El administrador de la seguridad asigna atributos de seguridad a los usuarios una vez que se crean las cuentas de usuario. Si estableció los valores predeterminados correctos, el siguiente paso consiste en asignar los atributos de seguridad únicamente a los usuarios que necesiten excepciones a los valores predeterminados.
Al asignar atributos de seguridad a los usuarios, tenga en cuenta la siguiente información:
El administrador del sistema puede asignar contraseñas a cuentas de usuario durante la creación de cuentas. Después de esta asignación inicial, el administrador de la seguridad o el usuario pueden cambiar la contraseña.
Como en Oracle Solaris, se puede exigir a los usuarios que cambien sus contraseñas periódicamente. Las opciones de caducidad de las contraseñas limitan el período durante el que un intruso capaz de adivinar o robar la contraseña puede acceder al sistema. Además, al establecer que transcurra un período mínimo antes de poder cambiar la contraseña, se impide que el usuario reemplace inmediatamente la contraseña nueva por la contraseña anterior. Para obtener más información, consulte la página del comando man passwd(1).
No es obligatorio que los usuarios tengan roles. Se puede asignar más de un rol a un usuario si esto coincide con la política de seguridad del sitio.
Como en el SO Oracle Solaris, al asignar autorizaciones a un usuario, se agregan esas autorizaciones a las existentes. Para obtener escalabilidad, agregue las autorizaciones a un perfil de derechos y, luego, asigne el perfil al usuario.
Como en el SO Oracle Solaris, el orden de los perfiles de derechos es importante. Con la excepción de las autorizaciones, el mecanismo de perfiles utiliza el valor de la primera instancia de un atributo de seguridad asignado. Para obtener más información, consulte Orden de búsqueda para derechos asignados de Protección de los usuarios y los procesos en Oracle Solaris 11.2 .
Puede utilizar el orden de clasificación de perfiles para su beneficio. Si desea que un comando se ejecute con atributos de seguridad diferentes de los que se definen para el comando de un perfil existente, cree un perfil nuevo con las asignaciones preferidas para el comando. Luego, inserte ese perfil nuevo antes del perfil existente.
El conjunto de privilegios predeterminado puede ser demasiado liberal para varios sitios. A fin de restringir el conjunto de privilegios para cualquier usuario común en el sistema, cambie la configuración del archivo policy.conf. Para cambiar el conjunto de privilegios para usuarios individuales, consulte Cómo restringir el conjunto de privilegios de un usuario.
El cambio de los valores predeterminados de una etiqueta del usuario crea una excepción a los valores predeterminados del usuario en el archivo label_encodings.
Como en el SO Oracle Solaris, la asignación de clases de auditoría a un usuario modifica la máscara de preselección del usuario. Para obtener más información sobre la auditoría, consulte Gestión de auditoría en Oracle Solaris 11.2 and Chapter 22, Trusted Extensions y la auditoría.