Omitir Vínculos de navegación | |
Salir de la Vista de impresión | |
Transición de Oracle Solaris 10 a Oracle Solaris 11.1 Oracle Solaris 11.1 Information Library (Español) |
1. Transición de Oracle Solaris 10 a una versión de Oracle Solaris 11 (descripción general)
2. Transición a los métodos de instalación de Oracle Solaris 11
4. Funciones de gestión de almacenamiento
5. Gestión de sistemas de archivos
6. Gestión de software y entornos de inicio
7. Gestión de configuración de red
8. Gestión de configuración del sistema
Cambios en las funciones de seguridad
Cambios en el módulo de autenticación conectable
Funciones de seguridad eliminadas
Cambios en la seguridad de los archivos y los sistemas de archivos
La propiedad aclmode se ha vuelto a incorporar
Cifrado de sistemas de archivos ZFS
10. Gestión de las versiones de Oracle Solaris en un entorno virtual
11. Gestión de cuentas de usuario y entornos de usuario
La siguiente información describe el funcionamiento de los roles, los derechos, los privilegios y las autorizaciones en Oracle Solaris 11:
Asignar y delegar autorizaciones: Oracle Solaris proporciona autorizaciones para delegar derechos administrativos específicos a roles y usuarios individuales a fin de implementar la separación de tareas. En Oracle Solaris 10, las autorizaciones que terminan en .grant tienen que delegar una autorización a otro usuario. En Oracle Solaris 11, se usan dos nuevos sufijos: .assign y .delegate. Por ejemplo, solaris.profile.assign y solaris.profile.delegate. El primero concede el derecho de delegar cualquier perfil de derechos a cualquier usuario o rol. El último es más restrictivo, ya que sólo se pueden delegar los perfiles de derechos que ya estén asignados al usuario actual. Como al rol root se le asigna solaris.*, este rol puede asignar cualquier autorización a cualquier usuario o rol. Como medida de seguridad, no se incluye ninguna autorización que termine en .assign de manera predeterminada.
Cambios en el comando groupadd: en la creación de grupos, el sistema ahora asigna la autorización solaris.group.assign/groupname al administrador. Esta autorización permite que el administrador tenga un control absoluto sobre ese grupo, de modo que puede modificar o suprimir groupname si es necesario. Para obtener más información, consulte las páginas del comando man groupadd(1M) y groupmod(1M).
Perfil de derechos Media Restore: este perfil de derechos y conjunto de autorizaciones puede escalar los privilegios de una cuenta que no sea root. El perfil ya existe, pero no es parte de ningún otro perfil de derechos. Debido a que el perfil de derechos Media Restore proporciona acceso a todo el sistema de archivos raíz, su uso constituye una posible escalada de privilegios. Se podrían restaurar medios alternativos o archivos modificados deliberadamente. De manera predeterminada, el rol root incluye este perfil de derechos.
Eliminación del perfil de administrador principal: al usuario inicial que se crea en el momento de la instalación se le otorgan los siguientes roles y derechos:
Rol root
Perfil de derechos System Administrator
Acceso al comando sudo para todos los comandos que se ejecutan como root
Autenticación de roles: puede especificar user o role para la palabra clave roleauth. Consulte user_attr(4).
root como rol: ahora, root es un rol predeterminado. Por lo tanto, no es anónimo y no puede iniciar sesión de manera remota en un sistema. Para obtener información sobre cómo pasar de rol root a usuario, consulte Cómo cambiar el rol root a un usuario de Administración de Oracle Solaris 11.1: servicios de seguridad.
Entre los privilegios básicos de Oracle Solaris, se incluyen los siguientes:
file_read
file_write
net_access
Versiones de perfil de shells comunes: ahora, todos los shells comunes tienen su propia versión de perfil. Los siguientes shells de perfiles están disponibles:
pfbash
pfcsh
pfksh
pfksh93
pfrksh93
pfsh
pftcsh
pfzsh
Consulte pfexec(1).
Perfiles de derechos: ahora, las bases de datos user_attr, prof_attr y exec_attr son de sólo lectura. Estas bases de datos de archivos locales se ensamblan a partir de fragmentos que se encuentran en /etc/user_attr.d, /etc/security/prof_attr.d y /etc/security/exec_attr.d. Los archivos de fragmentos no se combinan en una única versión del archivo, sino que se dejan como fragmentos. Este cambio permite que los paquetes otorguen perfiles RBAC parciales o completos. Las entradas que se agregan al depósito de archivos locales con los comandos useradd y profiles se agregan al archivo local-entries en el directorio de fragmentos. Para agregar o modificar un perfil, utilice el comando profiles. Consulte Acerca de los perfiles de derechos.
Perfil de derechos Stop: este perfil permite a los administradores crear cuentas restringidas. Consulte Perfiles de derechos de RBAC de Administración de Oracle Solaris 11.1: servicios de seguridad.
Comando pfsh secuencia_comandos : ahora, este comando se ejecuta del mismo modo que el comando pfsh -c secuencia_comandos. Antes, los comandos dentro de una secuencia de comandos no podían aprovechar RBAC, a menos que la secuencia de comandos especificara un shell de perfil como primera línea. Esta regla requería la modificación de cualquier secuencia de comandos que utilizara RBAC, que ahora no es necesario porque al emisor de la secuencia de comandos (o un antecesor en la sesión) puede especificar un shell de perfil.
Comando pfexec: este comando ya no es setuid root. El nuevo atributo de proceso PF_PFEXEC se establece cuando se ejecuta el comando pfexec o un shell de perfil. A continuación, el núcleo establece los privilegios adecuados en exec. Esta implementación garantiza que los subshells tengan privilegios o restricciones, según corresponda.
Cuando el núcleo está procesando un exec(2), el tratamiento de setuid para root es diferente. Tenga en cuenta que el setuid para cualquier otro uid o setgid está igual que antes. Ahora, el núcleo busca una entrada en el perfil RBAC Forced Privilege en exec_attr(4) para determinar con qué privilegios debería ejecutarse el programa. En lugar de hacer que el programa inicie con uid root y todos los privilegios, el programa se ejecuta con el uid actual y solamente los privilegios adicionales que el perfil de ejecución RBAC Forced Privilege ha asignado a ese nombre de ruta.
Los perfiles de derechos son colecciones de autorizaciones y otros atributos de seguridad, comandos con atributos de seguridad y perfiles de derechos suplementarios. Oracle Solaris proporciona muchos perfiles de derechos. Puede modificar perfiles de derechos existentes y crear otros nuevos. Tenga en cuenta que los perfiles de derechos deben estar asignados en orden, del más al menos potente.
A continuación, se incluyen algunos de los perfiles de derechos que se encuentran disponibles:
Administrador del sistema: perfil que puede realizar la mayoría de las tareas que no están relacionadas con la seguridad. Este perfil incluye varios perfiles diferentes para crear un rol poderoso. Utilice el comando de perfiles para mostrar información sobre este perfil. Consulte el Ejemplo 9-1.
Operador: perfil con capacidades limitadas para gestionar archivos y medios sin conexión.
Gestión de impresoras: perfil que proporciona un número limitado de comandos y autorizaciones para controlar la impresión.
Usuario básico de Solaris: perfil que permite a los usuarios utilizar el sistema dentro de los límites de la política de seguridad. Este perfil aparece de manera predeterminada en el archivo policy.conf.
Usuario de consola: perfil para el propietario de la estación de trabajo. Este perfil proporciona acceso a autorizaciones, comandos y acciones para la persona que está utilizando el equipo.
Otros perfiles de derechos que están disponibles en esta versión incluyen el perfil de derechos de todos y el perfil de derechos de detención. Para obtener más información, consulte el Capítulo 10, Atributos de seguridad en Oracle Solaris (referencia) de Administración de Oracle Solaris 11.1: servicios de seguridad.
Ejemplo 9-1 Visualización de información sobre el perfil de derechos de administrador del sistema
Utilice el comando profiles para mostrar información sobre un perfil de derechos determinado. En el siguiente ejemplo, la información sobre el perfil de derechos de administrador del sistema se visualiza de la siguiente manera:
$ profiles -p "System Administrator" info name=System Administrator desc=Can perform most non-security administrative tasks profiles=Install Service Management,Audit Review,Extended Accounting Flow Management,Extended Accounting Net Management,Extended Accounting Process Management, Extended Accounting Task Management,Printer Management,Cron Management,Device Management, File System Management,Log Management,Mail Management,Maintenance and Repair, Media Backup,Media Catalog,Media Restore,Name Service Management,Network Management Object Access Management,Process Management,Project Management,RAD Management, Service Operator,Shadow Migration Monitor,Software Installation,System Configuration,User Management,ZFS Storage Management help=RtSysAdmin.html
Cuando se asignan privilegios a un usuario directamente, en efecto, los privilegios están en todos los shells. Cuando no se asignan privilegios directamente a un usuario, el usuario debe abrir un shell de perfil. Por ejemplo, cuando hay comandos con privilegios asignados en un perfil de derechos que está en la lista de perfiles de derechos del usuario, el usuario debe ejecutar el comando en un shell de perfil.
Para ver los privilegios en línea, consulte privileges(5). El formato de los privilegios que se muestra es el que utilizan los desarrolladores.
$ man privileges Standards, Environments, and Macros privileges(5) NAME privileges - process privilege model ... The defined privileges are: PRIV_CONTRACT_EVENT Allow a process to request reliable delivery of events to an event endpoint. Allow a process to include events in the critical event set term of a template which could be generated in volume by the user. ...
Ejemplo 9-2 Visualización de privilegios asignados directamente
Si se le asignaron privilegios directamente, su conjunto básico contiene más privilegios que el conjunto básico predeterminado. En el siguiente ejemplo, el usuario siempre tiene acceso al privilegio proc_clock_highres.
$ /usr/bin/whoami jdoe $ ppriv -v $$ 1800: pfksh flags = <none> E: file_link_any,…,proc_clock_highres,proc_session I: file_link_any,…,proc_clock_highres,proc_session P: file_link_any,…,proc_clock_highres,proc_session L: cpc_cpu,dtrace_kernel,dtrace_proc,dtrace_user,…,sys_time $ ppriv -vl proc_clock_highres Allows a process to use high resolution timers.
Para visualizar autorizaciones, utilice el comando auths:
$ auths list
La salida de este comando genera un resumen más legible (uno por línea) de las autorizaciones que están asignadas a un usuario. A partir de Oracle Solaris 11.1, se han agregado varias opciones nuevas al comando auths. Por ejemplo, la opción check es útil para crear secuencias de comandos. Otras opciones nuevas ofrecen la posibilidad de agregar, modificar y eliminar autorizaciones en files o LDAP. Consulte auths(1).