Omitir V�nculos de navegaci�n | |
Salir de la Vista de impresi�n | |
Configuración y administración de Trusted Extensions Oracle Solaris 11 Information Library (Español) |
Parte I Configuración inicial de Trusted Extensions
1. Planificación de la seguridad para Trusted Extensions
2. Guía básica de configuración de Trusted Extensions
3. Adición de la función Trusted Extensions a Oracle Solaris (tareas)
4. Configuración de Trusted Extensions (tareas)
Configuración de la zona global en Trusted Extensions
Cómo comprobar e instalar el archivo de codificaciones de etiquetas
Cómo habilitar redes IPv6 en Trusted Extensions
Cómo configurar el dominio de interpretación
Creación de zonas con etiquetas
Cómo crear un sistema Trusted Extensions predeterminado
Cómo crear zonas con etiquetas de forma interactiva
Cómo asignar etiquetas a dos espacios de trabajo con zonas
Configuración de las interfaces de red en Trusted Extensions
Cómo compartir una única dirección IP con todas las zonas
Cómo agregar una instancia de IP para una zona con etiquetas
Cómo agregar una interfaz de red virtual a una zona con etiquetas
Cómo conectar un sistema Trusted Extensions con otros sistemas Trusted Extensions
Cómo configurar un servicio de nombres independiente para cada zona con etiquetas
Creación de roles y usuarios en Trusted Extensions
Cómo crear el rol de administrador de la seguridad en Trusted Extensions
Cómo crear un rol de administrador del sistema
Cómo crear usuarios que puedan asumir roles en Trusted Extensions
Cómo verificar que los roles de Trusted Extensions funcionan
Cómo permitir que los usuarios inicien sesión en una zona con etiquetas
Creación de directorios principales centralizados en Trusted Extensions
Cómo crear el servidor de directorio principal en Trusted Extensions
Resolución de los problemas de configuración de Trusted Extensions
Cómo mover los paneles de escritorio a la parte inferior de la pantalla
Tareas adicionales de configuración de Trusted Extensions
Cómo copiar archivos en medios portátiles en Trusted Extensions
Cómo copiar archivos desde medios portátiles en Trusted Extensions
Cómo eliminar Trusted Extensions del sistema
5. Configuración de LDAP para Trusted Extensions (tareas)
Parte II Administración de Trusted Extensions
6. Conceptos de la administración de Trusted Extensions
7. Herramientas de administración de Trusted Extensions
8. Requisitos de seguridad del sistema Trusted Extensions (descripción general)
9. Realización de tareas comunes en Trusted Extensions (tareas)
10. Usuarios, derechos y roles en Trusted Extensions (descripción general)
11. Gestión de usuarios, derechos y roles en Trusted Extensions (tareas)
12. Administración remota en Trusted Extensions (tareas)
13. Gestión de zonas en Trusted Extensions (tareas)
14. Gestión y montaje de archivos en Trusted Extensions (tareas)
15. Redes de confianza (descripción general)
16. Gestión de redes en Trusted Extensions (tareas)
17. Trusted Extensions y LDAP (descripción general)
18. Correo de varios niveles en Trusted Extensions (descripción general)
19. Gestión de impresión con etiquetas (tareas)
20. Dispositivos en Trusted Extensions (descripción general)
21. Gestión de dispositivos para Trusted Extensions (tareas)
22. Auditoría de Trusted Extensions (descripción general)
23. Gestión de software en Trusted Extensions (referencia)
A. Política de seguridad del sitio
Creación y gestión de una política de seguridad
Política de seguridad del sitio y Trusted Extensions
Recomendaciones de seguridad informática
Recomendaciones de seguridad física
Recomendaciones de seguridad del personal
Infracciones de seguridad comunes
Referencias de seguridad adicionales
B. Lista de comprobación de configuración de Trusted Extensions
Lista de comprobación para la configuración de Trusted Extensions
C. Referencia rápida a la administración de Trusted Extensions
Interfaces administrativas en Trusted Extensions
Interfaces de Oracle Solaris ampliadas por Trusted Extensions
Valores predeterminados de seguridad que brindan mayor protección en Trusted Extensions
Opciones limitadas en Trusted Extensions
D. Lista de las páginas del comando man de Trusted Extensions
Páginas del comando man de Trusted Extensions en orden alfabético
Páginas del comando man de Oracle Solaris modificadas por Trusted Extensions
La creación de roles en Trusted Extensions es idéntica a la creación de roles en Oracle Solaris. No obstante, para una configuración evaluada, se requiere un rol de administrador de la seguridad.
|
Antes de empezar
Tiene el rol de usuario root en la zona global.
Para obtener información sobre el comando, consulte la página del comando man roleadd(1M).
Utilice la siguiente información como guía:
Nombre del rol: secadmin
-c Local Security Officer
No proporcione información de propiedad exclusiva.
-m directorio principal
-u UID de rol
-S depósito
-K clave=valor
Asigne los perfiles de derechos de seguridad de la información y seguridad de usuarios.
Nota - Para todos los roles administrativos, utilice las etiquetas administrativas para el rango de etiquetas, audite los usos del comando pfexec, defina lock_after_retries=no y no establezca fechas de caducidad para las contraseñas.
# roleadd -c "Local Security Officer" -m \ -u 110 -K profiles="Information Security,User Security" -S files \ -K lock_after_retries=no \ -K min_label=ADMIN_LOW -K clearance=ADMIN_HIGH secadmin
# passwd -r files secadmin New Password: <Type password> Re-enter new Password: <Retype password> passwd: password successfully changed for secadmin #
Asigne una contraseña de seis caracteres alfanuméricos como mínimo. Al igual que todas las contraseñas, la contraseña del rol de administrador de la seguridad debe ser difícil de adivinar, a fin de reducir la posibilidad de que un adversario obtenga acceso no autorizado al intentar adivinar la contraseña.
Entre los posibles roles se incluyen los siguientes:
Rol de administrador: perfil de derechos System Administrator
Rol de operador: perfil de derechos Operator
Ejemplo 4-4 Creación del rol de administrador de la seguridad en LDAP
Después de configurar el primer sistema con un rol de administrador de la seguridad local, el administrador crea el rol de administrador de la seguridad en el depósito LDAP. En este caso, el rol de administrador de la seguridad definido en LDAP puede administrar los clientes LDAP.
# roleadd -c "Site Security Officer" -d server1:/rpool/pool1/BayArea/secadmin -u 111 -K profiles="Information Security,User Security" -S ldap \ -K lock_after_retries=no -K audit_flags=lo,ex:no \ -K min_label=ADMIN_LOW -K clearance=ADMIN_HIGH secadmin
El administrador proporciona una contraseña inicial para el rol.
# passwd -r ldap secadmin New Password: <Type password> Re-enter new Password: <Retype password> passwd: password successfully changed for secadmin #
Pasos siguientes
Para asignar el rol local a un usuario local, consulte Cómo crear usuarios que puedan asumir roles en Trusted Extensions.
Antes de empezar
Tiene el rol de usuario root en la zona global.
# roleadd -c "Local System Administrator" -m -u 111 -K audit_flags=lo,ex:no\ -K profiles="System Administrator" -K lock_after_retries=no \ -K min_label=ADMIN_LOW -K clearance=ADMIN_HIGH sysadmin
# passwd -r files sysadmin New Password: <Type password> Re-enter new Password: <Retype password> passwd: password successfully changed for sysadmin #
Si la política de seguridad del sitio lo permite, puede elegir crear un usuario que pueda asumir más de un rol administrativo.
Para una creación segura de los usuarios, el rol de administrador del sistema crea el usuario y asigna la contraseña inicial, y el rol de administrador de la seguridad asigna los atributos relacionados con la seguridad, por ejemplo, un rol.
Antes de empezar
Debe estar con el rol de usuario root en la zona global. O bien, si se aplica la separación de tareas, los usuarios que pueden asumir los roles de administrador de la seguridad y administrador del sistema deben estar presentes para asumir sus roles y llevar a cabo los pasos apropiados en este procedimiento.
El rol de usuario root o el rol de administrador del sistema realizan este paso.
No incluya información de propiedad exclusiva en el comentario.
# useradd -c "Second User" -u 1201 -d /home/jdoe jdoe
El rol de usuario root o el rol de administrador de la seguridad realizan este paso.
Nota - Para los usuarios que pueden asumir roles, desactive el bloqueo de cuentas y no establezca fechas de caducidad para las contraseñas. Además, audite los usos del comando pfexec.
# usermod -K lock_after_retries=no -K idletime=5 -K idlecmd=lock \ -K audit_flags=lo,ex:no jdoe
Nota - Los valores de idletime e idlecmd siguen vigentes cuando el usuario asume un rol. Para obtener más información, consulte Valores predeterminados del archivo policy.conf en Trusted Extensions.
# passwd jdoe New Password: Type password Re-enter new Password:Retype password
Nota - Cuando el equipo de configuración inicial elige una contraseña, debe seleccionar una contraseña que sea difícil de adivinar. De esta manera, se reduce la posibilidad de que un adversario obtenga acceso no autorizado al intentar adivinar las contraseñas.
El rol de usuario root o el rol de administrador de la seguridad realizan este paso.
# usermod -R oper jdoe
Después de comprobar la política de seguridad del sitio, es posible que desee otorgar a los primeros usuarios el perfil de derechos de autorizaciones convenientes. Con este perfil, los usuarios pueden asignar dispositivos, imprimir archivos PostScript, imprimir sin etiquetas, iniciar sesión de manera remota y apagar el sistema. Para crear el perfil, consulte Cómo crear perfiles de derechos para autorizaciones convenientes.
Consulte Personalización del entorno de usuario para la seguridad (mapa de tareas).
En un sistema de varios niveles, los usuarios y los roles se pueden configurar mediante archivos que contienen los archivos de inicialización de usuario que se copiarán o enlazarán a otras etiquetas. Para obtener más información, consulte Archivos .copy_files y .link_files.
Ejemplo 4-5 Uso del comando useradd para crear un usuario local
En este ejemplo, el rol de usuario root crea un usuario local que puede asumir el rol de administrador de la seguridad. Para obtener detalles, consulte las páginas del comando man useradd(1M) y atohexlabel(1M).
Este usuario tendrá un rango de etiquetas más amplio que el rango de etiquetas predeterminado. Entonces, el rol de usuario root determina el formato hexadecimal de la etiqueta mínima y la etiqueta de acreditación del usuario.
# atohexlabel public 0x0002-08-08 # atohexlabel -c "confidential restricted" 0x0004-08-78
Luego, el rol de usuario root consulta la Tabla 1-2 y crea el usuario. El administrador coloca el directorio principal del usuario en /export/home1 en lugar del directorio predeterminado /export/home.
# useradd -c "Local user for Security Admin" -d /export/home1/jandoe \ -K idletime=10 -K idlecmd=logout -K lock_after_retries=no -K min_label=0x0002-08-08 -K clearance=0x0004-08-78 jandoe
A continuación, el rol de usuario root proporciona una contraseña inicial.
# passwd -r files jandoe New Password: <Type password> Re-enter new Password: <Retype password> passwd: password successfully changed for jandoe #
Por último, el rol de usuario root agrega el rol de administrador de la seguridad a la definición del usuario. El rol se creó en la sección Cómo crear el rol de administrador de la seguridad en Trusted Extensions.
# usermod -R secadmin jandoe
Para verificar cada rol, asuma el rol. A continuación, realice tareas que sólo ese rol puede llevar a cabo e intente efectuar tareas para las que el rol no tiene autorización.
Antes de empezar
Si ha configurado DNS o rutas, debe reiniciar después de haber creado los roles y antes de verificar que los roles funcionen.
En la siguiente banda de confianza, el nombre de usuario es tester.
Para las autorizaciones que son necesarias para cambiar las propiedades de usuario, consulte la página del comando man passwd(1).
El rol de administrador del sistema debe ser capaz de crear un usuario y modificar las propiedades de usuario que requieren la autorización solaris.user.manage, como el shell de inicio de sesión del usuario. El rol de administrador del sistema no debe tener permiso para cambiar las propiedades de usuario que requieren la autorización solaris.account.setpolicy.
El rol de administrador de la seguridad debe ser capaz de cambiar las propiedades de usuario que requieren la autorización solaris.account.setpolicy. El administrador de la seguridad no debe tener permiso para crear un usuario o cambiar el shell de inicio de sesión de un usuario.
Cuando se reinicia el sistema, la asociación entre los dispositivos y el almacenamiento subyacente se debe volver a establecer.
Antes de empezar
Debe haber creado al menos una zona con etiquetas. Reinicie el sistema después de configurarlo. Puede asumir el rol de usuario root.
# svcs zones STATE STIME FMRI offline - svc:/system/zones:default
# svcadm restart svc:/system/zones:default
Ahora los usuarios comunes pueden iniciar sesión. Su sesión está en una zona con etiquetas.