Protección de la red en Oracle® Solaris 11.2

Salir de la Vista de impresión

 
Actualización: Septiembre de 2014
 
 

Cómo configurar una función para la seguridad de la red

Si está utilizando la función de derechos de Oracle Solaris para administrar los sistemas, siga este procedimiento para proporcionar un rol de gestión de red o de seguridad de red.

Antes de empezar

Debe asumir el rol root para crear y asignar un rol. Los usuarios normales pueden enumerar y ver el contenido de los perfiles de derechos disponibles.

  1. Enumere los perfiles de derechos relacionados con la red disponibles. 
    % getent prof_attr | grep Network | more
...
Network Management:RO::Manage the host and network configuration...
Network Security:RO::Manage network and host security...:profiles=Network Wifi
Security,Network Link Security,Network IPsec Management...
Network Wifi Management:RO::Manage wifi network configuration...
Network Wifi Security:RO::Manage wifi network security...
Network Link Security:RO::Manage network link security...
Network IPsec Management:RO::Manage IPsec and IKE...
System Administrator:RO::Can perform most non-security administrative tasks:
profiles=...Network Management...
Information Security:RO::Maintains MAC and DAC security policies:
profiles=...Network Security...

    El perfil de administración de red es un perfil complementario del perfil de administrador de sistemas. Si ha incluido el perfil de derechos de administrador de sistemas en un rol, dicho rol podrá ejecutar los comandos del perfil de administración de red.

  2. Enumere los comandos en el perfil de derechos de gestión de red. 
    % profiles -p "Network Management" info
...
cmd=/usr/sbin/dladm
cmd=/usr/sbin/dlstat
...
cmd=/usr/sbin/svcadm
cmd=/usr/sbin/svccfg
cmd=/usr/sbin/dumpcap
  3. Decida el ámbito de las funciones de seguridad de la red en su sitio.

      Utilice las definiciones de los perfiles de derechos en el Step 1 para guiar la decisión.

    • Para crear una función que administre toda la seguridad de la red, utilice el perfil de derechos de la seguridad de la red.

    • Para crear un rol que gestione sólo IPsec e IKE, utilice el perfil de derechos de gestión de IPsec de red.

    • Para crear un rol que administre la seguridad y la gestión de red, utilice el perfil de derechos de gestión de IPsec de red o de seguridad de red, además del perfil de gestión de red.

  4. Cree el rol y asígnelo a uno o más usuarios.

    Para conocer los pasos, consulte Creación de roles de Protección de los usuarios y los procesos en Oracle Solaris 11.2 y Example 7–7.

Ejemplo 7-5  Creación y asignación de un rol de seguridad y administración de red

En este ejemplo, el administrador asigna a un rol dos perfiles de derechos, administración de red y seguridad de red. Luego, el administrador asigna el rol a un usuario de confianza.

# roleadd -c "Network Mgt and Security" \
-S ldap -K profiles="Network Management Plus" netmgtsec
# passwd netmgtsec
New Password: xxxxxxxx
Confirm password: xxxxxxxx
# usermod -R netmgtsec jdoe

Los derechos en los perfiles están disponibles para el usuario jdoe después de que jdoe asume el rol netmgtsec.

% su - netsecmgt
Password: xxxxxxxx
#
Ejemplo 7-6  División de responsabilidades de seguridad de la red entre las funciones

En este ejemplo, el administrador divide las responsabilidades de seguridad de la red entre dos funciones. Un rol administra la seguridad de enlaces y WI-FI, y otro rol administra IPsec e IKE. Cada función está asignada a tres personas, una por turno.

    El administrador crea las funciones como se indica a continuación:

  1. El administrador asigna el nombre de LinkWifi a la primera función.

  2. El administrador asigna los perfiles de derechos wifi de red, seguridad de enlaces de red y gestión de red a la función.

  3. El administrador asigna el rol LinkWifi a los usuarios adecuados.

  4. El administrador asigna el nombre de IPsec Administrator a la segunda función.

  5. El administrador asigna los perfiles de derechos de gestión de red IPsec y de gestión de red a la función.

  6. El administrador asigna el rol de administrador de IPsec a los usuarios pertinentes.

Ejemplo 7-7  Activación de un usuario de confianza para configurar y gestionar IPsec

En este ejemplo, el administrador proporciona una responsabilidad de usuario para configurar y gestionar IPsec.

Además de los perfiles de derechos de gestión de red y de gestión de redes IPsec, el administrador otorga al usuario la capacidad de editar el archivo hosts y la capacidad de leer los logs.

  1. El administrador crea dos perfiles de derechos, uno para la edición de los archivos y otro para la lectura de los log.

    # profiles -p -S LDAP "Hosts Configuration"
profiles:Network Configuration> set desc="Edits root-owned network files"
...Configuration> add auth=solaris.admin.edit/etc/hosts
...Configuration> commit
...Configuration> end
...Configuration> exit

# profiles -p -S LDAP "Read Network Logs"
profiles:Read Network Logs> set desc="Reads root-owned network log files"
...Logs> add cmd=/usr/bin/more
...Logs:more>set privs={file_dac_read}:/var/user/ikeuser/*
...Logs:more>set privs={file_dac_read}:/var/log/ikev2/*
...Logs:more> set privs={file_dac_read}:/etc/inet/ike/*
...Logs:more> set privs={file_dac_read}:/etc/inet/secret/*
...Logs:more>end
...Logs> add cmd=/usr/bin/tail
...Logs:tail>set privs={file_dac_read}:/var/user/ikeuser/*
...Logs:tail>set privs={file_dac_read}:/var/log/ikev2/*
...Logs:tail>set privs={file_dac_read}:/etc/inet/ike/*
...Logs:tail> set privs={file_dac_read}:/etc/inet/secret/*
...Logs:tail>end
...Logs> add cmd=/usr/bin/page
...Logs:page>set privs={file_dac_read}:/var/user/ikeuser/*
...Logs:page>set privs={file_dac_read}:/var/log/ikev2/*
...Logs:page>set privs={file_dac_read}:/etc/inet/ike/*
...Logs:page> set privs={file_dac_read}:/etc/inet/secret/*
...Logs:page>end
...Logs> exit

    El perfil de derechos permite al usuario utilizar los comandos more, tail y page para leer los log. Los comandos cat y head no se pueden usar.

  2. El administrador crea el perfil de derechos que permite al usuario realizar todas las tareas de configuración y administración para IPsec y sus servicios de claves.

    # profiles -p "Site Network Management"
profiles:Site Network Management> set desc="Handles all network files and logs"
...Management> add profiles="Network Management"
...Management> add profiles="Network IPsec Management"
...Management> add profiles="Hosts Configuraton"
...Management> add profiles="Read Network Logs"
...Management> commit; end; exit

  3. El administrador crea un rol para el perfil, le asigna una contraseña y asigna el rol a un usuario de confianza que comprende las redes y la seguridad.

    # roleadd -S LDAP -c "Network Management Guru" \
-m -K profiles="Site Network Management" netadm
# passwd netadm
Password: xxxxxxxx
Confirm password: xxxxxxxx
# usermod -S LDAP -R +netadm jdoe

  4. Fuera de banda, el administrador proporciona a jdoe la contraseña del rol.

Copyright © 1999, 2014, Oracle y/o sus filiales. Todos los derechos reservados. Advertencia legal
Anterior
Siguiente