Omitir Vínculos de navegación | |
Salir de la Vista de impresión | |
Configuración y administración de Trusted Extensions Oracle Solaris 11.1 Information Library (Español) |
Parte I Configuración inicial de Trusted Extensions
1. Planificación de la seguridad para Trusted Extensions
2. Guía básica de configuración de Trusted Extensions
3. Agregación de la función Trusted Extensions a Oracle Solaris (tareas)
4. Configuración de Trusted Extensions (tareas)
Configuración de la zona global en Trusted Extensions
Cómo comprobar e instalar el archivo de codificaciones de etiquetas
Cómo configurar una red CIPSO IPv6 en Trusted Extensions
Cómo configurar un dominio de interpretación diferente
Creación de zonas con etiquetas
Cómo crear un sistema Trusted Extensions predeterminado
Cómo crear zonas con etiquetas de forma interactiva
Cómo asignar etiquetas a dos espacios de trabajo con zonas
Configuración de las interfaces de red en Trusted Extensions
Cómo compartir una única dirección IP con todas las zonas
Cómo agregar una instancia de IP para una zona con etiquetas
Cómo agregar una interfaz de red virtual a una zona con etiquetas
Cómo conectar un sistema Trusted Extensions con otros sistemas Trusted Extensions
Cómo configurar un servicio de nombres independiente para cada zona con etiquetas
Creación de roles y usuarios en Trusted Extensions
Cómo crear el rol de administrador de la seguridad en Trusted Extensions
Cómo crear un rol de administrador del sistema
Cómo crear usuarios que puedan asumir roles en Trusted Extensions
Cómo verificar que los roles de Trusted Extensions funcionan
Cómo permitir que los usuarios inicien sesión en una zona con etiquetas
Creación de directorios principales centralizados en Trusted Extensions
Cómo crear el servidor de directorio principal en Trusted Extensions
Resolución de los problemas de configuración de Trusted Extensions
Cómo mover los paneles de escritorio a la parte inferior de la pantalla
Tareas adicionales de configuración de Trusted Extensions
Cómo crear una segunda etiquetada secundaria
Cómo crear y compartir un conjunto de datos de varios niveles
Cómo copiar archivos en medios portátiles en Trusted Extensions
Cómo copiar archivos desde medios portátiles en Trusted Extensions
5. Configuración de LDAP para Trusted Extensions (tareas)
Parte II Administración de Trusted Extensions
6. Conceptos de la administración de Trusted Extensions
7. Herramientas de administración de Trusted Extensions
8. Requisitos de seguridad del sistema Trusted Extensions (descripción general)
9. Realización de tareas comunes en Trusted Extensions
10. Usuarios, derechos y roles en Trusted Extensions (descripción general)
11. Gestión de usuarios, derechos y roles en Trusted Extensions (tareas)
12. Administración remota en Trusted Extensions (tareas)
13. Gestión de zonas en Trusted Extensions
14. Gestión y montaje de archivos en Trusted Extensions
15. Redes de confianza (descripción general)
16. Gestión de redes en Trusted Extensions (tareas)
17. Trusted Extensions y LDAP (descripción general)
18. Correo de varios niveles en Trusted Extensions (descripción general)
19. Gestión de impresión con etiquetas (tareas)
20. Dispositivos en Trusted Extensions (descripción general)
21. Gestión de dispositivos para Trusted Extensions (tareas)
22. Auditoría de Trusted Extensions (descripción general)
23. Gestión de software en Trusted Extensions
A. Política de seguridad del sitio
Creación y gestión de una política de seguridad
Política de seguridad del sitio y Trusted Extensions
Recomendaciones de seguridad informática
Recomendaciones de seguridad física
Recomendaciones de seguridad del personal
Infracciones de seguridad comunes
Referencias de seguridad adicionales
B. Lista de comprobación de configuración de Trusted Extensions
Lista de comprobación para la configuración de Trusted Extensions
C. Referencia rápida a la administración de Trusted Extensions
Interfaces administrativas en Trusted Extensions
Interfaces de Oracle Solaris ampliadas por Trusted Extensions
Valores predeterminados de seguridad que brindan mayor protección en Trusted Extensions
Opciones limitadas en Trusted Extensions
D. Lista de las páginas del comando man de Trusted Extensions
Páginas del comando man de Trusted Extensions en orden alfabético
Páginas del comando man de Oracle Solaris modificadas por Trusted Extensions
Las siguientes tareas pueden ser útiles para configurar un sistema Trusted Extensions según sus necesidades. La tarea final permite eliminar la función Trusted Extensions de un sistema Oracle Solaris.
|
Las zonas etiquetadas secundarias son útiles para aislar servicios en diferentes zonas y permiten que los servicios se ejecuten en la misma etiqueta. Para obtener más información, consulte Zonas etiquetadas primarias y secundarias.
Antes de empezar
La zona primary debe existir. La zona secundaria debe tener una dirección IP exclusiva y no puede requerir un escritorio.
Debe estar con el rol de usuario root en la zona global.
Puede utilizar la línea de comandos o la interfaz gráfica de usuario de la zona etiquetada, txzonemgr.
# tncfg -z secondary-label-service primary=no # tncfg -z secondary-label-service label=public
# txzonemgr &
Navegue hasta la opción para crear una zona nueva y siga las indicaciones.
Nota - La máscara de red se debe introducir con un prefijo. Por ejemplo, la máscara de red 255.255.254.0 requiere el prefijo 23.
# tncfg -z zone info primary primary=no
Ejemplo 4-6 Creación de una zona para secuencias de comandos públicos
En este ejemplo, el administrador aísla una zona pública que está diseñada para ejecutar secuencias de comandos y trabajos por lotes.
# tncfg -z public-scripts primary=no # tncfg -z public-scripts label=public
Los conjuntos de datos de varios niveles son contenedores útiles al degradar o actualizar información. Para obtener más información, consulte Conjuntos de datos de varios niveles para volver a etiquetar archivos. Los conjuntos de datos de varios niveles también son útiles para servidores de archivos NFS de varios niveles a fin de proporcionar archivos en muchas etiquetas para varios clientes NFS.
Antes de empezar
Para crear un conjunto de datos de varios niveles, debe tener el rol root en la zona global.
# zfs create -o mountpoint=/multi -o multilevel=on rpool/multi
rpool/multi es un conjunto de datos de varios niveles montado en la zona global en /multi.
Para limitar el rango de etiquetas superior del conjunto de datos, consulte el Ejemplo 4-7.
# getlabel /multi /multi: ADMIN_LOW
Defina las siguientes propiedades ZFS en off para todos los sistemas de archivos de la agrupación:
# zfs set devices=off rpool/multi # zfs set exec=off rpool/multi # zfs set setuid=off rpool/multi
Normalmente, la compresión está definida en ZFS, en el nivel del sistema de archivos. Sin embargo, debido a que todos los sistemas de archivos de esta agrupación contienen archivos de datos, la compresión se define en el conjunto de datos de nivel superior para la agrupación.
# zfs set compression=on rpool/multi
Consulte también Interacciones entre propiedades de compresión, eliminación de datos duplicados y cifrado de ZFS de Administración de Oracle Solaris 11.1: sistemas de archivos ZFS.
# cd /multi # mkdir public internal # chmod 777 public internal # setlabel PUBLIC public # setlabel "CNF : INTERNAL" internal
Por ejemplo, la siguiente serie de comandos zonecfg monta el conjunto de datos en la zona public.
# zonecfg -z public zonecfg:public> add fs zonecfg:public:fs> set dir=/multi zonecfg:public:fs> set special=/multi zonecfg:public:fs> set type=lofs zonecfg:public:fs> end zonecfg:public> exit
Los conjuntos de datos de varios niveles permiten la escritura de archivos en la misma etiqueta que la zona de montaje y la lectura de archivos de nivel inferior. La etiqueta de los archivos montados se puede ver y definir.
# tncfg -z global add mlp_private=2049/tcp # tncfg -z global add mlp_private=111/udp # tncfg -z global add mlp_private=111/tcp
# svcadm restart nfs/server
# share /multi
Los conjuntos de datos de varios niveles montados mediante NFS permiten la escritura de archivos en la misma etiqueta que la zona de montaje y la lectura de archivos de nivel inferior. La etiqueta de los archivos montados no se puede ver de forma confiable ni definir. Para obtener más información, consulte Montaje de conjuntos de datos de varios niveles desde otro sistema.
Ejemplo 4-7 Creación de un conjunto de datos de varios niveles con una etiqueta superior por debajo de ADMIN_HIGH
En este ejemplo, el administrador crea un conjunto de datos de varios niveles con un límite superior, o etiqueta superior, que es inferior al valor predeterminado ADMIN_HIGH. En la creación de conjuntos de datos, el administrador especifica el límite de la etiqueta superior en la propiedad mslabel. Este límite superior impide que los procesos de la zona global creen archivos o directorios en el conjunto de datos de varios niveles. Sólo los procesos de zonas etiquetadas pueden crear directorios y archivos en el conjunto de datos. Dado que la propiedad multilevel es on, la propiedad mlslabel define el límite superior, no la etiqueta para un conjunto de datos de una sola etiqueta.
# zfs create -o mountpoint=/multiIUO -o multilevel=on \ -o mlslabel="CNF : INTERNAL" rpool/multiIUO
A continuación, el administrador inicia sesión en cada zona etiquetada para crear un directorio en esa etiqueta en el conjunto de datos montado.
# zlogin public # mkdir /multiIUO # chmod 777 /multiIUO # zlogin internal # mkdir /multiIUO # chmod 777 /multiIUO
Los conjuntos de datos de varios niveles son visibles en la etiqueta de la zona de montaje para los usuarios autorizados después de que se reinicia la zona.
Pasos siguientes
Para permitir que los usuarios vuelvan a etiquetar los archivos, consulte Cómo permitir que los archivos se vuelvan a etiquetar desde una zona con etiquetas.
Para obtener instrucciones sobre el reetiquetado de archivos, consulte Cómo actualizar los datos de un conjunto de datos con varios niveles de Guía del usuario de Trusted Extensions and Cómo disminuir de nivel los datos de un conjunto de datos con varios niveles de Guía del usuario de Trusted Extensions.
Cuando copie a medios portátiles, etiquete los medios con la etiqueta de sensibilidad de la información.
Nota - Durante la configuración de Trusted Extensions, el rol de usuario root puede utilizar medios portátiles para transferir los archivos label_encodings a todos los sistemas. Etiquete los medios con Trusted Path.
Antes de empezar
Para copiar archivos administrativos, debe tener el rol de usuario root en la zona global.
Utilice Device Manager e inserte un medio vacío. Para obtener detalles, consulte Cómo asignar un dispositivo en Trusted Extensions de Guía del usuario de Trusted Extensions.
El explorador de archivos muestra el contenido del medio vacío.
Para obtener detalles, consulte Cómo desasignar un dispositivo en Trusted Extensions de Guía del usuario de Trusted Extensions.
Nota - Recuerde colocar una etiqueta a los medios con la etiqueta de sensibilidad de los archivos copiados.
Ejemplo 4-8 Mantenimiento de los mismos archivos de configuración en todos los sistemas
El administrador del sistema desea comprobar que todos los sistemas estén configurados con los mismos valores. Por lo tanto, en el primer sistema que se configura, el administrador crea un directorio que no se puede suprimir entre reinicios. En ese directorio, el administrador coloca los archivos, que deben ser idénticos o muy similares en todos los sistemas.
Por ejemplo, el administrador modifica el archivo policy.conf y los archivos login y passwd predeterminados para este sitio. Por lo tanto, el administrador copia los siguientes archivos al directorio permanente.
# mkdir /export/commonfiles # cp /etc/security/policy.conf \ # cp /etc/default/login \ # cp /etc/default/passwd \ # cp /etc/security/tsol/label_encodings \ /export/commonfiles
El administrador utiliza Device Manager para asignar un CD-ROM en la zona global, transfiere los archivos al CD y coloca una etiqueta Trusted Path.
Se recomienda, como una práctica segura, cambiar el nombre del archivo original de Trusted Extensions antes de reemplazarlo. Al configurar un sistema, el rol de usuario root copia los archivos administrativos y les cambia el nombre.
Antes de empezar
Para copiar archivos administrativos, debe tener el rol de usuario root en la zona global.
Para obtener detalles, consulte Cómo asignar un dispositivo en Trusted Extensions de Guía del usuario de Trusted Extensions.
El explorador de archivos muestra el contenido.
Por ejemplo, agregue .orig al final del archivo original:
# cp /etc/security/tsol/label_encodings /etc/security/tsol/label_encodings.orig
Para obtener detalles, consulte Cómo desasignar un dispositivo en Trusted Extensions de Guía del usuario de Trusted Extensions.
Debe realizar pasos específicos para eliminar la función Trusted Extensions de un sistema Oracle Solaris.
Antes de empezar
Debe estar con el rol de usuario root en la zona global.
Para los medios portátiles, coloque un adhesivo con la etiqueta de sensibilidad de la zona en cada zona archivada.
Para obtener detalles, consulte Cómo eliminar una zona no global de Administración de Oracle Solaris 11.1: zonas de Oracle Solaris, zonas de Oracle Solaris 10 y gestión de recursos.
# svcadm disable labeld
Es posible que se deban configurar varios servicios para el sistema Oracle Solaris. Entre las posibilidades, se incluyen las funciones básicas de redes, los servicios de nombres y los montajes de sistemas de archivos.