios desde zonas con etiquetas de manera remota, consulte el Capítulo 14, Gestión y montaje de archivos en Trusted Extensions (tareas) y Montaje de conjuntos de datos ZFS con etiquetas.
Las zonas de Trusted Extensions, están integradas en el producto Oracle Solaris Zones. Para obtener información de referencia, consulte la Parte II, Zonas de Oracle Solaris de Administración de Oracle Solaris: zonas de Oracle Solaris, zonas de Oracle Solaris 10 y gestión de recursos.
El equipo de configuración inicial asignó direcciones IP a la zona global y a las zonas con etiquetas. Consideraron tres tipos de configuraciones como se describe en Acceso a zonas con etiquetas y que se resumen de la siguiente manera:
El sistema tiene una dirección IP para la zona global y todas las zonas con etiquetas.
Esta configuración predeterminada es útil para los sistemas que utilizan software DHCP para obtener su dirección IP.
El sistema tiene una dirección IP para la zona global y otra dirección IP que comparten todas las zonas, incluida la zona global. Cualquier zona puede tener una combinación de una dirección exclusiva y una dirección compartida.
Esta configuración es útil para los sistemas en red en que los usuarios comunes iniciarán sesión. También se puede utilizar para una impresora o un servidor NFS. Esta configuración conserva las direcciones IP.
El sistema tiene una dirección IP para la zona global, y cada zona con etiquetas tiene una dirección IP exclusiva.
Esta configuración sirve para proporcionar acceso a redes físicas separadas de sistemas de un solo nivel. Normalmente, cada zona tiene una dirección IP en una red física diferente de las demás zonas con etiquetas. Debido a que esta configuración se implementa con una sola instancia de IP, la zona global controla las interfaces físicas y gestiona los recursos globales, como la tabla de enrutamiento.
Existe un cuarto tipo de configuración para una zona no global disponible en Oracle Solaris: las instancias de IP exclusivas. En esta configuración, se asigna a una zona no global su propia instancia de IP y la zona gestiona sus propias interfaces físicas. Cada zona funciona como si fuera un sistema distinto. Para obtener una descripción, consulte Interfaces de red de zona de Administración de Oracle Solaris: zonas de Oracle Solaris, zonas de Oracle Solaris 10 y gestión de recursos.
Si configura instancias de IP exclusivas en Trusted Extensions, cada zona con etiquetas funciona como si fuera un sistema de un solo nivel distinto. Las funciones de redes de varios niveles de Trusted Extensions se basan en las funciones de una pila de IP compartida. En esta guía, se asume que la red está controlada totalmente por la zona global. Por lo tanto, si el equipo de configuración inicial instaló zonas con etiquetas con instancias de IP exclusivas, debe proporcionar o consultar documentación específica del sitio.
De manera predeterminada, las zonas no pueden enviar paquetes a ninguna otra zona ni recibir paquetes de ninguna otra zona. Los puertos de varios niveles habilitan servicios concretos en un puerto para aceptar solicitudes dentro de un rango de etiquetas o de un conjunto de etiquetas. Estos servicios con privilegios pueden responder en la etiqueta de la solicitud. Por ejemplo, quizás desee crear un puerto de explorador web con privilegios que pueda recibir todas las etiquetas, pero cuyas respuestas estén restringidas por etiqueta. De manera predeterminada, las zonas con etiquetas no tienen puertos de varios niveles.
El rango o el conjunto de etiquetas que restringe los paquetes que el puerto de varios niveles puede aceptar se basan en la dirección IP de la zona. Se asigna una plantilla de seguridad a la dirección IP mediante la comunicación de los sistemas Trusted Extensions. El rango o el conjunto de etiquetas de la plantilla de seguridad restringe los paquetes que el puerto de varios niveles puede aceptar.
Las restricciones en los puertos de varios niveles para las configuraciones de direcciones IP diferentes son las siguientes:
En los sistemas en que la zona global tiene una dirección IP y cada zona con etiquetas tiene una sola dirección IP, se puede agregar un puerto de varios niveles para un servicio en particular a cada zona. Por ejemplo, el sistema podría configurarse para que el servicio ssh, mediante el puerto TCP 22, sea un puerto de varios niveles en la zona global y en cada zona con etiquetas.
En una configuración típica, a la zona global se le asigna una dirección IP, y las zonas con etiquetas comparten una segunda dirección IP con la zona global. Cuando se agrega un puerto de varios niveles a una interfaz compartida, el paquete de servicio se enruta hacia la zona con etiquetas donde se define el puerto de varios niveles. El paquete se acepta únicamente si el rango de etiquetas de la plantilla de host remoto para la zona con etiquetas incluye la etiqueta del paquete. Si el rango es ADMIN_LOW a ADMIN_HIGH, se aceptan todos los paquetes. Si el rango fuera menor, se descartarían los paquetes que no estén dentro del rango.
En la mayoría de los casos, una zona puede definir un puerto determinado para que actúe como puerto de varios niveles en una interfaz compartida. En la situación anterior, donde el puerto ssh está configurado como puerto de varios niveles compartido en una zona no global, ninguna otra zona puede recibir conexiones ssh en la dirección compartida. Sin embargo, la zona global podría definir el puerto ssh como puerto de varios niveles privado para la recepción de conexiones en su dirección específica de la zona.
En la configuración predeterminada, en donde la zona global y las zonas con etiquetas comparten una dirección IP, se puede agregar un puerto de varios niveles para el servicio ssh en una zona. Si el puerto de varios niveles para ssh se agrega a la zona global, ninguna zona con etiquetas puede agregar un puerto de varios niveles para el servicio ssh. De manera similar, si el puerto de varios niveles para el servicio ssh se agrega a una zona con etiquetas, la zona global no se puede configurar con un puerto de varios niveles ssh.
Para ver un ejemplo, consulte Cómo crear un puerto de varios niveles para una zona.
Las redes transmiten mensajes de difusión y envían paquetes de ICMP a los sistemas de la red. En un sistema de varios niveles, estas transmisiones pueden colapsar el sistema en cada etiqueta. De manera predeterminada, la política de red para las zonas con etiquetas requiere que los paquetes de ICMP se reciban únicamente en la etiqueta que coincide.