Omitir Vínculos de navegación | |
Salir de la Vista de impresión | |
![]() |
Administración de Oracle Solaris 11.1: servicios de seguridad Oracle Solaris 11.1 Information Library (Español) |
Parte I Descripción general de la seguridad
1. Servicios de seguridad (descripción general)
Parte II Seguridad de sistemas, archivos y dispositivos
2. Gestión de seguridad de equipos (descripción general)
3. Control de acceso a sistemas (tareas)
4. Servicio de análisis de virus (tareas)
5. Control de acceso a dispositivos (tareas)
6. Verificación de la integridad de archivos mediante el uso de BART (tareas)
7. Control de acceso a archivos (tareas)
Parte III Roles, perfiles de derechos y privilegios
8. Uso de roles y privilegios (descripción general)
9. Uso del control de acceso basado en roles (tareas)
10. Atributos de seguridad en Oracle Solaris (referencia)
Parte IV Servicios criptográficos
11. Estructura criptográfica (descripción general)
Introducción a la estructura criptográfica
Terminología de la estructura criptográfica
Ámbito de la estructura criptográfica
Comandos administrativos de la estructura criptográfica
Comandos de nivel de usuario de la estructura criptográfica
Zonas y servicios criptográficos
Estructura criptográfica y FIPS-140
Estructura criptográfica y servidores SPARC T-Series en esta versión
12. Estructura criptográfica (tareas)
13. Estructura de gestión de claves
Parte V Servicios de autenticación y comunicación segura
14. Uso de módulos de autenticación conectables
17. Uso de autenticación simple y capa de seguridad
18. Autenticación de servicios de red (tareas)
19. Introducción al servicio Kerberos
20. Planificación del servicio Kerberos
21. Configuración del servicio Kerberos (tareas)
22. Mensajes de error y resolución de problemas de Kerberos
23. Administración de las políticas y los principales de Kerberos (tareas)
24. Uso de aplicaciones Kerberos (tareas)
25. El servicio Kerberos (referencia)
Parte VII Auditoría en Oracle Solaris
26. Auditoría (descripción general)
27. Planificación de la auditoría
La estructura proporciona comandos para los administradores, los usuarios y los desarrolladores que suministran proveedores:
Comandos administrativos: el comando cryptoadm proporciona un subcomando list para mostrar los proveedores disponibles y sus capacidades. Los usuarios comunes pueden ejecutar los comandos cryptoadm list y cryptoadm --help.
Para todos los demás subcomandos cryptoadm es necesario que asuma un rol que incluya el perfil de derechos de gestión de criptografía o que se convierta en superusuario. Los subcomandos como disable, install y uninstall están disponibles para administrar la estructura. Para obtener más información, consulte la página del comando man cryptoadm(1M).
El comando svcadm se utiliza para gestionar el daemon kcfd y para actualizar la política criptográfica en el núcleo. Para obtener más información, consulte la página del comando man svcadm(1M).
Comandos de nivel de usuario: los comandos digest y mac proporcionan servicios de integridad de archivos. Los comandos encrypt y decrypt protegen los archivos contra intrusos. Para utilizar estos comandos, consulte Protección de archivos con la estructura criptográfica (mapa de tareas).
El comando cryptoadm administra una estructura criptográfica en ejecución. El comando forma parte del perfil de derechos de gestión de criptografía. Este perfil se puede asignar a un rol para una administración segura de la estructura criptográfica. El comando cryptoadm gestiona lo siguiente:
Visualización de información del proveedor de servicios criptográficos
Desactivación o activación de mecanismos del proveedor
Desactivación o activación de la metarranura
El comando svcadm se utiliza para activar, refrescar y desactivar el daemon de servicios criptográficos, kcfd. Este comando forma parte de la función de utilidad de gestión de servicios (SMF) de Oracle Solaris. svc:/system/cryptosvcs es la instancia de servicio para la estructura criptográfica. Para obtener más información, consulte las páginas del comando man smf(5) y svcadm(1M).
La estructura criptográfica proporciona comandos de nivel de usuario para comprobar la integridad de los archivos, cifrar archivos y descifrar archivos. Un comando independiente, elfsign, permite a los proveedores registrar archivos binarios para utilizarlos en la estructura.
Comando digest : procesa un resumen de mensaje para uno o varios archivos o para stdin. Un resumen es útil para verificar la integridad de un archivo. SHA1 y MD5 son ejemplos de funciones de resumen.
Comando mac : procesa un código de autenticación de mensajes (MAC) para uno o varios archivos o para stdin. Un MAC asocia datos con un mensaje autenticado. Un MAC le permite a un receptor verificar que el mensaje provenga del remitente y no haya sido alterado. Los mecanismos sha1_mac y md5_hmac pueden procesar un MAC.
Comando encrypt: cifra los archivos o stdin con un cifrado simétrico. El comando encrypt -l muestra los algoritmos que están disponibles. Los mecanismos incluidos en una biblioteca de nivel de usuario están disponibles para el comando encrypt. La estructura proporciona mecanismos AES, DES, 3DES (Triple-DES) y ARCFOUR para el cifrado del usuario.
Comando decrypt: descifra archivos o stdin que se cifraron con el comando encrypt. El comando decrypt utiliza la misma clave y el mismo mecanismo que se utilizaron para cifrar el archivo original.
El comando elfsign proporciona un medio para firmar los proveedores que se utilizarán en la estructura criptográfica. Normalmente, este comando es ejecutado por el desarrollador de un proveedor.
El comando elfsign tiene subcomandos para solicitar un certificado, firmar binarios y verificar la firma en un binario. Los archivos binarios no registrados no pueden ser utilizados por la estructura criptográfica. Los proveedores que tengan binarios firmados verificables pueden utilizar la estructura.
Los terceros pueden conectar sus proveedores a la estructura criptográfica. Un proveedor de terceros puede ser uno de los siguientes objetos:
Módulo de software de núcleo cargable, como un algoritmo de cifrado, una función MAC o una función de resumen
Controlador de dispositivo de núcleo para un acelerador de hardware
Los objetos de un proveedor se deben firmar con un certificado de Oracle. La solicitud de certificados se basa en una clave privada que un tercero selecciona y un certificado que proporciona Oracle. La solicitud de certificado se envía a Oracle, que registra al tercero y, a continuación, expide el certificado. El tercero, a continuación, registra su objeto de proveedor con el certificado de Oracle.
Los módulos de software de núcleo cargables y los controladores de dispositivos de núcleo para aceleradores de hardware también se deben registrar en el núcleo. El registro se lleva a cabo mediante la interfaz del proveedor de servicios (SPI) de la estructura criptográfica