Omitir Vínculos de navegación | |
Salir de la Vista de impresión | |
Administración de Oracle Solaris 11.1: servicios de seguridad Oracle Solaris 11.1 Information Library (Español) |
Parte I Descripción general de la seguridad
1. Servicios de seguridad (descripción general)
Parte II Seguridad de sistemas, archivos y dispositivos
2. Gestión de seguridad de equipos (descripción general)
3. Control de acceso a sistemas (tareas)
4. Servicio de análisis de virus (tareas)
5. Control de acceso a dispositivos (tareas)
6. Verificación de la integridad de archivos mediante el uso de BART (tareas)
7. Control de acceso a archivos (tareas)
Parte III Roles, perfiles de derechos y privilegios
8. Uso de roles y privilegios (descripción general)
9. Uso del control de acceso basado en roles (tareas)
10. Atributos de seguridad en Oracle Solaris (referencia)
Visualización del contenido de los perfiles de derechos
Orden de búsqueda para atributos de seguridad asignados
Convenciones de denominación de autorizaciones
Autoridad de delegación en autorizaciones
Comandos seleccionados que requieren autorizaciones
Comandos administrativos para la gestión de privilegios
Archivos con información de privilegios
Cómo evitar la escalada de privilegios
Aplicaciones antiguas y el modelo de privilegios
Parte IV Servicios criptográficos
11. Estructura criptográfica (descripción general)
12. Estructura criptográfica (tareas)
13. Estructura de gestión de claves
Parte V Servicios de autenticación y comunicación segura
14. Uso de módulos de autenticación conectables
17. Uso de autenticación simple y capa de seguridad
18. Autenticación de servicios de red (tareas)
19. Introducción al servicio Kerberos
20. Planificación del servicio Kerberos
21. Configuración del servicio Kerberos (tareas)
22. Mensajes de error y resolución de problemas de Kerberos
23. Administración de las políticas y los principales de Kerberos (tareas)
24. Uso de aplicaciones Kerberos (tareas)
25. El servicio Kerberos (referencia)
Parte VII Auditoría en Oracle Solaris
26. Auditoría (descripción general)
27. Planificación de la auditoría
Las siguientes bases de datos almacenan los datos de los elementos de RBAC:
Base de datos de atributos de usuario extendidos (user_attr): asocia usuarios y roles con autorizaciones, privilegios, palabras clave y perfiles de derechos.
Base de datos de atributos de perfil de derechos (prof_attr): define perfiles de derechos, enumera autorizaciones asignadas de perfiles, privilegios y palabras clave, e identifica el archivo de ayuda asociado.
Base de datos de atributos de autorización (auth_attr): define autorizaciones y sus atributos, e identifica el archivo de ayuda asociado.
Base de datos de atributos de ejecución (exec_attr): identifica los comandos con atributos de seguridad que están asignados a perfiles de derechos específicos.
La base de datos policy.conf contiene autorizaciones, privilegios y perfiles de derechos que se aplican a todos los usuarios. Para obtener más información, consulte Archivo policy.conf.
El ámbito del servicio de nombres de las bases de datos RBAC se define en el servicio SMF para el cambio de servicio de nombres, svc:/system/name-service/switch. Las propiedades de este servicio para las bases de datos RBAC son auth_attr, password y prof_attr. La propiedad password establece la precedencia del servicio de nombres para las bases de datos passwd y user_attr. La propiedad prof_attr establece la precedencia del servicio de nombres para las bases de datos prof_attr y exec_attr.
En la siguiente salida, no se muestran las entradas auth_attr, password y prof_attr. Por lo tanto, las bases de datos RBAC utilizan el servicio de nombres files.
# svccfg -s name-service/switch listprop config config application config/value_authorization astring solaris.smf.value.name-service.switch config/default astring files config/host astring "files ldap dns" config/printer astring "user files ldap"
La base de datos user_attr contiene información de usuarios y roles que complementa las bases de datos passwd y shadow.
Los siguientes atributos de seguridad se pueden configurar mediante los comandos roleadd, rolemod, useradd, usermod y profiles:
Para un usuario, la palabra clave roles asigna uno o más roles definidos.
Para un rol, el valor user para la palabra clave roleauth permite al rol autenticar con la contraseña de usuario en lugar de con la contraseña del rol. De manera predeterminada, el valor es role.
Para un usuario o rol, se pueden establecer los siguientes atributos:
Palabra clave audit_flags: modifica la máscara de auditoría. Para obtener información de referencia, consulte la página del comando man audit_flags(5).
Palabra clave auths: asigna autorizaciones. Para obtener información de referencia, consulte la página del comando man auths(1).
Palabra clave defaultpriv: agrega privilegios o los elimina del conjunto de privilegios básico predeterminado. Para obtener información de referencia, consulte Cómo se implementan los privilegios.
Palabra clave limitpriv: agrega privilegios o los elimina del conjunto de privilegios límite predeterminado. Para obtener información de referencia, consulte Cómo se implementan los privilegios.
Estos privilegios están siempre en vigencia, no son atributos de un comando. Para obtener información de referencia, consulte la página del comando man privileges(5) y Cómo se implementan los privilegios.
Palabra clave project: agrega un proyecto predeterminado. Para obtener información de referencia, consulte la página del comando man project(4).
Palabra clave lock_after_retries: si el valor es yes, el sistema se bloquea después de que el número de intentos exceda el número permitido en el archivo /etc/default/login.
Palabra clave profiles: asigna perfiles de derechos.
Para obtener más información, consulte la página del comando man user_attr(4). Para ver los contenidos de esta base de datos, utilice el comando getent user_attr. Para obtener más información, consulte la página del comando man getent(1M) y Cómo visualizar todos los atributos de seguridad definidos.
Todas las autorizaciones se almacenan en la base de datos auth_attr. Las autorizaciones se pueden asignar a usuarios, roles o perfiles de derechos. El método preferido es colocar las autorizaciones en un perfil de derechos, incluir el perfil en la lista de perfiles de un rol y, a continuación, asignar el rol a un usuario.
Para ver los contenido de esta base de datos, utilice el comando getent auth_attr. Para obtener más información, consulte la página del comando man getent(1M) y Cómo visualizar todos los atributos de seguridad definidos.
La base de datos prof_attr almacena el nombre, la descripción, la ubicación del archivo de ayuda, los privilegios y las autorizaciones que se asignan a los perfiles de derechos. Los comandos y los atributos de seguridad que se asignan a los perfiles de derechos se almacenan en la base de datos exec_attr. Para obtener más información, consulte Base de datos exec_attr.
Para obtener más información, consulte la página del comando man prof_attr(4). Para ver los contenidos de esta base de datos, utilice el comando getent exec_attr. Para obtener más información, consulte la página del comando man getent(1M) y Cómo visualizar todos los atributos de seguridad definidos.
La base de datos exec_attr define los comandos que requieren atributos de seguridad para ejecutarse correctamente. Los comandos forman parte de un perfil de derechos. Un comando con sus atributos de seguridad puede ser ejecutado por los roles o usuarios a los que se asignó el perfil.
Para obtener más información, consulte la página del comando man exec_attr(4). Para ver los contenido de esta base de datos, utilice el comando getent. Para obtener más información, consulte la página del comando man getent(1M) y Cómo visualizar todos los atributos de seguridad definidos.
El archivo policy.conf ofrece una manera de otorgar perfiles de derechos específicos, autorizaciones específicas y privilegios específicos a todos los usuarios. Las entradas pertinentes del archivo constan de pares key=value:
AUTHS_GRANTED=authorizations: hace referencia a una o varias autorizaciones.
PROFS_GRANTED=rights profiles: hace referencia a uno o varios perfiles de derechos.
CONSOLE_USER=Console User: hace referencia al perfil de derechos de usuario de la consola. Este perfil se proporciona con un conjunto útil de autorizaciones para el usuario de la consola. Puede personalizar este perfil. Para ver los contenidos del perfil, consulte Perfiles de derechos.
PRIV_DEFAULT=privileges: hace referencia a uno o varios privilegios.
PRIV_LIMIT=privileges: hace referencia a todos los privilegios.
El siguiente ejemplo muestra algunos valores típicos de una base de datos policy.conf:
# grep AUTHS /etc/security/policy AUTHS_GRANTED=solaris.device.cdrw # grep PROFS /etc/security/policy PROFS_GRANTED=Basic Solaris User # grep PRIV /etc/security/policy #PRIV_DEFAULT=basic #PRIV_LIMIT=all
Para obtener más información sobre los privilegios, consulte Privilegios (descripción general).