Omitir Vínculos de navegación | |
Salir de la Vista de impresión | |
Configuración y administración de Trusted Extensions Oracle Solaris 11.1 Information Library (Español) |
Parte I Configuración inicial de Trusted Extensions
1. Planificación de la seguridad para Trusted Extensions
2. Guía básica de configuración de Trusted Extensions
3. Agregación de la función Trusted Extensions a Oracle Solaris (tareas)
4. Configuración de Trusted Extensions (tareas)
5. Configuración de LDAP para Trusted Extensions (tareas)
Parte II Administración de Trusted Extensions
6. Conceptos de la administración de Trusted Extensions
7. Herramientas de administración de Trusted Extensions
8. Requisitos de seguridad del sistema Trusted Extensions (descripción general)
9. Realización de tareas comunes en Trusted Extensions
10. Usuarios, derechos y roles en Trusted Extensions (descripción general)
11. Gestión de usuarios, derechos y roles en Trusted Extensions (tareas)
Personalización del entorno de usuario para la seguridad (mapa de tareas)
Cómo modificar atributos de etiquetas de usuarios predeterminados
Cómo modificar los valores predeterminados de policy.conf
Cómo configurar los archivos de inicio para los usuarios en Trusted Extensions
Cómo iniciar una sesión en modo a prueba de fallos en Trusted Extensions
Gestión de usuarios y derechos (mapa de tareas)
Cómo modificar el rango de etiquetas de un usuario
Cómo crear perfiles de derechos para autorizaciones convenientes
Cómo restringir el conjunto de privilegios de un usuario
Cómo impedir el bloqueo de cuentas de los usuarios
Cómo activar a un usuario para que cambie el nivel de seguridad de los datos
Cómo suprimir una cuenta de usuario de un sistema Trusted Extensions
12. Administración remota en Trusted Extensions (tareas)
13. Gestión de zonas en Trusted Extensions
14. Gestión y montaje de archivos en Trusted Extensions
15. Redes de confianza (descripción general)
16. Gestión de redes en Trusted Extensions (tareas)
17. Trusted Extensions y LDAP (descripción general)
18. Correo de varios niveles en Trusted Extensions (descripción general)
19. Gestión de impresión con etiquetas (tareas)
20. Dispositivos en Trusted Extensions (descripción general)
21. Gestión de dispositivos para Trusted Extensions (tareas)
22. Auditoría de Trusted Extensions (descripción general)
23. Gestión de software en Trusted Extensions
A. Política de seguridad del sitio
Creación y gestión de una política de seguridad
Política de seguridad del sitio y Trusted Extensions
Recomendaciones de seguridad informática
Recomendaciones de seguridad física
Recomendaciones de seguridad del personal
Infracciones de seguridad comunes
Referencias de seguridad adicionales
B. Lista de comprobación de configuración de Trusted Extensions
Lista de comprobación para la configuración de Trusted Extensions
C. Referencia rápida a la administración de Trusted Extensions
Interfaces administrativas en Trusted Extensions
Interfaces de Oracle Solaris ampliadas por Trusted Extensions
Valores predeterminados de seguridad que brindan mayor protección en Trusted Extensions
Opciones limitadas en Trusted Extensions
D. Lista de las páginas del comando man de Trusted Extensions
Páginas del comando man de Trusted Extensions en orden alfabético
Páginas del comando man de Oracle Solaris modificadas por Trusted Extensions
En el siguiente mapa de tareas se describen las tareas comunes que puede llevar a cabo para personalizar un sistema para todos los usuarios o una cuenta de usuario individual. Muchas de estas tareas se llevan a cabo antes de que los usuarios comunes puedan iniciar sesión.
|
Puede modificar los atributos de etiquetas de usuarios predeterminados durante la configuración del primer sistema. Los cambios se deben copiar en cada sistema Trusted Extensions.
Precaución - Debe completar esta tarea antes de que los usuarios comunes accedan al sistema. |
Antes de empezar
Debe estar con el rol de administrador de la seguridad en la zona global. Para obtener detalles, consulte Cómo entrar en la zona global en Trusted Extensions.
Para conocer los valores predeterminados, consulte la Tabla 1-2 en Planificación de la seguridad del usuario en Trusted Extensions.
Precaución - El archivo label_encodings debe ser igual en todos los sistemas. Para conocer un método de distribución, consulte Cómo copiar archivos en medios portátiles en Trusted Extensions y Cómo copiar archivos desde medios portátiles en Trusted Extensions. |
La modificación de los valores predeterminados de policy.conf en Trusted Extensions es idéntica a la modificación de cualquier archivo del sistema relacionado con la seguridad en Oracle Solaris. Utilice este procedimiento para cambiar los valores predeterminados para todos los usuarios de un sistema.
Antes de empezar
Debe estar con el rol de usuario root en la zona global. Para obtener detalles, consulte Cómo entrar en la zona global en Trusted Extensions.
Para conocer las palabras clave de Trusted Extensions consulte la Tabla 10-1.
Ejemplo 11-1 Cambio de la configuración del tiempo de inactividad del sistema
En este ejemplo, el administrador de la seguridad desea que los sistemas inactivos regresen a la pantalla de inicio de sesión. El valor predeterminado bloquea los sistemas inactivos. Por lo tanto, el rol de usuario root agrega el par IDLECMD keyword=value al archivo /etc/security/policy.conf de la siguiente manera:
IDLECMD=LOGOUT
El administrador también desea que los sistemas permanezcan inactivos durante un período más corto antes de que se cierre la sesión. Por lo tanto, el rol de usuario root agrega el par IDLETIME keyword=value al archivo policy.conf de la siguiente manera:
IDLETIME=10
Así, el sistema cierra la sesión del usuario si el sistema permanece inactivo durante 10 minutos.
Tenga en cuenta que si el usuario de inicio de sesión asume un rol, los valores IDLECMD e IDLETIME del usuario están vigentes para ese rol.
Ejemplo 11-2 Modificación del conjunto de privilegios básico de cada usuario
En este ejemplo, el administrador de seguridad de una gran instalación de Sun Ray no quiere que los usuarios comunes vean los procesos de otros usuarios de Sun Ray. Por lo tanto, en todos los sistemas que estén configurados con Trusted Extensions, el rol de usuario root elimina proc_info del conjunto básico de privilegios. La configuración PRIV_DEFAULT del archivo /etc/policy.conf no tiene comentarios y se modifica de la siguiente manera:
PRIV_DEFAULT=basic,!proc_info
Ejemplo 11-3 Asignación de las autorizaciones relacionadas con la impresión a todos los usuarios de un sistema
En este ejemplo, la seguridad del sitio permite que un equipo de quiosco público imprima sin etiquetas. En el quiosco público, el rol root modifica el valor para AUTHS_GRANTED en el archivo /etc/security/policy.conf. La próxima vez que inicie, los trabajos de impresión de todos los usuarios de este quiosco se imprimen sin las etiquetas de las páginas.
AUTHS_GRANTED=solaris.print.unlabeled
A continuación, el administrador decide quitar las páginas de la carátula y del ubicador para ahorrar papel. El administrador modifica la entrada policy.conf.
AUTHS_GRANTED=solaris.print.unlabeled,solaris.print.nobanner
Después de reiniciar el quiosco público, se quitan todas las etiquetas de los trabajos de impresión y no cuentan con carátulas ni páginas de ubicador.
Los usuarios pueden introducir los archivos .copy_files y .link_files en el directorio principal en la etiqueta que corresponde a la etiqueta de sensibilidad mínima. Los usuarios también pueden modificar los archivos .copy_files y .link_files que ya existen en la etiqueta mínima de los usuarios. Este procedimiento sirve para que el rol de administrador automatice la configuración del sitio.
Antes de empezar
Debe estar con el rol de administrador del sistema en la zona global. Para obtener detalles, consulte Cómo entrar en la zona global en Trusted Extensions.
Agregará los archivos .copy_files y .link_files a la lista de archivos de inicio.
# cd /etc/skel # touch .copy_files .link_files
# pfedit /etc/skel/.copy_files
Consulte Archivos .copy_files y .link_files para obtener ideas. Para ver archivos de muestra, consulte el Ejemplo 11-4.
Para ver una explicación de los archivos que se incluirán en los archivos de inicio, consulte Personalización de un entorno de trabajo del usuario de Gestión de las cuentas de usuario y los entornos de usuario en Oracle Solaris 11.1.
Para obtener detalles, consulte Cómo personalizar los archivos de inicialización de usuario de Gestión de las cuentas de usuario y los entornos de usuario en Oracle Solaris 11.1.
P indica el shell Profile.
X representa la letra con la que comienza el nombre del shell; por ejemplo, B para un shell Bourne, K para un shell Korn, C para un shell C y P para un shell Profile.
Ejemplo 11-4 Personalización de los archivos de inicio para los usuarios
En este ejemplo, el administrador del sistema configura archivos para el directorio principal de cada usuario. Los archivos se encuentran en su lugar antes de que cualquier usuario inicie sesión. Los archivos están en la etiqueta mínima del usuario. En este sitio, el shell predeterminado de los usuarios es el shell C.
El administrador del sistema crea un archivo .copy_files y un archivo .link_files con el siguiente contenido:
## .copy_files for regular users ## Copy these files to my home directory in every zone .mailrc .mozilla .soffice :wq
## .link_files for regular users with C shells ## Link these files to my home directory in every zone .bashrc .bashrc.user .cshrc .login :wq
## .link_files for regular users with Korn shells # Link these files to my home directory in every zone .ksh .profile :wq
En los archivos de inicialización del shell, el administrador garantiza que los trabajos de impresión de los usuarios se dirijan a una impresora con etiquetas.
## .cshrc file setenv PRINTER conf-printer1 setenv LPDEST conf-printer1
## .ksh file export PRINTER conf-printer1 export LPDEST conf-printer1
Los archivos personalizados se copian en el directorio de estructura básica apropiado.
$ cp .copy_files .link_files .bashrc .bashrc.user .cshrc \ .login .profile .mailrc /etc/skelC $ cp .copy_files .link_files .ksh .profile .mailrc \ /etc/skelK
Errores más frecuentes
Si crea archivos .copy_files en la etiqueta más baja y, a continuación, inicia sesión en una zona superior para ejecutar el comando updatehome, y el comando falla con un error de acceso, intente realizar lo siguiente:
Verifique que desde la zona de nivel superior pueda ver el directorio de nivel inferior.
higher-level zone# ls /zone/lower-level-zone/home/username ACCESS ERROR: there are no files under that directory
Si no puede ver el directorio, reinicie el servicio de montaje automático en la zona de nivel superior:
higher-level zone# svcadm restart autofs
Salvo que use montajes de NFS para los directorios principales, el montador automático de la zona de nivel superior debe montar en bucle de retorno de /zone/lower-level-zone/export/home/username a /zone/lower-level-zone/home/username.
En Trusted Extensions, el inicio de sesión en modo a prueba de fallos está protegido. Si un usuario común personalizó los archivos de inicialización del shell y ahora no puede iniciar sesión, puede utilizar el inicio de sesión en modo a prueba de fallos para reparar los archivos del usuario.
Antes de empezar
Debe conocer la contraseña de usuario root.
Ya puede depurar los archivos de inicialización del usuario.