Omitir V�nculos de navegaci�n | |
Salir de la Vista de impresi�n | |
Transición de Oracle Solaris 10 a Oracle Solaris 11 Oracle Solaris 11 Information Library (Español) |
1. Transición de Oracle Solaris 10 a Oracle Solaris 11 (descripción general)
2. Transición a los métodos de instalación de Oracle Solaris 11
4. Funciones de gestión de almacenamiento
5. Gestión de sistemas de archivos
7. Gestión de configuración de red
8. Gestión de configuración del sistema
Roles, derechos, privilegios y autorizaciones
Visualización de los privilegios
Cambios en la seguridad de los archivos y los sistemas de archivos
La propiedad aclmode se ha vuelto a incorporar
Cifrado de sistemas de archivos ZFS
10. Gestión de las versiones de Oracle Solaris en un entorno virtual
11. Cambios de entorno de usuario y gestión de cuentas de usuario
12. Uso de las funciones de Oracle Solaris Desktop
A. Transición de versiones anteriores de Oracle Solaris 11 a Oracle Solaris 11
Oracle Solaris 11 presenta los siguientes cambios fundamentales en materia de seguridad:
Auditoría: ahora, la auditoría es un servicio y se encuentra habilitada de manera predeterminada. No es necesario reiniciar al habilitar o deshabilitar este servicio. El comando auditconfig se utiliza para ver información sobre la política de auditoría y, también, para modificarla. La auditoría de objetos públicos genera menos ruido en la pista de auditoría. Además, la auditoría de eventos que no son del núcleo no tiene impactos de rendimiento.
Para obtener información sobre la creación de un sistema de archivos ZFS para archivos de auditoría, consulte Cómo crear sistemas de archivos ZFS para archivos de auditoría de Administración de Oracle Solaris: servicios de seguridad.
Herramienta básica de creación de informes de auditoría (BART, Basic Audit Reporting Tool): ahora, el hash predeterminado que utiliza la BART es SHA256, no MD5. Además, para que SHA256 sea el hash predeterminado, también puede seleccionar el algoritmo de hash. Consulte el Capítulo 6, Uso de la herramienta básica de creación de informes de auditoría (tareas) de Administración de Oracle Solaris: servicios de seguridad.
Estructura criptográfica: ahora, esta función incluye más algoritmos, mecanismos, complementos y compatibilidades para la aceleración por hardware de SPARC T4 e Intel. Además, Oracle Solaris 11 proporciona una mejor alineación con la criptografía de NSA Suite B.
Proveedores de Kerberos DTrace: se agregó un nuevo proveedor de DTrace USDT que proporciona los sondeos para los mensajes de Kerberos (unidades de datos de protocolo). Los sondeos se modelan según los tipos de mensaje de Kerberos que se describen en RFC4120.
Mejoras en la gestión de claves:
Compatibilidad del almacén de claves PKCS#11 para las claves RSA en el módulo de la plataforma confianza
Acceso de PKCS#11 a Oracle Key Manager para efectuar una gestión de claves empresariales centralizada
Cambios en el comando lofi: ahora, el comando lofi admite el cifrado de dispositivos de bloque. Consulte lofi(7D).
Cambios en comando profiles: en Oracle Solaris 10, el comando se utiliza sólo para enumerar perfiles para un usuario o rol específicos, o privilegios de un usuario para comandos específicos. En Oracle Solaris 11, puede crear y modificar también perfiles en archivos y en LDAP mediante el comando profiles. Consulte profiles(1).
Comando sudo: el comando sudo es nuevo en Oracle Solaris 11. Este comando genera los registros de auditoría de Oracle Solaris durante la ejecución de comandos. El comando también elimina el privilegio básico proc_exec si la entrada de comando sudoers está etiquetada como NOEXEC.
Cifrado del sistema de archivos ZFS: el cifrado del sistema de archivos ZFS está diseñado para mantener seguros los datos. Consulte Cifrado de sistemas de archivos ZFS.
Propiedad rstchown: el parámetro ajustable rstchown que se utilizaba en las versiones anteriores para restringir operaciones chown ahora es una propiedad del sistema de archivos ZFS, rstchown, y también es una opción de montaje del sistema de archivos general. Consulte Administración de Oracle Solaris: sistemas de archivos ZFS y mount(1M).
Si intenta configurar este parámetro obsoleto en el archivo /etc/system, aparecerá el siguiente mensaje:
sorry, variable 'rstchown' is not defined in the 'kernel'
Los siguientes componentes de seguridad de red se admiten en esta versión:
Intercambio de claves de Internet (IKE, Internet Key Exchange) e IPsec: ahora, IKE incluye más grupos Diffie-Hellman y además puede utilizar grupos de criptografía de curva elíptica (ECC, Elliptic Curve Cryptography). IPsec incluye los modos AES-CCM y AES-GCM, y puede proteger el tráfico en la red para la función Trusted Extensions de Oracle Solaris (Trusted Extensions).
Cortafuegos IPfilter: el cortafuegos IPfilter, que es similar a la función IPfilter de código abierto, es compatible, es manejable y ahora está altamente integrado con SMF. Esta función permite el acceso selectivo a los puertos en función de la dirección IP.
Kerberos: ahora, Kerberos puede efectuar la autenticación mutua de clientes y servidores. Además, se incluye la compatibilidad con la autenticación inicial mediante los certificados X.509 con el protocolo PKINIT. Consulte la Parte VI, Servicio Kerberos de Administración de Oracle Solaris: servicios de seguridad.
Seguridad predeterminada: esta función se introdujo en Oracle Solaris 10, pero era netservices limited y venía desactivada de manera predeterminada. En Oracle Solaris 11, esta función está activada. La función de seguridad predeterminada se utiliza para deshabilitar y proteger varios servicios de red de los ataques, y para minimizar la exposición de la red. Tenga en cuenta que sólo SSH se encuentra habilitado.
SSH: ahora se proporciona compatibilidad para la autenticación de hosts y usuarios mediante los certificados X.509.
Las siguientes funciones de seguridad se han excluido de Oracle Solaris 11:
Herramienta automatizada de mejora de la seguridad (ASET, Automated Security Enhancement Tool): la funcionalidad ASET se reemplaza por una combinación de IPfilter, que incluye svc.ipfd, BART, SMF y otras funciones de seguridad que se admiten en Oracle Solaris 11.
Tarjetas inteligentes: la compatibilidad con tarjetas inteligentes ya no está disponible.