Omitir Vínculos de navegación | |
Salir de la Vista de impresión | |
Configuración y administración de Trusted Extensions Oracle Solaris 11.1 Information Library (Español) |
Parte I Configuración inicial de Trusted Extensions
1. Planificación de la seguridad para Trusted Extensions
2. Guía básica de configuración de Trusted Extensions
3. Agregación de la función Trusted Extensions a Oracle Solaris (tareas)
4. Configuración de Trusted Extensions (tareas)
5. Configuración de LDAP para Trusted Extensions (tareas)
Parte II Administración de Trusted Extensions
6. Conceptos de la administración de Trusted Extensions
7. Herramientas de administración de Trusted Extensions
8. Requisitos de seguridad del sistema Trusted Extensions (descripción general)
9. Realización de tareas comunes en Trusted Extensions
10. Usuarios, derechos y roles en Trusted Extensions (descripción general)
11. Gestión de usuarios, derechos y roles en Trusted Extensions (tareas)
Personalización del entorno de usuario para la seguridad (mapa de tareas)
Cómo modificar atributos de etiquetas de usuarios predeterminados
Cómo modificar los valores predeterminados de policy.conf
Cómo configurar los archivos de inicio para los usuarios en Trusted Extensions
Cómo iniciar una sesión en modo a prueba de fallos en Trusted Extensions
Gestión de usuarios y derechos (mapa de tareas)
Cómo modificar el rango de etiquetas de un usuario
Cómo crear perfiles de derechos para autorizaciones convenientes
Cómo restringir el conjunto de privilegios de un usuario
Cómo impedir el bloqueo de cuentas de los usuarios
Cómo activar a un usuario para que cambie el nivel de seguridad de los datos
Cómo suprimir una cuenta de usuario de un sistema Trusted Extensions
12. Administración remota en Trusted Extensions (tareas)
13. Gestión de zonas en Trusted Extensions
14. Gestión y montaje de archivos en Trusted Extensions
15. Redes de confianza (descripción general)
16. Gestión de redes en Trusted Extensions (tareas)
17. Trusted Extensions y LDAP (descripción general)
18. Correo de varios niveles en Trusted Extensions (descripción general)
19. Gestión de impresión con etiquetas (tareas)
20. Dispositivos en Trusted Extensions (descripción general)
21. Gestión de dispositivos para Trusted Extensions (tareas)
22. Auditoría de Trusted Extensions (descripción general)
23. Gestión de software en Trusted Extensions
A. Política de seguridad del sitio
Creación y gestión de una política de seguridad
Política de seguridad del sitio y Trusted Extensions
Recomendaciones de seguridad informática
Recomendaciones de seguridad física
Recomendaciones de seguridad del personal
Infracciones de seguridad comunes
Referencias de seguridad adicionales
B. Lista de comprobación de configuración de Trusted Extensions
Lista de comprobación para la configuración de Trusted Extensions
C. Referencia rápida a la administración de Trusted Extensions
Interfaces administrativas en Trusted Extensions
Interfaces de Oracle Solaris ampliadas por Trusted Extensions
Valores predeterminados de seguridad que brindan mayor protección en Trusted Extensions
Opciones limitadas en Trusted Extensions
D. Lista de las páginas del comando man de Trusted Extensions
Páginas del comando man de Trusted Extensions en orden alfabético
Páginas del comando man de Oracle Solaris modificadas por Trusted Extensions
En Trusted Extensions, asume el rol de administrador de la seguridad para administrar usuarios, autorizaciones, derechos y roles. El siguiente mapa de tareas describe las tareas comunes que debe realizar para los usuarios que operan en un entorno con etiquetas.
|
Puede que desee ampliar el rango de etiquetas de un usuario para proporcionarle acceso de lectura a una aplicación administrativa. Por ejemplo, un usuario que puede iniciar sesión en la zona global puede ver una lista de los sistemas que se ejecutan en una determinada etiqueta. El usuario puede ver el contenido, pero no puede modificarlo.
Como alternativa, es posible que desee restringir el rango de etiquetas del usuario. Por ejemplo, un usuario invitado puede estar limitado a una etiqueta.
Antes de empezar
Debe estar con el rol de administrador de la seguridad en la zona global.
# usermod -K min_label=INTERNAL -K clearance=ADMIN_HIGH jdoe
También puede ampliar el rango de etiquetas del usuario disminuyendo la etiqueta mínima.
# usermod -K min_label=PUBLIC -K clearance=INTERNAL jdoe
Para obtener más información, consulte las páginas del comando man usermod(1M) y user_attr(4).
# usermod -K min_label=INTERNAL -K clearance=INTERNAL jdoe
Cuando la política de seguridad del sitio lo permita, quizás desee crear un perfil de derechos que contenga las autorizaciones para los usuarios que pueden realizar tareas que requieren autorización. Para activar a todos los usuarios de un sistema en particular que se van a autorizar, consulte Cómo modificar los valores predeterminados de policy.conf.
Antes de empezar
Debe estar con el rol de administrador de la seguridad en la zona global.
Para conocer el procedimiento paso a paso, consulte Cómo crear un perfil de derechos de Administración de Oracle Solaris 11.1: servicios de seguridad.
Las siguientes autorizaciones pueden ser convenientes para los usuarios:
solaris.device.allocate: autoriza a un usuario a asignar un dispositivo periférico, como un micrófono o un CD-ROM.
De manera predeterminada, los usuarios de Oracle Solaris pueden leer y escribir en un CD-ROM. Sin embargo, en Trusted Extensions, solamente los usuarios que pueden asignar un dispositivo pueden acceder a la unidad de CD-ROM. Para asignar la unidad para su uso se requiere autorización. Por lo tanto, para leer y escribir en un CD-ROM en Trusted Extensions, los usuarios necesitan la autorización Allocate Device.
solaris.label.file.downgrade: autoriza a un usuario a disminuir el nivel de seguridad de un archivo.
solaris.label.file.upgrade: autoriza a un usuario a aumentar el nivel de seguridad de un archivo.
solaris.label.win.downgrade: autoriza a un usuario a seleccionar información de un archivo de nivel superior y colocarla en un archivo de nivel inferior.
solaris.label.win.noview: autoriza a un usuario a mover información sin ver la información que se mueve.
solaris.label.win.upgrade: autoriza a un usuario a seleccionar información de un archivo de nivel inferior y colocarla en un archivo de nivel superior.
solaris.login.remote: autoriza a un usuario a iniciar sesión de manera remota.
solaris.print.nobanner: autoriza a un usuario a que haga copias impresas sin la página de carátula.
solaris.print.unlabeled : autoriza a un usuario a que haga copias impresas que no muestren etiquetas.
solaris.system.shutdown: autoriza a un usuario a apagar el sistema y cerrar una zona.
Para conocer el procedimiento paso a paso, consulte Cómo cambiar los atributos de seguridad de un usuario de Administración de Oracle Solaris 11.1: servicios de seguridad.
Puede que la seguridad del sitio requiera que a los usuarios se les otorgue menos privilegios que los asignados de manera predeterminada. Por ejemplo, en un sitio que utiliza Trusted Extensions en los sistemas Sun Ray, puede que desee impedir que los usuarios vean los procesos de los demás usuarios en el servidor Sun Ray.
Antes de empezar
Debe estar con el rol de administrador de la seguridad en la zona global.
Precaución - No elimine los privilegios proc_fork o proc_exec. Sin estos privilegios, los usuarios no pueden utilizar el sistema. |
# usermod -K defaultpriv=basic,!proc_info,!proc_session,!file_link_any
Al eliminar el privilegio proc_info, impide que el usuario examine los procesos que no se originan desde el usuario. Con la eliminación del privilegio proc_session, se impide que el usuario examine cualquier proceso que se encuentre fuera de su sesión actual. Con la eliminación del privilegio file_link_any, se impide que el usuario establezca enlaces físicos con archivos que no sean de su propiedad.
Véase también
Para ver un ejemplo de recopilación de restricciones de privilegios en un perfil de derechos, consulte los ejemplos que siguen a Cómo crear un perfil de derechos de Administración de Oracle Solaris 11.1: servicios de seguridad.
Para restringir los privilegios de todos los usuarios en un sistema, consulte el Ejemplo 11-2.
Realice este procedimiento para todos los usuarios que pueden asumir un rol.
Antes de empezar
Debe estar con el rol de administrador de la seguridad en la zona global.
# usermod -K lock_after_retries=no jdoe
Para desactivar el bloqueo de cuentas para un usuario LDAP, especifique el repositorio LDAP.
# usermod -S ldap -K lock_after_retries=no jdoe
Se puede autorizar a un usuario común o a un rol a cambiar el nivel de seguridad, o las etiquetas, de los archivos y los directorios o del texto seleccionado. El usuario o el rol, además de tener la autorización, deben estar configurados para trabajar en más de una etiqueta. Las zonas con etiquetas deben estar configuradas de modo que se permita volver a etiquetar. Para conocer el procedimiento, consulte Cómo permitir que los archivos se vuelvan a etiquetar desde una zona con etiquetas.
Precaución - El cambio del nivel de seguridad de los datos es una operación privilegiada. Esta tarea la deben realizar únicamente los usuarios de confianza. |
Antes de empezar
Debe estar con el rol de administrador de la seguridad en la zona global.
Para conocer el procedimiento paso a paso, consulte Cómo cambiar los atributos de seguridad de un usuario de Administración de Oracle Solaris 11.1: servicios de seguridad.
Ejemplo 11-5 Cómo permitir que un usuario actualice, pero no degrade, la etiqueta de un archivo
El perfil de derechos de gestión de etiquetas de objetos permite que los usuarios actualicen y degraden etiquetas. En este ejemplo, el administrador permite que un usuario de confianza actualice los datos, pero no los degrade.
El administrador crea un perfil de derechos basado en el perfil de gestión de etiquetas de objetos y elimina las autorizaciones Downgrade File Label y Downgrade DragNDrop or CutPaste Info en el nuevo perfil.
# profiles -p "Object Label Management" profiles:Object Label Management> set name="Object Upgrade" profiles:Object Upgrade> info auths ... profiles:Object Upgrade> remove auths="solaris.label.file.downgrade, solaris.label.win.downgrade" profiles:Object Upgrade> commit profiles:Object Upgrade> end
Luego, el administrador asigna el perfil a un usuario de confianza.
# usermod -P +"Object Upgrade" jdoe
Cuando se elimina del sistema a un usuario, debe asegurarse de que también se supriman el directorio principal del usuario y cualquier otro objeto que sea propiedad del usuario. Como alternativa a la supresión de objetos que sean propiedad del usuario, puede transferir la propiedad de estos objetos a un usuario válido.
También debe asegurarse de que se supriman todos los trabajos por lotes que estén asociados con el usuario. Ningún objeto o proceso que pertenezca a un usuario eliminado puede permanecer en el sistema.
Antes de empezar
Debe estar con el rol de administrador del sistema en la zona global.
# userdel -r jdoe
Nota - Deberá buscar y suprimir los archivos temporales del usuario en todas las etiquetas, como los archivos de los directorios /tmp.
Para conocer otras consideraciones, consulte Prácticas de supresión de usuarios.