Omitir Vínculos de navegación | |
Salir de la Vista de impresión | |
Configuración y administración de Trusted Extensions Oracle Solaris 11.1 Information Library (Español) |
Parte I Configuración inicial de Trusted Extensions
1. Planificación de la seguridad para Trusted Extensions
2. Guía básica de configuración de Trusted Extensions
3. Agregación de la función Trusted Extensions a Oracle Solaris (tareas)
4. Configuración de Trusted Extensions (tareas)
5. Configuración de LDAP para Trusted Extensions (tareas)
Parte II Administración de Trusted Extensions
6. Conceptos de la administración de Trusted Extensions
7. Herramientas de administración de Trusted Extensions
8. Requisitos de seguridad del sistema Trusted Extensions (descripción general)
9. Realización de tareas comunes en Trusted Extensions
10. Usuarios, derechos y roles en Trusted Extensions (descripción general)
11. Gestión de usuarios, derechos y roles en Trusted Extensions (tareas)
12. Administración remota en Trusted Extensions (tareas)
13. Gestión de zonas en Trusted Extensions
Zonas y direcciones IP en Trusted Extensions
Zonas y puertos de varios niveles
Zonas e ICMP en Trusted Extensions
Zonas etiquetadas primarias y secundarias
Utilidades de administración de zonas en Trusted Extensions
Gestión de zonas (mapa de tareas)
Cómo visualizar las zonas que están preparadas o en ejecución
Cómo visualizar las etiquetas de los archivos montados
Cómo montar en bucle de retorno un archivo que no suele estar visible en una zona con etiquetas
Cómo desactivar el montaje de archivos de nivel inferior
Cómo compartir un conjunto de datos ZFS desde una zona con etiquetas
Cómo permitir que los archivos se vuelvan a etiquetar desde una zona con etiquetas
14. Gestión y montaje de archivos en Trusted Extensions
15. Redes de confianza (descripción general)
16. Gestión de redes en Trusted Extensions (tareas)
17. Trusted Extensions y LDAP (descripción general)
18. Correo de varios niveles en Trusted Extensions (descripción general)
19. Gestión de impresión con etiquetas (tareas)
20. Dispositivos en Trusted Extensions (descripción general)
21. Gestión de dispositivos para Trusted Extensions (tareas)
22. Auditoría de Trusted Extensions (descripción general)
23. Gestión de software en Trusted Extensions
A. Política de seguridad del sitio
Creación y gestión de una política de seguridad
Política de seguridad del sitio y Trusted Extensions
Recomendaciones de seguridad informática
Recomendaciones de seguridad física
Recomendaciones de seguridad del personal
Infracciones de seguridad comunes
Referencias de seguridad adicionales
B. Lista de comprobación de configuración de Trusted Extensions
Lista de comprobación para la configuración de Trusted Extensions
C. Referencia rápida a la administración de Trusted Extensions
Interfaces administrativas en Trusted Extensions
Interfaces de Oracle Solaris ampliadas por Trusted Extensions
Valores predeterminados de seguridad que brindan mayor protección en Trusted Extensions
Opciones limitadas en Trusted Extensions
D. Lista de las páginas del comando man de Trusted Extensions
Páginas del comando man de Trusted Extensions en orden alfabético
Páginas del comando man de Oracle Solaris modificadas por Trusted Extensions
En Trusted Extensions, la política de MAC se aplica a todos los procesos, incluso los procesos de la zona global. Los procesos de la zona global se ejecutan en la etiqueta ADMIN_HIGH. Cuando se comparten los archivos de una zona global, se comparten en la etiqueta ADMIN_LOW. Por lo tanto, dado que MAC impide que un proceso con una etiqueta superior modifique un objeto de nivel inferior, generalmente la zona global no puede escribir en un sistema montado en NFS.
Sin embargo, en un número limitado de los casos, las acciones en una zona con etiquetas puede requerir que un proceso de la zona global modifique un archivo en dicha zona.
A fin de activar un proceso de la zona global para que monte un sistema de archivos remoto con permisos de lectura y escritura, el montaje debe estar en la ruta de la zona cuya etiqueta corresponde a la del sistema de archivos remoto. El montaje no debe estar en la ruta root de la zona.
El sistema de montaje debe tener una zona en la etiqueta idéntica como el sistema de archivos remoto.
El sistema debe montar el sistema de archivos remoto en la ruta de la zona que tiene etiquetas idénticas.
El sistema no debe montar el sistema de archivos remoto en la ruta root de la zona de la zona que tiene etiquetas idénticas.
Tenga en cuenta una zona que esté denominada como public en la etiqueta PUBLIC. La ruta de la zona es /zone/public/. Todos los directorios de la ruta de la zona se encuentran en la etiqueta PUBLIC; por ejemplo:
/zone/public/dev /zone/public/etc /zone/public/home/username /zone/public/root /zone/public/usr
De los directorios de la ruta de la zona, solamente los archivos que se encuentran en /zone/public/root son visibles desde la zona public. A los demás directorios y archivos en la etiqueta PUBLIC se puede acceder solamente desde la zona global. La ruta /zone/public/root es la ruta root de la zona.
Desde la perspectiva del administrador de la zona public, la ruta root de la zona se ve como /. De manera similar, el administrador de la zona public no puede acceder a un directorio principal del usuario en la ruta de la zona (directorio /zone/public/home/username). Dicho directorio se ve solamente desde la zona global. La zona public monta ese directorio en la ruta root de la zona como /home/username. Desde la perspectiva de la zona global, este montaje se ve como /zone/public/root/home/username.
El administrador de la zona public puede modificar /home/username. Cuando los archivos del directorio principal del usuario deben modificarse, el proceso de la zona global no utiliza dicha ruta. La zona global utiliza el directorio principal del usuario en la ruta de la zona, /zone/public/home/username.
Los archivos y directorios que se encuentran en la ruta de la zona, /zone/zonename/, pero no en la ruta root de la zona, directorio /zone/zonename/root , pueden modificarse mediante un proceso de la zona global que se ejecute en la etiqueta ADMIN_HIGH.
El administrador de la zona con etiquetas puede modificar los archivos y directorios de la ruta root de la zona, /zone/public/root.
Por ejemplo, cuando un usuario asigna un dispositivo en la zona public, un proceso de la zona global que se ejecuta en la etiqueta ADMIN_HIGH modifica el directorio dev en la ruta de la zona, /zone/public/dev. De manera similar, cuando un usuario guarda una configuración del escritorio, un proceso de la zona global de /zone/public/home/username modifica el archivo de la configuración del escritorio. Para compartir un sistema de archivos con etiquetas, consulte Cómo compartir sistemas de archivos de una zona con etiquetas.