Omitir V�nculos de navegaci�n | |
Salir de la Vista de impresi�n | |
Configuración y administración de Trusted Extensions Oracle Solaris 11 Information Library (Español) |
Parte I Configuración inicial de Trusted Extensions
1. Planificación de la seguridad para Trusted Extensions
2. Guía básica de configuración de Trusted Extensions
3. Adición de la función Trusted Extensions a Oracle Solaris (tareas)
4. Configuración de Trusted Extensions (tareas)
5. Configuración de LDAP para Trusted Extensions (tareas)
Parte II Administración de Trusted Extensions
6. Conceptos de la administración de Trusted Extensions
7. Herramientas de administración de Trusted Extensions
8. Requisitos de seguridad del sistema Trusted Extensions (descripción general)
9. Realización de tareas comunes en Trusted Extensions (tareas)
10. Usuarios, derechos y roles en Trusted Extensions (descripción general)
11. Gestión de usuarios, derechos y roles en Trusted Extensions (tareas)
Personalización del entorno de usuario para la seguridad (mapa de tareas)
Cómo modificar atributos de etiquetas de usuarios predeterminados
Cómo modificar los valores predeterminados de policy.conf
Cómo configurar los archivos de inicio para los usuarios en Trusted Extensions
Cómo iniciar una sesión en modo a prueba de fallos en Trusted Extensions
Gestión de usuarios y derechos (mapa de tareas)
Cómo modificar el rango de etiquetas de un usuario
Cómo crear perfiles de derechos para autorizaciones convenientes
Cómo limitar el acceso de un usuario a las aplicaciones de escritorio
Cómo restringir el conjunto de privilegios de un usuario
Cómo impedir el bloqueo de cuentas de los usuarios
Cómo habilitar a un usuario para que cambie el nivel de seguridad de los datos
Cómo suprimir una cuenta de usuario de un sistema Trusted Extensions
12. Administración remota en Trusted Extensions (tareas)
13. Gestión de zonas en Trusted Extensions (tareas)
14. Gestión y montaje de archivos en Trusted Extensions (tareas)
15. Redes de confianza (descripción general)
16. Gestión de redes en Trusted Extensions (tareas)
17. Trusted Extensions y LDAP (descripción general)
18. Correo de varios niveles en Trusted Extensions (descripción general)
19. Gestión de impresión con etiquetas (tareas)
20. Dispositivos en Trusted Extensions (descripción general)
21. Gestión de dispositivos para Trusted Extensions (tareas)
22. Auditoría de Trusted Extensions (descripción general)
23. Gestión de software en Trusted Extensions (referencia)
A. Política de seguridad del sitio
Creación y gestión de una política de seguridad
Política de seguridad del sitio y Trusted Extensions
Recomendaciones de seguridad informática
Recomendaciones de seguridad física
Recomendaciones de seguridad del personal
Infracciones de seguridad comunes
Referencias de seguridad adicionales
B. Lista de comprobación de configuración de Trusted Extensions
Lista de comprobación para la configuración de Trusted Extensions
C. Referencia rápida a la administración de Trusted Extensions
Interfaces administrativas en Trusted Extensions
Interfaces de Oracle Solaris ampliadas por Trusted Extensions
Valores predeterminados de seguridad que brindan mayor protección en Trusted Extensions
Opciones limitadas en Trusted Extensions
D. Lista de las páginas del comando man de Trusted Extensions
Páginas del comando man de Trusted Extensions en orden alfabético
Páginas del comando man de Oracle Solaris modificadas por Trusted Extensions
En Trusted Extensions, asume el rol de administrador de la seguridad para administrar usuarios, autorizaciones, derechos y roles. El siguiente mapa de tareas describe las tareas comunes que debe realizar para los usuarios que operan en un entorno con etiquetas.
|
Puede que desee ampliar el rango de etiquetas de un usuario para proporcionarle acceso de lectura a una aplicación administrativa. Por ejemplo, un usuario que puede iniciar sesión en la zona global puede ver una lista de los sistemas que se ejecutan en una determinada etiqueta. El usuario puede ver el contenido, pero no puede modificarlo.
Como alternativa, es posible que desee restringir el rango de etiquetas del usuario. Por ejemplo, un usuario invitado puede estar limitado a una etiqueta.
Antes de empezar
Debe estar con el rol de administrador de la seguridad en la zona global.
# usermod -K min_label=INTERNAL -K clearance=ADMIN_HIGH jdoe
También puede ampliar el rango de etiquetas del usuario disminuyendo la etiqueta mínima.
# usermod -K min_label=PUBLIC -K clearance=INTERNAL jdoe
Para obtener más información, consulte las páginas del comando man usermod(1M) y user_attr(4).
# usermod -K min_label=INTERNAL -K clearance=INTERNAL jdoe
Cuando la política de seguridad del sitio lo permita, quizás desee crear un perfil de derechos que contenga las autorizaciones para los usuarios que pueden realizar tareas que requieren autorización. Para habilitar a todos los usuarios de un sistema en particular que se van a autorizar, consulte Cómo modificar los valores predeterminados de policy.conf.
Antes de empezar
Debe estar con el rol de administrador de la seguridad en la zona global.
Para conocer el procedimiento paso a paso, consulte Cómo crear o cambiar un perfil de derechos de Administración de Oracle Solaris: servicios de seguridad.
Las siguientes autorizaciones pueden ser convenientes para los usuarios:
solaris.device.allocate: autoriza a un usuario a asignar un dispositivo periférico, como un micrófono o un CD-ROM.
De manera predeterminada, los usuarios de Oracle Solaris pueden leer y escribir en un CD-ROM. Sin embargo, en Trusted Extensions, solamente los usuarios que pueden asignar un dispositivo pueden acceder a la unidad de CD-ROM. Para asignar la unidad para su uso se requiere autorización. Por lo tanto, para leer y escribir en un CD-ROM en Trusted Extensions, los usuarios necesitan la autorización Allocate Device.
solaris.label.file.downgrade: autoriza a un usuario a disminuir el nivel de seguridad de un archivo.
solaris.label.file.upgrade: autoriza a un usuario a aumentar el nivel de seguridad de un archivo.
solaris.label.win.downgrade: autoriza a un usuario a seleccionar información de un archivo de nivel superior y colocarla en un archivo de nivel inferior.
solaris.label.win.noview: autoriza a un usuario a mover información sin ver la información que se mueve.
solaris.label.win.upgrade: autoriza a un usuario a seleccionar información de un archivo de nivel inferior y colocarla en un archivo de nivel superior.
solaris.login.remote: autoriza a un usuario a iniciar sesión de manera remota.
solaris.print.ps: autoriza a que un usuario imprima archivos de PostScript.
solaris.print.nobanner: autoriza a un usuario a que haga copias impresas sin la página de la carátula.
solaris.print.unlabeled : autoriza a un usuario a que haga copias impresas que no muestren etiquetas.
solaris.system.shutdown: autoriza a un usuario a apagar el sistema y cerrar una zona.
Para conocer el procedimiento paso a paso, consulte Cómo cambiar las propiedades RBAC de un usuario de Administración de Oracle Solaris: servicios de seguridad.
La seguridad del sitio puede requerir que los usuarios sólo tengan acceso a las aplicaciones que pueden abrir desde un icono de escritorio. Este procedimiento asigna perfiles de derechos que limitan el acceso de los usuarios solamente a las aplicaciones requeridas.
Nota - En el escritorio de Trusted Extensions, la ejecución de comandos siempre se basa en los perfiles de derechos.
Para permitir que todos los usuarios de un sistema en particular tengan dicha autorización, consulte Cómo modificar los valores predeterminados de policy.conf.
Antes de empezar
Debe estar con el rol de administrador de la seguridad en la zona global.
Para conocer el procedimiento, consulte Cómo restringir a un usuario a las aplicaciones de escritorio de Administración de Oracle Solaris: servicios de seguridad.
Las líneas se ajustaron con fines de visualización.
# profiles -p "Trusted Desktop Applets" profiles:Trusted Desktop Applets> set desc="Can use trusted desktop applications except terminal" profiles:Trusted Desktop Applets> add cmd=/usr/dt/config/tsoljds-migration;end profiles:Trusted Desktop Applets> add cmd=/usr/bin/tsoljds-xagent;end profiles:Trusted Desktop Applets> commit
Ha creado este perfil de derechos en el Paso 2.
profiles:Trusted Desktop Applets> add profiles="Desktop Applets" profiles:Trusted Desktop Applets> commit profiles:Trusted Desktop Applets> exit
Revise las entradas en busca de errores, por ejemplo, errores ortográficos, omisiones o repeticiones.
# profiles -p "Trusted Desktop Applets" info Found profile in files repository. name=Trusted Desktop Applets desc=Can use trusted desktop applications except terminal profiles=Desktop Applets cmd=/usr/dt/config/tsoljds-migration cmd=/usr/bin/tsoljds-xagent
Consejo - Puede crear un perfil de derechos para una aplicación o una clase de aplicaciones que tengan iconos de escritorio. A continuación, agregue el perfil de derechos Trusted Desktop Applets como un perfil de derechos complementario para el acceso al escritorio.
# usermod -P "Trusted Desktop Applets,Stop" username
Este usuario puede utilizar el escritorio de confianza, pero no puede iniciar una ventana de terminal, actuar como usuario de consola ni tener ninguno de los derechos incluidos en el perfil de derechos de usuario de Solaris básico.
Ejemplo 11-5 Cómo permitir que un usuario del escritorio abra una ventana de terminal
En este ejemplo, el administrador permite a un usuario del escritorio abrir una ventana de terminal. El administrador ya creó el perfil de derechos Desktop Applets para los usuarios del escritorio de Oracle Solaris y el perfil de derechos Trusted Desktop Applets para los usuarios del escritorio de Trusted Extensions en el depósito LDAP.
En primer lugar, el administrador crea el perfil de derechos Terminal Window y verifica su contenido.
# profiles -p "Terminal Window" -S ldap profiles:Terminal Window> set desc="Can open a terminal window" profiles:Terminal Window> add cmd=/usr/bin/gnome-terminal;end profiles:Terminal Window> commit profiles:Terminal Window> exit # profiles -p "Terminal Window" info Found profile in ldap repository. name=Terminal Window desc=Can open a terminal window cmd=/usr/bin/gnome-terminal
A continuación, el administrador asigna este perfil de derechos y el perfil de derechos All a los usuarios del escritorio que necesitan ventanas de terminal para realizar sus tareas. Sin el perfil de derechos All, los usuarios no podrán ejecutar los comandos UNIX que no requieren privilegios, como ls y cat.
# usermod -P "Trusted Desktop Applets,Terminal Window,All,Stop" -S ldap jdoe
Con este conjunto de perfiles de derechos, el usuario jdoe puede utilizar el escritorio y las ventanas de terminal, pero no puede actuar como usuario de consola ni tener ninguno de los derechos incluidos en el perfil de derechos de usuario de Solaris básico.
Puede que la seguridad del sitio requiera que a los usuarios se les otorgue menos privilegios que los asignados de manera predeterminada.
Antes de empezar
Debe estar con el rol de administrador de la seguridad en la zona global.
Precaución - No elimine los privilegios proc_fork o proc_exec. Sin estos privilegios, los usuarios no pueden utilizar el sistema. |
# usermod -K defaultpriv=basic,!proc_info,!proc_session,!file_link_any
Al eliminar el privilegio proc_info, impide que el usuario examine los procesos que no se originan desde el usuario. Con la eliminación del privilegio proc_session, se impide que el usuario examine cualquier proceso que se encuentre fuera de su sesión actual. Con la eliminación del privilegio file_link_any, se impide que el usuario establezca enlaces físicos con archivos que no sean de su propiedad.
Véase también
Para ver un ejemplo de la recopilación de restricciones de privilegios en un perfil de derechos, consulte los ejemplos que aparecen a continuación de Cómo crear o cambiar un perfil de derechos de Administración de Oracle Solaris: servicios de seguridad.
Para restringir los privilegios de todos los usuarios en un sistema, consulte el Ejemplo 11-2.
Realice este procedimiento para todos los usuarios que pueden asumir un rol.
Antes de empezar
Debe estar con el rol de administrador de la seguridad en la zona global.
# usermod -K lock_after_retries=no jdoe
Para desactivar el bloqueo de cuentas para un usuario LDAP, especifique el depósito LDAP.
# usermod -S ldap -K lock_after_retries=no jdoe
Se puede autorizar a un usuario común o a un rol a cambiar el nivel de seguridad, o las etiquetas, de los archivos y los directorios o del texto seleccionado. El usuario o el rol, además de tener la autorización, deben estar configurados para trabajar en más de una etiqueta. Las zonas con etiquetas deben estar configuradas de modo que se permita volver a etiquetar. Para conocer el procedimiento, consulte Cómo permitir que los archivos se vuelvan a etiquetar desde una zona con etiquetas.
Precaución - El cambio del nivel de seguridad de los datos es una operación privilegiada. Esta tarea la deben realizar únicamente los usuarios de confianza. |
Antes de empezar
Debe estar con el rol de administrador de la seguridad en la zona global.
Las siguientes autorizaciones habilitan al usuario para que vuelva a etiquetar un archivo:
Downgrade File Label
Upgrade File Label
Las siguientes autorizaciones habilitan al usuario para que vuelva a etiquetar la información de un archivo:
Downgrade DragNDrop or CutPaste Info
DragNDrop or CutPaste Info Without Viewing
Upgrade DragNDrop or CutPaste Info
Para conocer el procedimiento paso a paso, consulte Cómo cambiar las propiedades RBAC de un usuario de Administración de Oracle Solaris: servicios de seguridad.
Cuando se elimina del sistema a un usuario, debe asegurarse de que también se supriman el directorio principal del usuario y cualquier otro objeto que sea propiedad del usuario. Como alternativa a la eliminación de objetos que sean propiedad del usuario, puede transferir la propiedad de estos objetos a un usuario válido.
También debe asegurarse de que se supriman todos los trabajos por lotes que estén asociados con el usuario. Ningún objeto o proceso que pertenezca a un usuario eliminado puede permanecer en el sistema.
Antes de empezar
Debe estar con el rol de administrador del sistema en la zona global.
# userdel -r jdoe
Nota - Deberá buscar y suprimir los archivos temporales del usuario en todas las etiquetas, como los archivos de los directorios /tmp.
Para conocer otras consideraciones, consulte Prácticas de eliminación de usuarios.