Tareas adicionales de configuración de Trusted Extensions

Las siguientes tareas pueden ser útiles para configurar un sistema Trusted Extensions según sus necesidades. La tarea final permite eliminar la función Trusted Extensions de un sistema Oracle Solaris.

Cómo crear una segunda etiquetada secundaria

Las zonas etiquetadas secundarias son útiles para aislar servicios en diferentes zonas y permiten que los servicios se ejecuten en la misma etiqueta. Para obtener más información, consulte Zonas etiquetadas primarias y secundarias.

Antes de empezar

La zona primary debe existir. La zona secundaria debe tener una dirección IP exclusiva y no puede requerir un escritorio.

Debe estar con el rol de usuario root en la zona global.

1. Cree una zona secundaria.

   Puede utilizar la línea de comandos o la interfaz gráfica de usuario de la zona etiquetada, txzonemgr.

   • Use la línea de comandos.

     # tncfg -z secondary-label-service primary=no
     # tncfg -z secondary-label-service label=public

   • Use txzonemgr.

     # txzonemgr &

     Navegue hasta la opción para crear una zona nueva y siga las indicaciones.

     ---

     Nota - La máscara de red se debe introducir con un prefijo. Por ejemplo, la máscara de red 255.255.254.0 requiere el prefijo 23.

     ---

2. Verifique que la zona sea una zona secundaria.

   # tncfg -z zone info primary
       primary=no

Ejemplo 4-6 Creación de una zona para secuencias de comandos públicos

En este ejemplo, el administrador aísla una zona pública que está diseñada para ejecutar secuencias de comandos y trabajos por lotes.

# tncfg -z public-scripts primary=no
# tncfg -z public-scripts label=public

Cómo crear y compartir un conjunto de datos de varios niveles

Los conjuntos de datos de varios niveles son contenedores útiles al degradar o actualizar información. Para obtener más información, consulte Conjuntos de datos de varios niveles para volver a etiquetar archivos. Los conjuntos de datos de varios niveles también son útiles para servidores de archivos NFS de varios niveles a fin de proporcionar archivos en muchas etiquetas para varios clientes NFS.

Antes de empezar

Para crear un conjunto de datos de varios niveles, debe tener el rol root en la zona global.

1. Cree un conjunto de datos de varios niveles.

   # zfs create -o mountpoint=/multi -o multilevel=on rpool/multi

   rpool/multi es un conjunto de datos de varios niveles montado en la zona global en /multi.

   Para limitar el rango de etiquetas superior del conjunto de datos, consulte el Ejemplo 4-7.

2. Verifique que el conjunto de datos de varios niveles esté montado y que el punto de montaje tenga la etiqueta ADMIN_LOW.

   # getlabel /multi
   /multi: ADMIN_LOW

3. Proteja el sistema de archivos principal.

   Defina las siguientes propiedades ZFS en off para todos los sistemas de archivos de la agrupación:

   # zfs set devices=off rpool/multi
   # zfs set exec=off rpool/multi
   # zfs set setuid=off rpool/multi

4. (Opcional) Defina la propiedad de compresión de la agrupación.

   Normalmente, la compresión está definida en ZFS, en el nivel del sistema de archivos. Sin embargo, debido a que todos los sistemas de archivos de esta agrupación contienen archivos de datos, la compresión se define en el conjunto de datos de nivel superior para la agrupación.

   # zfs set compression=on rpool/multi

   Consulte también Interacciones entre propiedades de compresión, eliminación de datos duplicados y cifrado de ZFS de Administración de Oracle Solaris 11.1: sistemas de archivos ZFS.

5. Cree directorios de nivel superior para cada etiqueta que desea en el conjunto de datos de varios niveles.

   # cd /multi
   # mkdir public internal
   # chmod 777 public internal
   # setlabel PUBLIC public
   # setlabel "CNF : INTERNAL" internal

6. Utilice LOFS para montar el conjunto de datos de varios niveles en cada zona etiquetada aprobada para tener acceso.

   Por ejemplo, la siguiente serie de comandos zonecfg monta el conjunto de datos en la zona public.

   # zonecfg -z public
   zonecfg:public> add fs
   zonecfg:public:fs> set dir=/multi
   zonecfg:public:fs> set special=/multi
   zonecfg:public:fs> set type=lofs
   zonecfg:public:fs> end
   zonecfg:public> exit

   Los conjuntos de datos de varios niveles permiten la escritura de archivos en la misma etiqueta que la zona de montaje y la lectura de archivos de nivel inferior. La etiqueta de los archivos montados se puede ver y definir.

7. Para utilizar NFS para compartir el conjunto de datos de varios niveles con otros sistemas, haga lo siguiente:
   1. Convierta el servicio NFS en la zona global en un servicio de varios niveles.

      # tncfg -z global add mlp_private=2049/tcp
      # tncfg -z global add mlp_private=111/udp
      # tncfg -z global add mlp_private=111/tcp

   2. Reinicie el servicio NFS.

      # svcadm restart nfs/server

   3. Comparta el conjunto de datos de varios niveles.

      # share /multi

   Los conjuntos de datos de varios niveles montados mediante NFS permiten la escritura de archivos en la misma etiqueta que la zona de montaje y la lectura de archivos de nivel inferior. La etiqueta de los archivos montados no se puede ver de forma confiable ni definir. Para obtener más información, consulte Montaje de conjuntos de datos de varios niveles desde otro sistema.

Ejemplo 4-7 Creación de un conjunto de datos de varios niveles con una etiqueta superior por debajo de ADMIN_HIGH

En este ejemplo, el administrador crea un conjunto de datos de varios niveles con un límite superior, o etiqueta superior, que es inferior al valor predeterminado ADMIN_HIGH. En la creación de conjuntos de datos, el administrador especifica el límite de la etiqueta superior en la propiedad mslabel. Este límite superior impide que los procesos de la zona global creen archivos o directorios en el conjunto de datos de varios niveles. Sólo los procesos de zonas etiquetadas pueden crear directorios y archivos en el conjunto de datos. Dado que la propiedad multilevel es on, la propiedad mlslabel define el límite superior, no la etiqueta para un conjunto de datos de una sola etiqueta.

# zfs create -o mountpoint=/multiIUO -o multilevel=on \
-o mlslabel="CNF : INTERNAL" rpool/multiIUO

A continuación, el administrador inicia sesión en cada zona etiquetada para crear un directorio en esa etiqueta en el conjunto de datos montado.

# zlogin public 
# mkdir /multiIUO
# chmod 777 /multiIUO
# zlogin internal 
# mkdir /multiIUO
# chmod 777 /multiIUO

Los conjuntos de datos de varios niveles son visibles en la etiqueta de la zona de montaje para los usuarios autorizados después de que se reinicia la zona.

Pasos siguientes

Para permitir que los usuarios vuelvan a etiquetar los archivos, consulte Cómo permitir que los archivos se vuelvan a etiquetar desde una zona con etiquetas.

Para obtener instrucciones sobre el reetiquetado de archivos, consulte Cómo actualizar los datos de un conjunto de datos con varios niveles de Guía del usuario de Trusted Extensions and Cómo disminuir de nivel los datos de un conjunto de datos con varios niveles de Guía del usuario de Trusted Extensions.

Cómo copiar archivos en medios portátiles en Trusted Extensions

Cuando copie a medios portátiles, etiquete los medios con la etiqueta de sensibilidad de la información.

Antes de empezar

Para copiar archivos administrativos, debe tener el rol de usuario root en la zona global.

1. Asigne el dispositivo adecuado.

   Utilice Device Manager e inserte un medio vacío. Para obtener detalles, consulte Cómo asignar un dispositivo en Trusted Extensions de Guía del usuario de Trusted Extensions.

   El explorador de archivos muestra el contenido del medio vacío.

2. Abra un segundo explorador de archivos.
3. Navegue hasta la carpeta que contiene los archivos que se van a copiar.
4. Para cada archivo, realice lo siguiente:
   1. Resalte el icono para el archivo.
   2. Arrastre el archivo hasta el explorador de archivos para el medio portátil.
5. Desasigne el dispositivo.

   Para obtener detalles, consulte Cómo desasignar un dispositivo en Trusted Extensions de Guía del usuario de Trusted Extensions.

6. En el explorador de archivos para el medio portátil, seleccione Eject en el menú File.

   ---

   Nota - Recuerde colocar una etiqueta a los medios con la etiqueta de sensibilidad de los archivos copiados.

   ---

Ejemplo 4-8 Mantenimiento de los mismos archivos de configuración en todos los sistemas

El administrador del sistema desea comprobar que todos los sistemas estén configurados con los mismos valores. Por lo tanto, en el primer sistema que se configura, el administrador crea un directorio que no se puede suprimir entre reinicios. En ese directorio, el administrador coloca los archivos, que deben ser idénticos o muy similares en todos los sistemas.

Por ejemplo, el administrador modifica el archivo policy.conf y los archivos login y passwd predeterminados para este sitio. Por lo tanto, el administrador copia los siguientes archivos al directorio permanente.

# mkdir /export/commonfiles
# cp  /etc/security/policy.conf \
# cp  /etc/default/login \
# cp  /etc/default/passwd \
# cp  /etc/security/tsol/label_encodings \
/export/commonfiles

El administrador utiliza Device Manager para asignar un CD-ROM en la zona global, transfiere los archivos al CD y coloca una etiqueta Trusted Path.

Cómo copiar archivos desde medios portátiles en Trusted Extensions

Se recomienda, como una práctica segura, cambiar el nombre del archivo original de Trusted Extensions antes de reemplazarlo. Al configurar un sistema, el rol de usuario root copia los archivos administrativos y les cambia el nombre.

Antes de empezar

Para copiar archivos administrativos, debe tener el rol de usuario root en la zona global.

1. Asigne el dispositivo adecuado.

   Para obtener detalles, consulte Cómo asignar un dispositivo en Trusted Extensions de Guía del usuario de Trusted Extensions.

   El explorador de archivos muestra el contenido.

2. Inserte el medio que contiene los archivos administrativos.
3. Si el sistema tiene un archivo con el mismo nombre, copie el archivo original y asígnele un nombre nuevo.

   Por ejemplo, agregue .orig al final del archivo original:

   # cp /etc/security/tsol/label_encodings /etc/security/tsol/label_encodings.orig

4. Abra un explorador de archivos.
5. Navegue hasta el directorio de destino deseado, por ejemplo /etc/security/tsol.
6. Para cada archivo que desee copiar, realice lo siguiente:
   1. En el explorador de archivos para los medios montados, resalte el icono del archivo.
   2. A continuación, arrastre el archivo hasta el directorio de destino en el segundo explorador de archivos.
7. Desasigne el dispositivo.

   Para obtener detalles, consulte Cómo desasignar un dispositivo en Trusted Extensions de Guía del usuario de Trusted Extensions.

8. Cuando se solicite, expulse y retire el medio.

Cómo eliminar Trusted Extensions del sistema

Debe realizar pasos específicos para eliminar la función Trusted Extensions de un sistema Oracle Solaris.

Antes de empezar

Debe estar con el rol de usuario root en la zona global.

1. Archive todos los datos en las zonas con etiquetas que desee conservar.

   Para los medios portátiles, coloque un adhesivo con la etiqueta de sensibilidad de la zona en cada zona archivada.

2. Elimine las zonas con etiquetas del sistema.

   Para obtener detalles, consulte Cómo eliminar una zona no global de Administración de Oracle Solaris 11.1: zonas de Oracle Solaris, zonas de Oracle Solaris 10 y gestión de recursos.

3. Desactive el servicio de Trusted Extensions.

   # svcadm disable labeld

4. (Opcional) Reinicie el sistema.
5. Configure el sistema.

   Es posible que se deban configurar varios servicios para el sistema Oracle Solaris. Entre las posibilidades, se incluyen las funciones básicas de redes, los servicios de nombres y los montajes de sistemas de archivos.