Omitir Vínculos de navegación | |
Salir de la Vista de impresión | |
Configuración y administración de Trusted Extensions Oracle Solaris 11.1 Information Library (Español) |
Parte I Configuración inicial de Trusted Extensions
1. Planificación de la seguridad para Trusted Extensions
2. Guía básica de configuración de Trusted Extensions
3. Agregación de la función Trusted Extensions a Oracle Solaris (tareas)
4. Configuración de Trusted Extensions (tareas)
5. Configuración de LDAP para Trusted Extensions (tareas)
Parte II Administración de Trusted Extensions
6. Conceptos de la administración de Trusted Extensions
7. Herramientas de administración de Trusted Extensions
8. Requisitos de seguridad del sistema Trusted Extensions (descripción general)
9. Realización de tareas comunes en Trusted Extensions
10. Usuarios, derechos y roles en Trusted Extensions (descripción general)
11. Gestión de usuarios, derechos y roles en Trusted Extensions (tareas)
12. Administración remota en Trusted Extensions (tareas)
13. Gestión de zonas en Trusted Extensions
14. Gestión y montaje de archivos en Trusted Extensions
Posibilidades de montaje en Trusted Extensions
Políticas de Trusted Extensions para sistemas de archivos montados
Política de Trusted Extensions para conjuntos de datos de un solo nivel
Política de Trusted Extensions para conjuntos de datos de varios niveles
Ninguna sustitución de privilegios para la política de lectura y escritura de MAC
Resultados del uso compartido y el montaje de sistemas de archivos en Trusted Extensions
Uso compartido y montaje de archivos en la zona global
Uso compartido y montaje de archivos en una zona etiquetada
Propiedad mlslabel y montaje de sistemas de archivos de un solo nivel
Conjuntos de datos de varios niveles para volver a etiquetar archivos
Montaje de conjuntos de datos de varios niveles desde otro sistema
Servidor NFS y configuración de cliente en Trusted Extensions
Creación de directorios principales en Trusted Extensions
Cambios en el montador automático en Trusted Extensions
Software Trusted Extensions y versiones del protocolo NFS
Copia de seguridad, uso compartido y montaje de archivos con etiquetas (mapa de tareas)
Cómo realizar copias de seguridad de los archivos en Trusted Extensions
Cómo restaurar archivos en Trusted Extensions
Cómo compartir sistemas de archivos de una zona con etiquetas
Cómo montar archivos en NFS en una zona con etiquetas
Cómo resolver problemas por fallos de montaje en Trusted Extensions
15. Redes de confianza (descripción general)
16. Gestión de redes en Trusted Extensions (tareas)
17. Trusted Extensions y LDAP (descripción general)
18. Correo de varios niveles en Trusted Extensions (descripción general)
19. Gestión de impresión con etiquetas (tareas)
20. Dispositivos en Trusted Extensions (descripción general)
21. Gestión de dispositivos para Trusted Extensions (tareas)
22. Auditoría de Trusted Extensions (descripción general)
23. Gestión de software en Trusted Extensions
A. Política de seguridad del sitio
Creación y gestión de una política de seguridad
Política de seguridad del sitio y Trusted Extensions
Recomendaciones de seguridad informática
Recomendaciones de seguridad física
Recomendaciones de seguridad del personal
Infracciones de seguridad comunes
Referencias de seguridad adicionales
B. Lista de comprobación de configuración de Trusted Extensions
Lista de comprobación para la configuración de Trusted Extensions
C. Referencia rápida a la administración de Trusted Extensions
Interfaces administrativas en Trusted Extensions
Interfaces de Oracle Solaris ampliadas por Trusted Extensions
Valores predeterminados de seguridad que brindan mayor protección en Trusted Extensions
Opciones limitadas en Trusted Extensions
D. Lista de las páginas del comando man de Trusted Extensions
Páginas del comando man de Trusted Extensions en orden alfabético
Páginas del comando man de Oracle Solaris modificadas por Trusted Extensions
Un conjunto de datos ZFS de varios niveles está diseñado para contener archivos y directorios en diferentes etiquetas. Cada archivo y directorio se etiqueta individualmente, y las etiquetas pueden cambiarse sin necesidad de mover o copiar los archivos. Los archivos pueden volver a etiquetarse dentro del rango de etiquetas del conjunto de datos. Para crear y compartir conjuntos de datos de varios niveles, consulte Cómo crear y compartir un conjunto de datos de varios niveles.
Generalmente, todos los archivos y directorios en un conjunto de datos tienen la misma etiqueta que la zona en la que se monta el conjunto de datos. Esta etiqueta se registra automáticamente en una propiedad ZFS denominada mlslabel cuando el conjunto de datos se monta por primera vez en la zona. Estos conjuntos de datos son conjuntos de datos etiquetados de un solo nivel. La propiedad mlslabel no se puede cambiar mientras el conjunto de datos está montado, es decir, la zona de montaje no puede cambiar la propiedad mlslabel.
Después de definir la propiedad mlslabel, el conjunto de datos no se puede montar en modo de lectura y escritura en una zona a menos que la etiqueta de la zona coincida con la propiedad mlslabel del conjunto de datos. Además, un conjunto de datos no se puede montar en una zona si actualmente está montado en otra zona, incluida la zona global. Dado que la etiqueta de los archivos en un conjunto de datos etiquetado de un solo nivel es fija, al volver a etiquetar un archivo con el comando setlabel, el archivo se mueve al nombre de ruta equivalente en la zona principal que corresponde a la etiqueta de destino. Este movimiento en las zonas puede ser ineficaz y confuso. Los conjuntos de datos de varios niveles ofrecen un contenedor eficaz para volver a etiquetar los datos.
Para conjuntos de datos de varios niveles montados en la zona global, el valor predeterminado de la propiedad mlslabel es ADMIN_HIGH. Este valor especifica el límite superior del rango de etiquetas del conjunto de datos. Si especifica una etiqueta inferior, solamente podrá escribir en el conjunto de datos de zonas cuyas etiquetas están dominadas por la propiedad mlslabel.
Los usuarios o roles con el perfil de derechos de gestión de etiquetas de objetos tienen los privilegios adecuados para actualizar o degradar archivos o directorios a los que tienen acceso DAC. Para conocer el procedimiento, consulte Cómo activar a un usuario para que cambie el nivel de seguridad de los datos.
Para el proceso de usuario, se aplican restricciones de políticas adicionales.
De manera predeterminada, ningún proceso en una zona etiquetada puede volver a etiquetar archivos o directorios. Para permitir el reetiquetado, consulte Cómo permitir que los archivos se vuelvan a etiquetar desde una zona con etiquetas. Para especificar controles más detallados, por ejemplo, que permitan degradar pero no actualizar archivos, consulte el Ejemplo 13-5.
Los directorios no se pueden volver a etiquetar a menos que estén vacíos.
Los archivos y directorios no se pueden degradar por debajo de la etiqueta de su directorio que los contiene.
Para cambiar la etiqueta, primero debe mover el archivo al directorio de nivel inferior y, a continuación, volver a etiquetarlo.
Las zonas que montan el conjunto de datos no pueden actualizar un archivo o un directorio por encima de la etiqueta de zona.
Los archivos no se pueden volver a etiquetar si están abiertos mediante un proceso en cualquier zona.
Los archivos y directorios no se pueden actualizar por encima del valor mlslabel del conjunto de datos.
La zona global pueden compartir conjuntos de datos de varios niveles mediante NFS con sistemas Trusted Extensions y sistemas sin etiquetar. Los conjuntos de datos se pueden montar en la zona global y en zonas etiquetadas, y en sistemas sin etiquetar en su etiqueta asignada. La excepción es un sistema sin etiquetar ADMIN_LOW. No puede montar un conjunto de datos de varios niveles.
Cuando se crea un conjunto de datos de varios niveles con una etiqueta que es inferior a ADMIN_HIGH, el conjunto de datos se puede montar en la zona global de otro sistema Trusted Extensions, pero los archivos solamente se pueden ver en la zona global, no se pueden modificar. Cuando un NFS de zona etiquetada monta el conjunto de datos de varios niveles desde la zona global de un sistema diferente, se aplican algunas restricciones.
Se aplican algunas restricciones a los conjuntos de datos de varios niveles montados mediante NFS.
Un cliente NFS de Trusted Extensions puede ver las etiquetas correctas solamente para los archivos modificables. El comando getlabel informa incorrectamente la etiqueta de los archivos de nivel inferior y la confunde con la etiqueta del cliente. La política MAC está en vigor, de modo que los archivos siguen siendo de sólo lectura y los archivos de nivel superior no son visibles.
El servidor NFS ignora los posibles privilegios del cliente.
Debido a estas restricciones, se prefiere utilizar LOFS para clientes de zonas etiquetadas que reciben servicios desde su propia zona global. NFS funcionará para estos clientes, pero están sujetos a las restricciones. Para conocer el procedimiento de montaje LOFS, consulte Cómo crear y compartir un conjunto de datos de varios niveles.