JavaScript is required to for searching.
Omitir Vínculos de navegación
Salir de la Vista de impresión
Configuración y administración de Trusted Extensions     Oracle Solaris 11.1 Information Library (Español)
search filter icon
search icon

Información del documento

Prefacio

Parte I Configuración inicial de Trusted Extensions

1.  Planificación de la seguridad para Trusted Extensions

2.  Guía básica de configuración de Trusted Extensions

3.  Agregación de la función Trusted Extensions a Oracle Solaris (tareas)

4.  Configuración de Trusted Extensions (tareas)

5.  Configuración de LDAP para Trusted Extensions (tareas)

Parte II Administración de Trusted Extensions

6.  Conceptos de la administración de Trusted Extensions

7.  Herramientas de administración de Trusted Extensions

8.  Requisitos de seguridad del sistema Trusted Extensions (descripción general)

9.  Realización de tareas comunes en Trusted Extensions

10.  Usuarios, derechos y roles en Trusted Extensions (descripción general)

Funciones de seguridad del usuario en Trusted Extensions

Responsabilidades del administrador para los usuarios

Responsabilidades del administrador del sistema para los usuarios

Responsabilidades del administrador de la seguridad para los usuarios

Decisiones que deben tomarse antes de crear usuarios en Trusted Extensions

Atributos de seguridad del usuario predeterminados en Trusted Extensions

Valores predeterminados del archivo label_encodings

Valores predeterminados del archivo policy.conf en Trusted Extensions

Atributos de usuario que pueden configurarse en Trusted Extensions

Atributos de seguridad que deben asignarse a los usuarios

Asignación de atributos de seguridad a los usuarios en Trusted Extensions

Archivos .copy_files y .link_files

11.  Gestión de usuarios, derechos y roles en Trusted Extensions (tareas)

12.  Administración remota en Trusted Extensions (tareas)

13.  Gestión de zonas en Trusted Extensions

14.  Gestión y montaje de archivos en Trusted Extensions

15.  Redes de confianza (descripción general)

16.  Gestión de redes en Trusted Extensions (tareas)

17.  Trusted Extensions y LDAP (descripción general)

18.  Correo de varios niveles en Trusted Extensions (descripción general)

19.  Gestión de impresión con etiquetas (tareas)

20.  Dispositivos en Trusted Extensions (descripción general)

21.  Gestión de dispositivos para Trusted Extensions (tareas)

22.  Auditoría de Trusted Extensions (descripción general)

23.  Gestión de software en Trusted Extensions

A.  Política de seguridad del sitio

Creación y gestión de una política de seguridad

Política de seguridad del sitio y Trusted Extensions

Recomendaciones de seguridad informática

Recomendaciones de seguridad física

Recomendaciones de seguridad del personal

Infracciones de seguridad comunes

Referencias de seguridad adicionales

B.  Lista de comprobación de configuración de Trusted Extensions

Lista de comprobación para la configuración de Trusted Extensions

C.  Referencia rápida a la administración de Trusted Extensions

Interfaces administrativas en Trusted Extensions

Interfaces de Oracle Solaris ampliadas por Trusted Extensions

Valores predeterminados de seguridad que brindan mayor protección en Trusted Extensions

Opciones limitadas en Trusted Extensions

D.  Lista de las páginas del comando man de Trusted Extensions

Páginas del comando man de Trusted Extensions en orden alfabético

Páginas del comando man de Oracle Solaris modificadas por Trusted Extensions

Glosario

Índice

Atributos de seguridad que deben asignarse a los usuarios

El administrador de la seguridad puede modificar los atributos de seguridad de los usuarios nuevos. Para obtener información acerca de los archivos que contienen los valores predeterminados, consulte Atributos de seguridad del usuario predeterminados en Trusted Extensions. La siguiente tabla muestra los atributos de seguridad que se pueden asignar a los usuarios y el efecto de cada asignación.

Tabla 10-2 Atributos de seguridad que se asignan después la creación del usuario

Atributo de usuario
Ubicación de valor predeterminado
Condición de la acción
Efecto de la asignación
Contraseña
None (Nada)
Necesaria
El usuario tiene contraseña
Roles
None (Nada)
OPCIONAL
El usuario puede asumir un rol
Autorizaciones
Archivo policy.conf
OPCIONAL
El usuario tiene autorizaciones adicionales
Perfiles de derechos
Archivo policy.conf
OPCIONAL
El usuario tiene perfiles de derechos adicionales
Etiquetas
Archivo label_encodings
OPCIONAL
El usuario tiene un rango de acreditación o etiqueta predeterminado que es diferente
Con privilegios
Archivo policy.conf
OPCIONAL
El usuario tiene un conjunto de privilegios diferente
Uso de la cuenta
Archivo policy.conf
OPCIONAL
El usuario tiene una configuración diferente para cuando el equipo está inactivo
Auditoría
Núcleo
OPCIONAL
El usuario no se audita de la misma forma que los valores predeterminados del sistema

Asignación de atributos de seguridad a los usuarios en Trusted Extensions

El administrador de la seguridad asigna atributos de seguridad a los usuarios una vez que se crean las cuentas de usuario. Si estableció los valores predeterminados correctos, el siguiente paso consiste en asignar los atributos de seguridad únicamente a los usuarios que necesiten excepciones a los valores predeterminados.

Al asignar atributos de seguridad a los usuarios, tenga en cuenta la siguiente información:

Asignación de contraseñas

El administrador del sistema puede asignar contraseñas a cuentas de usuario durante la creación de cuentas. Después de esta asignación inicial, el administrador de la seguridad o el usuario pueden cambiar la contraseña.

Como en Oracle Solaris, se puede exigir a los usuarios que cambien sus contraseñas periódicamente. Las opciones de caducidad de las contraseñas limitan el período durante el que un intruso capaz de adivinar o robar la contraseña puede acceder al sistema. Además, al establecer que transcurra un período mínimo antes de poder cambiar la contraseña, se impide que el usuario reemplace inmediatamente la contraseña nueva por la contraseña anterior. Para obtener detalles, consulte la página del comando man passwd(1).


Nota - Las contraseñas de los usuarios que pueden asumir roles no deben estar sujetas a ninguna limitación por caducidad.


Asignación de roles

No es obligatorio que los usuarios tengan roles. Se puede asignar más de un rol a un usuario si esto coincide con la política de seguridad del sitio.

Asignación de autorizaciones

Como en el SO Oracle Solaris, al asignar autorizaciones a un usuario, se agregan esas autorizaciones a las existentes. Se recomienda agregar las autorizaciones a un perfil de derechos y luego asignar el perfil al usuario.

Asignación de perfiles de derechos

Como en el SO Oracle Solaris, el orden de los perfiles de derechos es importante. Con la excepción de las autorizaciones, el mecanismo de perfiles utiliza el valor de la primera instancia de un atributo de seguridad asignado. Para obtener más información, consulte Orden de búsqueda para atributos de seguridad asignados de Administración de Oracle Solaris 11.1: servicios de seguridad.

Puede utilizar el orden de clasificación de perfiles para su beneficio. Si desea que un comando se ejecute con atributos de seguridad diferentes de los que se definen para el comando de un perfil existente, cree un perfil nuevo con las asignaciones preferidas para el comando. Luego, inserte ese perfil nuevo antes del perfil existente.


Nota - No asigne perfiles de derechos que incluyan comandos administrativos a un usuario común. El perfil de derechos no funciona porque el usuario común no puede acceder a la zona global.


Cambio de valores predeterminados de privilegios

El conjunto de privilegios predeterminado puede ser demasiado liberal para varios sitios. A fin de restringir el conjunto de privilegios para cualquier usuario común en el sistema, cambie la configuración del archivo policy.conf. Para cambiar el conjunto de privilegios para usuarios individuales, consulte Cómo restringir el conjunto de privilegios de un usuario.

Cambio de valores predeterminados de etiquetas

El cambio de los valores predeterminados de una etiqueta del usuario crea una excepción a los valores predeterminados del usuario en el archivo label_encodings.

Cambio de valores predeterminados de auditoría

Como en el SO Oracle Solaris, la asignación de clases de auditoría a un usuario modifica la máscara de preselección del usuario. Para obtener información de auditoría, consulte la Parte VII, Auditoría en Oracle Solaris de Administración de Oracle Solaris 11.1: servicios de seguridad y el Capítulo 22, Auditoría de Trusted Extensions (descripción general).

Archivos .copy_files y .link_files

En Trusted Extensions, los archivos se copian automáticamente del directorio de estructura básica sólo en la zona que contiene la etiqueta mínima de la cuenta. A fin de garantizar que las zonas de las etiquetas superiores puedan usar los archivos de inicio, el usuario o el administrador deben crear los archivos .copy_files y .link_files.

Los archivos .copy_files y .link_files de Trusted Extensions ayudan a automatizar los procedimientos para copiar o enlazar los archivos de inicio en cada etiqueta del directorio principal de una cuenta. Siempre que un usuario crea un espacio de trabajo en una etiqueta nueva, el comando updatehome lee el contenido de .copy_files y .link_files en la etiqueta mínima de la cuenta. A continuación, el comando enlaza o copia cada archivo enumerado en el espacio de trabajo con etiquetas superiores.

El archivo .copy_files resulta útil cuando un usuario quiere que los archivos de inicio sean diferentes en las etiquetas diferentes. Se prefiere copiar, por ejemplo, cuando los usuarios utilizan alias de correo diferentes en etiquetas diferentes. El archivo .link_files resulta útil cuando el archivo de inicio debe ser idéntico en cualquier etiqueta que se invoque. Se prefiere enlazar, por ejemplo, cuando una impresora se utiliza para todos los trabajos de impresión con etiquetas. Para ver archivos de ejemplo, consulte Cómo configurar los archivos de inicio para los usuarios en Trusted Extensions.

La lista siguiente enumera algunos archivos de inicio que quizás quiera que los usuarios puedan enlazar o copiar en etiquetas superiores:

.acrorc
.cshrc
.mime_types
.aliases
.emacs
.newsrc
.bashrc
.login
.signature
.bashrc.user
.mailrc
.soffice