Omitir Vínculos de navegación | |
Salir de la Vista de impresión | |
Directrices de seguridad de Oracle Solaris 11 Oracle Solaris 11.1 Information Library (Español) |
1. Descripción general de seguridad de Oracle Solaris
2. Configuración de la seguridad de Oracle Solaris
Instalación del SO Oracle Solaris
Cómo desactivar los servicios innecesarios
Cómo eliminar la capacidad de gestión de energía de los usuarios
Cómo insertar un mensaje de seguridad en archivos de banner
Cómo insertar un mensaje de seguridad en la pantalla de inicio de sesión del escritorio
Cómo establecer restricciones de contraseñas más seguras
Cómo establecer el bloqueo de cuenta para usuarios normales
Cómo definir un valor umask más restrictivo para usuarios normales
Cómo auditar eventos importantes además del inicio y el cierre de sesión
Cómo supervisar eventos lo en tiempo real
Cómo eliminar privilegios básicos innecesarios de los usuarios
Cómo mostrar un mensaje de seguridad para los usuarios ssh
Cómo utilizar los envoltorios TCP
Protección de los archivos y los sistemas de archivos
Cómo limitar el tamaño del sistema de archivos tmpfs
Protección y modificación de archivos
Protección de aplicaciones y servicios
Creación de zonas para contener aplicaciones críticas
Gestión de los recursos en las zonas
Agregación de SMF a un servicio antiguo
Creación de una instantánea de BART del sistema
Agregación de seguridad de varios niveles (con etiquetas)
Configuración de Trusted Extensions
Configuración de IPsec con etiquetas
3. Supervisión y mantenimiento de la seguridad de Oracle Solaris
La mejor manera de realizar las siguientes tareas es siguiendo el orden. En este momento, se instala el SO Oracle Solaris, y sólo el usuario inicial que puede asumir el rol root tiene acceso al sistema.
|
Inmediatamente después de la instalación, verifique los paquetes a fin de validar la instalación.
Antes de empezar
Debe asumir el rol root. Para obtener más información, consulte Cómo usar los derechos administrativos que tiene asignados de Administración de Oracle Solaris 11.1: servicios de seguridad.
Para llevar un registro, envíe la salida del comando en un archivo.
# pkg verify > /var/pkgverifylog
Véase también
Para obtener más información, consulte las páginas del comando man pkg(1) y pkg(5). Las páginas del comando man incluyen ejemplos de uso del comando pkg verify.
Utilice este procedimiento para desactivar servicios que no sean necesarios por el propósito de su sistema.
Antes de empezar
Debe asumir el rol root. Para obtener más información, consulte Cómo usar los derechos administrativos que tiene asignados de Administración de Oracle Solaris 11.1: servicios de seguridad.
# svcs | grep network online Sep_07 svc:/network/loopback:default ... online Sep_07 svc:/network/ssh:default
Por ejemplo, si el sistema no es un servidor NFS ni un servidor web, y los servicios están en línea, desactívelos.
# svcadm disable svc:/network/nfs/server:default # svcadm disable svc:/network/http:apache22
Véase también
Para obtener más información, consulte el Capítulo 1, Gestión de servicios (descripción general) de Gestión de servicios y errores en Oracle Solaris 11.1 y la página del comando man svcs(1).
Utilice este procedimiento para evitar que los usuarios de este sistema lo suspendan o lo apaguen.
Antes de empezar
Debe asumir el rol root. Para obtener más información, consulte Cómo usar los derechos administrativos que tiene asignados de Administración de Oracle Solaris 11.1: servicios de seguridad.
% getent prof_attr | grep Console Console User:RO::Manage System as the Console User: profiles=Desktop Removable Media User,Suspend To RAM,Suspend To Disk, Brightness,CPU Power Management,Network Autoconf User; auths=solaris.system.shutdown;help=RtConsUser.html
Para obtener instrucciones, consulte Cómo crear un perfil de derechos de Administración de Oracle Solaris 11.1: servicios de seguridad.
#CONSOLE_USER=Console User
# usermod -P +new-profile username
Véase también
Para obtener más información, consulte Archivo policy.conf de Administración de Oracle Solaris 11.1: servicios de seguridad y las páginas del comando man policy.conf(4) y usermod(1M).
Utilice este procedimiento para crear mensajes de seguridad en dos archivos de banner que reflejen la política de seguridad del sitio. El contenido de estos archivos de banner se muestra en el inicio de sesión local y remoto.
Nota - Los mensajes de ejemplo que se incluyen en este procedimiento no cumplen con los requisitos del Gobierno de los Estados Unidos y es probable que tampoco cumplan con su política de seguridad. Lo más recomendable es que consulte con el abogado de su empresa acerca de los contenidos del mensaje de seguridad.
Antes de empezar
Debe convertirse en administrador con el perfil de derechos de edición de mensajes de administrador asignado. Para obtener más información, consulte Cómo usar los derechos administrativos que tiene asignados de Administración de Oracle Solaris 11.1: servicios de seguridad.
$ pfedit /etc/issue ALERT ALERT ALERT ALERT ALERT This machine is available to authorized users only. If you are an authorized user, continue. Your actions are monitored, and can be recorded.
El comando login muestra los contenidos de /etc/issue antes de la autenticación, al igual que telnet y los servicios FTP. Para permitir que otras aplicaciones usen este archivo, consulte Cómo mostrar un mensaje de seguridad para los usuarios ssh and Cómo insertar un mensaje de seguridad en la pantalla de inicio de sesión del escritorio.
Para obtener más información, consulte las páginas del comando man issue(4) y pfedit(1M).
$ pfedit /etc/motd This system serves authorized users only. Activity is monitored and reported.
En Oracle Solaris, el shell inicial del usuario muestra los contenidos del archivo /etc/motd.
Escoja entre varios métodos para crear un mensaje de seguridad para que los usuarios puedan revisar al iniciar sesión.
Para obtener más información, haga clic en Sistema → Ayuda en el escritorio a fin de abrir el explorador de ayuda de GNOME. También puede usar el comando yelp. Las secuencias de comandos de inicio de sesión de escritorio se describen en la sección GDM Login Scripts and Session Files de la página del comando man gdm(1M).
Nota - El mensaje de ejemplo que se incluye en este procedimiento no cumple con los requisitos del Gobierno de los Estados Unidos y es probable que tampoco cumpla con su política de seguridad. Lo más recomendable es que consulte con el abogado de su empresa acerca de los contenidos del mensaje de seguridad.
Antes de empezar
Para crear un archivo, debe asumir el rol root. Para modificar un archivo existente, debe convertirse en administrador con la autorización solaris.admin.edit/path-to-existing-file asignada.
Las opciones que crean un cuadro de diálogo pueden usar el mensaje de seguridad en el archivo /etc/issue del Paso 1 de Cómo insertar un mensaje de seguridad en archivos de banner.
# pfedit /usr/share/gdm/autostart/LoginWindow/banner.desktop [Desktop Entry] Type=Application Name=Banner Dialog Exec=/usr/bin/zenity --text-info --width=800 --height=300 \ --title="Security Message" \ --filename=/etc/issue OnlyShowIn=GNOME; X-GNOME-Autostart-Phase=Application
Después de que se haya autenticado en la ventana de inicio de sesión, el usuario deberá cerrar el cuadro de diálogo para llegar al espacio de trabajo. Para las opciones que permiten el comando zenity, consulte la página del comando man zenity(1).
El directorio /etc/gdm contiene tres secuencias de comandos de inicialización que muestran el mensaje de seguridad antes, durante e inmediatamente después del inicio de sesión. Estas secuencias de comandos también están disponibles en la versión Oracle Solaris 10.
$ pfedit /etc/gdm/Init/Default /usr/bin/zenity --text-info --width=800 --height=300 \ --title="Security Message" --filename=/etc/issue
Para obtener información sobre cómo editar archivos de sistema como usuario no root, consulte la página del comando man pfedit(1M).
$ pfedit /etc/gdm/PreSession/Default /usr/bin/zenity --text-info --width=800 --height=300 \ --title="Security Message" --filename=/etc/issue
Nota - El cuadro de diálogo se puede cubrir con ventanas en el espacio de trabajo del usuario.
La ventana de inicio de sesión se expande para ajustarse al mensaje. Este método no hace referencia al archivo /etc/issue. Debe escribir el texto en la interfaz gráfica de usuario.
Nota - La ventana de inicio de sesión gdm-greeter-login-window.ui se sobreescribe con los comandos pkg fix y pkg update. Para conservar los cambios, copie el archivo en un directorio de archivos de configuración y combine sus cambios con el nuevo archivo después de actualizar el sistema. Para obtener más información, consulte la página del comando man pkg(5).
# cd /usr/share/gdm
# cp gdm-greeter-login-window.ui /etc/gdm/gdm-greeter-login-window.ui.orig
El programa glade-3 abre el diseñador de interfaces GTK+. Debe escribir el mensaje de seguridad en una etiqueta que se muestra sobre el campo de entrada de usuario.
# /usr/bin/glade-3 /usr/share/gdm/gdm-greeter-login-window.ui
Para revisar la guía para el diseñador de interfaces, haga clic en Desarrollo, en el explorador de la ayuda de GNOME. La página del comando man glade-3(1) aparece en la sección Aplicaciones de las páginas manuales.
# cp gdm-greeter-login-window.ui /etc/gdm/gdm-greeter-login-window.ui.site
Ejemplo 2-1 Creación de un breve mensaje de advertencia en el inicio de sesión del escritorio
En este ejemplo, el administrador escribe un mensaje breve como un argumento para el comando zenity en el archivo del escritorio. El administrador también utiliza la opción --warning, que muestra un icono de advertencia con el mensaje.
# pfedit /usr/share/gdm/autostart/LoginWindow/bannershort.desktop [Desktop Entry] Type=Application Name=Banner Dialog Exec=/usr/bin/zenity --warning --width=800 --height=150 --title="Security Message" \ --text="This system serves authorized users only. Activity is monitored and reported." OnlyShowIn=GNOME; X-GNOME-Autostart-Phase=Application