Trusted Extensions - Oracle Documentation
Contents
1. 281 Referencia r pida a la administraci n de Trusted Extensions ooociciciccicicnonononconioncnoniononnoss 283 Interfaces administrativas en Trusted Extensions occcconocinnnnonncnncrcnnnncnnenncnr coco rnnnncnrnnnnnnr rocas 283 Interfaces de Oracle Solaris que ampl a Trusted Extensions oionciononcinnnconeconeconacinnnccniness 285 Valores predeterminados de seguridad que brindan mayor protecci n en Trusted EXTENSIONS iii Opciones limitadas en Trusted Extensions Lista de las p ginas del comando man de Trusted Extensions oooooonioocicicnoconicnonccncncnnononnoos 289 P ginas del comando man de Trusted Extensions en orden alfab tico coccion 289 P ginas del comando man de Oracle Solaris que Trusted Extensions modifica coccion 293 A A E 297 12 Lista de figuras FIGURA 1 1 FIGURA 2 1 FIGURA 2 2 FIGURA 2 3 FIGURA 2 4 FIGURA 2 5 FIGURA 2 6 FIGURA 12 1 FIGURA 15 1 FIGURA 15 2 FIGURA 15 3 FIGURA 16 1 FIGURA 17 1 FIGURA 18 1 FIGURA 18 2 FIGURA 18 3 FIGURA 18 4 FIGURA 18 5 Escritorio de CDE de varios niveles en Trusted Extensions Icono de Device Allocation Manager en Trusted CDE ocnocncconiconinncninnonncinncnnconncnos Interfaz gr fica de usuario de Device Allocation Manager occnnionnnaninanoncacincinss 38 Caja de herramientas t pica de Trusted Extensions en Solaris Management Consoli E 39 Conjunto de herramientas Computers and Networks definido en Solaris Managemen2. Cuando el administrador de la seguridad comprueba el archivo con la opci n t el comando confirma que la sintaxis de la base de datos de prueba tnrhtp sea precisa tnchkdb t opt secfiles trial tnrhtp checking opt secfiles trial tnrhtp checking etc security tsol tnrhdb checking etc security tsol tnzonecfg C mo comparar la informaci n de la base de datos de red de confianza con la antememoria del n cleo Las bases de datos de red pueden contener informaci n que no se encuentre en la antememoria del n cleo Con este procedimiento se comprueba que la informaci n sea id ntica Cuando usa Solaris Management Console para actualizar la red la antememoria del n cleo se actualiza con la informaci n de la base de datos de la red El comando tninfo resulta til para la comprobaci n y la depuraci n Debe estar en la zona global en un rol que pueda verificar la configuraci n de la red El rol de administrador de la seguridad y el rol de administrador del sistema pueden verificar esta configuraci n En una ventana de terminal ejecute el comando tninfo m tninfo h hostname muestra la direcci n IP y plantilla para el host especificado tninfo t templatename muestra la siguiente informaci n template template name host type either CIPSO or UNLABELED doi 1 min_sl minimum label hex minimum hex label max_sl maximum label hex maximum hex label m tninfo mzone name muestra la configuraci n del
3. vi etc default print PRINT_POSTSCRIPT 0 PRINT_POSTSCRIPT 1 Cap tulo 15 Gesti n de impresi n con etiquetas tareas 237 238 CAP TULO 16 Dispositivos en Trusted Extensions descripci n general En este cap tulo se describen las extensiones que Trusted Extensions proporciona a la protecci n de los dispositivos de Oracle Solaris Protecci n de los dispositivos con el software de Trusted Extensions en la p gina 239 Interfaz gr fica de usuario de Device Allocation Manager en la p gina 241 m Aplicaci n de la seguridad de los dispositivos en Trusted Extensions en la p gina 243 m Dispositivos en Trusted Extensions referencia en la p gina 244 Protecci n de los dispositivos con el software de Trusted Extensions En el sistema Oracle Solaris los dispositivos se pueden proteger mediante la asignaci n y la autorizaci n De manera predeterminada los dispositivos se encuentran disponibles para los usuarios comunes sin necesidad de autorizaci n El sistema configurado con software de Trusted Extensions utiliza los mecanismos de protecci n de los dispositivos del SO Oracle Solaris Sin embargo de manera predeterminada Trusted Extensions requiere que los dispositivos se asignen y que el usuario est autorizado para usarlos Adem s los dispositivos se protegen mediante etiquetas Trusted Extensions proporciona una interfaz gr fica de usuario GUI Graphical User Interface par
4. El host de env o tiene el privilegio de establecer comunicaciones de etiqueta cruzada y la etiqueta del remitente es ADMIN_LOW Es decir el remitente realiza el env o desde la zona global Nota Una comprobaci n del primer salto tiene lugar cuando se env a un mensaje por medio de una puerta de enlace de un host en una red a un host en otra red Comprobaciones de acreditaciones de la puerta de enlace En un sistema de puerta de enlace de Trusted Extensions se realizan las siguientes comprobaciones de acreditaciones para la puerta de enlace del pr ximo salto ma Siel paquete entrante no tiene etiquetas hereda la etiqueta predeterminada del host de origen de la entrada tnrhdb De lo contrario el paquete recibe la etiqueta CIPSO indicada Las comprobaciones para el env o de un paquete se efect an de manera similar a la acreditaci n de origen m Fn todos los destinos la etiqueta de los datos debe estar dentro del rango de etiquetas del pr ximo salto Adem s la etiqueta debe estar incluida en los atributos de seguridad que corresponden al host del pr ximo salto Cap tulo 12 Redes de confianza descripci n general 175 Administraci n del enrutamiento en Trusted Extensions a En todos los destinos el DOI de un paquete saliente debe coincidir con el DOI del host de destino El DOI tambi n debe coincidir con el DOI del host del pr ximo salto Laetiqueta de un paquete sin etiquetas debe coincidir con la etique
5. Impedir la visualizaci n de File Manager despu s de la asignaci n de un dispositivo Ubicar una secuencia de comandos nueva en los lugares adecuados C mo impedir la visualizaci n de File Manager despu s de la asignaci n de un dispositivo en la p gina 254 C mo agregar una secuencia de comandos device_clean en Trusted Extensions en la p gina 255 C mo configurar un dispositivo en Trusted Extensions De manera predeterminada los dispositivos asignables tienen un rango de etiquetas de ADMIN_LOW a ADMIN_HIGH y se deben asignar para su uso Adem s los usuarios deben estar autorizados para asignar dispositivos Estos valores predeterminados se pueden cambiar Los siguientes dispositivos se pueden asignar para su uso Cap tulo 17 Gesti n de dispositivos para Trusted Extensions tareas audion indica un micr fono y un altavoz cdromn indica una unidad de CD ROM floppyn indica una unidad de disquete mag_tapen indica una unidad de cinta transmisi n por secuencias rmdiskn indica un disco extra ble como una unidad Jaz o Zip o medios USB conectables 247 Gesti n de dispositivos en Trusted Extensions mapa de tareas Antesde Debe estar en el rol de administrador de la seguridad en la zona global empezar 1 Enel men Trusted Path seleccione Allocate Device Aparece Device Allocation Manager Device Allocation Manager sharonr m l 2 Vealas configuraciones de seg
6. tsol_netstandard para impresoras PostScript a las que se puede acceder por medio de una red m tsol_standard_foomatic para impresoras conectadas de manera directa pero que no imprimen en formato PostScript m tsol_netstandard_foomatic para impresoras a las que se puede acceder por medio de una red pero que no imprimen en formato PostScript Las secuencias de comando foomatic se utilizan cuando el nombre del controlador de la impresora comienza con Foomatic Los controladores Foomatic son controladores de impresora PostScript PPD PostScript Printer Drivers Nota Cuando agrega una impresora en una zona con etiquetas Use PPD se especifica de manera predeterminada en el gestor de impresi n A continuaci n se utiliza un PPD para convertir las p ginas de la car tula y del ubicador al lenguaje de la impresora Filtros de conversi n adicionales Los filtros de conversi n convierten los archivos de texto al formato PostScript Los programas del filtro son programas de confianza que ejecuta el daemon de impresi n Se puede confiar en que las etiquetas y el texto de las p ginas de la car tula y del ubicador de los archivos que se convierten a formato PostScript mediante cualquier programa de filtros instalado son aut nticos Procedimientos de administradores de Oracle Solaris Trusted Extensions Agosto de 2011 Etiquetas impresoras e impresi n El software de Oracle Solaris proporciona la mayor a de los filtros de co
7. Audit Classes Audit Control Audit Events Audit Startup Check Encodings Check TN Files Configure Selection Confirmation Create LDAP Client Edit Encodings Crear dispositivos mediante la adici n de entradas en las bases de Device Security datos de los dispositivos Consulte add_allocatable 1M Editar un archivo especificado Consulte C mo editar archivos administrativos en Trusted Extensions en la p gina 57 Editar el archivo audit_class Consulte audit_class 4 Editar el archivo audit_control Consulte audit_control 4 Editar el archivo audit_event Consulte audit_event 4 Editar la secuencia de comandos audit_startup sh Consulte audit_startup 1M Ejecutar el comando chk_encodings en el archivo de codificaciones especificado Consulte chk_encodings 1M Ejecutar el comando tnchkdb en las bases de datos tnrhdb tnrhtp y tnzonecfg Consulte tnchkdb 1M Editar el archivo usr dt config sel config Consulte sel_config 4 Convertir la zona global en un cliente LDAP de un servicio de directorios LDAP existente Editar el archivo label_encodings especificado y ejecutar el comando chk_encodings Consulte chk_encodings 1M Object Access Management Audit Control Audit Control Audit Control Audit Control Object Label Management Network Management Object Label Management Information Security Object Label Management Cap tulo 2 Herramientas de administraci n de Trusted Exte
8. Debe tener una muy buena raz n para permitir que el usuario inicie sesi n en la zona global Debe estar en el rol de administrador de la seguridad en la zona global Si desea habilitar a usuarios espec ficos para que inicien sesi n en la zona global as gneles un rango de etiquetas administrativas Utilice Solaris Management Console para asignar una acreditaci n de ADMIN_HIGH y una etiqueta m nima de ADMIN_LOWa cada usuario Para obtener detalles consulte C mo modificar el rango de etiquetas de un usuario en Solaris Management Console en la p gina 96 Las zonas con etiquetas del usuario tambi n deben permitir el inicio de sesi n Para habilitar el inicio de sesi n remoto desde una zona con etiquetas en la zona global realice lo siguiente a Agregue un puerto de varios niveles para el inicio de sesi n remoto en la zona global Utilice Solaris Management Console El puerto 513 mediante el protocolo TCP habilita el inicio de sesi n remoto Para ver un ejemplo consulte C mo crear un puerto de varios niveles para una zona en la p gina 142 Cap tulo8 Administraci n remota en Trusted Extensions tareas 115 Administraci n remota de Trusted Extensions mapa de tareas 116 Antes de empezar A b Lealos cambios de tnzonecfg en el n cleo tnctl fz etc security tsol tnzonecfg c Reinicie el servicio de inicio de sesi n remoto svcadm restart svc network login rlogin C mo utilizar
9. Token xselect N bytes El token xselect contiene los datos que se mueven entre las ventanas Estos datos son una secuencia de bytes sin una estructura interna asumida ni una cadena de propiedades Este token contiene los siguientes campos Un ID de token Lalongitud de la cadena de propiedades Lacadena de propiedades Lalongitud del tipo de propiedad La cadena del tipo de propiedad Un campo de longitud que da el n mero de bytes de los datos Una cadena de bytes que contiene los datos La figura siguiente muestra el formato del token FIGURA 18 5 Formato del token xselect ID de token longitud de propiedad cadena de propiedad longitud de tipo de propiedad tipo de propiedad longitud de datos datos de ventana 1 byte 2 bytes N bytes 2 bytes N bytes 2 bytes N bytes Con praudit el token xselect se muestra de la siguiente manera X selection entryfield halogen Token xwindow El token xwindow contiene informaci n sobre una ventana Este token contiene los siguientes campos Un ID detoken Elidentificador del servidor X a EJID de usuario del creador La Figura 18 3 muestra el formato del token 272 Procedimientos de administradores de Oracle Solaris Trusted Extensions Agosto de 2011 Referencia de auditor a de Trusted Extensions Con praudit el token xwindow se muestra de la siguiente manera X window 0x07400001 srv Opciones de pol tica de auditor a de Trusted Ext
10. de Gu a del usuario de Oracle Solaris Trusted Extensions 44 Procedimientos de administradores de Oracle Solaris Trusted Extensions Agosto de 2011 Herramientas de la l nea de comandos en Trusted Extensions TABLA 2 4 Comandos de usuario y de administraci n de Trusted Extensions Continuaci n P gina del comando man Modificaci n de Trusted Extensions Para obtener m s informaci n smtnrhdb 1M smtnrhtp 1M smtnzonecfg 1M tnchkdb 1M tnctl 1M tnd 1M tninfo 1M updatehome 1M Gestiona las entradas de la base de datos tnrhdb localmente o en una base de datos de servicios de nombres Gestiona las entradas de la base de datos tnrhtp localmente o en una base de datos de servicios de nombres Gestiona las entradas de la base de datos tnzonecfg local Comprueba la integridad de las bases de datos tnrhdb y tnrhtp Almacena en la antememoria la informaci n de red en el n cleo Ejecuta el daemon de la red de confianza Muestra la informaci n de red del nivel del n cleo y las estad sticas Actualiza los archivos copy_files y link_files para la etiqueta actual Para conocer los procedimientos equivalentes que utilizan Solaris Management Console consulte Configuraci n de bases de datos de red de confianza mapa de tareas en la p gina 180 Consulte la p gina del comando man Para conocer un procedimiento equivalente que usa Solaris Managemen
11. m Configure una zona con etiquetas a fin de usar la zona con etiquetas de otro sistema para acceder a una impresora Las etiquetas de las zonas deben ser id nticas a Enelsistema que no tiene acceso a las impresoras asuma el rol de administrador del sistema b Cambie la etiqueta del espacio de trabajo del rol por la etiqueta de la zona con etiquetas Para obtener detalles consulte C mo cambiar la etiqueta de un espacio de trabajo de Gu a del usuario de Oracle Solaris Trusted Extensions Cap tulo 15 Gesti n de impresi n con etiquetas tareas 229 Configuraci n de impresi n con etiquetas mapa de tareas 230 2 c Agregue elacceso a la impresora que est conectada al servidor de impresi n de la zona con etiquetas remota lpadmin s printer m Configure una zona con etiquetas a fin de usar un servidor de impresi n sin etiquetas para acceder a una impresora La etiqueta de la zona debe ser id ntica a la etiqueta del servidor de impresi n a Enelsistema que no tiene acceso a las impresoras asuma el rol de administrador del sistema b Cambie la etiqueta del espacio de trabajo del rol por la etiqueta de la zona con etiquetas Para obtener detalles consulte C mo cambiar la etiqueta de un espacio de trabajo de Gu a del usuario de Oracle Solaris Trusted Extensions c Agregue el acceso a la impresora que est conectada al servidor de impresi n con etiquetas asignadas de manera arbitra
12. zlogin C labeled zone b Agregue la impresora a la zona lpadmin p printer name s all zones IP address c Opcional Establezca la impresora como predeterminada lpadmin d printer name En cada zona pruebe la impresora Nota A partir de la versi n Solaris 10 7 10 los archivos que tengan una etiqueta administrativa ya sea ADMIN_HIGH o ADMIN_LOW imprimen ADMIN_HIGH en el cuerpo de la copia impresa Las p ginas de la car tula y del ubicador tienen la etiqueta m xima y los compartimientos del archivo label_encodings Como usuario root y como usuario com n realice los siguientes pasos a Imprima los archivos sin formato de la l nea de comandos b Imprima los archivos desde las aplicaciones como StarOffice y desde el explorador y el editor c Verifique que las p ginas de la car tula y del ubicador y las car tulas de seguridad se impriman correctamente a Limitar el rango de etiquetas de la impresora C mo configurar un rango de etiquetas restringido para una impresora en la p gina 230 m Impedir el resultado con etiquetas Reducci n de las restricciones de impresi n en Trusted Extensions mapa de tareas en la p gina 231 Usar esta zona como servidor de impresi n C mo habilitar un cliente de Trusted Extensions para que acceda a un impresora en la p gina 228 C mo configurar una impresora de red para los clientes Sun Ray Este procedimiento configura una impresora PostScript
13. Asegurarse de que las etiquetas se mantengan de manera apropiada en cualquier informaci n que se importe lea desde medios en estos dispositivos Un usuario autorizado debe asignar el dispositivo en la etiqueta que coincida con la etiqueta de la informaci n que se est importando Por ejemplo si un usuario asigna una unidad de disquete como PUBLIC el usuario debe importar solamente la informaci n que tenga la etiqueta PUBLIC Cap tulo 16 Dispositivos en Trusted Extensions descripci n general 243 Dispositivos en Trusted Extensions referencia El administrador de la seguridad tambi n es responsable de hacer que estos requisitos de seguridad se cumplan como corresponda Dispositivos en Trusted Extensions referencia 244 La protecci n de dispositivos de Trusted Extensions utiliza las interfaces de Oracle Solaris y Trusted Extensions Para conocer las interfaces de la l nea de comandos de Oracle Solaris consulte Device Protection Reference de System Administration Guide Security Services Los administradores que no tienen acceso a Device Allocation Manager pueden administrar los dispositivos asignables mediante la l nea de comandos Los comandos allocate y deallocate tienen opciones administrativas Para obtener ejemplos consulte Forcibly Allocating a Device de System Administration Guide Security Services y Forcibly Deallocating a Device de System Administration Guide Security Services Para
14. En la siguiente figura se ve una imagen de Solaris Management Console Aparece cargada una caja de herramientas Scope Files de Trusted Extensions y el conjunto de herramientas Users est abierto Procedimientos de administradores de Oracle Solaris Trusted Extensions Agosto de 2011 Herramientas de Solaris Management Console FIGURA 2 3 Caja de herramientas t pica de Trusted Extensions en Solaris Management Console Or de ica SLEE This Computer 127 0 0 1 Scope Files Policy TSOL Solaris Management Console 2 1 Console Edit Action View Go Help root Ba Beja El I Navigation E A El This Computer 127 0 0 1 Scope VN 41 EN T an System Status User Accounts User Templates Rights Administrative Groups Mailing Lists 9 Ja System Configuration amp Users pN User Accounts pN User Templates Rights 9 Administrative Roles Groups E 63 Mailing Lists Projects pia Computers and Networks ES Security Templates a Trusted Network Zone Ha Computers 3710 De 127 De 129 146 Patches al m Information This is a set of tools for managing user accounts user groups and mailing lists User templates provide a fast way to add new users who have R properties in common Granting rights allows users to perform administrative tasks And administrative roles provide another way to grant rights to administrators Users Note To use these to
15. c Detengatodas las zonas bloquee los sistemas de archivos y reinicie Si est utilizando ZFS de Oracle Solaris detenga las zonas y bloquee los sistemas de archivos antes de reiniciar Si no est utilizando ZFS puede reiniciar sin detener las zonas y ni bloquear los sistemas de archivos zoneadm list zoneadm z zone name halt lockfs fa reboot Procedimientos de administradores de Oracle Solaris Trusted Extensions Agosto de 2011 CAP TULO 14 Correo de varios niveles en Trusted Extensions descripci n general En este cap tulo se tratan la seguridad y los servicios de env o de correo de varios niveles de los sistemas que se configuran con Trusted Extensions m Servicio de correo de varios niveles en la p gina 207 Funciones de correo de Trusted Extensions en la p gina 207 Servicio de correo de varios niveles Trusted Extensions proporciona correo de varios niveles para cualquier aplicaci n de correo Cuando los usuarios comunes inician su aplicaci n de correo la aplicaci n se abre en la etiqueta actual del usuario Si los usuarios operan en un sistema de varios niveles quiz s deseen enlazar o copiar sus archivos de inicializaci n de la aplicaci n de correo Para obtener detalles consulte C mo configurar los archivos de inicio para los usuarios en Trusted Extensions en la p gina 90 Funciones de correo de Trusted Extensions En Trusted Extensions el rol de administrador
16. commercial computer software or commercial technical data pursuant to the applicable Federal Acquisition Regulation and agency specific supplemental regulations As such the use duplication disclosure modification and adaptation shall be subject to the restrictions and license terms set forth in the applicable Government contract and to the extent applicable by the terms of the Government contract the additional rights set forth in FAR 52 227 19 Commercial Computer Software License December 2007 Oracle America Inc 500 Oracle Parkway Redwood City CA 94065 Este software o hardware se ha desarrollado para uso general en diversas aplicaciones de gesti n de la informaci n No se ha dise ado ni est destinado para utilizarse en aplicaciones de riesgo inherente incluidas las aplicaciones que pueden causar da os personales Si utiliza este software o hardware en aplicaciones de riesgo usted ser responsable de tomar todas las medidas apropiadas de prevenci n de fallos copia de seguridad redundancia o de cualquier otro tipo para garantizar la seguridad en el uso de este software o hardware Oracle Corporation y sus subsidiarias declinan toda responsabilidad derivada de los da os causados por el uso de este software o hardware en aplicaciones de riesgo Oracle y Java son marcas comerciales registradas de Oracle y o sus subsidiarias Todos los dem s nombres pueden ser marcas comerciales de sus respectivos propietarios Intel e Intel X
17. cut d f4 if zone global then if myzone global then path path root tmp else path path export home fi fi label usr bin getlabel s path cut d f2 9 if echo zone wc m lt 8 then echo zoneYtYt statusYt label else echo zone t status t label fi done Procedimientos de administradores de Oracle Solaris Trusted Extensions Agosto de 2011 Gesti n de zonas mapa de tareas Ejemplo 10 1 Antes de empezar 1 Pruebe la secuencia de comandos en la zona global getzonelabels NAME STATUS LABEL global running ADMIN_HIGH needtoknow running CONFIDENTIAL NEED TO KNOW restricted ready CONFIDENTIAL RESTRICTED internal running CONFIDENTIAL INTERNAL public running PUBLIC Cuando la secuencia de comandos se ejecuta desde la zona global se muestran las etiquetas de todas las zonas que est n preparadas o en ejecuci n Aqu est la salida de la zona global para las zonas que se crearon a partir del archivo label_encodings predeterminado Visualizaci n de las etiquetas de todas las zonas preparadas o en ejecuci n En el siguiente ejemplo un usuario ejecuta la secuencia de comandos getzonelabels en la zona internal getzonelabels NAME STATUS LABEL internal running CONFIDENTIAL INTERNAL public running PUBLIC C mo visualizar las etiquetas de los archivos montados Este procedimiento crea una secuencia de comandos de shell que muestra los sistemas de archivos m
18. daemon lee este archivo en el inicio Opcional Agregue el archivo gtkrc minea la lista en el archivo Link_files de cada usuario Para obtener detalles consulte C mo configurar los archivos de inicio para los usuarios en Trusted Extensions en la p gina 90 Procedimientos de administradores de Oracle Solaris Trusted Extensions Agosto de 2011 Gesti n de usuarios y derechos con Solaris Management Console mapa de tareas Antes de empezar v C mo iniciar una sesi n en modo a prueba de fallos en 1 Trusted Extensions En Trusted Extensions el inicio de sesi n en modo a prueba de fallos est protegido Si un usuario com n personaliz los archivos de inicializaci n del shell y ahora no puede iniciar sesi n puede utilizar el inicio de sesi n en modo a prueba de fallos para reparar los archivos del usuario Debe conocer la contrase a root Como en el SO Oracle Solaris elija Options gt Failsafe Session en la pantalla de inicio de sesi n Cuando aparezca el indicador haga que el usuario proporcione el nombre de usuario y la contrase a En el indicador de la contrase a del usuario root proporcione la contrase a para root Ya puede depurar los archivos de inicializaci n del usuario Gesti n de usuarios y derechos con Solaris Management Console mapa de tareas En Trusted Extensions debe utilizar Solaris Management Console para administrar los usuarios las autorizaciones los derechos y los rol
19. debe proporcionar los valores de los dos primeros campos y luego el gestor de impresi n proporciona el nombre del controlador Printer Make manufacturer Printer Model manufacturer part number Printer Driver automatically filled in Asigne una secuencia de comandos del modelo de la impresora a cada impresora que est conectada a la zona La secuencia de comandos del modelo activa las p ginas de la car tula y del ubicador para la impresora especificada Para conocer las opciones de secuencias de comandos consulte Secuencias de comandos del modelo de la impresora en la p gina 214 Si el nombre del controlador de la impresora comienza con Foomatic especifique una de las secuencias de comandos del modelo foomatic Utilice el comando siguiente lpadmin p printer m model Cap tulo 15 Gesti n de impresi n con etiquetas tareas 227 Configuraci n de impresi n con etiquetas mapa de tareas 5 V ase tambi n 228 Las impresoras conectadas pueden imprimir trabajos nicamente en la etiqueta de la zona Pruebe la impresora Nota A partir de la versi n Solaris 10 7 10 los archivos que tengan una etiqueta administrativa ya sea ADMIN_HIGH o ADMIN_LOW imprimen ADMIN_HIGH en el cuerpo de la copia impresa Las p ginas de la car tula y del ubicador tienen la etiqueta m xima y los compartimientos del archivo label _encodings Como usuario root y como usuario com n realice los siguientes pasos a Imprima
20. del usuario de Oracle Solaris Trusted Extensions Realizar tareas de usuario comunes en un escritorio Las tareas incluyen m Configurar los espacios de trabajo m Usar espacios de trabajo en diferentes etiquetas m Acceder a las p ginas del comando man de Trusted Extensions m Acceder a la ayuda en pantalla de Trusted Extensions Trabajo en un sistema con etiquetas de Gu a del usuario de Oracle Solaris Trusted Extensions Realizar tareas que requieren la ruta de confianza Las tareas incluyen m Asignar un dispositivo m Cambiar la contrase a m Cambiar la etiqueta de un espacio de trabajo Realizar acciones de confianza de Gu a del usuario de Oracle Solaris Trusted Extensions Crear roles tiles Crear roles administrativos para el sitio La creaci n de roles en LDAP se realiza una sola vez El rol de administrador de la seguridad es un rol til Creaci n de roles en Trusted Extensions en la p gina 51 Creaci n del rol de administrador de la seguridad en Trusted Extensions de Gu a de configuraci n de Oracle Solaris Trusted Extensions Opcional Convertir root en rol Impedir el inicio de sesi n an nimo de root Esta tarea se realiza una sola vez por sistema How to Make root User Into a Role de System Administration Guide Security Services Asumir un rol Introducir la zona global en un rol Todas las tareas administrativas se realizan en la zon
21. el comando dtappsession Consulte C mo administrar Trusted Extensions con dtappsession de manera remota en la p gina 110 a F usuario puede iniciar sesi n en un escritorio de varios niveles que sea remoto mediante un programa de cliente vnc para conectarse al servidor Xvnc en un sistema Trusted Extensions Consulte C mo utilizar Xvnc para acceder de manera remota a un sistema Trusted Extensions en la p gina 116 Inicio de sesi n remoto por un rol en Trusted Extensions Como en el SO Oracle Solaris se debe cambiar una configuraci n en el archivo etc default login de cada host para permitir inicios de sesi n remotos Adem s puede que sea necesario modificar el archivo pam conf En Trusted Extensions el administrador de la seguridad es el responsable del cambio Para conocer los procedimientos consulte Habilitaci n del inicio de sesi n remoto por parte del usuario root en Trusted Extensions de Gu a de configuraci n de Oracle Solaris Trusted Extensions y Habilitaci n del inicio de sesi n remoto por parte de un rol en Trusted Extensions de Gu a de configuraci n de Oracle Solaris Trusted Extensions En los hosts de Trusted Extensions y Oracle Solaris los inicios de sesi n remotos pueden requerir autorizaci n o pueden no requerirla Gesti n de inicio de sesi n remoto en Trusted Extensions en la p gina 108 describe las condiciones y los tipos de inicios de sesi n que requieren autorizaci n De ma
22. es la versi n de confianza del entorno de escritorio com n CDE Common Desktop Environment Puede abreviarse como Trusted CDE Solaris Trusted Extensions JDS es la versi n de confianza de Java Desktop System versi n n mero Puede abreviarse como Trusted JDS Trusted Extensions proporciona interfaces gr ficas de usuario GUI Graphical User Interface e interfaces de la l nea de comandos CLI Command Line Interface adicionales Por ejemplo Trusted Extensions proporciona Device Allocation Manager para administrar dispositivos Adem s el comando updatehone se utiliza para colocar los archivos de inicio en el directorio principal de un usuario com n en cada etiqueta Trusted Extensions requiere el uso de determinadas interfaces gr ficas de usuario para la administraci n Por ejemplo en un sistema que est configurado con Trusted Extensions se utiliza la consola Solaris Management Console para administrar los usuarios los roles y la red Asimismo en Trusted CDE Admin Editor se utiliza para editar los archivos del sistema Trusted Extensions limita lo que pueden visualizar los usuarios Por ejemplo el usuario que no puede asignar un dispositivo tampoco puede visualizarlo Trusted Extensions limita las opciones de escritorio de los usuarios Por ejemplo los usuarios disponen de un tiempo limitado de inactividad de la estaci n de trabajo antes de que se bloquee la pantalla Sistemas de varios encabezados y escri
23. inicio 55 56 StarOffice extensi n del tiempo de espera para volver a etiquetar 93 94 Stop A habilitar 75 76 subpanel de herramientas Device Allocation Manager 241 243 Agosto de 2011 ndice T tareas comunes en Trusted Extensions mapa de tareas 69 76 Tareas de auditor a del administrador del sistema 265 266 tareas y mapas de tareas Administraci n remota de Trusted Extensions mapa de tareas 108 117 Configuraci n de bases de datos de red de confianza mapa de tareas 180 194 Configuraci n de impresi n con etiquetas mapa de tareas 218 231 Configuraci n de rutas y comprobaci n de la informaci n de red en Trusted Extensions mapa de tareas 194 200 Control de dispositivos en Trusted Extensions mapa de tareas 245 246 Copia de seguridad uso compartido y montaje de archivos con etiquetas mapa de tareas 152 161 Gesti n de dispositivos en Trusted Extensions mapa de tareas 246 255 Gesti n de impresi n en Trusted Extensions mapa de tareas 217 218 Gesti n de las redes de confianza mapa de tareas 179 180 Gesti n de software en Trusted Extensions tareas 280 282 Gesti n de usuarios y derechos con Solaris Management Console 95 103 Gesti n de zonas mapa de tareas 130 143 Introducci n para administradores de Trusted Extensions mapa de tareas 51 58 Manejo de otras tareas en Solaris Management Console mapa de tareas 103 104 Personalizaci n de autorizaciones para dispositivos en T
24. labelbuilder 3TSOL labelclipping 3TSOL label _encodings 4 label_to_str 3TSOL labels 5 libtsnet 3LIB libtsol 3LIB m_label 3TSOL pam_tsol_account 5 Obtiene el nombre de ruta de la zona Obtiene la etiqueta de un proceso Obtiene el rango de etiquetas de un usuario Obtiene el ID de zona de la etiqueta de la zona Obtiene la etiqueta de la zona del ID de zona Obtiene la etiqueta de la zona del nombre de la zona Muestra la ruta root de la zona que corresponde a la etiqueta especificada Obtiene el nombre de ruta root de la zona del ID de root de la zona Obtiene el nombre de ruta root de la zona a partir de la etiqueta de la zona Obtiene el nombre de ruta root de la zona del nombre de la zona Convierte una etiqueta de texto interno a su equivalente en lenguaje natural Crea una interfaz de usuario basada en Motif para crear de manera interactiva una etiqueta o acreditaci n v lidas Convierte una etiqueta binaria y la recorta al ancho especificado Describe el archivo de codificaciones de etiqueta Convierte las etiquetas a cadenas en lenguaje natural Describe los atributos de etiqueta de Trusted Extensions Es la biblioteca de red de Trusted Extensions Es la biblioteca de Trusted Extensions Asigna y libera recursos para una etiqueta nueva Comprueba las limitaciones de cuenta que originan las etiquetas Procedimientos de administradores de Oracle Solaris Trusted Extensions Agosto de 2011
25. lectura desde una zona de nivel superior 138 139 zona global diferencia de las zonas con etiquetas 125 entrar 53 54 inicio de sesi n remoto de los usuarios 115 116 salir 54 zonas acci n para cerrar 36 acci n para clonar 36 acci n para compartir interfaz f sica 36 acci n para compartir interfaz l gica 36 acci n para configurar 36 acci n para copiar 36 acci n para inicializar 36 acci n para iniciar 36 acci n para instalar 36 acci n para reiniciar 36 acci n para ver desde una consola 36 administraci n 130 143 administraci n de Trusted JDS 130 creaci n de MLP 142 creaci n de un puerto de varios niveles para NFSv3 141 en Trusted Extensions 125 143 gesti n 125 143 global 125 herramienta para etiquetar 41 privilegio net_mac_aware 155 160 visualizaci n de estado 132 visualizaci n de etiquetas de sistemas de archivos 134 zonas con etiquetas Ver zonas 313 314
26. mo depurar una conexi n de cliente con el servidor LDAP Un error en la configuraci n de la entrada del cliente en el servidor LDAP puede impedir la comunicaci n del cliente con el servidor Un error en la configuraci n de los archivos del cliente tambi n puede impedir la comunicaci n Compruebe las entradas y los archivos siguientes cuando intente depurar un problema de comunicaci n entre el cliente y el servidor Debe estar en el rol de administrador de la seguridad en la zona global del cliente LDAP Compruebe que la plantilla del host remoto para el servidor LDAP y para la puerta de enlace con el servidor LDAP sea correcta tninfo h LDAP server route get LDAP server tninfo h gateway to LDAP server Si la asignaci n de una plantilla a un host remoto es incorrecta asigne el host a la plantilla correcta mediante la herramienta Security Templates de Solaris Management Console Revise y corrija el archivo etc hosts El sistema las interfaces para las zonas con etiquetas del sistema la puerta de enlace con el servidor LDAP y el servidor LDAP deben figurar en el archivo Puede que tenga m s entradas Busque las entradas duplicadas Elimine cualquier entrada que sea una zona con etiquetas en otros sistemas Por ejemplo si el nombre de su servidor LDAP es Lserver y LServer zones es la interfaz compartida para las zonas con etiquetas elimine LServer zones de etc hosts Si usa DNS revise y corrija las entradas del archivo
27. n Ver resoluci n de problemas derechos Ver perfiles de derechos desasignaci n forzar 250 251 Device Allocation Manager descripci n 241 243 herramienta administrativa 34 Device Manager herramienta administrativa 34 uso de los administradores 247 250 diferencias ampliaci n de las interfaces de Oracle Solaris 285 286 entre la auditor a de Trusted Extensions y de Oracle Solaris 263 entre Trusted Extensions y el SO Oracle Solaris 24 25 interfaces administrativas en Trusted Extensions 283 284 opciones limitadas en Trusted Extensions 287 valores predeterminados en Trusted Extensions 286 287 direcci n de comod n Ver mecanismo de reserva direcciones IP en el archivo tnrhdb 180 194 en la base de datos tnrhdb 180 194 mecanismo de reserva en tnrhdb 171 directorios acceso al nivel inferior 125 autorizar a un usuario o rol a cambiar etiquetas 102 montaje 153 155 uso compartido 153 155 directorios principales acceso 125 creaci n 149 disminuci n de nivel de etiquetas configuraci n de reglas para el confirmador de selecci n 66 dispositivos acceso 241 243 administraci n 245 261 administraci n con Device Manager 247 250 agregar autorizaciones personalizadas 259 260 agregar la secuencia de comandos device _clean 255 asignaci n 239 241 configuraci n de dispositivos 247 250 configuraci n de l nea de serie 252 253 303 ndice dispositivos Continuaci n configuraci n rango de etiquetas
28. n si el usuario selecciona el modo de sesi n de una sola etiqueta el rango de sesi n se limita a esa etiqueta Si el usuario selecciona el modo de sesi n de varias etiquetas la etiqueta que el usuario selecciona se convierte en la acreditaci n de sesi n La acreditaci n de sesi n define el l mite Cap tulo 1 Conceptos de la administraci n de Trusted Extensions 31 Conceptos b sicos de Trusted Extensions 32 superior del rango de sesi n La etiqueta m nima del usuario define el l mite inferior El usuario inicia la sesi n en un espacio de trabajo ubicado en la etiqueta m nima Durante la sesi n el usuario puede cambiar a un espacio de trabajo que se encuentre en cualquier etiqueta dentro del rango de sesi n Qu protegen las etiquetas y d nde aparecen Las etiquetas aparecen en el escritorio y en el resultado que se ejecuta en el escritorio como el resultado de la impresi n Aplicaciones son las aplicaciones que inician los procesos Dichos procesos se ejecutan en la etiqueta del espacio de trabajo en que se inicia la aplicaci n Una aplicaci n de una zona con etiquetas como un archivo se etiqueta en la etiqueta de la zona Dispositivos la asignaci n de dispositivos y los rangos de etiquetas de dispositivos se utilizan para controlar los datos que se transfieren entre dispositivos Para utilizar un dispositivo los usuarios deben ubicarse dentro del rango de etiquetas del dispositivo y estar autorizados pa
29. n de atributos de seguridad a los usuarios en Trusted Extensions El rol de administrador de la seguridad asigna los atributos de seguridad a los usuarios en Solaris Management Console una vez que se crean las cuentas de usuario Si estableci los Procedimientos de administradores de Oracle Solaris Trusted Extensions Agosto de 2011 Atributos de seguridad que deben asignarse a los usuarios valores predeterminados correctos el siguiente paso consiste en asignar los atributos de seguridad nicamente a los usuarios que necesiten excepciones a los valores predeterminados Al asignar los atributos de seguridad a los usuarios el administrador de la seguridad considera la siguiente informaci n Asignaci n de contrase as El rol de administrador de la seguridad asigna contrase as a las cuentas de usuario una vez que se crean las cuentas Despu s de esta asignaci n inicial los usuarios pueden cambiar sus contrase as Como en el SO Oracle Solaris se puede obligar a los usuarios a que cambien sus contrase as peri dicamente Las opciones de caducidad de las contrase as limitan el per odo durante el que un intruso capaz de adivinar o robar la contrase a puede acceder al sistema Adem s al establecer que transcurra un per odo m nimo antes de poder cambiar la contrase a se impide que el usuario reemplace inmediatamente la contrase a nueva por la contrase a anterior Para obtener detalles consulte la p gina del comando man pass
30. rol o perfil de derechos Normalmente el rol de administrador de la seguridad crea perfiles de derechos Sin embargo si un perfil necesita capacidades que el rol de administrador de la seguridad no puede otorgar el superusuario o el rol de administrador principal pueden crear el perfil Antes de crear un perfil de derechos el administrador de la seguridad tiene que analizar si alguno de los comandos o las acciones en el perfil nuevo necesita un privilegio o una autorizaci n para funcionar de manera correcta Las p ginas del comando man para los comandos individuales enumeran las autorizaciones y los privilegios que pueden necesitarse Para ver ejemplos de acciones que requieren autorizaciones y privilegios consulte la base de datos exec_attr Decisiones que deben tomarse antes de crear usuarios en Trusted Extensions Las siguientes decisiones determinan lo que los usuarios pueden realizar en Trusted Extensions y cu nto deben esforzarse Algunas decisiones son las mismas que deben tomarse cuando se instala el SO Oracle Solaris Sin embargo las decisiones que son espec ficas de Trusted Extensions pueden afectar la seguridad del sitio y la facilidad de uso a Decidir si se cambian los atributos de seguridad del usuario predeterminados en el archivo policy conf Los valores predeterminados del usuario del archivo label_encodings fueron configurados por el equipo de configuraci n inicial Para obtener una descripci n de los valores predete
31. Agregue el puerto de la impresora a la interfaz compartida de la zona global a En la herramienta Computers and Networks haga doble clic en Trusted Network Zones b Haga doble clicen global c En la lista Multilevel Ports for Shared IP Addresses agregue el puerto 515 protocolo tcp Verifique que las asignaciones de Solaris Management Console est n en el n cleo tninfo h printer IP address IP address printer IP address Template admin_low tninfo m global private 111 tcp 111 udp 513 tcp 515 tcp 631 tcp 2049 tcp 6000 6050 tcp 7007 tcp 7010 tcp 7014 tcp 7015 tcp 32771 tcp 32776 ip shared 515 tcp 6000 6050 tcp 7007 tcp 7010 tcp 7014 tcp 7015 tcp Cap tulo 15 Gesti n de impresi n con etiquetas tareas 221 Configuraci n de impresi n con etiquetas mapa de tareas 222 10 11 Nota Los puertos de varios niveles MLP privados y compartidos adicionales como 6055 y 7007 cumplen con los requerimientos de Sun Ray Aseg rese de que los servicios de impresi n est n habilitados en la zona global svcadm enable print server svcadm enable rfc1179 Si el sistema se instal con netservices limited habilite la impresora para que llegue a la red El servicio rfc1179 debe recibir las direcciones que no sean de local host El servicio LP recibe solamente una conducci n con nombre inetadm m svc application print rfc1179 default bind_addr svcadm refresh rfc1179 Nota Si ejecuta netservice
32. Console para administrar el sistema Nota Aunque puede utilizar Solaris Management Console para ejecutar dtappsession la manera m s sencilla de usar dtappsession se describe en C mo administrar Trusted Extensions con dtappsession de manera remota en la p gina 110 C mo administrar sistemas de manera remota con Solaris Management Console desde un sistema sin etiquetas En este procedimiento se ejecutan el cliente y el servidor de Solaris Management Console en el sistema remoto y se muestra la consola en el sistema local El sistema Trusted Extensions debe tener asignada la etiqueta ADMIN_ LOW en el sistema local Nota El sistema que no ejecuta el protocolo CIPSO como el sistema Trusted Solaris es un sistema sin etiquetas desde la perspectiva de un sistema Trusted Extensions El servidor de Solaris Management Console en el sistema remoto debe estar configurado para aceptar la conexi n remota Para conocer el procedimiento consulte Habilitaci n de comunicaciones de red en Solaris Management Console de Gu a de configuraci n de Oracle Solaris Trusted Extensions Los dos sistemas deben tener el mismo usuario que tiene asignado el mismo rol que puede utilizar Solaris Management Console El usuario puede tener el rango de etiquetas del usuario com n pero el rol debe tener el rango de ADMIN_LOWa ADMIN_HIGH Debe estar en un rol administrativo de la zona global Habilite el servidor X local para que muestre la consol
33. Debe estar en el rol de administrador de la seguridad en la zona global Cree un perfil de derechos que incluya la autorizaci n Print without Banner Asigne el perfil a cada rol o usuario que tenga permiso para imprimir sin las p ginas de la car tula o del ubicador Para obtener detalles consulte C mo crear perfiles de derechos para autorizaciones convenientes en la p gina 97 Indique al rol o al usuario que use el comando 1p para ejecutar los trabajos de impresi n lp o nobanner staff mtg notes C mo habilitar a los usuarios para que impriman archivos PostScript en Trusted Extensions Debe estar en el rol de administrador de la seguridad en la zona global Cap tulo 15 Gesti n de impresi n con etiquetas tareas 235 Reducci n de las restricciones de impresi n en Trusted Extensions mapa de tareas 236 e Utilice uno de los tres m todos siguientes para habilitar a los usuarios para que impriman archivos PostScript Ejemplo 15 3 Para habilitar la impresi n PostScript en el sistema modifique el archivo etc default print Cree o modifique el archivo etc default print Utilice el editor de confianza Para obtener detalles consulte C mo editar archivos administrativos en Trusted Extensions en la p gina 57 Escriba la entrada siguiente PRINT_POSTSCRIPT 1 Guarde el archivo y cierre el editor Para autorizar atodos los usuarios a que impriman archivos PostScript desde el sistema modi
34. ERROR there are no files under that directory Si no puede ver el directorio reinicie el servicio de montaje autom tico en la zona de nivel superior higher level zone svcadm restart autofs Salvo que use montajes de NFS para los directorios principales el montador autom tico de la zona de nivel superior debe montar en bucle de retorno de zone lower level zone export home username a zone lower level zone home username C mo extender el tiempo de espera cuando se vuelve a etiquetar la informaci n En Trusted Extensions Selection Manager media en las transferencias de informaci n entre etiquetas Selection Manager aparece para las operaciones de arrastrar y soltar y para las operaciones de cortar y pegar Algunas aplicaciones requieren que se defina un tiempo de espera apropiado para que Selection Manager tenga tiempo para intervenir Un valor de dos minutos es suficiente Precauci n No cambie el valor de tiempo de espera predeterminado en un sistema sin etiquetas Las operaciones fallan con el valor de tiempo de espera m s largo Debe estar en el rol de administrador del sistema en la zona global Para obtener detalles consulte C mo entrar en la zona global en Trusted Extensions en la p gina 53 Cap tulo7 Gesti n de usuarios derechos y roles en Trusted Extensions tareas 93 Personalizaci n del entorno de usuario para la seguridad mapa de tareas 1 2 94 Para la aplicaci n StarOffice realice lo
35. Feb 28 00 00 2008 available Cap tulo 15 Gesti n de impresi n con etiquetas tareas 223 Configuraci n de impresi n con etiquetas mapa de tareas 224 Antes de empezar Solaris1 lpstat t scheduler is not running system default destination math printer system for _default 192 168 4 17 as printer math printer system for math printer 192 168 4 17 default accepting requests since Feb 28 00 00 2008 math printer accepting requests since Feb 28 00 00 2008 printer default is idle enabled since Feb 28 00 00 2008 available printer math printer is idle enabled since Feb 28 00 00 2008 available C mo configurar la impresi n en cascada en un sistema con etiquetas La impresi n en cascada proporciona la capacidad de imprimir desde una sesi n de escritorio de Windows a una interfaz de zona con etiquetas de Trusted Extensions donde la direcci n IP de la zona de la interfaz f sica act a como administrador de trabajos de impresi n El receptor del puerto de varios niveles MLP que se encuentra en la direcci n IP de la zona de la interfaz f sica se comunica con el subsistema de impresi n de Trusted Extensions e imprime el archivo con el encabezado con etiquetas y las hojas del ubicador que corresponden Este procedimiento habilita los sistemas sin etiquetas que est n en la misma subred que los sistemas con etiquetas para que usen la impresora de red con etiquetas El servicio rfc1179 administra la impresi n en ca
36. IP com n CIPSO se utiliza para especificar las etiquetas de seguridad que se transfieren en el campo de opciones IP Las etiquetas CIPSO se obtienen autom ticamente de la etiqueta de datos El tipo de etiqueta 1 se utiliza para Cap tulo 12 Redes de confianza descripci n general 169 Atributos de seguridad de red en Trusted Extensions 170 transferir la etiqueta de seguridad CIPSO Esta etiqueta se utiliza para realizar comprobaciones de seguridad en el nivel IP y para asignar una etiqueta a los datos del paquete de red Tipo de host sin etiquetas est dise ado para los hosts que utilizan protocolos de redes est ndar pero que no admiten opciones CIPSO Trusted Extensions suministra la plantilla denominada admin_low para este tipo de host Se asigna este tipo de host a los hosts que ejecutan el SO Oracle Solaris u otros sistemas operativos sin etiquetas Este tipo de host proporciona una etiqueta y una acreditaci n predeterminadas para aplicar a las comunicaciones con el host sin etiquetas Adem s se puede especificar un rango de etiquetas o un conjunto de etiquetas discretas para permitir el env o de paquetes a una puerta de enlace sin etiquetas para el posterior reenv o Precauci n La plantilla admin_Tow brinda un ejemplo para la creaci n de plantillas sin etiquetas con etiquetas espec ficas del sitio Mientras que la plantilla admin_low es necesaria para la instalaci n de Trusted Extensions puede que las configu
37. Mask s s s sos aoa aow a a 1 255 255 255 0 Default Gateway a 192 168 4 17 226 Procedimientos de administradores de Oracle Solaris Trusted Extensions Agosto de 2011 Configuraci n de impresi n con etiquetas mapa de tareas Antes de empezar C mo configurar una zona para la impresi n con una sola etiqueta La zona no debe compartir una direcci n IP con la zona global Debe estar en el rol de administrador del sistema en la zona global Agregue un espacio de trabajo Para obtener detalles consulte C mo agregar un espacio de trabajo en una etiqueta determinada de Gu a del usuario de Oracle Solaris Trusted Extensions Cambie la etiqueta del espacio de trabajo nuevo por la etiqueta de la zona que ser servidor de impresi n para esa etiqueta Para obtener detalles consulte C mo cambiar la etiqueta de un espacio de trabajo de Gu a del usuario de Oracle Solaris Trusted Extensions Defina las caracter sticas de las impresoras conectadas a En la etiqueta de la zona inicie el gestor de impresi n De manera predeterminada la casilla Use PPD se encuentra seleccionada El sistema busca el controlador adecuado para la impresora b Opcional A fin de especificar un controlador diferente para una impresora realice lo siguiente i Anule la selecci n de Use PPD ii Defina la marca y el modelo de la impresora que usa un controlador diferente En el gestor de impresi n
38. Network Zones es la interfaz administrativa que sirve para gestionar los aspectos relativos a las etiquetas de las zonas Esta herramienta modifica la base de datos tnzonecfg aplica la precisi n sint ctica y actualiza el n cleo con los cambios La Figura 2 4 muestra la caja de herramientas Files con el conjunto de herramientas Users resaltado Las herramientas de Trusted Extensions aparecen debajo del conjunto de herramientas Computers and Networks FIGURA 2 4 Conjunto de herramientas Computers and Networks definido en Solaris Management Console Navigation El This Computer 127 0 0 1 Scope o li System Status 7 Ja System Configuration Ge Users User Accounts k User Templates lt Rights Administrative Roles Ah Groups EX Mailing Lists Projects Computers and Networks lt Security Templates GQ Trusted Network Zone a Computers Se 10 H ae 127 gf 129 146 Patches La Herramienta Security Templates La plantilla de seguridad describe un conjunto de atributos de seguridad que pueden asignarse a un grupo de hosts La herramienta Security Templates le permite asignar adecuadamente una combinaci n espec fica de atributos de seguridad a un grupo de hosts Estos atributos controlan el modo en que los datos se empaquetan se transmiten y se interpretan Los hosts que se asignan a una plantilla tienen las mismas configuraciones de seguridad Procedimientos de administradores de Oracle Solaris Trust
39. P ginas del comando man de Trusted Extensions en orden alfab tico plabel 1 remove_allocatable 1M sel _config 4 setflabel 3TSOL smtnrhdb 1M smtnrhtp 1M smtnzonecfg 1M str_to label 3TSOL tnctl 1M tnd 1M tninfo 1M trusted extensions 5 TrustedExtensionsPolicy 4 tsol_getrhtype 3TSOL updatehome 1M XTSOLgetClientAttributes 3XTSOL XTSOLgetPropAttributes 3XTSOL Obtiene la etiqueta de un proceso Elimina las entradas de las bases de datos de asignaci n Establece las reglas de selecci n para las operaciones de copiar cortar y pegar y arrastrar y soltar Mueve un archivo a una zona con la etiqueta de sensibilidad correspondiente Gestiona las entradas de la base de datos de redes de Trusted Extensions Gestiona las entradas de la base de datos de la plantilla para las redes de Trusted Extensions Gestiona las entradas de la base de datos de configuraci n para las redes de Trusted Extensions en zonas no globales Analiza las cadenas en lenguaje natural para una etiqueta Configura los par metros de red de Trusted Extensions Es el daemon de la red de confianza Muestra la informaci n y las estad sticas de red de Trusted Extensions en el nivel del n cleo Presenta Trusted Extensions Es el archivo de configuraci n de la extensi n del servidor X de Trusted Extensions Obtiene el tipo de host de la informaci n de red de Trusted Extensions Actualiza los archivos d
40. Path les indica a los usuarios que est n utilizando partes del sistema relacionadas con la seguridad Si este s mbolo no aparece cuando el usuario est ejecutando una aplicaci n de confianza debe comprobarse inmediatamente la autenticidad de esa versi n de la aplicaci n Si la banda de confianza no aparece el escritorio no es de confianza Para ver un ejemplo de la visualizaci n del escritorio consulte la Figura 1 1 Procedimientos de administradores de Oracle Solaris Trusted Extensions Agosto de 2011 Conceptos b sicos de Trusted Extensions FIGURA 1 1 Escritorio de CDE de varios niveles en Trusted Extensions Men Trusted Path Banda de etiqueta CON FIDENTIAL INTERNAL USE ONLY de ventana PUBLIC emacs textfilelnfo txt File Manager idealz sharonr Banda de etiqueta de icono de ventana Conf Internal Panel frontal E Em Ba Banda de confianza 1 window Label Rinia S mbolo Etiqueta de espacio de confianza de trabajo La mayor parte del software relacionado con la seguridad es decir la base de computaci n de confianza TCB Trusted Computing Base se ejecuta en la zona global Los usuarios comunes no pueden entrar en la zona global ni visualizar sus recursos Los usuarios pueden interactuar con el software de TCB como cuando modifican las contrase as El s mbolo de Trusted Path se muestra cuando el usuario interact a con la TCB Trusted Extensions y el control de acceso El software de
41. Role 53 54 MLP Ver puertos de varios niveles MLP modificaci n archivo sel_config 66 montaje archivos en bucle de retorno 135 conjunto de datos de ZFS en zona con etiquetas 137 139 descripci n general 146 147 resoluci n de problemas 160 161 sistemas de archivos 153 155 sistemas de archivos NFSv3 49 50 montajes de NES acceso a directorios de nivel inferior 148 150 en la zona global y en zonas con etiquetas 146 147 montajes de varios niveles versiones del protocolo NES 151 Mozilla extensi n del tiempo de espera para volver a etiquetar 93 94 nombres de sistemas de archivos 153 O office install directory VCL xcu 93 94 opci n o nobanner para el comando lp 235 opci n de men Assume Role 53 54 opci n de men Change Password cambiar contrase a de root 71 72 descripci n 60 OpenOffice Ver StarOffice operaci n de una sola etiqueta 31 P p ginas de la car tula descripci n de con etiquetas 211 213 impresi n sin etiquetas 235 p gina t pica 211 variaciones en la p gina del ubicador 211 212 p ginas del comando man referencia r pida para los administradores de Trusted Extensions 289 295 p ginas del cuerpo descripci n de con etiquetas 211 sin etiquetas para todos los usuarios 234 sin etiquetas para usuarios espec ficos 235 p ginas del ubicador Ver p ginas de la car tula palabra clave IDLECMD cambio de valor predeterminado 89 90 palabra clave IDLETIME cambio de valor prede
42. Solaris 23 24 sistema de archivos sel_config de Trusted Extensions 66 sistema de varios encabezados banda de confianza 25 sistema de ventanas procesos de confianza 279 280 sistemas de archivos montaje en la zona global y en zonas con etiquetas 146 147 montajes de NES 146 147 310 Procedimientos de administradores de Oracle Solaris Trusted Extensions sistemas de archivos Continuaci n NFSv3 49 50 uso compartido 145 uso compartido en la zona global y en zonas con etiquetas 146 147 sistemas Sun Ray configuraci n de impresora de red 220 224 direcci n tnrhdb para contacto de cliente 191 habilitaci n del contacto inicial entre el cliente y el servidor 193 impedir que los usuarios vean los procesos de los dem s 90 sistemas Xvnc que ejecutan Trusted Extensions acceso remoto 107 116 117 SO Oracle Solaris diferencias con la auditor a de Trusted Extensions 263 diferencias con Trusted Extensions 24 25 similitudes con la auditor a de Trusted Extensions 263 similitudes con Trusted Extensions 23 24 software administraci n de terceros 275 282 importaci n 275 instalaci n de programas Java 281 282 Solaris Management Console administraci n de red de confianza 180 194 administraci n de usuarios 95 103 cajas de herramientas 38 descripci n de herramientas y cajas de herramientas 38 42 herramienta Computers and Networks 188 herramienta Security Templates 40 41 182 183 herramienta Trusted Network Zones 41
43. TO KNOW C mo cambiar los valores predeterminados de seguridad en los archivos del sistema En Trusted Extensions el administrador de la seguridad cambia las configuraciones de seguridad predeterminadas o accede a ellas en un sistema Los archivos de los directorios etc security y etc default contienen configuraciones de seguridad En el sistema Oracle Solaris el superusuario puede editar estos archivos Para obtener informaci n sobre la seguridad de Oracle Solaris consulte el Cap tulo 3 Controlling Access to Systems Tasks de System Administration Guide Security Services Precauci n Reduzca los valores predeterminados de seguridad del sistema nicamente si la pol tica de seguridad del sitio lo permite Debe estar en el rol de administrador de la seguridad en la zona global Utilice el editor de confianza para editar el archivo del sistema Para obtener detalles consulte C mo editar archivos administrativos en Trusted Extensions en la p gina 57 La siguiente tabla muestra los archivos de seguridad y los par metros de seguridad que se deben cambiar en los archivos Archivo Tarea Para obtener m s informaci n etc default login Reducir el n mero permitido de intentos Consulte el ejemplo de How to Monitor All Failed Login de introducci n de contrase a Attempts de System Administration Guide Security Services P gina del comando man passwd 1 Cap tulo 5 Administraci n de los
44. Trusted Extensions El archivo etc security policy conf de Oracle Solaris contiene las configuraciones de seguridad predeterminadas para el sistema Trusted Extensions agrega dos palabras clave a este archivo Puede agregar estos pares palabra clave valor al archivo si desea cambiar el valor de todo el sistema Estas palabras clave se aplican mediante Trusted Extensions La siguiente tabla muestra los valores posibles para estas configuraciones de seguridad y sus valores predeterminados TABLA 6 1 Valores predeterminados de seguridad de Trusted Extensions en el archivo policy conf Palabra clave Valor predeterminado Valores posibles Notas IDLECMD LOCK LOCK LOGOUT No se aplica a los roles IDLETIME 30 0a 120 min No se aplica a los roles Las autorizaciones y los perfiles de derechos que se definen en el archivo policy conf son adicionales de cualquier autorizaci n o perfil que se asigne a las cuentas individuales Para los dem s campos el valor del usuario individual valor sustituye el valor del sistema En Planificaci n de la seguridad del usuario en Trusted Extensions de Gu a de configuraci n de Oracle Solaris Trusted Extensions se incluye una tabla con todas las palabras clave de policy conf Tambi n puede consultar la p gina del comando man policy cont 4 Atributos de usuario que pueden configurarse en Trusted Extensions Para crear y modificar cuentas de usuario debe usar Solaris Management Console 2 1 Para
45. Trusted Extensions protege la informaci n y otros recursos mediante el control de acceso discrecional DAC y el control de acceso obligatorio MAC El DAC corresponde a las listas de control de acceso y los bits de permiso tradicionales de UNIX que est n configurados seg n el criterio del propietario El MAC es un mecanismo que el sistema pone en funcionamiento autom ticamente El MAC controla todas las transacciones mediante la comprobaci n de las etiquetas de los procesos y los datos de la transacci n La etiqueta del usuario representa el nivel de sensibilidad en que el usuario tiene permitido operar y que a la vez elige para operar Las etiquetas t picas son Secret o Public La etiqueta determina la informaci n a la que puede acceder el usuario Es posible invalidar el MAC y el Cap tulo 1 Conceptos de la administraci n de Trusted Extensions 27 Conceptos b sicos de Trusted Extensions 28 DAC mediante permisos especiales que est n en el SO Oracle Solaris Los privilegios son permisos especiales que pueden otorgarse a los procesos Las autorizaciones son permisos especiales que puede otorgar el administrador a los usuarios y los roles Como administrador debe brindar a los usuarios formaci n sobre los procedimientos adecuados para proteger los archivos y los directorios en funci n de la pol tica de seguridad del sitio Adem s debe indicar a los usuarios que est n autorizados a subir o bajar el nivel de las etiquetas
46. Up User Accounts Task Map de System Administration Guide Basic Administration Parte III Roles Rights Profiles and Privileges de System Administration Guide Security Services Responsabilidades del administrador del sistema para los usuarios En Trusted Extensions el rol de administrador del sistema es responsable de determinar qui n puede acceder al sistema El administrador del sistema es responsable de las siguientes tareas m Agregar y eliminar usuarios m Agregar y eliminar roles ma Modificar las configuraciones de rol y de usuario que no sean atributos de seguridad 78 Procedimientos de administradores de Oracle Solaris Trusted Extensions Agosto de 2011 Decisiones que deben tomarse antes de crear usuarios en Trusted Extensions Responsabilidades del administrador de la seguridad para los usuarios En Trusted Extensions el rol de administrador de la seguridad es responsable de todos los atributos de seguridad de un usuario o rol El administrador de la seguridad tiene a su cargo las siguientes tareas Asignar y modificar los atributos de seguridad de un usuario rol o perfil de derechos Crear y modificar perfiles de derechos Asignar perfiles de derechos a un usuario o rol a Asignar privilegios a un usuario rol o perfil de derechos ma Asignar autorizaciones a un usuario rol o perfil de derechos a Eliminar privilegios de un usuario rol o perfil de derechos Eliminar autorizaciones de un usuario
47. Utilizar el correo electr nico para dar instrucciones a los usuarios de que realicen alguna acci n resulta una pr ctica insegura Diga a los usuarios que no conf en en los correos electr nicos que contienen instrucciones que provienen presuntamente de un administrador De este modo se evita la posibilidad de que se env en mensajes de correo electr nico falsos con el objeto de enga ar a los usuarios para que cambien la contrase a a un valor determinado o para que la divulguen lo que posteriormente podr a ser utilizado para iniciar sesi n y poner en riesgo el sistema Cap tulo 4 Requisitos de seguridad del sistema Trusted Extensions descripci n general 61 Aplicaci n de los requisitos de seguridad 62 Aplicaci n de la contrase a El rol de administrador del sistema debe especificar un nombre de usuario y un ID de usuario nicos al crear una nueva cuenta Cuando selecciona el nombre y el ID de una nueva cuenta el administrador debe asegurarse de que tanto el nombre de usuario como el ID asociado no se encuentren duplicados en ninguna parte de la red ni se hayan utilizado previamente El rol de administrador de la seguridad tiene la responsabilidad de especificar la contrase a original para cada cuenta y de comunicar las contrase as a los usuarios de cuentas nuevas Debe tener en cuenta la siguiente informaci n al administrar las contrase as m Aseg rese de que las cuentas para los usuarios que pueden asumir el rol d
48. Xvnc para acceder de manera remota a un sistema Trusted Extensions La tecnolog a de inform tica en red virtual VNC Virtual Network Computing conecta un cliente a un servidor remoto y luego muestra el escritorio del servidor remoto en una ventana en el cliente Xvnc es la versi n UNIX de VNC que se basa en un servidor X est ndar En Trusted Extensions un cliente de cualquier plataforma puede conectarse a una Xvnc que ejecute el software de Trusted Extensions e iniciar sesi n en el servidor Xvnc para visualizar un escritorio de varios niveles y trabajar en l Debe tener instalado y configurado el software de Trusted Extensions en el sistema que se va a utilizar como servidor Xvnc Debe haber creado e iniciado las zonas con etiquetas El servidor Xvnc reconoce los clientes VNC por nombre de host o direcci n IP Debe ser superusuario en la zona global del sistema que se utilizar como servidor Xvnc Configure el servidor Xvnc Para obtener m s informaci n consulte las p ginas del comando man Xvnc 1 y vncconfig 1 Precauci n Si ejecuta las versiones Solaris 10 10 08 o Solaris 10 5 08 debe aplicar los parches en el sistema antes de configurar el servidor En el sistema SPARC instale la versi n m s reciente del parche 125719 En el sistema x86 instale la versi n m s reciente del parche 125720 a Creeel directorio de configuraci n Xservers mkdir p etc dt config b Copieelarchivo usr dt config Xservers en el d
49. a es de confianza En un sistema x86 que se usa con un teclado de Sun se le solicita una contrase a al usuario Se arrastra el puntero y se lo ubica en el cuadro de di logo de contrase a Para comprobar si el indicador es de confianza el usuario presiona simult neamente las teclas lt Meta gt y lt Stop gt Cuando el puntero permanece en el cuadro de di logo el usuario sabe que el indicador de contrase a es de confianza Si el puntero se mueve a la banda de confianza el usuario se da cuenta de que el indicador de contrase a no es de confianza por lo que debe contactarse con el administrador Forzar el puntero hacia la banda de confianza En este ejemplo un usuario no est ejecutando ning n proceso de confianza pero no puede ver el puntero del mouse Para ubicar el puntero en el centro de la banda de confianza el usuario presiona simult neamente las teclas lt Meta gt y lt Stop gt C mo obtener el equivalente hexadecimal de una etiqueta Este procedimiento proporciona la representaci n hexadecimal interna de una etiqueta Esta representaci n se puede almacenar con seguridad en un directorio p blico Para obtener m s informaci n consulte la p gina del comando man atohexlabel 1M Debe estar en el rol de administrador de la seguridad en la zona global Para obtener detalles consulte C mo entrar en la zona global en Trusted Extensions en la p gina 53 Para obtener el valor hexadecimal de una etiqueta realic
50. administrador de la seguridad tambi n puede configurar las cuentas de usuario para que se usen impresoras que no imprimen etiquetas en el resultado Asimismo se puede autorizar a los usuarios para que no impriman de manera selectiva car tulas o etiquetas en el resultado de la impresi n Procedimientos de administradores de Oracle Solaris Trusted Extensions Agosto de 2011 Etiquetas impresoras e impresi n P ginas del cuerpo con etiquetas De manera predeterminada la clasificaci n Protect As se imprime en la parte superior y en la parte inferior de cada p gina del cuerpo La clasificaci n Protect As es la dominante cuando se compara la clasificaci n de la etiqueta de la tarea con la clasificaci n minimum protect as classification La clasificaci n minimum protect as classification se define en el archivo label _encodings Por ejemplo si el usuario se encuentra conectado en una sesi n Internal Use Only los trabajos de impresi n del usuario est n en esa etiqueta Si la clasificaci n minimum protect as classification del archivo label_encodings es Public la etiqueta Internal Use Only se imprime en las p ginas del cuerpo FIGURA 15 1 Etiqueta del trabajo impresa en la parte superior y en la parte inferior de una p gina del cuerpo INTERNAL USE ONLY INTERNAL USE ONLY P ginas de la car tula y del ubicador con etiquetas Las siguientes figuras muestran la p gina de la car tula predetermin
51. agrega la entrada para la conexi n inicial del cliente con la base de datos tnrhdb del servidor Sun Ray Mientras el administrador est probando la direcci n de comod n predeterminada se sigue utilizando para todas las direcciones desconocidas SunRayServer usr sadm bin smtnrhdb Y add D file machinel ExampleCo COM machinel ExampleCo COM Y w 0 0 0 0 p 32 n admin_low Authenticating as user root Please enter a string value for password from machinel ExampleCo COM was successful Despu s de que se ejecuta este comando aparece una base de datos tnrhdb similar a la siguiente El resultado del comando smtnrhdb aparece resaltado tnrhdb database Sun Ray server address 192 168 128 1 cipso Sun Ray client addresses on 192 168 128 network 192 168 128 0 24 admin_low Initial address for new clients 0 0 0 0 32 admin_low Cap tulo 13 Gesti n de redes en Trusted Extensions tareas 193 Configuraci n de rutas y comprobaci n de la informaci n de red en Trusted Extensions mapa de tareas Default wildcard address 0 0 0 0 admin_low Other addresses to be contacted at boot tnchkdb h etc security tsol tnrhdb Despu s de que esta fase de la prueba se realiz correctamente el administrador elimina la direcci n de comod n predeterminada a fin de hacer la configuraci n m s segura comprueba la sintaxis de la base de datos tnrhdb y vuelve a realizar la prueba La base de datos tnrhdb final se
52. caja de herramientas del mbito adecuado Para obtener detalles consulte Inicializaci n del servidor de Solaris Management Console en Trusted Extensions de Gu a de configuraci n de Oracle Solaris Trusted Extensions En System Configuration vaya a User Accounts Puede que se muestre el indicador de contrase a Escriba la contrase a del rol Haga doble clic en el icono del usuario Haga clic en la ficha Trusted Extensions Attributes En la secci n Account Usage seleccione No del men desplegable situado junto a Lock account after maximum failed logins Para guardar los cambios haga clic en OK Cap tulo7 Gesti n de usuarios derechos y roles en Trusted Extensions tareas 101 Gesti n de usuarios y derechos con Solaris Management Console mapa de tareas 102 v A Antes de empezar 1 C mo habilitar a un usuario para que cambie el nivel de seguridad de los datos Se puede autorizar a un usuario com n o a un rol a cambiar el nivel de seguridad o las etiquetas de los archivos y los directorios El usuario o el rol adem s de tener la autorizaci n deben estar configurados para trabajar en m s de una etiqueta Las zonas con etiquetas deben estar configuradas de modo que se permita volver a etiquetar Para conocer el procedimiento consulte C mo permitir que los archivos se vuelvan a etiquetar desde una zona con etiquetas en la p gina 139 Precauci n El cambio del nivel de seguridad de lo
53. clic en el bot n Device Administration c Seleccione el nombre del dispositivo y haga clic en el bot n Configure d Enel campo Clean Program escriba la ruta completa para acceder a la secuencia de comandos Guarde los cambios Cap tulo 17 Gesti n de dispositivos para Trusted Extensions tareas 255 Personalizaci n de autorizaciones para dispositivos en Trusted Extensions mapa de tareas Personalizaci n de autorizaciones para dispositivos en Trusted Extensions mapa de tareas En el siguiente mapa de tareas se describen los procedimientos para cambiar las autorizaciones para dispositivos en el sitio Tarea Descripci n Para obtener instrucciones Crear nuevas autorizaciones para Crear autorizaciones espec ficas del sitio C mo crear nuevas autorizaciones para dispositivos dispositivos en la p gina 256 Agregar autorizaciones a un Agregar autorizaciones espec ficas del sitio a C mo agregar autorizaciones espec ficas dispositivo dispositivos seleccionados del sitio a un dispositivo en Trusted Extensions en la p gina 259 Asignar autorizaciones para Habilitar a los usuarios y los roles para que usen C mo asignar autorizaciones para dispositivos a usuarios y roles las autorizaciones nuevas dispositivos en la p gina 260 256 Antes de empezar 1 C mo crear nuevas autorizaciones para dispositivos Si no se especifica ninguna autorizaci n cuando se cre
54. comod n 192 0 0 0 32 cipso Direcci n de red 192 0 0 0 no es una direcci n de comod n 0 0 0 0 32 cipso Direcci n de host 0 0 0 0 no es una direcci n de comod n 0 0 0 0 cipso Todas las direcciones de todas las redes 172 Procedimientos de administradores de Oracle Solaris Trusted Extensions Agosto de 2011 Descripci n general del enrutamiento en Trusted Extensions TABLA 12 1 Entradas del mecanismo de reserva y la direcci n de host de tnrhdb Continuaci n Versi n de IP Entrada tnrhdb Direcciones incluidas IPv6 20011 DB81 221 50001 1 21f7 cipso 2001 DB8 22 5000 21f7 20011 DB81 221 50001 1 0 52 cipso De 2001 DB8 22 5000 0a 2001 DB8 22 5fff ffff ffff ffff ffff 01 1 0 0 cipso Todas las direcciones de todas las redes Observe que la direcci n 0 0 0 0 32 coincide con la direcci n espec fica 0 0 0 0 La entrada tnrhdb 0 0 0 0 32 admin_low resulta til en un sistema cuya direcci n literal 0 0 0 0 se usa como una direcci n IP de origen Por ejemplo los clientes DHCP se contactan con el servidor DHCP como 0 0 0 0 antes de que el servidor les proporcione una direcci n IP Para crear una entrada tnrhdb en un servidor Sun Ray que presta servicio a clientes DHCP consulte el Ejemplo 13 13 Dado que 0 0 0 0 admin_lowesla entrada de comod n predeterminada consulte C mo limitar los hosts que se pueden contactar en la red de confianza en la p gina 190 para informarse sobre los temas que debe tener en
55. componentes de la columna Sensitivity corresponden a la secci n WORDS en el archivo label _encodings Cap tulo 2 Herramientas de administraci n de Trusted Extensions 43 Herramientas de la l nea de comandos en Trusted Extensions Herramientas de la l nea de comandos en Trusted Extensions Los comandos que son exclusivos de Trusted Extensions se incluyen en el Manual de referencia de Trusted Extensions Los comandos de Oracle Solaris que Trusted Extensions modifica se incluyen en el Manual de referencia de Oracle Solaris El comando man busca todos los comandos La siguiente tabla enumera los comandos que son exclusivos de Trusted Extensions Los comandos se enumeran en el formato de la p gina del comando man TABLA 2 4 Comandos de usuario y de administraci n de Trusted Extensions P gina del comando man Modificaci n de Trusted Extensions Para obtener m s informaci n add_allocatable 1M atohexlabel 1M chk_encodings 1M dtappsession 1 getlabel 1 getzonepath 1 hextoalabel 1M plabel 1 remove_allocatable 1M setlabel 1 Permite que los dispositivos se asignen mediante la adici n del dispositivo a las bases de datos de asignaci n de dispositivos De manera predeterminada los dispositivos extra bles se pueden asignar Convierte una etiqueta en formato hexadecimal Comprueba la integridad del archivo label _encodings Abre una sesi n remota de Trusted CDE con Applicati
56. configuraci n al SO Oracle Solaris A partir de la versi n Solaris 10 8 07 se pueden asignar instancias de IP propias a las zonas no globales y se pueden gestionar las interfaces f sicas propias de estas zonas En esta configuraci n cada zona opera como si fuera un sistema distinto Para obtener una descripci n consulte Zone Network Interfaces de System Administration Guide Oracle Solaris Containers Resource Management and Oracle Solaris Zones Sin embargo en una configuraci n de este tipo cada zona con etiquetas opera como si fuera un sistema de una sola etiqueta distinto Las funciones de redes de varios niveles de Trusted Extensions se basan en las funciones de una pila IP compartida Los procedimientos de administraci n en Trusted Extensions asumen que la zona global controla las redes por completo Por lo tanto si el equipo de configuraci n inicial instal zonas con etiquetas con instancias de IP exclusivas debe proporcionar o consultar documentaci n espec fica del sitio Zonas y puertos de varios niveles De manera predeterminada las zonas no pueden enviar paquetes a ninguna otra zona ni recibir paquetes de ninguna otra zona Los puertos de varios niveles habilitan servicios concretos en un puerto para aceptar solicitudes dentro de un rango de etiquetas o de un conjunto de etiquetas Estos servicios con privilegios pueden responder en la etiqueta de la solicitud Por ejemplo quiz s desee crear un puerto de explorador we
57. conocer las interfaces de la l nea de comandos de Trusted Extensions consulte las p ginas del comando man add_allocatable 1M y remove_allocatable 1M Procedimientos de administradores de Oracle Solaris Trusted Extensions Agosto de 2011 CAP TULO 17 Gesti n de dispositivos para Trusted Extensions tareas En este cap tulo se describe c mo administrar y utilizar dispositivos en un sistema configurado con Trusted Extensions Control de dispositivos en Trusted Extensions mapa de tareas en la p gina 245 Uso de dispositivos en Trusted Extensions mapa de tareas en la p gina 246 Gesti n de dispositivos en Trusted Extensions mapa de tareas en la p gina 246 Personalizaci n de autorizaciones para dispositivos en Trusted Extensions mapa de tareas en la p gina 256 Control de dispositivos en Trusted Extensions mapa de tareas El siguiente mapa de tareas hace referencia a los mapas de tareas sobre control de dispositivos perif ricos para los administradores y los usuarios Tarea Descripci n Para obtener instrucciones Usar dispositivos Usar un dispositivo como rol o como usuario com n Uso de dispositivos en Trusted Extensions mapa de tareas en la p gina 246 Administrar Configurar los dispositivos para los usuarios comunes Gesti n de dispositivos en Trusted Extensions dispositivos mapa de tareas en la p gina 246 Personalizar las El rol de a
58. cuenta antes de eliminar o cambiar este valor predeterminado Para obtener m s informaci n sobre la longitud de los prefijos en las direcciones IPv4 e IPv6 consulte Designing Your CIDR IPv4 Addressing Scheme de System Administration Guide IP Services y IPv6 Addressing Overview de System Administration Guide IP Services Descripci n general del enrutamiento en Trusted Extensions En Trusted Extensions las rutas que unen los hosts de diferentes redes deben preservar la seguridad en cada etapa de la transmisi n Trusted Extensions agrega atributos de seguridad ampliados a los protocolos de enrutamiento en el SO Oracle Solaris A diferencia del SO Oracle Solaris esta versi n de Trusted Extensions no admite el enrutamiento din mico Para obtener detalles sobre la especificaci n del enrutamiento est tico consulte la opci n p de la p gina del comando man route 1M Paquetes de ruta de enrutadores y puertas de enlace Aqu se utilizan los t rminos puerta de enlace y enrutador de manera intercambiable En las comunicaciones entre dos hosts de la misma subred las comprobaciones de acreditaciones se realizan en los puntos finales s lo porque no participan enrutadores Las comprobaciones de los rangos de etiquetas se llevan a cabo en el origen Si el host de recepci n ejecuta el software de Trusted Extensions las comprobaciones de los rangos de etiquetas tambi n se efect an en el destino Cuando los hosts de
59. de auditor a por etiqueta How to Select Audit Events From the Audit Trail de System Administration Guide Security Services Para seleccionar registros por etiqueta utilice el comando auditreduce con la opci n 1 Referencia de auditor a de Trusted Extensions El software de Trusted Extensions agrega al SO Oracle Solaris clases eventos y tokens de auditor a y tambi n opciones de pol tica de auditor a Varios comandos de auditor a se ampl an para manejar etiquetas Los registros de auditor a de Trusted Extensions incluyen una etiqueta como se muestra en la siguiente figura FIGURA 18 1 token header token subject token slabel token return Registro de auditor a t pico en un sistema con etiquetas Clases de auditor a de Trusted Extensions En la siguiente tabla se enumeran en orden alfab tico las clases de auditor a que el software de Trusted Extensions agrega al SO Oracle Solaris Las clases se enumeran en el archivo etc security audit_ class Para obtener m s informaci n sobre las clases de auditor a consulte la p gina del comando man audit_class 4 266 Procedimientos de administradores de Oracle Solaris Trusted Extensions Agosto de 2011 Referencia de auditor a de Trusted Extensions TABLA 18 1 Clases de auditor a del servidor X Nombre corto Nombre largo M scara de auditor a xc X Object create destroy 0x00800000 xp X Privileged administrati
60. de creaci n y utilizaci n de las acciones de CDE en Trusted Extensions es similar al proceso del SO Oracle Solaris La adici n de las acciones se describe en el Cap tulo 4 Adding and Administering Applications de Solaris Common Desktop Environment Advanced User s and System Administrators Guide Cap tulo 19 Gesti n de software en Trusted Extensions tareas 279 Gesti n de software en Trusted Extensions tareas Como en el SO Oracle Solaris el uso de las acciones puede controlarse con el mecanismo del perfil de derechos En Trusted Extensions se han asignado atributos de seguridad a varias acciones en los perfiles de derechos de los roles administrativos El administrador de la seguridad tambi n puede utilizar la herramienta Rights para asignar atributos de seguridad a las acciones nuevas La siguiente tabla resume las principales diferencias entre los sistemas Oracle Solaris y Trusted Extensions cuando se crean y se utilizan las acciones TABLA 19 1 Acciones de CDE de Oracle Solaris Restricciones a las acciones de CDE en Trusted Extensions Acciones de Trusted CDE Cualquiera puede crear acciones nuevas en el directorio principal del originador Una acci n nueva puede ser utilizada autom ticamente por su creador Una acci n puede utilizarse nicamente si se encuentra en un perfil de derechos que est asignado al usuario La ruta de b squeda de acciones es diferente Las acciones del directorio princi
61. de derechos que cuente con la autorizaci n Allocate Device Si necesita asistencia consulte la ayuda en pantalla Para conocer el procedimiento paso a paso consulte How to Change the RBAC Properties ofa User de System Administration Guide Security Services Los siguientes perfiles de derechos habilitan un rol para que asigne dispositivos a All Authorizations m Device Management m Media Backup Media Restore m Object Label Management a Software Installation Los siguientes perfiles de derechos habilitan un rol para que revoque o reclame dispositivos All Authorizations m Device Management Los siguientes perfiles de derechos habilitan un rol para que cree o configure dispositivos a All Authorizations m Device Security Procedimientos de administradores de Oracle Solaris Trusted Extensions Agosto de 2011 Personalizaci n de autorizaciones para dispositivos en Trusted Extensions mapa de tareas Ejemplo 17 6 Assigning New Device Authorizations En este ejemplo el administrador de la seguridad configura las nuevas autorizaciones para dispositivos del sistema y asigna el perfil de derechos con las autorizaciones nuevas a usuarios de confianza El administrador de la seguridad realiza lo siguiente 1 Crea nuevas autorizaciones para dispositivos como se establece en C mo crear nuevas autorizaciones para dispositivos en la p gina 256 2 En Device Allocation Manager agrega las nuevas autorizaciones par
62. de la seguridad en la zona global Abra la consola Solaris Management Console en el mbito adecuado Para obtener detalles consulte Tnicializaci n del servidor de Solaris Management Console en Trusted Extensions de Gu a de configuraci n de Oracle Solaris Trusted Extensions En System Configuration dir jase hasta la herramienta Computers and Networks Escriba una contrase a cuando se le solicite Asigne una plantilla sin etiquetas en el servidor de impresi n Para obtener detalles consulte C mo asignar una plantilla de seguridad a un host o a un grupo de hosts en la p gina 188 Cap tulo 15 Gesti n de impresi n con etiquetas tareas 233 Reducci n de las restricciones de impresi n en Trusted Extensions mapa de tareas 234 Ejemplo 15 2 Antes de empezar 1 Elija una etiqueta Los usuarios que trabajen en ese etiqueta podr n enviar los trabajos de impresi n a la impresora de Oracle Solaris en la etiqueta del servidor de impresi n Las p ginas no se imprimen con etiquetas y las p ginas de la car tula y del ubicador tampoco forman parte del trabajo de impresi n Env o de trabajos de impresi n p blicos a una impresora sin etiquetas Los archivos que se encuentran disponibles para el p blico en general se pueden imprimir en una impresora sin etiquetas En este ejemplo los responsables de marketing de una organizaci n necesitan producir documentos que no tengan etiquetas impresas en la
63. de seguridad que deben asignarse a los usuarios 84 Cambio de valores predeterminados de privilegios El conjunto de privilegios predeterminado puede ser demasiado liberal para varios sitios A fin de restringir el conjunto de privilegios para cualquier usuario com n en el sistema cambie la configuraci n del archivo policy conf Para cambiar el conjunto de privilegios de los usuarios individuales utilice Solaris Management Console Si desea obtener un ejemplo consulte C mo restringir el conjunto de privilegios de un usuario en la p gina 99 Cambio de valores predeterminados de etiquetas El cambio de los valores predeterminados de una etiqueta del usuario crea una excepci n a los valores predeterminados del usuario en el archivo label_encodings Cambio de valores predeterminados de auditor a Como en el SO Oracle Solaris la asignaci n de clases de auditor a a un usuario crea excepciones a las clases de auditor a que se asignan en el archivo etc security audit_control del sistema Para obtener m s informaci n sobre auditor a consulte el Cap tulo 18 Auditor a de Trusted Extensions descripci n general Archivos copy_files y link_files En Trusted Extensions los archivos se copian autom ticamente del directorio de estructura b sica s lo en la zona que contiene la etiqueta m nima de la cuenta A fin de garantizar que las zonas de las etiquetas superiores puedan usar los archivos de inicio el usuario o el a
64. discusi n http forums oracle com m Para practicar procedimientos paso a paso utilice Oracle By Example http ww oracle com technetwork tutorials index html Procedimientos de administradores de Oracle Solaris Trusted Extensions Agosto de 2011 Prefacio Convenciones tipogr ficas La siguiente tabla describe las convenciones tipogr ficas utilizadas en este manual TABLAP 1 Convenciones tipogr ficas Tipos de letra Significado Ejemplo AaBbCc123 Los nombres de los comandos los archivos los Edite el archivo login directorios y los resultados que el equipo 4 I p Utilice el comando ls a para muestra en pantalla mostrar todos los archivos nombre _sistema tiene correo AaBbCc123 Lo que se escribe en contraposici n con la salida nombre_sistemass su del equipo en pantalla TAP P Contrase a aabbcc123 Marcador de posici n sustituir por un valoro El comando necesario para eliminar nombre real un archivo es rm nombrearchivo AaBbCc123 T tulos de los manuales t rminos nuevos y Consulte el cap tulo 6 de la Gu a del palabras destacables usuario Una copia en antememoria es aquella que se almacena localmente No guarde el archivo Nota Algunos elementos destacados aparecen en negrita en l nea Indicadores de los shells en los ejemplos de comandos La tabla siguiente muestra los indicadores de sistema UNIX predeterminados y el indicador de superusuario de shells que se incluyen en los sistemas o
65. en un espacio de trabajo que no es de confianza Debe estar en el rol de administrador del sistema en la zona global Edite el archivo etc rmmount conf Utilice el editor de confianza Para obtener detalles consulte C mo editar archivos administrativos en Trusted Extensions en la p gina 57 Agregue el programa reproductor de CD del sitio a la acci n cdrom en el archivo action media action _program so path to program Configuraci n de un programa reproductor de audio para su uso En el siguiente ejemplo el administrador del sistema hace que el programa workman est disponible para todos los usuarios de un sistema El programa workman es un programa reproductor de audio etc rmmount conf file action cdrom action_workman so usr local bin workman C mo impedir la visualizaci n de File Manager despu s de la asignaci n de un dispositivo De manera predeterminada File Manager aparece cuando se monta un dispositivo Sino monta dispositivos que tengan sistemas de archivos quiz s desee impedir la visualizaci n de File Manager Debe estar en el rol de administrador del sistema en la zona global Edite el archivo etc rmmount conf Utilice el editor de confianza Para obtener detalles consulte C mo editar archivos administrativos en Trusted Extensions en la p gina 57 Encuentre las siguientes acciones filemgr action cdrom action _filemgr so action floppy action filemgr so Procedimientos de admin
66. esta versi n Trusted Extensions proporciona las siguientes funciones Lautilidad de gesti n de servicios SMF administra Trusted Extensions como el servicio svc system labeld De manera predeterminada el servicio label d est deshabilitado Cuando el servicio est habilitado se debe configurar y reiniciar el sistema para aplicar las pol ticas de seguridad de Trusted Extensions 49 Requisitos de seguridad para la administraci n de Trusted Extensions a El n mero de dominio de interpretaci n DOI de opci n de seguridad de IP comercial CIPSO Commercial IP Security Option que su sistema utiliza puede configurarse m Para obtener m s informaci n sobre el dominio de interpretaci n consulte Atributos de seguridad de red en Trusted Extensions en la p gina 168 Para especificar un dominio de interpretaci n que sea diferente del que est predeterminado consulte Configuraci n del dominio de interpretaci n de Gu a de configuraci n de Oracle Solaris Trusted Extensions m Trusted Extensions reconoce las etiquetas CIPSO en los sistemas de archivos montados en la versi n 3 de NFS NESv3 y tambi n en la versi n 4 de NFS NESv4 Por lo tanto puede montar sistemas de archivos NFSv3 en un sistema Trusted Extensions como sistema de archivos con etiquetas Para utilizar udp como protocolo subyacente para montajes de varios niveles en NFSv3 consulte C mo configurar un puerto de varios niveles para NFSv3 m
67. este ejemplo se utiliza el software para VNC de Sun cd SUNW pkg directory pkgadd d SUNWvncviewer En una ventana de terminal de un cliente VNC con ctese al servidor usr bin vncviewer Xvnc server hostname En la ventana que aparece escriba su nombre y contrase a Contin e con el proceso de inicio de sesi n Para obtener una descripci n del resto de los pasos consulte Inicio de sesi n en Trusted Extensions de Gu a del usuario de Oracle Solaris Trusted Extensions Si inici sesi n en el servidor como superusuario puede administrar el servidor de manera inmediata Si inici sesi n en el servidor como usuario debe asumir un rol para administrar el sistema Cap tulo8 Administraci n remota en Trusted Extensions tareas 117 118 CAP TULO 9 Trusted Extensions y LDAP descripci n general En este cap tulo se describe el uso de Oracle Directory Server Enterprise Edition servidor de directorios para sistemas que est n configurados con Trusted Extensions m Uso del servicio de nombres en Trusted Extensions en la p gina 119 m Uso del servicio de nombres LDAP en Trusted Extensions en la p gina 122 Uso del servicio de nombres en Trusted Extensions Para alcanzar una uniformidad entre el usuario el host y los atributos de red dentro de un dominio de seguridad con varios sistemas Trusted Extensions se usa un servicio de nombres para distribuir la mayor parte de la informaci n
68. ficos o a todos los usuarios de un sistema en particular para que impriman trabajos sin etiquetas Autorizar a usuarios espec ficos o atodos los usuarios de un sistema en particular para que impriman archivos PostScript C mo habilitar a usuarios espec ficos para que supriman las etiquetas de las p ginas en la p gina 235 C mo habilitar a los usuarios para que impriman archivos PostScript en Trusted Extensions en la p gina 235 Asignar autorizaciones de impresi n Habilitar a los usuarios para que omitan las restricciones de impresi n predeterminadas C mo crear perfiles de derechos para autorizaciones convenientes en la p gina 97 C mo modificar los valores predeterminados de policy conf en la p gina 89 impresi n C mo eliminar las etiquetas del resultado de la Las impresoras que no tienen una secuencia de comandos del modelo de la impresora de Trusted Extensions no imprimen las p ginas de la car tula y del ubicador con etiquetas Tampoco se incluyen etiquetas en las p ginas del cuerpo Antes de empezar 232 Debe estar en el rol de administrador de la seguridad en la zona global Procedimientos de administradores de Oracle Solaris Trusted Extensions Agosto de 2011 Reducci n de las restricciones de impresi n en Trusted Extensions mapa de tareas En la etiqueta adecuada realice una de las siguientes acciones m Desde el servidor de impresi n
69. global Tenga en cuenta que los puertos 23 y 8080 no pueden ser puertos de varios niveles en la zona global porque dicha zona comparte la misma direcci n con la zona public tninfo m global private 111 tcp 111 udp 514 tcp 515 tcp 631 tcp 2049 tcp 6000 6003 tcp 38672 tcp 60770 tcp shared 6000 6003 tcp C mo sincronizar la antememoria del n cleo con las bases de datos de red de confianza Si el n cleo no se actualiz con la informaci n de la base de datos de red de confianza existen varias maneras de actualizar la antememoria del n cleo Solaris Management Console ejecuta este comando autom ticamente cuando se usan las herramientas Security Templates o Trusted Network Zones Debe estar en el rol de administrador de la seguridad en la zona global Para sincronizar la antememoria del n cleo con las bases de datos de la red ejecute uno de los siguientes comandos Reinicie el servicio tnctl Procedimientos de administradores de Oracle Solaris Trusted Extensions Agosto de 2011 Configuraci n de rutas y comprobaci n de la informaci n de red en Trusted Extensions mapa de tareas A Ejemplo 13 17 Precauci n No utilice este m todo en los sistemas que obtienen la informaci n de las bases de datos de red de confianza desde un servidor LDAP La informaci n de la base de datos local sobrescribe la informaci n que se obtiene del servidor LDAP svcadm restart svc network tnctl Este comando lee toda la inf
70. iniciar sesi n de manera remota sistema Trusted Extensions Trusted Extensions desde la l nea de comandos en Trusted Extensions en la p gina 109 Administrar un sistema de manera Utilizar el comando dtappsession para C mo administrar Trusted Extensions remota administrar el sistema remoto con acciones con dtappsession de manera remota de Trusted_Extensions en la p gina 110 Utilizar Solaris Management Console para C mo administrar sistemas de manera administrar el host remoto desde un sistema remota con Solaris Management Console Trusted Extensions desde un sistema Trusted Extensions en la p gina 111 Utilizar Solaris Management Console para C mo administrar sistemas de manera administrar hosts de Trusted Extensions remota con Solaris Management Console remotos desde un sistema sin etiquetas desde un sistema sin etiquetas en la p gina 113 Administrar y utilizar un sistema remoto Utilizar el servidor Xvnc en el sistema C mo utilizar Xvnc para acceder de Trusted Extensions remoto para mostrar al manera remota a un sistema Trusted cliente una sesi n de varios niveles desde Extensions en la p gina 116 cualquier cliente Habilitar a usuarios espec ficos para que Utilizar las herramientas de red y usuarios de C mo habilitar a usuarios espec ficos inicien sesi n en la zona global Solaris Management Console para habilitar a para que inicien sesi n de manera remota us
71. instant nea de ZFS de una zona existente Crear una zona con etiquetas desde una zona existente Asociar una etiqueta con un nombre de zona Inicializar la zona para iniciar como cliente LDAP Instalar los archivos del sistema que una zona con etiquetas necesita Reiniciar una zona que ya se ha iniciado Configurar una interfaz para la zona global y una interfaz independiente para que las zonas con etiquetas compartan Configurar una interfaz para que la compartan la zona global y las zonas con etiquetas Cerrar una zona instalada Iniciar una zona instalada y los servicios para dicha zona Abrir una consola para ver los procesos de una zona instalada Zone Management Zone Management Zone Management Zone Management Zone Management Zone Management Network Management Network Management Zone Management Zone Management Zone Management 36 Procedimientos de administradores de Oracle Solaris Trusted Extensions Agosto de 2011 Device Allocation Manager Device Allocation Manager Un dispositivo es un perif rico f sico que est conectado a un equipo o un dispositivo simulado mediante software que se llama pseudodispositivo Dado que los dispositivos proporcionan un medio para la importaci n y la exportaci n de datos de un sistema a otro estos deben controlarse a fin de proteger los datos de manera adecuada Trusted Extensions utiliza rangos de etiquetas de dispositivos y asignaci n de dispositivos p
72. la izquierda de la banda de confianza Trusted Extensions proporciona comandos para obtener etiquetas y realizar otras tareas Para ver una lista de los comandos consulte Herramientas de la l nea de comandos en Trusted Extensions en la p gina 44 284 Procedimientos de administradores de Oracle Solaris Trusted Extensions Agosto de 2011 Interfaces de Oracle Solaris que ampl a Trusted Extensions Interfaces de Oracle Solaris que ampl a Trusted Extensions Trusted Extensions agrega lo siguiente a los archivos de configuraci n los comandos y las interfaces gr ficas de usuario de Oracle Solaris existentes Comandos administrativos Archivos de configuraci n Trusted Extensions agrega opciones alos comandos de Oracle Solaris seleccionados Para ver una lista consulte la Tabla 2 5 Trusted Extensions agrega dos privilegios net_mac_aware y net_mlp Para obtener informaci n sobre el uso de net_mac_aware consulte Acceso a los directorios montados de NES en Trusted Extensions en la p gina 148 Trusted Extensions agrega autorizaciones a la base de datos auth_attr Para ver una lista consulte Additional Rights and Authorizations in Trusted Extensions de Solaris Trusted Extensions Transition Guide Trusted Extensions agrega archivos ejecutables incluidas las acciones de CDE a la base de datos exec_attr Trusted Extensions modifica los perfiles de derechos existentes en la base de datos prof_attr Ta
73. lida pero no una etiqueta v lida Como acreditaci n esta combinaci n permitir a al usuario acceder alos archivos con las etiquetas INTERNAL Eng INTERNAL Mkt e INTERNAL Fin Rango de etiquetas de cuenta Cuando se asigna una acreditaci n y una etiqueta m nima a un usuario se definen los l mites superiores e inferiores del rango de etiquetas de cuenta en que puede operar el usuario La siguiente ecuaci n describe el rango de etiquetas de cuenta utilizando lt para indicar dominada por o igual a etiqueta m nima lt etiqueta permitida lt acreditaci n De este modo el usuario puede operar en cualquier etiqueta que la acreditaci n domine siempre que esa etiqueta domine la etiqueta m nima Cuando no se define expresamente la acreditaci n o la etiqueta m nima del usuario se aplican los valores predeterminados que est n definidos en el archivo label_encodings Se pueden asignar una acreditaci n y una etiqueta m nima a los usuarios que los habiliten a operar en m s de una etiqueta o en una sola etiqueta Cuando la acreditaci n y la etiqueta m nima del usuario son iguales el usuario s lo puede operar en una etiqueta Rango de sesi n El rango de sesi n es el conjunto de etiquetas que est n disponibles para un usuario durante una sesi n de Trusted Extensions El rango de sesi n deber estar dentro del rango de etiquetas de cuenta del usuario y el conjunto de rangos de etiquetas del sistema En el inicio de sesi
74. los archivos sin formato de la l nea de comandos b Imprima los archivos desde las aplicaciones como StarOffice y desde el explorador y el editor c Verifique que las p ginas de la car tula y del ubicador y las car tulas de seguridad se impriman correctamente Impedir el resultado con etiquetas Reducci n de las restricciones de impresi n en Trusted Extensions mapa de tareas en la p gina 231 C mo habilitar un cliente de Trusted Extensions para que acceda a un impresora Inicialmente nicamente la zona en la que se configur un servidor de impresi n puede imprimir en las impresoras de ese servidor El administrador del sistema debe agregar expl citamente el acceso a esas impresoras para otras zonas y sistemas Las posibilidades son las siguientes m Para una zona global agregue el acceso a las impresoras que est n conectadas a una zona global en un sistema diferente m Para una zona con etiquetas agregue el acceso a las impresoras que est n conectadas a la zona global del sistema m Para una zona con etiquetas agregue el acceso a una impresora para la que una zona remota de la misma etiqueta est configurada Para una zona con etiquetas agregue el acceso a las impresoras que est n conectadas a una zona global en un sistema diferente Procedimientos de administradores de Oracle Solaris Trusted Extensions Agosto de 2011 Configuraci n de impresi n con etiquetas mapa de tareas Antes de e
75. montados con LOFS Los directorios principales se crean autom ticamente con el montador autom tico si se encuentran especificados como montajes de LOFS Nota Cuando se elimina un usuario con la consola se elimina solamente el directorio principal del usuario en la zona global Los directorios principales del usuario en las zonas con etiquetas no se eliminan Usted debe encargarse de archivar y eliminar los directorios principales en las zonas con etiquetas Para conocer el procedimiento consulte C mo eliminar una cuenta de usuario de un sistema Trusted Extensions en la p gina 102 Sin embargo el montador autom tico no puede crear directorios principales en servidores NFS remotos de manera autom tica Primero el usuario debe iniciar sesi n en el servidor NES o se requiere intervenci n administrativa Para crear los directorios principales de los usuarios consulte Habilitaci n de los usuarios para que accedan a sus directorios principales en Trusted Extensions de Gu a de configuraci n de Oracle Solaris Trusted Extensions Cap tulo 11 Gesti n y montaje de archivos en Trusted Extensions tareas 149 Acceso alos directorios montados de NFS en Trusted Extensions Cambios en el montador autom tico en Trusted Extensions En Trusted Extensions cada una de las etiquetas requiere un montaje de directorio principal separado Se modific el comando automount a fin de gestionar los montajes autom ticos con etiquetas Pa
76. muestra aspectos de la impresi n de confianza que el administrador de la seguridad puede cambiar mediante la modificaci n del archivo usr lib lp postscript tsol_separator ps Nota Para localizar o internacionalizar el resultado de la impresi n vea los comentarios del archivo tsol_separator ps 212 Procedimientos de administradores de Oracle Solaris Trusted Extensions Agosto de 2011 Etiquetas impresoras e impresi n TABLA 15 1 Valores configurables en el archivo tsol_separator ps Salida PRINTER BANNERS Valor predeterminado Definici n Para efectuar cambios Caveats Job_Caveats Caveats Job_Caveats Consulte Specifying Printer Banners de Oracle Solaris Trusted Extensions Label Administration CHANNELS Channels Job_Channels Channels Job_Channels Consulte Specifying Channels de Oracle Solaris Trusted Extensions Label Administration Etiqueta en la parte HeadLabel Job_Protect def Vea la descripci n de Igual que para cambiar PageLabel superior de las p ginas PageLabel p Pe i Tambi n consulte Specifying the de la car tula y del UR Protect As Classification de Oracle ubicador Solaris Trusted Extensions Label Administration Etiqueta en la parte PageLabel Job_Protect def Compara la etiqueta del trabajo Cambie la definici n de PageLabel superior de las p ginas con la clasificaci n minimum a fin de especificar otro valor del cuerpo protect as classification en Ml O bien
77. n cleo En el momento del inicio la antememoria se rellena con informaci n de la base de datos El archivo nsswitch conf determina si las bases de datos locales o las bases de datos LDAP se utilizan para rellenar el n cleo 5 Recopile informaci n de la transmisi n para usarla como ayuda en la depuraci n m Verifique la configuraci n de enrutamiento Utilice el subcomando get hacia el comando route route get ip secattr sl label doi integer Para obtener detalles consulte la p gina del comando man route 1M m Vea la informaci n de la etiqueta en los paquetes Utilice el comando snoop v La opci n v muestra los detalles de los encabezados de los paquetes incluida la informaci n de la etiqueta Dado que este comando proporciona informaci n muy detallada quiz s desee restringir los paquetes que el comando examina Para obtener detalles consulte la p gina del comando man snoop 1M m Vea las entradas de la tabla de enrutamiento y los atributos de seguridad en sockets Utilice la opci n R con el comando netstat a r La opci n aR muestra los atributos de seguridad ampliados para sockets La opci n rR muestra las entradas de la tabla de enrutamiento Para obtener detalles consulte la p gina del comando man netstat 1M 204 Procedimientos de administradores de Oracle Solaris Trusted Extensions Agosto de 2011 Resoluci n de problemas de la red de confianza mapa de tareas Antes de empezar 1 C
78. para dispositivos no asignables 241 configurar audio 253 254 crear autorizaciones nuevas 256 259 en Trusted Extensions 239 244 impedir la asignaci n remota del audio 252 inicio autom tico de un reproductor de audio 253 254 pol tica de acceso 241 pol tica de configuraci n 241 proteger 37 38 protegerlos no asignables 251 252 reclamar 250 251 resoluci n de problemas 250 251 uso 246 valores predeterminados de pol ticas 241 dispositivos de audio impedir la asignaci n remota 252 inicio autom tico de un reproductor de audio 253 254 dispositivos de cinta acceso 240 dispositivos no asignables configuraci n del rango de etiquetas 241 proteger 251 252 disquetes Ver disquetes acceso 240 DOI plantillas de hosts remotos 169 dominio de etiquetas 29 30 dominio de interpretaci n de Trusted Extensions habilitaci n de dominio de interpretaci n diferente de 1 49 50 E edici n archivos del sistema 75 76 uso del editor de confianza 57 58 editor de confianza asignaci n del editor favorito 70 71 inicio 57 58 editor de confianza usr dt bin trusted_edit 57 58 304 Procedimientos de administradores de Oracle Solaris Trusted Extensions editor de confianza trusted edit 57 58 elecci n Ver selecci n eliminaci n etiquetas en el resultado de la impresi n 232 233 enrutamiento 173 comandos en Trusted Extensions 178 comprobaciones de acreditaciones 174 176 conceptos 176 ejemplo de 177 178 est t
79. para que acepte los inicios de sesi n remotos Para ello se debe especificar allow_remote en la entrada pam conf del sistema Adem s el m dulo pam_tsol_ account rechaza los inicios de sesi n remotos en la zona global salvo que se utilice el protocolo CIPSO Esta pol tica tiene por objeto que la administraci n remota se realice por medio de otro sistema Trusted Extensions Para habilitar la funcionalidad de inicio de sesi n remoto ambos sistemas deben asignar su igual a una plantilla de seguridad CIPSO Si este enfoque no resulta pr ctico se puede hacer que la pol tica de protocolo de red sea menos estricta Para ello debe especificarse la opci n allow_unlabeled en el archivo pam conf Si alguna de las pol ticas se hace menos estricta la plantilla de red predeterminada debe cambiarse para que los equipos arbitrarios no puedan acceder a la zona global La plantilla admin_low debe usarse con moderaci n y la base de datos tnrhdb debe modificarse para que la direcci n comod n 0 0 0 0 no se establezca como predeterminada para la etiqueta ADMIN_LOW Para obtener detalles consulte Administraci n remota de Trusted Extensions mapa de tareas en la p gina 108 y C mo limitar los hosts que se pueden contactar en la red de confianza en la p gina 190 M todos para administrar sistemas remotos en Trusted Extensions 106 Normalmente los administradores utilizan los comandos rlogin y ssh para administrar sistemas remotos
80. para usuarios concretos Los usuarios que pueden asumir un rol deben tener el bloqueo de cuenta desactivado C mo impedir el bloqueo de cuentas de los usuarios en la p gina 101 Habilitar al usuario para que vuelva a etiquetar datos Autorizar a un usuario para reducir o aumentar el nivel de la informaci n C mo habilitar a un usuario para que cambie el nivel de seguridad de los datos en la p gina 102 Eliminar a un usuario del sistema Eliminar por completo a un usuario y sus procesos C mo eliminar una cuenta de usuario de un sistema Trusted Extensions en la p gina 102 Manejar otras tareas Utilizar Solaris Management Console para manejar las tareas que no son espec ficas de Trusted Extensions Manejo de otras tareas en Solaris Management Console mapa de tareas en la p gina 103 v C mo modificar el rango de etiquetas de un usuario en Solaris Management Console Puede que desee ampliar el rango de etiquetas de un usuario para proporcionarle acceso de lectura a una aplicaci n administrativa Por ejemplo un usuario que puede iniciar sesi n en la zona global luego podr a ejecutar Solaris Management Console El usuario podr a ver los contenidos pero no cambiarlos Como alternativa puede que desee restringir el rango de etiquetas del usuario Por ejemplo un usuario invitado puede estar limitado a una etiqueta Antes de empezar Debe estar en el rol de
81. parte superior y en la parte inferior de las p ginas El administrador de la seguridad asigna una plantilla con el tipo de host sin etiquetas al servidor de impresi n Oracle Solaris La plantilla se describe en el Ejemplo 13 6 La etiqueta arbitraria de la plantilla es PUBLIC La impresora pr nolabel1 est conectada a este servidor de impresi n Los trabajos de impresi n de los usuarios de la zona PUBLIC se imprimen en la impresora pr nolabel1 sin etiquetas Seg n la configuraci n de la impresora los trabajos pueden tener las p ginas de la car tula o no tenerlas Las p ginas de la car tula no contienen informaci n de seguridad C mo eliminar las etiquetas de las p ginas de todos los trabajos de impresi n Este procedimiento impide que todos los trabajos de impresi n de una impresora de Trusted Extensions incluyan etiquetas visibles en las p ginas del cuerpo del trabajo de impresi n Debe estar en el rol de administrador de la seguridad en la zona global Edite el archivo usr lib lp postscript tsol_separator ps Utilice el editor de confianza Para obtener detalles consulte C mo editar archivos administrativos en Trusted Extensions en la p gina 57 Encuentre la definici n de PageLabel Encuentre las siguientes l neas To eliminate page labels completely change this line to set the page label to an empty string PageLabel def PageLabel Job PageLabel def Nota El valor Job_PageLabel podr a ser
82. postscript tsol separator ps 210 213 usr sbin txzonemgr 34 130 usr share gnome sel config 66 VCL xcu 93 94 volver a etiquetar privilegios 139 archivos de almacenamiento Java JAR instalaci n 281 282 archivos de inicio procedimientos de personalizaci n 90 93 archivos de sistema edici n 57 58 archivos del sistema edici n 75 76 etc default print de Oracle Solaris 236 policy conf de Oracle Solaris 236 tsol_separator ps de Trusted Extensions 234 archivos y sistemas de archivos montaje 153 155 nombres 153 uso compartido 153 155 arrastre de confianza combinaci n de teclas 72 73 asignaci n editor como editor de confianza 70 71 perfiles de derechos 83 privilegios para los usuarios 84 uso de Device Allocation Manager 241 243 asignaci n de dispositivos autorizaci n 260 261 descripci n general 239 241 300 Procedimientos de administradores de Oracle Solaris Trusted Extensions asignaci n de dispositivos Continuaci n impedir la visualizaci n de File Manager 254 255 perfiles que incluyen autorizaciones de asignaci n 260 asunci n roles 53 54 atributo de la ruta de confianza cu ndo est disponible 28 atributos de seguridad 174 configuraci n para los hosts remotos 183 187 modificaci n de valores predeterminados de usuarios 88 89 modificaci n de valores predeterminados para todos los usuarios 89 90 uso en el enrutamiento 195 196 auditor a en Trusted Extensions adiciones a los coman
83. privilegio net_mac_aware 136 137 privilegio proc_info eliminaci n del conjunto b sico 90 privilegios al ejecutar comandos 53 54 cambiar los privilegios para los usuarios 84 eliminaci n de proc_info del conjunto b sico 90 motivos no evidentes para el requerimiento 277 restricci n de usuarios 99 101 procedimientos Ver tareas y mapas de tareas procesos etiquetas de 32 etiquetas de procesos del usuario 31 32 impedir que los usuarios vean los procesos de los dem s 90 308 Procedimientos de administradores de Oracle Solaris Trusted Extensions procesos de confianza en el sistema de ventanas 279 280 inicio de las acciones 279 programas Ver aplicaciones programas de confianza 277 279 adici n 278 definidos 277 279 protecci n contra el acceso de hosts arbitrarios 190 194 de hosts con etiquetas del contacto de hosts sin etiquetas arbitrarios 190 194 dispositivos 239 241 informaci n con etiquetas 32 proteger archivos de etiquetas inferiores de que se acceda a ellos 136 137 dispositivos 37 38 dispositivos de la asignaci n remota 252 dispositivos no asignables 251 252 sistemas de archivos con nombres no propietarios 153 puertas de enlace comprobaciones de acreditaciones 175 176 ejemplo de 177 178 puertos de varios niveles MLP administraci n 198 ejemplo de MLP de NFSv3 141 ejemplo de MLP de proxy web 142 R rango de sesi n 31 32 rangos de acreditaci n archivo label_encodings 30 rangos de e
84. pueden configurarse 60 Extensions requiera el uso del editor de confianza para editar archivos locales Por ejemplo el procedimiento C mo impedir el bloqueo de cuentas de los usuarios en la p gina 101 describe c mo actualizar una cuenta de usuario con Solaris Management Console para impedir el bloqueo de la cuenta Sin embargo el procedimiento de configuraci n de la pol tica de bloqueo de contrase a de todo el sistema no se proporciona en esta gu a Siga las instrucciones de Oracle Solaris salvo que est en Trusted Extensions Utilice el editor de confianza para modificar el archivo del sistema Ampliaci n de los mecanismos de seguridad de Oracle Solaris por Trusted Extensions Los siguientes mecanismos de seguridad de Oracle Solaris pueden ampliarse en Trusted Extensions como se ampl an en el SO Oracle Solaris m Clases y eventos de auditor a la adici n de clases y eventos de auditor a se describe en el Cap tulo 30 Managing Oracle Solaris Auditing Tasks de System Administration Guide Security Services m Perfiles de derechos la adici n de perfiles de derechos se describe en la Parte III Roles Rights Profiles and Privileges de System Administration Guide Security Services Roles la adici n de roles se describe en la Parte III Roles Rights Profiles and Privileges de System Administration Guide Security Services Autorizaciones para ver un ejemplo de adici n de una nueva autor
85. rango de etiquetas predeterminado abra Device Allocation Manager El rango de etiquetas predeterminado es de ADMIN_LOWa ADMIN_HIGH Restricci n del rango de etiquetas de un puerto de serie Despu s de crear un dispositivo de inicio de sesi n el administrador de la seguridad restringe el rango de etiquetas del puerto de serie a una sola etiqueta Public El administrador define los siguientes valores en los cuadros de di logo de Device Administration Device Name dev term a b Device Type tty Clean Program bin true Device Map dev term a b Minimum Label Public Maximum Label Public Allocatable By No Users C mo configurar un programa reproductor de audio para que se use en Trusted CDE El siguiente procedimiento habilita a un reproductor de audio para que se abra autom ticamente en un espacio de trabajo de Trusted CDE cuando un usuario inserta un CD de m sica Para obtener informaci n sobre el procedimiento del usuario consulte el ejemplo de C mo asignar un dispositivo en Trusted Extensions de Gu a del usuario de Oracle Solaris Trusted Extensions Cap tulo 17 Gesti n de dispositivos para Trusted Extensions tareas 253 Gesti n de dispositivos en Trusted Extensions mapa de tareas 254 Antes de empezar 1 Ejemplo 17 3 Antes de empezar 1 Nota En el espacio de trabajo de Trusted JDS los usuarios especifican el comportamiento de los medios extra bles del mismo modo que lo especifican
86. requisitos de seguridad en Trusted Extensions tareas 75 Tareas comunes en Trusted Extensions mapa de tareas Archivo Tarea Para obtener m s informaci n etc default kbd Deshabilitar la interrupci n del teclado How to Disable a System s Abort Sequence de System Administration Guide Security Services Nota En los hosts que los administradores utilizan para realizar la depuraci n la configuraci n predeterminada para KEYBOARD_ABORT permite el acceso al depurador del n cleo kadb Para obtener m s informaci n sobre el depurador consulte la p gina del comando man kadb 1M etc security policy conf Solicitar un algoritmo m s potente para las contrase as de usuario Eliminar un privilegio b sico de todos los usuarios de este host Restringir a los usuarios de este host a las autorizaciones de usuario de Solaris b sico P gina del comando man policy conf 4 etc default passwd Solicitar a los usuarios que cambien las contrase as con frecuencia Solicitar alos usuarios que creen contrase as que sean extremadamente diferentes Solicitar una contrase a de usuario m s larga Solicitar una contrase a que no se pueda encontrar en el diccionario P gina del comando man passwd 1 76 Procedimientos de administradores de Oracle Solaris Trusted Extensions Agosto de 2011 CAP TULO 6 Usuarios derechos y roles en Trusted Extensions descripci n general E
87. resolv conf more resolv conf search list of domains domain domain name nameserver IP address nameserver IP address Compruebe que las entradas tnrhdb y tnrhtp del archivo nsswitch conf sean precisas Compruebe que el cliente est configurado correctamente en el servidor ldaplist l tnrhdb client IP address Compruebe que las interfaces para sus zonas con etiquetas est n configuradas correctamente en el servidor LDAP daplist l tnrhdb client zone IP address Cap tulo 13 Gesti n de redes en Trusted Extensions tareas 205 Resoluci n de problemas de la red de confianza mapa de tareas 206 Compruebe que puede aplicar ping en el servidor LDAP desde todas las zonas que se encuentran en ejecuci n ldapclient list NS_LDAP_SERVERS LDAP server address zlogin zone namel ping LDAP server address LDAP server address is alive zlogin zone name2 ping LDAP server address LDAP server address is alive Configure el LDAP y reinicie a Para conocer el procedimiento consulte Conversi n de la zona global en un cliente LDAP en Trusted Extensions de Gu a de configuraci n de Oracle Solaris Trusted Extensions b En cada zona con etiquetas vuelva a establecer la zona como cliente del servidor LDAP zlogin zone namel ldapclient init a profileName profileName a domainName domain a proxyDN proxyDN MX a proxyPassword password LDAP Server IP Address exit zlogin zone name2
88. resultado de la impresi n Las impresoras administradas con servidores de impresi n sin etiquetas no imprimen etiquetas en el resultado de la impresi n Estas impresoras tienen la misma etiqueta que su servidor sin etiquetas Por ejemplo se puede asignar una etiqueta arbitraria a un servidor de impresi n de Oracle Solaris en la base de datos tnrhdb del servicio de nombres LDAP As los usuarios pueden imprimir los trabajos en esa etiqueta arbitraria con la impresora de Oracle Solaris Como sucede con las impresoras de Trusted Extensions esas impresoras de Oracle Solaris solamente pueden aceptar trabajos de impresi n de los usuarios que trabajan en la etiqueta asignada al servidor de impresi n Resultado de impresi n con etiquetas Trusted Extensions imprime la informaci n de seguridad en las p ginas del cuerpo y en las p ginas de la car tula y del ubicador La informaci n proviene de los archivos label _encodings y tsol_separator ps El administrador de la seguridad puede hacer lo siguiente para modificar los valores predeterminados que establecen las etiquetas y agregan instrucciones de tratamiento al resultado de la impresi n ma Localizar o personalizar el texto de las p ginas de la car tula y del ubicador m Especificar etiquetas alternativas que se vayan a imprimir en las p ginas del cuerpo o en los diversos campos de las p ginas de la car tula y del ubicador Cambiar u omitir cualquiera de los textos o las etiquetas El
89. roles acceso a aplicaciones de confianza 33 administraci n de auditor a 264 administraci n remota 113 115 administrar de manera remota 111 113 asignaci n de derechos 83 asumir 50 51 asunci n 53 54 asunci n de roles desde hosts sin etiquetas 107 108 creaci n 51 espacios de trabajo 50 51 inicio de sesi n remoto 107 108 salir del espacio de trabajo del rol 54 roles administrativos Ver roles 309 ndice S secuencia de comandos usr local scripts getmounts 133 secuencia de comandos usr local scripts getzonelabels 132 secuencia de comandos usr sbin txzonemgr 34 130 secuencia de comandos getmounts 133 secuencia de comandos getzonelabels 132 secuencia de comandos Xtsolusersession 279 secuencias de comandos getmounts 133 getzonelabels 132 usr sbin txzonemgr 34 130 secuencias de comandos device clean agregar alos dispositivos 255 requisitos 241 selecci n registros de auditor a por etiqueta 266 Selection Confirmer cambiar valores predeterminados 66 Selection Manager cambio de tiempo de espera 93 94 configuraci n de reglas para el confirmador de selecci n 66 servicios de nombres bases de datos exclusivas de Trusted Extensions 119 gesti n de LDAP 122 123 LDAP 119 123 sesi n en modo a prueba de fallos inicio de sesi n 95 sesiones modo a prueba de fallos 95 similitudes entre la auditor a de Trusted Extensions y de Oracle Solaris 263 entre Trusted Extensions y el SO Oracle
90. ruta root de la zona Por ejemplo la siguiente entrada comparte los archivos de una aplicaci n en la etiqueta de la zona contenedora share F nfs o ro viewdir viewfiles Inicie cada zona para compartirlos directorios En la zona global ejecute uno de los siguientes comandos para cada zona Cada zona puede compartir sus directorios de cualquiera de estas maneras El uso compartido real tiene lugar cuando las zonas est n en estado ready o running ila zona no est en estado running y no desea que los usuarios inicien sesi n en el servidor en la etiqueta de la zona fije el estado de la zona en ready zoneadm z zone name ready m ila zona no est en estado running y los usuarios tienen permiso para iniciar sesi n en el servidor en la etiqueta de la zona d inicio a la zona zoneadm z zone name boot m ila zona ya est en ejecuci n rein ciela zoneadm z zone name reboot Muestre los directorios que se comparten desde el sistema showmount e Procedimientos de administradores de Oracle Solaris Trusted Extensions Agosto de 2011 Copia de seguridad uso compartido y montaje de archivos con etiquetas mapa de tareas Ejemplo 11 2 Para habilitar el cliente para montar los archivos exportados consulte C mo montar archivos en NFS en una zona con etiquetas en la p gina 155 Uso compartido del directorio export share en la etiqueta PUBLIC Para las aplicaciones que se ejecutan en la e
91. se asignan a los perfiles de derechos en la herramienta Rights de la consola Solaris Management Console Si se agregan acciones nuevas el administrador de la seguridad puede hacer que estas acciones est n disponibles Gesti n de software en Trusted Extensions tareas La gesti n de software en Trusted Extensions es similar a la gesti n de software en un sistema Oracle Solaris que tiene zonas no globales Para obtener detalles sobre las zonas consulte la Parte IL Zones de System Administration Guide Oracle Solaris Containers Resource Management and Oracle Solaris Zones 280 Procedimientos de administradores de Oracle Solaris Trusted Extensions Agosto de 2011 Gesti n de software en Trusted Extensions tareas Antes de empezar 1 Antes de empezar C mo agregar un paquete de software en Trusted Extensions Debe estar en un rol que pueda asignar un dispositivo Comience desde el espacio de trabajo adecuado m Para instalar un paquete de software en la zona global permanezca en la zona global m Para instalar un paquete de software en una zona con etiquetas cree un espacio de trabajo en esa etiqueta Para obtener detalles consulte C mo cambiar la etiqueta de un espacio de trabajo de Gu a del usuario de Oracle Solaris Trusted Extensions Asigne la unidad de CD ROM Para obtener detalles consulte C mo asignar un dispositivo en Trusted Extensions de Gu a del usuario de Oracle Solaris Trust
92. se use en Trusted CDE 253 Y C mo impedir la visualizaci n de File Manager despu s de la asignaci n de un CSPOSICIVO i E ai 254 V C mo agregar una secuencia de comandos device_clean en Trusted Extensions 255 Personalizaci n de autorizaciones para dispositivos en Trusted Extensions mapa de tareas 256 Y C mo crear nuevas autorizaciones para dispositivos sssssssssssssssssesssseserssresessrreesssrsesese 256 Y C mo agregar autorizaciones espec ficas del sitio a un dispositivo en Trusted Xenical brasa 259 Y C mo asignar autorizaciones para dispositivos ssissisisiiisssiisissiisiriisinsssiisiirsiiisiisiiissiisiainiii 260 Auditor a de Trusted Extensions descripci n general ooooioocicnonncncnninnnnnconcncncnnnnnnons 263 Trusted Extensions yla auditor a ciiiiiiniaci n ii coincida iii aaa diia 263 Gesti n de auditor a por roles en Trusted Extensions ccooninnconcnnnonenenacinnennnccnenconnerrenranncnnins 264 Configuraci n de roles para administraci n de auditor a 264 Tareas de auditor a en Trusted Extensions o ococononocinonononos 264 Tareas de auditor a del administrador de la seguridad coincioninonninnnneseseseecsas 265 Tareas de auditor a del administrador del sistema ccoccococonoononononennnnnnonoroncncnonrnrnrorcncncncncnnos 265 Referencia de auditor a de Trusted Extensions ccoccconononononnononcnranannnononononnnnnnananononononnanararar arar arnnnos 266
93. security audit_event Los n meros del evento de auditor a de Trusted Extensions se encuentran entre 9 000 y 10 000 Para obtener m s informaci n sobre los eventos de auditor a consulte la p gina del comando man audit_event 4 Tokens de auditor a de Trusted Extensions En la siguiente tabla se enumeran en orden alfab tico los tokens de auditor a que el software de Trusted Extensions agrega al SO Oracle Solaris Los tokens tambi n se enumeran en la p gina del comando man audit log 4 Cap tulo 18 Auditor a de Trusted Extensions descripci n general 267 Referencia de auditor a de Trusted Extensions 268 TABLA 18 2 Tokens de auditor a de Trusted Extensions Nombre del token Descripci n Token label en la p gina 268 Token xatom en la p gina 269 Token xclient en la p gina 269 Token xcolormap en la p gina 270 Token xcursor en la p gina 270 Token xfont en la p gina 270 Token xgc en la p gina 271 Token xpixmap en la p gina 271 Token xproperty en la p gina 271 Token xselect en la p gina 272 Token xwindow en la p gina 272 Etiqueta de sensibilidad Identificaci n de los tomos de las ventanas X Identificaci n de los clientes X Informaci n sobre el color de las ventanas X Informaci n sobre los cursores de las ventanas X Informaci n sobre las fuentes de las ventanas X Informaci n sobre el contexto gr fico de las vent
94. set directory etc passwd set type lofs add options ro nodevices nosetuid end exit zoneadm z sandbox boot Cap tulo 10 Gesti n de zonas en Trusted Extensions tareas 135 Gesti n de zonas mapa de tareas 136 v C mo deshabilitar el montaje de archivos de nivel Antes de empezar 1 Ejemplo 10 4 inferior De manera predeterminada los usuarios pueden ver los archivos de nivel inferior Eliminar el privilegio net_mac_aware para impedir la visualizaci n de todos los archivos de nivel inferior de una zona en particular Para obtener una descripci n del privilegio net_mac_aware consulte la p gina del comando man privileges 5 Debe estar en el rol de administrador del sistema en la zona global Detenga la zona cuya configuraci n desea cambiar zoneadm z zone name halt Configure la zona para impedir la visualizaci n de los archivos de nivel inferior Elimine el privilegio net_mac_aware de la zona zonecfg z zone name set limitpriv default net_mac_aware exit Reinicie la zona zoneadm z zone name boot C mo impedir que los usuarios vean los archivos de nivel inferior En este ejemplo el administrador de la seguridad desea impedir que los usuarios en un sistema se confundan Por lo tanto los usuarios pueden ver nicamente los archivos de la etiqueta en la que est n trabajando Entonces el administrador de la seguridad impide la visualizaci n de todos los archivos de nivel inferior En e
95. siguiente a Navegue hasta el archivo office install directory WCL xcu Donde office install directory es el directorio de instalaci n de StarOffice por ejemplo office top dir share registry data org staroffice Cambie el valor de la propiedad SelectionTimeout a 120 Utilice el editor de confianza Para obtener detalles consulte C mo editar archivos administrativos en Trusted Extensions en la p gina 57 El valor predeterminado es de 3 s Un valor de 120 establece el tiempo de espera en 2 min Para los usuarios de las aplicaciones que dependen de la biblioteca GNOME Toolkit GTK cambie el valor de la propiedad de tiempo de espera de selecci n a 2 min Nota De manera alternativa puede hacer que cada usuario cambie el valor de la propiedad de tiempo de espera de selecci n La mayor a de las aplicaciones de Sun Java Desktop System utilizan la biblioteca GTK Los exploradores web como Mozilla Firefox y Thunderbird utilizan la biblioteca GTK De manera predeterminada el valor de tiempo de espera de selecci n es 300 o 5 s Un valor de 7 200 establece el tiempo de espera en 2 min Cree un archivo de inicio de GTK Nombre el archivo como gtkrc mine El archivo gtkrc mine pertenece al directorio principal del usuario en la etiqueta m nima Agregue el valor de tiempo de espera de selecci n al archivo HOME gtkrc mine file gtk selection timeout 7200 Como en el SO Oracle Solaris gnome settings
96. trabajo de Solaris Trusted Extensions CDE Device Allocation Manager se abre desde el panel frontal El icono aparece de la siguiente manera Cap tulo 16 Dispositivos en Trusted Extensions descripci n general 241 Interfaz gr fica de usuario de Device Allocation Manager Device Allocation EU En el espacio de trabajo de Solaris Trusted Extensions JDS la interfaz gr fica de usuario se denomina Device Manager Para iniciar esta interfaz gr fica de usuario se debe seleccionar Allocate Device en el men Trusted Path En Trusted CDE tambi n puede iniciar la interfaz gr fica de usuario desde el men Trusted Path La siguiente figura muestra Device Allocation Manager abierto por un usuario que puede asignar el dispositivo audio FIGURA 16 1 Device Allocation Manager abierto por un usuario Allocation Manager sharonr l F o po pj J3 al Los usuarios ven una lista vac a si no est n autorizados a asignar dispositivos Igualmente una lista vac a podr a indicar que los dispositivos asignables se encuentran asignados por otro usuario o est n en estado de error Si un usuario no puede ver un dispositivo en la lista de dispositivos disponibles debe contactarse con el administrador responsable La funci n Device Administration est disponible para los roles que tienen una o las dos autorizaciones necesarias para administrar dispositivos Las autorizaciones de administraci n son Configure Device
97. usuario se muestra en la banda de confianza Las opciones del rol aparecen al hacer clic en el nombre de usuario Procedimientos de administradores de Oracle Solaris Trusted Extensions Agosto de 2011 Introducci n para administradores de Trusted Extensions mapa de tareas Creaci n de roles en Trusted Extensions Para administrar Trusted Extensions puede crear roles que dividan las funciones del sistema y de la seguridad El equipo de configuraci n inicial cre el rol de administrador de la seguridad durante la configuraci n Para obtener detalles consulte Creaci n del rol de administrador de la seguridad en Trusted Extensions de Gu a de configuraci n de Oracle Solaris Trusted Extensions El proceso de creaci n de roles en Trusted Extensions es id ntico al proceso del SO Oracle Solaris Como se describe en el Cap tulo 2 Herramientas de administraci n de Trusted Extensions Solaris Management Console es la interfaz gr fica de usuario para administrar roles en Trusted Extensions m Para obtener una descripci n general de la creaci n de roles consulte el Cap tulo 10 Role Based Access Control Reference de System Administration Guide Security Services y Using RBAC Task Map de System Administration Guide Security Services m Para crear un rol potente que sea equivalente a un superusuario consulte Creating the Primary Administrator Role de System Administration Guide Basic Administration E
98. ver una lista consulte la Tabla 2 4 Para obtener un ejemplo consulte C mo modificar el rango de etiquetas de un usuario en Solaris Management Console en la p gina 96 Para ver la lista de comandos administrativos consulte la Tabla 2 5 34 Procedimientos de administradores de Oracle Solaris Trusted Extensions Agosto de 2011 Acciones de Trusted CDE Secuencia de comandos txzonemgr A partir de la versi n Solaris 10 5 08 la secuencia de comandos txzonemgr se utiliza para configurar las zonas con etiquetas Esta secuencia de comandos zenity 1 muestra un cuadro de di logo con el t tulo Labeled Zone Manager Esta GUI presenta un men con determinaci n din mica que muestra nicamente las opciones v lidas para el estado de configuraci n actual de una zona con etiquetas Por ejemplo si una zona ya tiene etiquetas la opci n de men Label no aparece Acciones de Trusted CDE En las tablas siguientes se enumeran las acciones de CDE que los roles pueden ejecutar en Trusted Extensions Estas acciones de Trusted CDE se encuentran disponibles en la carpeta Trusted_Extensions La carpeta Trusted_Extensions se encuentra disponible en la carpeta Application Manager en el escritorio de CDE TABLA 2 2 Acciones administrativas en Trusted CDE su finalidad y los perfiles de derechos asociados Nombre de la acci n Finalidad de la acci n Perfil de derechos predeterminado Add Allocatable Device Admin Editor
99. y eliminar los archivos temporales del usuario en todas las etiquetas como los archivos de los directorios tmp Manejo de otras tareas en Solaris Management Console mapa de tareas Siga los procedimientos de Oracle Solaris para manejar las tareas en Solaris Management Console Debe ser superusuario o estar en un rol de la zona global El mapa de tareas siguiente hace referencia a las tareas b sicas de Solaris Management Console Cap tulo7 Gesti n de usuarios derechos y roles en Trusted Extensions tareas 103 Manejo de otras tareas en Solaris Management Console mapa de tareas 104 Tarea Para obtener instrucciones Realizar tareas administrativas mediante Solaris Management Console Crear usuarios Crear roles Modificar roles Crear o modificar un perfil de derechos Cambiar otros atributos de seguridad del usuario Auditar las acciones de un rol Enumerar los perfiles de derechos con smprofile list Cap tulo 2 Working With the Solaris Management Console Tasks de System Administration Guide Basic Administration Using the Solaris Management Tools With RBAC Task Map de System Administration Guide Basic Administration How to Create and Assign a Role by Using the GUT de System Administration Guide Security Services How to Change the Properties ofa Role de System Administration Guide Security Services How to Create or Change a Rights Profile de System Admin
100. y no puede compartir archivos desde la zona con etiquetas Para obtener informaci n sobre c mo compartir un directorio con etiquetas consulte C mo compartir directorios desde una zona con etiquetas en la p gina 153 Cap tulo 10 Gesti n de zonas en Trusted Extensions tareas 129 Utilidades de administraci n de zona en Trusted Extensions Utilidades de administraci n de zona en Trusted Extensions Algunas tareas de administraci n de la zona pueden realizarse desde la l nea de comandos Sin embargo la manera m s sencilla de administrar la zona consiste en utilizar las interfaces gr ficas de usuario que Trusted Extensions proporciona Los atributos de seguridad de la configuraci n de la zona se llevan a cabo con la herramienta Trusted Network Zones de Solaris Management Console Para obtener una descripci n de esta herramienta consulte Herramienta Trusted Network Zones en la p gina 41 Para ver ejemplos de configuraci n y creaci n de la zona consulte el Cap tulo 4 Configuraci n de Trusted Extensions tareas de Gu a de configuraci n de Oracle Solaris Trusted Extensions y C mo crear un puerto de varios niveles para una zona en la p gina 142 La secuencia de comandos del shell usr sbin txzonemgr proporciona un asistente basado en men para crear instalar inicializar e iniciar zonas Si est administrando las zonas desde Solaris Trusted Extensions JDS utilice la secuencia de comandos txzo
101. zonas con etiquetas Con este procedimiento las acciones del usuario se auditan de manera id ntica en la zona global y en las zonas con etiquetas Para obtener detalles consulte Tareas de auditor a del administrador de la seguridad en la p gina 265 y Tareas de auditor a del administrador del sistema en la p gina 265 m Losadministradores de Trusted Extensions utilizan un editor de confianza para editar los archivos de configuraci n de auditor a En Trusted CDE los administradores de Trusted Extensions utilizan acciones de CDE para invocar el editor de confianza Para ver la lista de acciones consulte Acciones de Trusted CDE en la p gina 35 Procedimientos de administradores de Oracle Solaris Trusted Extensions Agosto de 2011 Gesti n de auditor a por roles en Trusted Extensions Losadministradores de Trusted Extensions utilizan Solaris Management Console para configurar usuarios espec ficos En esta herramienta se pueden determinar las caracter sticas de auditor a espec ficas del usuario Se requiere especificar las caracter sticas del usuario solamente cuando las caracter sticas de auditor a del usuario difieren de las caracter sticas de auditor a de los sistemas en que el usuario trabaja Para ver una introducci n a la herramienta consulte Herramientas de Solaris Management Console en la p gina 38 Tareas de auditor a del administrador de la seguridad Las siguientes tareas conciernen
102. 0 flags 1000843 lt BROADCAST RUNNING MULTICAST IPv4 gt mtu 1500 index 2 inet 192 168 0 11 netmask ffffff00 broadcast 192 168 0 255 hme0 3 flags 1000843 lt BROADCAST RUNNING MULTICAST IPv4 gt mtu 1500 index 2 inet 192 168 0 12 netmask ffffff00 broadcast 192 168 0 255 2 Sila interfaz no est activa act vela y luego verifique que haya quedado activada La siguiente salida muestra que ambas interfaces est n activas ifconfig hme0 up ifconfig a hme0 flags 1000843 lt UP BROADCAST RUNNING MULTICAST hme0 3 flags 1000843 lt UP BROADCAST RUNNING MULTICAST Cap tulo 13 Gesti n de redes en Trusted Extensions tareas 201 Resoluci n de problemas de la red de confianza mapa de tareas v C mo depurar la red de Trusted Extensions Antes de empezar 202 Para depurar dos hosts que deben comunicarse pero no lo hacen puede utilizar las herramientas de depuraci n de Trusted Extensions y Solaris Por ejemplo los comandos de depuraci n de redes de Oracle Solaris como snoop y netstat se encuentran disponibles Para obtener detalles consulte las p ginas del comando man snoop 1M y netstat 1M Para obtener informaci n sobre los comandos espec ficos de Trusted Extensions consulte la Tabla 2 4 m Para obtener informaci n sobre los problemas para contactarse con zonas con etiquetas consulte Gesti n de zonas mapa de tareas en la p gina 130 m Para obtener informaci n sobre la depuraci n de los mo
103. 218 Configurar la impresi n para una red de sistemas Crear un servidor de impresi n de varios niveles en la zona global y habilitar zonas con etiquetas para utilizar la impresora C mo configurar una impresora de red para los clientes Sun Ray en la p gina 220 Configurar la impresi n para sistemas sin etiquetas en la misma subred que los sistemas con etiquetas Habilitar los sistemas sin etiquetas para que usen la impresora de red C mo configurar la impresi n en cascada en un sistema con etiquetas en la p gina 224 Configurar la impresi n desde una zona con etiquetas Crea un servidor de impresi n de una sola etiqueta para una zona con etiquetas C mo configurar una zona para la impresi n con una sola etiqueta en la p gina 227 Configurar un cliente de impresi n de varios niveles Conectar un host de Trusted Extensions con una impresora C mo habilitar un cliente de Trusted Extensions para que acceda a un impresora en la p gina 228 Restringir el rango de etiquetas de una impresora Limitar una impresora de Trusted Extensions a un rango de etiquetas menor C mo configurar un rango de etiquetas restringido para una impresora en la p gina 230 v C mo configurar un servidor de impresi n de varios niveles y sus impresoras Las impresoras gestionadas por un servidor de impresi n de Trusted Extensions imprimen etiquetas en las p ginas de
104. 256 259 Allocate Device 240 260 261 asignaci n 83 asignaci n de autorizaciones para dispositivos 260 261 autorizar a un usuario o rol a cambiar etiquetas 102 Configure Device Attributes 260 convenientes para usuarios 97 99 creaci n de autorizaciones para dispositivos locales y remotos 258 259 crear autorizaciones para dispositivos personalizadas 257 258 otorgadas 27 perfiles que incluyen autorizaciones de asignaci n de dispositivos 260 personalizaci n para dispositivos 259 260 Print Postscript 213 215 235 237 Revoke or Reclaim Device 260 261 solaris print nobanner 235 solaris print ps 235 237 aviso de seguridad combinaci n de teclas 72 73 B banda de confianza dirigir el puntero hacia 73 en el sistema de varios encabezados 25 base de datos tnrhdb acci n para comprobar 35 agregar 188 190 configuraci n 180 194 direcci n de comod n 180 194 direcci n de comod n 0 0 0 0 191 base de datos tnrhdb Continuaci n direcci n de host 0 0 0 0 173 191 entrada para servidores Sun Ray 191 herramienta para administrar 40 41 mecanismo de reserva 171 180 194 base de datos tnrhtp acci n para comprobar 35 agregar a 183 187 herramienta para administrar 40 41 bases de datos dispositivos 35 en LDAP 119 red de confianza 166 bases de datos de dispositivos acci n para editar 35 bases de datos de red acci n para comprobar 35 descripci n 166 enLDAP 119 biblioteca GNOME ToolKit GTK extensi n
105. 3 restauraci n 153 archivos de inicio para los usuarios 90 93 archivos del sistema 75 76 asignaci n de autorizaciones para dispositivos 260 261 asignaci n de dispositivos 260 261 auditor a en Trusted Extensions 264 266 autorizaciones convenientes para usuarios 97 99 autorizaciones para dispositivos 256 259 base de datos de host remoto 188 190 bases de datos de red de confianza 180 194 bloqueo de cuentas 101 cambio de etiquetas de informaci n 102 correo 207 208 de la zona global 53 54 de manera remota 105 117 de manera remota con dtappsession 110 111 de manera remota con Solaris Management Console 111 113 de manera remota desde l nea de comandos 109 110 del tiempo de espera cuando se vuelve a etiquetar la informaci n 93 94 dispositivo de audio para reproducir m sica 253 254 dispositivos 245 261 impresi n con etiquetas 209 237 impresi n de Sun Ray 220 224 impresi n en Trusted Extensions 217 218 impresi n PostScript 235 237 impresi n sin etiquetas 231 237 interoperabilidad de impresi n con Trusted Solaris 8 215 216 298 Procedimientos de administradores de Oracle Solaris Trusted Extensions administraci n Continuaci n LDAP 119 123 l nea de serie para el inicio de sesiones 252 253 plantillas de hosts remotos 183 187 privilegios de usuario 99 101 puertos de varios niveles 198 red de usuarios 95 103 red en Trusted Extensions 179 206 redes de confianza 179 206 referencia r pida par
106. 9 Un conjunto de atributos de seguridad que se aplican a cada tipo de host Para obtener m s detalles sobre los tipos de hosts y los atributos de seguridad consulte Atributos de seguridad de red en Trusted Extensions en la p gina 168 Atributos de seguridad de red en Trusted Extensions 168 Trusted Extensions se instala con un conjunto predeterminado de plantillas de seguridad Cuando se asigna una plantilla a un host los valores de seguridad de la plantilla se aplican al host En Trusted Extensions mediante una plantilla se asignan atributos de seguridad a los hosts con etiquetas y sin etiquetas de la red No es posible acceder a los hosts que no tienen una plantilla de seguridad asignada Las plantillas pueden almacenarse localmente o en el servicio de nombres LDAP en Oracle Directory Server Enterprise Edition Las plantillas pueden asignarse directamente o indirectamente a un host La asignaci n directa asigna una plantilla a una direcci n IP espec fica La asignaci n indirecta asigna una plantilla a una direcci n de red que incluye el host Los hosts que no tienen una plantilla de seguridad no pueden comunicarse con los hosts que est n configurados con Trusted Extensions Para obtener una explicaci n sobre la asignaci n directa e indirecta consulte Mecanismo de reserva de la red de confianza en la p gina 171 Las plantillas se crean o se modifican con la herramienta Security Templates de Solaris Management Con
107. 90 valores predeterminados 81 archivo resolv conf acci n para editar 36 archivo rmmount conf 253 254 254 255 archivo sel_config 66 acci n para editar 35 configuraci n de reglas de transferencia de selecci n 66 archivo tsol_separator ps personalizaci n de impresi n con etiquetas 210 213 valores configurables 212 archivo VCL xcu 93 94 archivos acceso desde las etiquetas dominantes 133 134 archivo link_ files 45 archivo sel_config 66 autorizar a un usuario o rol a cambiar etiquetas 102 copia de seguridad 152 153 copy_files 45 84 85 90 93 edici n con el editor de confianza 57 58 etc default kbd 75 76 etc default login 75 76 etc default passwd 75 76 etc default print 236 etc dfs dfstab 36 etc dt config sel config 66 etc motd 36 etc nsswitch conf 36 etc resolv conf 36 etc rmmount conf 253 254 etc security audit_class 35 etc security audit_control 35 etc security audit event 35 etc security audit_ startup 35 299 ndice archivos Continuaci n etc security policy conf 81 89 90 236 etc security tsol label encodings 35 getmounts 133 getzonelabels 132 gtkrc mine 93 94 impedir el acceso de etiquetas dominantes 136 137 inicio 90 93 link_files 84 85 90 93 montaje en bucle de retorno 135 office install directory VCL xcu 93 94 policy conf 75 76 PostScript 235 237 restauraci n 153 usr dt bin sel_mgr 64 67 usr dt config sel_ config 35 66 usr lib lp
108. Attributes y Revoke or Reclaim Device La siguiente figura muestra el cuadro de di logo Device Allocation Administration 242 Procedimientos de administradores de Oracle Solaris Trusted Extensions Agosto de 2011 Aplicaci n de la seguridad de los dispositivos en Trusted Extensions 15 Trusted Path Device Allocation Administration audio0 Revoke cdrom Reclaim Delete New j FT F Current Allocation Status State Not Allocated En Solaris Trusted Extensions JDS el bot n Device Administration se denomina Administration Aplicaci n de la seguridad de los dispositivos en Trusted Extensions El administrador de la seguridad decide qui n puede asignar dispositivos y se asegura de que todos los usuarios autorizados para usar dispositivos reciban la formaci n necesaria El usuario es de confianza para realizar lo siguiente Etiquetar y manejar correctamente cualquier medio que contenga informaci n confidencial exportada de modo que la informaci n no est disponible para ninguna persona que no deba verla Por ejemplo si la informaci n que tiene la etiqueta NEED TO KNOW ENGINEERING se almacena en un disquete la persona que exporta la informaci n debe colocar en el disco una etiqueta NEED TO KNOW ENGINEERING de manera f sica El disquete debe almacenarse en un lugar al que puedan acceder nicamente los miembros del grupo de ingenier a que deban saber acerca de la informaci n
109. Cap tulo 13 Gesti n de redes en Trusted Extensions tareas 199 Configuraci n de rutas y comprobaci n de la informaci n de red en Trusted Extensions mapa de tareas 200 Ejemplo 13 18 tnctl d h 0 0 0 0 admin_low Luego el administrador ve el formato las tres ltimas entradas en la base de datos etc security tsol tnrhdb tail etc security tsol tnrhdb 0 admin_low 127 0 0 1 cipso 1l cipso 192 168 103 5 admin_low 192 168 103 0 cipso 0 0 0 0 32 admin_low A continuaci n el administrador actualiza la antememoria del n cleo tnctl h 192 168 103 5 tnctl h 192 168 103 0 tnctl h 0 0 0 0 32 Por ltimo el administrador verifica que la antememoria del n cleo se haya actualizado La salida de la primera entrada ser similar a la siguiente tninfo h 192 168 103 5 IP Address 192 168 103 5 Template admin_low Actualizaci n de la informaci n de la red en el n cleo En este ejemplo el administrador actualiza la red de confianza con un servidor de impresi n p blico y luego comprueba que la configuraci n del n cleo sea correcta tnctl h public print server tninfo h public print server IP Address 192 168 103 55 Template PublicOnly tninfo t PublicOnly template PublicOnly host_type CIPSO doi 1 min_sl PUBLIC hex 0x0002 08 08 max_sl PUBLIC hex 0x0002 08 08 Procedimientos de administradores de Oracle Solaris Trusted Extensions Agosto de 2011 Resoluci n d
110. Clases de auditor a de Trusted Extension S csias ereo EANNA 266 Eventos de auditor a de Trusted Extensions sessssessesssssssessessesesessoseosessessoseosessoseosesseseoseose 267 Tokens de auditor a de Trusted Extensions ensins iiss 267 Opciones de pol tica de auditor a de Trusted Extensions ss s sssssssssrsessserrssssrrsrssrrressrrressree 273 Extensiones realizadas en comandos de auditor a de Trusted Extensions comnnonononnnnnnos 273 Gesti n de software en Trusted Extensions tareas oooonciciccncininincnonoooncnnncrcnrnornrnrcnnnnos 275 Adici n de software a Trusted EXteMsiONS coccoconocococononononcnonnononononnnoncncn nono no nono nonnncn nn nono no nono narran 275 Mecanismos de seguridad de Oracle Solaris para software coccicniciiniinnnnionconncnecenacacianacios 276 Procedimientos de administradores de Oracle Solaris Trusted Extensions Agosto de 2011 Contenido Evaluaci n de software para la seguridad cocincinninnnioncnncnncnnncnncencanonnn cono cnn cnnnnn cono roce cnrrnnanns 277 Procesos de confianza en el sistema de ventanas coccoccocccononinnnnnninnnononanncanonanonnnnnnn nono cnonnna nn cn canananos 279 Adici n de acciones de Trusted CDE aaa aaraa N aaa a a Nanai 279 Gesti n de software en Trusted Extensions tareas ocio 280 V C mo agregar un paquete de software en Trusted Extensions ooncciininnmm 281 Y C mo instalar un archivo de almacenamiento Java en Trusted Extensions
111. Console desde un sistema SIM etiquetas iener ise aE ENRETE 113 Y C mo habilitar a usuarios espec ficos para que inicien sesi n de manera remota en la zona globalen Trusted TENSIONS iii E cidcid 115 Y C mo utilizar Xvnc para acceder de manera remota a un sistema Trusted Extensions 116 Trusted Extensions y LDAP descripci n general ooooonioicinnncinninnnnoncononcnnoncncononcaconcncnnonos 119 Uso del servicio de nombres en Trusted Extensions oocococininnnnononnncnoncncnnononancncn coco nnrnannonororcnnnns 119 Sistemas Trusted Extensions que no est n en red coccicconcnncnnnnnonncnnonnnecn non ronnnrcnrornr coronar creas 120 Bases de datos LDAP de Trusted Extensions ooococcococonononononnoncncnnnnnnnnnnnrconnnnrnnnn nn nn corn rnrncnannn 120 Uso del servicio de nombres LDAP en Trusted Extensions eococonocnninnonincnnnncnncncncnonnnccrcn coronan 122 Gesti n de zonas en Trusted Extensions tareas o onononnonnnicnicinininnncononocnnnancnanocnnnonnnnann 125 Zonasen Trusted Extensions ii 125 Zonas y direcciones IP en Trusted Extensions cocccnininninnnnnnnnnnoncnnnncn noe 126 Zonas y puertos de Varios niveles assosioi iii 127 Zonas e ICMP en Trusted Extensions cococcicocccoononononnncnnnnonnnnonnnnnnnnnnnnn nono corn aia 128 Procesos de la zona global y de las zonas CON etiquetas coccccnncionacnnnnnnnnnannnconcnnonin cono cnrcancnno cono roncnas 128 Utilidades de administraci n de zona en Trusted Extensions cococociccnnonnnn
112. ED_TO_KNOW Eng Mkt domina estrictamente domina estrictamente domina estrictamente domina de igual modo est separada de est separada de est separada de INTERNAL Eng Mkt NEED_TO_KNOW Eng INTERNAL Eng NEED_TO_KNOW Eng Mkt NEED_TO_KNOW Eng Fin NEED_TO_KNOW Fin INTERNAL Eng Mkt Fin Cap tulo 1 Conceptos de la administraci n de Trusted Extensions 29 Conceptos b sicos de Trusted Extensions 30 Etiquetas administrativas Trusted Extensions proporciona dos etiquetas administrativas especiales que se utilizan como etiquetas o acreditaciones ADMIN_HIGH y ADMIN_LOW Estas etiquetas se utilizan para proteger los recursos del sistema y no est n dise adas para los usuarios comunes sino para los administradores ADMIN_HIGH es la etiqueta m xima ADMIN_HIGH domina el resto de las etiquetas del sistema y se utiliza para evitar la lectura de los datos del sistema como las bases de datos de administraci n o las pistas de auditor a Debe estar en la zona global para leer los datos con la etiqueta ADMIN_HIGH ADMIN_LOW es la etiqueta m nima ADMIN_LOW est dominada por el resto de las etiquetas de un sistema incluidas las etiquetas de los usuarios comunes El control de acceso obligatorio no permite que los usuarios escriban datos en los archivos con etiquetas de un nivel inferior al de la etiqueta del usuario Por lo tanto los usuarios comunes pueden leer un archivo con la etiqueta ADMIN_LOW pero no pueden
113. En este ejemplo el administrador de la seguridad desea crear una puerta de enlace que nicamente pueda transferir paquetes en una sola etiqueta PUBLIC Mediante la herramienta Security Templates de Solaris Management Console el administrador crea una plantilla y asigna el host de la puerta de enlace a la plantilla Primero el host de la puerta de enlace y la direcci n IP se agregan a la herramienta Computers and Networks gateway 1 192 168 131 75 Luego se crea la plantilla en la herramienta Security Templates Los siguientes son los valores de la plantilla template CIPSO_PUBLIC host_type CIPSO doi 1 min_sl PUBLIC max_sl PUBLIC La herramienta proporciona el valor hexadecimal para PUBLIC 0X0002 08 08 Por ltimo el host gateway 1 se asigna a la plantilla por su nombre y direcci n IP Procedimientos de administradores de Oracle Solaris Trusted Extensions Agosto de 2011 Configuraci n de bases de datos de red de confianza mapa de tareas Ejemplo 13 3 Ejemplo 13 4 gateway 1 192 168 131 75 En un host local la entrada tnrhtp se ver similar a la siguiente cipso public host type cipso doi 1 min_s1l 0X0002 08 08 max_sl 0X0002 08 08 En un host local la entrada tnrhdb se ver similar a la siguiente gateway 1 192 168 131 75 cipso public Creaci n de una plantilla de seguridad para un enrutador sin etiquetas Cualquier enrutador IP puede reenviar los mensajes con etiquetas CIPSO aunque
114. Extensions Es posible administrar todo el sistema solamente desde la zona global S lo los superusuarios o los roles pueden entrar en la zona global Despu s de que se asume un rol con l se puede crear un espacio de trabajo en una etiqueta de usuario a fin de editar los archivos administrativos en una zona con etiquetas Para la resoluci n de problemas tambi n puede entrar en la zona global si inicia una sesi n en modo a prueba de fallos Para obtener detalles consulte C mo iniciar una sesi n en modo a prueba de fallos en Trusted Extensions en la p gina 95 Debe haber creado uno o m s roles o estar por entrar en la zona global como superusuario Para obtener referencias consulte Creaci n de roles en Trusted Extensions en la p gina 51 Use un mecanismo de confianza En Solaris Trusted Extensions JDS haga clic en su nombre de usuario en la banda de confianza y seleccione un rol Si se le asign un rol los nombres de rol se muestran en una lista Para conocer sobre la ubicaci n y la importancia de las funciones de escritorio de Trusted Extensions consulte el Cap tulo 4 Elementos de Trusted Extensions referencia de Gu a del usuario de Oracle Solaris Trusted Extensions En Solaris Trusted Extensions CDE abra el men Trusted Path a Haga clic con el tercer bot n del mouse en el rea de selecci n de espacios de trabajo Wworkospiar e Thren Prien Resun Irusted l ati Menu Cheangr id
115. MIN_LOW Visualizaci n de las etiquetas de los sistemas de archivos en la zona restricted Cuando un usuario com n ejecuta la secuencia de comandos desde una zona con etiquetas la secuencia de comandos getmounts muestra las etiquetas de todos los sistemas de archivos montados en dicha zona En un sistema en el que las zonas se crean para cada etiqueta en el archivo label_encodings predeterminado la salida de la zona restricted es la siguiente usr local scripts getmounts CONFIDENTIAL RESTRICTED dev CONFIDENTIAL RESTRICTED kernel ADMIN_LOW lib ADMIN_LOW opt ADMIN_LOW platform ADMIN_LOW sbin ADMIN_LOwW usr ADMIN_LOW var tsol doors ADMIN_LOW zone needtoknow export home CONFIDENTIAL NEED TO KNOW zone internal export home CONFIDENTIAL INTERNAL USE ONLY proc CONFIDENTIAL RESTRICTED system contract CONFIDENTIAL RESTRICTED etc svc volatile CONFIDENTIAL RESTRICTED etc mnttab CONFIDENTIAL RESTRICTED dev fd CONFIDENTIAL RESTRICTED tmp CONFIDENTIAL RESTRICTED var run CONFIDENTIAL RESTRICTED zone public export home PUBLIC home gfaden CONFIDENTIAL RESTRICTED Procedimientos de administradores de Oracle Solaris Trusted Extensions Agosto de 2011 Gesti n de zonas mapa de tareas Antes de empezar 1 Ejemplo 10 3 C mo montar en bucle de retorno un archivo que no suele estar visible en una zona con etiquetas Este procedimiento habilita a un usuario en
116. N 2 puede transmitir paquetes de ADMIN_LOWa ADMIN_HIGH LaRutaN 3 no especifica informaci n del enrutamiento Por lo tanto los atributos de seguridad correspondientes se obtienen de la plantilla en la base de datos tnrhtp para la Puerta de enlace 5 Comandos de enrutamiento en Trusted Extensions Para mostrar las etiquetas y los atributos de seguridad ampliados para sockets Trusted Extensions modifica los siguientes comandos de red de Oracle Solaris m Elcomando netstat rR muestra los atributos de seguridad en las entradas de la tabla de enrutamiento Elcomando netstat aR muestra los atributos de seguridad para sockets Elcomando route p con las opciones add o delete cambia las entradas de la tabla de enrutamiento Para obtener detalles consulte las p ginas del comando man netstat 1M y route 1M Para ver ejemplos consulte C mo configurar las rutas con los atributos de seguridad en la p gina 195 178 Procedimientos de administradores de Oracle Solaris Trusted Extensions Agosto de 2011 CAP TULO 13 Gesti n de redes en Trusted Extensions tareas En este cap tulo se proporcionan detalles y procedimientos de implementaci n para proteger las redes de Trusted Extensions m Gesti n de la red de confianza mapa de tareas en la p gina 179 Configuraci n de bases de datos de red de confianza mapa de tareas en la p gina 180 Configuraci n de rutas y comprobaci n de la inf
117. Oracle Solaris Trusted Extensions Agosto de 2011 Contenido Y C mo recuperar el control del enfoque actual del escritorio oonnnnicioninioncmecs 72 Y C mo obtener el equivalente hexadecimal de una etiqueta oicoinniononconncnncenecenacinaccess 73 Y C mo obtener una etiqueta legible de su forma hexadecimal cooconicconicnionincnninninnnnncncnrancnnnns 74 Y C mo cambiar los valores predeterminados de seguridad en los archivos del sistema 75 6 Usuarios derechos y roles en Trusted Extensions descripci n general 77 Funciones de seguridad del usuario en Trusted Extensions oocoononnonnnnnoconeconesanacecacienancnnos 77 Responsabilidades del administrador para los usuarios coccoinconioniononcnnnnnnncnnnnconcancoroncnn cocer cnn cnn cnnonns 78 Responsabilidades del administrador del sistema para los usuarios coccinconconionincnnnnnioninncnnons 78 Responsabilidades del administrador de la seguridad para los usuarios occconconionicnnnnicninnoss 79 Decisiones que deben tomarse antes de crear usuarios en Trusted Extensions ociciocincnninnnnononnss 79 Atributos de seguridad del usuario predeterminados en Trusted Extensions ccocconicninninnnnncncnnos 80 Valores predeterminados del archivo label_encodingS ccocciononinnnnnnanonacanacincinecnnianos 80 Valores predeterminados del archivo policy conf en Trusted Extensions ociciciononcn 81 Atributos de usuario que pueden configurarse en Trusted Exten
118. Oracle Solaris por Trusted Extensions 60 Funciones de seguridad de Trusted Extensions sosscsossrsororsrseicsororordnaiorah 60 Aplicaci n de los requisitos de Seguridad ocicinionionincnnnnnnncnnccncncnnncnn cnn cnron carro ron arani ani 61 Usuarios y requisitos de Seguridad srnniiininon niea rene rernnr recreos 61 Uso del correo electr nico isc ivi ii ii ii acia 61 Aplicaci n dela CONTI Dacia iii R 62 Protecci n dela informaci n venidas indicio bado 62 Protecci n de CONtLASe a aicise iiaia 63 Administraci n de tipos initial cido te ld o lacada 63 Pr cticas de eliminaci n de USUAT OS grisin 63 Reglas para cambiar el nivel de seguridad de los datoS concincioninccnnannonncnonaconaciocencaracocacioraess 64 Archivo sel Conf iO acts 66 Personalizaci n de Solaris Trusted Extensions CDE ooccocccccccnonococononononcnonnononononononcncnor nono nonononnnnos 67 Personalizaci n del panel frontal icon indio 67 Personalizaci n del men Workspace occiconionionnnonncnionnncncnnnncncancanenn r inonmin en 67 Administraci n de los requisitos de seguridad en Trusted Extensions tareas 69 Tareas comunes en Trusted Extensions mapa de tareas ocociciocininnononcnncnconcncnnononcnnan cn conancnncncnnanos 69 Y C mo asignar el editor de su elecci n como editor de confianza cooconicniininnncnnnnncnnncnnianianianos 70 Y C mo cambiarla contrase a de TOO E dina aii isis E EN 71 Procedimientos de administradores de
119. Procedimientos de administradores de Oracle Solaris Trusted Extensions S 4 Sun j Copyright O 1992 2011 Oracle y o sus subsidiarias Todos los derechos reservados Este software y la documentaci n relacionada est n sujetos a un contrato de licencia que incluye restricciones de uso y revelaci n y se encuentran protegidos por la legislaci n sobre la propiedad intelectual A menos que figure expl citamente en el contrato de licencia o est permitido por la ley no se podr utilizar copiar reproducir traducir emitir modificar conceder licencias transmitir distribuir exhibir representar publicar ni mostrar ninguna parte de ninguna forma por ning n medio Queda prohibida la ingenier a inversa desensamblaje o descompilaci n de este software excepto en la medida en que sean necesarios para conseguir interoperabilidad seg n lo especificado por la legislaci n aplicable La informaci n contenida en este documento puede someterse a modificaciones sin previo aviso y no se garantiza que se encuentre exenta de errores Si detecta alg n error le agradeceremos que nos lo comunique por escrito Si este software o la documentaci n relacionada se entrega al Gobierno de EE UU o a cualquier entidad que adquiera licencias en nombre del Gobierno de EE UU se aplicar la siguiente disposici n U S GOVERNMENT RIGHTS Programs software databases and related documentation and technical data delivered to U S Government customers are
120. Remote html a A continuaci n se muestra la asignaci n de Device Allocation Manager Procedimientos de administradores de Oracle Solaris Trusted Extensions Agosto de 2011 Personalizaci n de autorizaciones para dispositivos en Trusted Extensions mapa de tareas Antes de empezar Trusted Path habilita a los usuarios autorizados para que utilicen Device Allocation Manager al asignar la unidad de CD ROM local Device Name cdrom_0 For Allocations From Trusted Path Allocatable By Authorized Users Authorizations com someco device cdrom local Non Trusted Path habilita a los usuarios para que asignen un dispositivo de manera remota mediante el comando allocate Device Name cdrom_0 For Allocations From Non Trusted Path Allocatable By Authorized Users Authorizations com someco device cdrom remote A continuaci n se muestran las entradas de derechos de perfiles Local Allocator profile com someco device cdrom local Remote Allocator profile com someco device cdrom remote a A continuaci n se muestran los perfiles de derechos de los usuarios autorizados List of profiles for regular authorized user Local Allocator Profile List of profiles for role or authorized user Remote Allocator Profile C mo agregar autorizaciones espec ficas del sitio a un dispositivo en Trusted Extensions Debe estar en el rol de administrador de la seguridad o en un rol que incluya la autorizaci n Configure Device Attr
121. Trusted Extensions descripci n general 269 Referencia de auditor a de Trusted Extensions 270 Token xcolormap El token xcolormap contiene informaci n sobre los mapas de colores Este token contiene los siguientes campos m UnID detoken a Elidentificador del servidor X a FID de usuario del creador La figura siguiente muestra el formato del token FIGURA 18 3 Formato para los tokens xcolormap xcursor xfont xgc xpixmap y xwindow ID de token XID UID del creador 1 byte 4 bytes 4 bytes Con praudit el token xcolormap se muestra de la siguiente manera X color map 0x08c00005 srv Token xcursor El token xcursor contiene informaci n sobre los cursores Este token contiene los siguientes campos Un ID detoken Elidentificador del servidor X ElID de usuario del creador La Figura 18 3 muestra el formato del token Con praudit el token xcursor se muestra de la siguiente manera X cursor 0x0f400006 srv Token xfont El token xfont contiene informaci n sobre las fuentes Este token contiene los siguientes campos a Un ID detoken m F identificador del servidor X a ElID de usuario del creador La Figura 18 3 muestra el formato del token Con praudit el token xfont se muestra de la siguiente manera X font 0x08c00001 srv Procedimientos de administradores de Oracle Solaris Trusted Extensions Agosto de 2011 Referencia de auditor a de Trusted Extensions Token xgc El token
122. UID efectivo de 0 en un perfil de derechos Luego el administrador de la seguridad asigna el perfil a un rol administrativo Consejo Si la aplicaci n puede utilizar los privilegios de manera confiable asigne los privilegios necesarios a la aplicaci n y no ejecute el programa como root Programas que requieren privilegios es posible que algunos programas requieran privilegios por motivos que no resultan evidentes Incluso cuando un programa no ejerza ninguna funci n que pudiera infringir la pol tica de seguridad del sistema dicho programa podr a realizar internamente una acci n que infringe la seguridad Por ejemplo es posible que el programa utilice un archivo de registro compartido o que lea desde dev kmem Para obtener informaci n relativa a la seguridad consulte la p gina del comando man mem 7D En algunas ocasiones una invalidaci n de la pol tica interna no es particularmente importante para el funcionamiento adecuado de la aplicaci n En cambio la invalidaci n proporciona una funci n conveniente para los usuarios Si la organizaci n tiene acceso al c digo de origen compruebe si pueden eliminar las operaciones que requieran invalidaciones de la pol tica sin que se afecte el rendimiento de la aplicaci n Cap tulo 19 Gesti n de software en Trusted Extensions tareas 277 Adici n de software a Trusted Extensions Responsabilidades del desarrollador cuando se crean programas de confianza Aunque el desar
123. a Solaris Management Console remota xhost TX SMC Server echo DISPLAY n n Cap tulo8 Administraci n remota en Trusted Extensions tareas 113 Administraci n remota de Trusted Extensions mapa de tareas 114 2 En el sistema local debe emplear un usuario que pueda asumir un rol para Solaris Management Console su same username on both systems Con ese usuario inicie sesi n en el servidor remoto como el rol rlogin 1 same rolename on both systems TX SMC Server Aseg rese de que las variables del entorno que Solaris Management Console utiliza tengan los valores correctos a Establezca el valor de la variable DISPLAY DISPLAY local n n export DISPLAY local n n b Establezca el valor de la variable LOGNAME para el nombre de usuario LOGNAME same username on both systems export LOGNAME same username on both systems c Establezca el valor de la variable USER para el nombre del rol USER same rolename on both systems export USER same rolename on both systems En el rol inicie Solaris Management Console desde la l nea de comandos usr sbin smc Seleccione una herramienta en System Configuration Al seleccionar una herramienta como User aparece un cuadro de di logo con el nombre del servidor de Solaris Management Console el nombre de usuario el nombre de rol y un espacio para escribir la contrase a del rol Aseg rese de que las entradas sean correctas Como rol inicie sesi n en e
124. a aplicar la restricci n estos sitios asignan una plantilla de una sola etiqueta a la interfaz de red que est conectada a la red externa Para obtener m s detalles sobre TCP IP y el enrutamiento consulte lo siguiente Planning for Routers on Your Network de System Administration Guide IP Services m Configuring Systems on the Local Network de System Administration Guide IP Services m Major TCP IP Administrative Tasks Task Map de System Administration Guide IP Services m Preparaci n de la red para el servicio DHCP mapa de tareas de Gu a de administraci n del sistema servicios IP Procedimientos de administradores de Oracle Solaris Trusted Extensions Agosto de 2011 Administraci n del enrutamiento en Trusted Extensions Selecci n de los enrutadores en Trusted Extensions Los hosts de Trusted Extensions ofrecen el mayor grado de confianza para los enrutadores Es posible que otros tipos de enrutadores no reconozcan los atributos de seguridad de Trusted Extensions Sin ninguna acci n administrativa se pueden enrutar los paquetes mediante enrutadores que no proporcionen protecci n de seguridad del MAC Losenrutadores CIPSO descartan los paquetes cuando no encuentran el tipo correcto de informaci n en la secci n de opciones de IP del paquete Por ejemplo un enrutador CIPSO descarta un paquete si no encuentra una opci n CIPSO en las opciones de IP cuando la opci n es necesaria o cuando el DOI
125. a de enlace a la plantilla Cap tulo 13 Gesti n de redes en Trusted Extensions tareas 185 Configuraci n de bases de datos de red de confianza mapa de tareas 186 Ejemplo 13 5 Primero el host y su direcci n IP se agregan a la herramienta Computers and Networks gateway ir 192 168 131 78 Luego se crea la plantilla en la herramienta Security Templates Los valores siguientes figuran en la plantilla Template Name CIPSO_IUVO_RSTRCT Host Type CIPSO DOI 1 Minimum Label CONFIDENTIAL INTERNAL USE ONLY Maximum Label CONFIDENTIAL RESTRICTED La herramienta proporciona el valor hexadecimal para las etiquetas Por ltimo la puerta de enlace gateway ir se asigna a la plantilla por su nombre y direcci n IP gateway ir 192 168 131 78 Creaci n de una plantilla de seguridad con un conjunto de etiquetas de seguridad En este ejemplo el administrador de la seguridad desea crear una plantilla de seguridad que reconoce solamente dos etiquetas En Solaris Management Console el administrador crea una plantilla y asigna el host de la puerta de enlace a la plantilla Primero se agregan todos los hosts y las direcciones IP que utilizar esta plantilla a la herramienta Computers and Networks host slsetl 192 168 132 21 host slset2 192 168 132 22 host slset3 192 168 132 23 host slset4 192 168 132 24 Luego se crea la plantilla en la herramienta Security Templates Los valores siguientes figuran en l
126. a dispositivos a las unidades de cintas y de disquetes Coloca las autorizaciones nuevas en el perfil de derechos NewCo Allocation 4 Agrega el perfil de derechos NewCo Allocation a los perfiles de usuarios y roles que est n autorizados para asignar unidades de cintas y de disquetes As los usuarios y los roles autorizados pueden usar las unidades de cinta y de disquetes del sistema Cap tulo 17 Gesti n de dispositivos para Trusted Extensions tareas 261 262 CAP TULO 18 Auditor a de Trusted Extensions descripci n general En este cap tulo se describen las adiciones a la auditor a que Trusted Extensions proporciona Trusted Extensions y la auditor a en la p gina 263 Gesti n de auditor a por roles en Trusted Fxtensions en la p gina 264 Referencia de auditor a de Trusted Extensions en la p gina 266 Trusted Extensions y la auditor a En el sistema configurado con el software de Trusted Extensions la configuraci n y la administraci n de la auditor a son similares a las de la auditor a en el sistema Oracle Solaris Sin embargo existen algunas diferencias El software de Trusted Extensions agrega al sistema clases eventos y tokens de auditor a y opciones de pol tica de auditor a En el software de Trusted Extensions la auditor a est habilitada de manera predeterminada No se admite la auditor a por zona de Oracle Solaris En Trusted Extensions todas las zonas se audi
127. a global C mo entrar en la zona global en Trusted Extensions en la p gina 53 Salir del espacio de trabajo de un rol y convertirse en usuario com n Dejar la zona global C mo salir de la zona global en Trusted Extensions en la p gina 54 Administrar usuarios roles derechos zonas y redes en el mbito local Administrar el sistema mediante las acciones Trusted CDE Utilizar Solaris Management Console para administrar el sistema distribuido Utilizar las acciones administrativas en la carpeta Trusted_Extensions C mo administrar el sistema local con Solaris Management Console en la p gina 55 C mo iniciar acciones administrativas de CDE en Trusted Extensions en la p gina 56 Editar un archivo administrativo Editar archivos en un editor de confianza C mo editar archivos administrativos en Trusted Extensions en la p gina 57 Administrar la asignaci n de dispositivos Utilizar la interfaz gr fica de usuario Device Allocation Manager Device Administration Gesti n de dispositivos en Trusted Extensions mapa de tareas en la p gina 246 52 Procedimientos de administradores de Oracle Solaris Trusted Extensions Agosto de 2011 Introducci n para administradores de Trusted Extensions mapa de tareas v C mo entrar en la zona global en Trusted Extensions Antes de empezar Cuando asume un rol entra en la zona global en Trusted
128. a la seguridad y por consiguiente son responsabilidad del administrador de la seguridad Siga las instrucciones de Oracle Solaris pero utilice las herramientas administrativas de Trusted Extensions Tarea Para las instrucciones de Oracle Solaris Instrucciones de Trusted Extensions Configure los archivos de Configuring Audit Files Task Map de System Utilice el editor de confianza Para obtener auditor a Administration Guide Security Services detalles consulte C mo editar archivos administrativos en Trusted Extensions en la p gina 57 Opcional Cambie la pol tica How to Configure Audit Policy de System Utilice el editor de confianza de auditor a predeterminada Administration Guide Security Services Deshabilite y vuelva a habilitar How to Disable the Audit Service de System La auditor a est habilitada de manera la auditor a Administration Guide Security Services predeterminada Gestione la auditor a Oracle Solaris Auditing Task Map de System Utilice el editor de confianza Administration Guide Security Services Ignore las tareas de auditor a por zona Tareas de auditor a del administrador del sistema Las siguientes tareas son responsabilidad del administrador del sistema Siga las instrucciones de Oracle Solaris pero utilice las herramientas administrativas de Trusted Extensions Tarea Para las instrucciones de Oracle Solaris Instruccione
129. a los administradores 283 287 remota con Solaris Management Console 113 115 rutas con atributos de seguridad 195 196 sistemas de archivos descripci n general 145 montaje 155 160 resoluci n de problemas 160 161 software de terceros 275 282 uso compartido de sistemas de archivos 153 155 usuarios 79 80 87 104 zonas 130 143 zonas de Trusted JDS 130 administraci n remota m todos 106 107 valores predeterminados 105 106 Administraci n remota de Trusted Extensions mapa de tareas 108 117 administradores de la seguridad Ver rol de administrador de la seguridad aplicaci n usr dt bin sel_mgr 64 67 aplicaci n sel_mgr 64 67 aplicaci n Selection Manager 64 67 aplicaciones de confianza y confiables 277 279 evaluaci n para la seguridad 278 instalaci n 280 282 aplicaciones comerciales evaluaci n 278 aplicaciones de confianza en un espacio de trabajo de rol 33 archivo copy_files configuraci n para usuarios 90 93 descripci n 84 85 startup file 45 archivo etc default kbd c mo editarlo 75 76 archivo etc default login c mo editarlo 75 76 Agosto de 2011 ndice archivo etc default passwd c mo editarlo 75 76 archivo etc default print 236 archivo etc dfs dfstab 36 archivo etc dfs dfstab para la zona public 148 149 archivo etc dt config sel_ config 66 archivo etc hosts 188 archivo etc motd acci n para editar 36 archivo etc nsswitch conf 36 archivo etc resolv conf 36 archiv
130. a plantilla Template Name CIPSO_PUB_RSTRCT Host Type CIPSO DOI 1 Minimum Label PUBLIC Maximum Label CONFIDENTIAL RESTRICTED SL Set PUBLIC CONFIDENTIAL RESTRICTED La herramienta proporciona el valor hexadecimal para las etiquetas Procedimientos de administradores de Oracle Solaris Trusted Extensions Agosto de 2011 Configuraci n de bases de datos de red de confianza mapa de tareas Ejemplo 13 6 Ejemplo 13 7 Por ltimo el rango de direcciones IP se asigna a la plantilla con el bot n Wildcard y un prefijo 192 168 132 0 17 Creaci n de una plantilla sin etiquetas en la etiqueta PUBLIC En este ejemplo el administrador de la seguridad habilita una subred de los sistemas Oracle Solaris para que se incluya la etiqueta PUBLIC en la red de confianza La plantilla tiene los siguientes valores Template Name public Host Type Unlabeled Default Label Public Minimum Label Public Maximum Label Public DOI 1 Wildcard Entry 10 10 0 0 Prefix 16 Todos los sistemas de la subred 10 10 0 0 se gestionan en la etiqueta PUBLIC Creaci n de una plantilla con etiquetas para desarrolladores En este ejemplo el administrador de la seguridad crea una plantilla SANDBOX Esta plantilla se asigna a los sistemas que utilizan los desarrolladores de software de confianza Los dos sistemas que tienen asignada esta plantilla crean y prueban los programas con etiquetas Sin embargo estas pruebas no afectan a otros sist
131. a que los administradores puedan gestionar los dispositivos Es la misma interfaz que utilizan los usuarios para asignar los dispositivos Nota En Trusted Extensions los usuarios no pueden utilizar los comandos allocate y deallocate Los usuarios deben utilizar Device Allocation Manager En Solaris Trusted Extensions JDS el nombre de la interfaz gr fica de usuario es Device Manager 239 Protecci n de los dispositivos con el software de Trusted Extensions 240 Para obtener informaci n sobre la protecci n de los dispositivos en el SO Oracle Solaris consulte el Cap tulo 4 Controlling Access to Devices Tasks de System Administration Guide Security Services En el sistema configurado con Trusted Extensions dos roles protegen los dispositivos El rol de administrador del sistema controla el acceso a los dispositivos perif ricos El administrador del sistema permite que los dispositivos sean asignables Nadie puede usar los dispositivos establecidos como no asignables por el administrador del sistema Solamente los usuarios autorizados pueden asignar los dispositivos asignables m El rol de administrador de la seguridad restringe las etiquetas en las que se puede acceder a un dispositivo y establece la pol tica de dispositivos El administrador de la seguridad decide qui n est autorizado a asignar un dispositivo Las siguientes son las principales funciones del control de los dispositivos con el software de Trus
132. a un dispositivo de manera predeterminada todos los usuarios pueden utilizar el dispositivo Si se especifica una autorizaci n de manera predeterminada solamente los usuarios autorizados pueden utilizar el dispositivo Para obtener informaci n sobre c mo impedir cualquier acceso a un dispositivo asignable sin la debida autorizaci n vea el Ejemplo 17 1 Debe estar en el rol de administrador de la seguridad en la zona global Edite el archivo auth_attr Utilice el editor de confianza Para obtener detalles consulte C mo editar archivos administrativos en Trusted Extensions en la p gina 57 Cree un encabezado para las autorizaciones nuevas Utilice el nombre de dominio de Internet de la organizaci n en orden inverso seguido de componentes arbitrarios adicionales opcionales como el nombre de la compa a Separe los componentes con puntos Finalice los encabezados con un punto domain suffix domain prefix optional Company Header help Company html Procedimientos de administradores de Oracle Solaris Trusted Extensions Agosto de 2011 Personalizaci n de autorizaciones para dispositivos en Trusted Extensions mapa de tareas 3 Ejemplo 17 4 Agregue entradas de autorizaci n nuevas Agregue las autorizaciones una autorizaci n por l nea Las l neas se dividen con fines de visualizaci n Se incluyen las autorizaciones grant que habilitan a los administradores para asignar las autorizaciones nuevas do
133. a y escritura y debe estar en la misma etiqueta que el cliente Si monta un archivo entre dos hosts de Trusted Extensions el servidor y el cliente deben tener plantillas de hosts remotos compatibles de tipo cipso Si monta un archivo entre un host de Trusted Extensions y un host sin etiquetas los archivos que se encuentran en una sola etiqueta especificada para el host sin etiquetas en el archivo tnrhdb pueden montarse Los archivos que se montan con LOFS se pueden ver pero no se pueden modificar Para obtener detalles sobre los montajes de NFS consulte Acceso a los directorios montados de NFS en Trusted Extensions en la p gina 148 Las etiquetas tambi n determinan qu directorios y archivos pueden verse De manera predeterminada los objetos de nivel inferior est n disponibles en un entorno de usuario Por lo tanto en la configuraci n predeterminada los usuarios comunes pueden ver los archivos que est n en la zona de un nivel inferior a su nivel actual Por ejemplo los usuarios pueden ver sus directorios principales de nivel inferior desde una etiqueta superior Para obtener detalles consulte Creaci n de directorios principales en Trusted Extensions en la p gina 149 Procedimientos de administradores de Oracle Solaris Trusted Extensions Agosto de 2011 Uso compartido de archivos desde una zona con etiquetas Si la seguridad del sitio proh be la visualizaci n de los objetos de nivel inferior puede hacer que los direc
134. a zona public del sistema local cuando esta zona se inicia Uno de los montajes de sistema de archivos es de un sistema de varios niveles y el otro de un sistema de una sola etiqueta Despu s de asumir el rol de administrador del sistema el administrador crea un espacio de trabajo en la etiqueta PUBLIC En ese espacio de trabajo el administrador modifica el archivo vfstab en la zona Cap tulo 11 Gesti n y montaje de archivos en Trusted Extensions tareas 157 Copia de seguridad uso compartido y montaje de archivos con etiquetas mapa de tareas 158 Ejemplo 11 5 Ejemplo 11 6 Writable books directories at PUBLIC remote sys zone public root opt docs opt docs nfs no yes rw public sys publicdocs opt publicdocs nfs no yes rw Para acceder a los archivos en la zona con etiquetas remota del sistema de varios niveles la entrada vfstab utiliza la ruta root de la zona de la zona public del sistema remoto zone public root como nombre de ruta de los directorios que se deben montar La ruta del sistema de una sola etiqueta es id ntica a la ruta que se utilizar a en un sistema Oracle Solaris El administrador monta los archivos en una ventana de terminal en la etiqueta PUBLIC mountall Montaje de archivos de nivel inferior en una zona con etiquetas mediante la modificaci n del archivo vfstab En este ejemplo el administrador del sistema monta un sistema de archivos remoto de una zona public en la zona interna de
135. aci n de Trusted Extensions 47 48 CAP TULO 3 Introducci n para administradores de Trusted Extensions tareas Este cap tulo brinda una introducci n a la administraci n de sistemas que est n configurados con Trusted Extensions m Novedades de Trusted Extensions en la p gina 49 m Requisitos de seguridad para la administraci n de Trusted Extensions en la p gina 50 Introducci n para administradores de Trusted Extensions mapa de tareas en la p gina 51 Novedades de Trusted Extensions Solaris 10 10 08 En esta versi n Trusted Extensions proporciona las siguientes funciones a La pila IP compartida de Trusted Extensions permite que las rutas predeterminadas a slen las zonas con etiquetas entre s y tambi n las a slen de la zona global a Lainterfaz de bucle de retorno 100 es una interfaz all zones m La separaci n de tareas puede aplicarse por rol El rol de administrador del sistema crea usuarios pero no puede asignar contrase as El rol de administrador de la seguridad asigna contrase as pero no puede crear usuarios Para obtener detalles consulte Creaci n de perfiles de derechos que aplican la separaci n de tareas de Gu a de configuraci n de Oracle Solaris Trusted Extensions a Esta gu a incluye una lista de las p ginas del comando man de Trusted Extensions en el Ap ndice B Lista de las p ginas del comando man de Trusted Extensions Solaris 10 5 08 En
136. ad del sitio Solaris Common Desktop Environment Advanced User s and System Administrator s Guide describe el entorno de escritorio com n CDE Common Desktop Environment Gu a del administrador para el sistema operativo instalado actualmente describe c mo realizar una copia de seguridad de los archivos del sistema Referencias relacionadas con el sitio web de otras empresas En este documento se proporcionan URL de terceros e informaci n adicional relacionada Nota Oracle no se hace responsable de la disponibilidad de los sitios web de terceros que se mencionen en este documento Oracle no garantiza ni se hace responsable de los contenidos la publicidad los productos u otros materiales que puedan estar disponibles a trav s de dichos sitios o recursos Oracle no se responsabiliza de ning n da o real o supuesto ni de posibles p rdidas que se pudieran derivar del uso de los contenidos bienes o servicios que est n disponibles en dichos sitios o recursos Documentaci n y soporte Encontrar recursos adicionales en estos sitios web a Documentaci n http ww oracle com technetwork indexes documentation index html m Soporte http ww oracle com us support systems index html Recursos del software Oracle 20 Oracle Technology Network http ww oracle com technetwork index html ofrece diversos recursos relacionados con el software Oracle m Para discutir problemas t cnicos y sus soluciones utilice los foros de
137. ada y las variaciones de la p gina del ubicador predeterminada Las llamadas identifican las distintas secciones Tenga en cuenta que la p gina del ubicador utiliza una l nea exterior diferente El texto las etiquetas y las advertencias que aparecen en los trabajos de impresi n se pueden configurar Tambi n el texto se puede reemplazar con texto en otro idioma para su localizaci n Cap tulo 15 Gesti n de impresi n con etiquetas tareas 211 Etiquetas impresoras e impresi n FIGURA 15 2 P gina de la car tula t pica de un trabajo de impresi n con etiquetas Clasificaci n Protect as NEED TO KNOW N mero de 57823 trabajo Clasificaci n This output must be protected as Declaraci n Bellas AN NEED_TO_KNOW HR Protect as ba E imi unless manually reviewed and downgraded 3 User jhomanOsse dev 7 Job printit 7 p team minutes 3 20 97 sse dev Printed at Thu Mar 20 19 20 45 PST 1997 Instrucciones de gesti n Printer queue printit especificadas en PRINTER BANNERS COMPANY PROPRIETARY CONFIDENTIAL NTK HUMAN RESOURCE DISTRIBUTE ONLY TO HUMAN RESOURCES EMPLOYEES Inst d a NON DISCLOSURE AGREEMENT REQUIRED gesti n especificadas en CHANNELS JOB START NEED TO KNOW FIGURA 15 3 Variaciones en la p gina del ubicador Cambio del ancho de l nea de la p gina JOB END de la car tula i Cambios del 57823 57823 identificador del NEED TO KNOW tipo de p gina La siguiente tabla
138. administrador de la seguridad en la zona global 1 Abra una caja de herramientas de Trusted Extensions en Solaris Management Console Utilice una caja de herramientas del mbito adecuado Para obtener detalles consulte Inicializaci n del servidor de Solaris Management Console en Trusted Extensions de Gu a de configuraci n de Oracle Solaris Trusted Extensions 2 En System Configuration vaya a User Accounts Puede que se muestre el indicador de contrase a 3 Escriba la contrase a del rol 4 Seleccione el usuario individual de User Accounts 96 Procedimientos de administradores de Oracle Solaris Trusted Extensions Agosto de 2011 Gesti n de usuarios y derechos con Solaris Management Console mapa de tareas 5 Antes de empezar 1 Haga clic en la ficha Trusted Extensions Attributes Trusted Path User Properties for srvl A Help P Mail Rights Roles Trusted Extensions Attributes Audit Specify label and account usage General Group Projects Home Directory Password Password Options information Labels If the user s Minimum Label or Minimum Lahet PUB Edta Clearance needs to be updated z press the Edit button next to the Clearance CNF NEED TO KNOW Edit value to be modified to bring up the label clearance builder View System Default Specify account usage security Label Show regarding maximum login f
139. ador de la seguridad debe especificar algunos atributos de seguridad para los usuarios nuevos como se muestra en la siguiente tabla Para obtener informaci n acerca de los archivos que contienen los valores predeterminados consulte Atributos de seguridad del usuario predeterminados en Trusted Extensions en la p gina 80 La siguiente tabla muestra los atributos de seguridad que pueden asignarse a los usuarios y los efectos de cada asignaci n TABLA 6 2 Atributos de seguridad que se asignan despu s la creaci n del usuario Ubicaci n de valor Condici n de la Atributo de usuario predeterminado acci n Efecto de la acci n Contrase a Ninguna Necesaria El usuario tiene contrase a Roles Ninguna Opcional El usuario puede asumir un rol Autorizaciones Archivo policy conf Opcional El usuario tiene autorizaciones adicionales Perfiles de Archivo policy conf Opcional El usuario tiene perfiles de derechos adicionales derechos Etiquetas Archivo Opcional El usuario tiene un rango de acreditaci n o label_encodings etiqueta predeterminado que es diferente Privilegios Archivo policy conf Opcional El usuario tiene un conjunto de privilegios diferente Uso de la Archivo policy conf Opcional El usuario tiene una configuraci n diferente para cuenta cuando el equipo est inactivo Auditor a Archivo Opcional El usuario se audita diferente que las audit_control configuraciones de auditor a del sistema Asignaci
140. ager para hacer que un dispositivo est disponible para su uso C mo revocar o reclamar un dispositivo en Trusted Extensions en la p gina 250 Emplear los comandos de Oracle Solaris para hacer que un dispositivo est disponible o no para su uso Forcibly Allocating a Device de System Administration Guide Security Services Forcibly Deallocating a Device de System Administration Guide Security Services Impedir el acceso a un dispositivo asignable Proporcionar control de acceso espec fico a un dispositivo Ejemplo 17 4 Denegar a cualquiera el acceso a un dispositivo asignable Ejemplo 17 1 Proteger las impresoras y los b feres de trama Garantizar que los dispositivos no asignables no se puedan asignar C mo proteger los dispositivos no asignables en Trusted Extensions en la p gina 251 Configurar dispositivos de inicio de sesi n de serie Habilitar el inicio de sesiones mediante un puerto de serie C mo configurar una l nea de serie para el inicio de sesiones en la p gina 252 Habilitar un programa reproductor de CD para su uso Habilitar un programa reproductor de audio para que se abra autom ticamente al insertar un CD de m sica C mo configurar un programa reproductor de audio para que se use en Trusted CDE en la p gina 253 Impedir la visualizaci n de File Manager Utilizar una secuencia de comandos device clean nueva
141. ailures and maximum idle time Account Usage Lock Account after Maximum Failed Logins Idle Time 5 Minutes Idle Action Lock Screen m Para ampliar el rango de etiquetas del usuario seleccione una acreditaci n superior Tambi n puede reducir la etiqueta m nima m Para restringir el rango de etiquetas a una etiqueta haga la acreditaci n igual que la etiqueta m nima Para guardar los cambios haga clic en OK C mo crear perfiles de derechos para autorizaciones convenientes Cuando la pol tica de seguridad del sitio lo permita quiz s desee crear un perfil de derechos que contenga las autorizaciones para los usuarios que pueden realizar tareas que requieren autorizaci n Para habilitar a todos los usuarios de un sistema en particular que se van a autorizar consulte C mo modificar los valores predeterminados de policy conf en la p gina 89 Debe estar en el rol de administrador de la seguridad en la zona global Abra una caja de herramientas de Trusted Extensions en Solaris Management Console Utilice una caja de herramientas del mbito adecuado Para obtener detalles consulte Inicializaci n del servidor de Solaris Management Console en Trusted Extensions de Gu a de configuraci n de Oracle Solaris Trusted Extensions Cap tulo7 Gesti n de usuarios derechos y roles en Trusted Extensions tareas 97 Gesti n de usuarios y derechos con Solaris Manageme
142. al el rol de administrador del sistema debe garantizar que m Todoslos objetos con el GID del grupo eliminado se eliminen o se asignen a otro grupo m A todos los usuarios que tienen el grupo eliminado como grupo principal se les asigne otro grupo principal Pr cticas de eliminaci n de usuarios Cuando se elimina una cuenta del sistema el rol de administrador del sistema y el rol de administrador de la seguridad deben realizar las siguientes acciones a Fliminar los directorios principales de la cuenta en cada zona m Eliminar cualquier proceso o trabajo que pertenezca a la cuenta eliminada Eliminar cualquier objeto que pertenezca a la cuenta o asignar la propiedad a otro usuario Eliminar cualquier trabajo de at o batch planificado en nombre del usuario Para obtener detalles consulte las p ginas del comando man at 1 y crontab 1 Nunca vuelva a usar el nombre de usuario cuenta ni el ID de usuario Cap tulo 4 Requisitos de seguridad del sistema Trusted Extensions descripci n general 63 Reglas para cambiar el nivel de seguridad de los datos Reglas para cambiar el nivel de seguridad de los datos De manera predeterminada los usuarios comunes pueden emplear las operaciones de cortar y pegar copiar y pegar y arrastrar y soltar en los archivos y en las selecciones El origen y el destino deben estar en la misma etiqueta Para cambiar la etiqueta de los archivos o la etiqueta de la informaci n dentro de l
143. an para administrar un sistema Trusted Extensions remoto Tarea Descripci n Para obtener instrucciones Habilitaci n del inicio de sesi n remoto Habilitar al usuario root para que inicie sesi n de manera remota en un sistema Trusted Extensions Habilitar al usuario root para que trabaje de manera remota desde un sistema con etiquetas por parte del usuario root en Trusted Extensions de Gu a de configuraci n de Oracle Solaris Trusted Extensions 108 Procedimientos de administradores de Oracle Solaris Trusted Extensions Agosto de 2011 Administraci n remota de Trusted Extensions mapa de tareas Tarea Descripci n Para obtener instrucciones Habilitar un rol para que inicie sesi n de Permitir que cualquier rol a trabaje de Habilitaci n del inicio de sesi n remoto manera remota en un sistema Trusted manera remota desde un sistema con por parte de un rol en Trusted Extensions etiquetas Extensions de Gu a de configuraci n de Oracle Solaris Trusted Extensions Habilitar el inicio de sesi n remoto desde Permitir que cualquier usuario o rol a trabaje Habilitaci n del inicio de sesi n remoto un sistema sin etiquetas en un sistema de manera remota desde un sistema sin desde un sistema sin etiquetas de Gu a de Trusted Extensions etiquetas configuraci n de Oracle Solaris Trusted Extensions Iniciar sesi n de manera remota en un Iniciar sesi n como rol en un sistema C mo
144. anagement Console Inicie las zonas zoneadm z zone name boot En la zona global agregue rutas para las nuevas direcciones Por ejemplo si las zonas comparten la direcci n IP realice lo siguiente route add proxy labeled zones IP address route add webservice labeled zones IP address Cap tulo 10 Gesti n de zonas en Trusted Extensions tareas 143 144 CAP TULO 11 Gesti n y montaje de archivos en Trusted Extensions tareas En este cap tulo se describe el funcionamiento de los montajes de LOFS y de NFS en los sistemas configurados con Trusted Extensions Adem s se explica c mo realizar copias de seguridad de los archivos y c mo restaurarlos Uso compartido y montaje de archivos en Trusted Extensions en la p gina 145 Montajes de NFS en Trusted Extensions en la p gina 146 Uso compartido de archivos desde una zona con etiquetas en la p gina 147 Acceso a los directorios montados de NFS en Trusted Extensions en la p gina 148 Software de Trusted Extensions y versiones del protocolo NFS en la p gina 151 Copia de seguridad uso compartido y montaje de archivos con etiquetas mapa de tareas en la p gina 152 Uso compartido y montaje de archivos en Trusted Extensions El software de Trusted Extensions admite los mismos sistemas de archivos y comandos de gesti n de sistemas de archivos que el SO Oracle Solaris Trusted Extensions agrega la opci n de que una zona
145. anas X Informaci n sobre los mapas de p xeles de las ventanas X Informaci n sobre las propiedades de las ventanas X Informaci n sobre los datos de las ventanas X Informaci n sobre las ventanas X Token label El token label contiene una etiqueta de sensibilidad Este token contiene los siguientes campos Un ID detoken Una etiqueta de sensibilidad La figura siguiente muestra el formato del token Procedimientos de administradores de Oracle Solaris Trusted Extensions Agosto de 2011 Referencia de auditor a de Trusted Extensions FIGURA 18 2 Formato del token label ID de token etiqueta de sensibilidad 1 byte 36 bytes ID de etiqueta relleno clasificaci n compartimientos 1 byte 1 byte 2 bytes 32 bytes Con el comando praudit el token label se muestra de la siguiente manera sensitivity label ADMIN_LOW Token xatom El token xatom contiene informaci n relativa a un tomo X Este token contiene los siguientes campos UnID de token Lalongitud de la cadena m Una cadena de texto que identifica el tomo Con praudit el token xatom se muestra de la siguiente manera X atom DT_SAVE MODE Token xclient El token xclient contiene informaci n sobre el cliente X Este token contiene los siguientes campos a UnID detoken a ElID de cliente Con praudit el token xclient se muestra de la siguiente manera X client 15 Cap tulo 18 Auditor a de
146. antilla del host remoto para la zona con etiquetas incluye la etiqueta del paquete Si el rango es ADMIN_LOW a ADMIN_HIGH se aceptan todos los paquetes Si el rango fuera menor se descartar an los paquetes que no est n dentro del rango Cap tulo 10 Gesti n de zonas en Trusted Extensions tareas 127 Procesos de la zona global y de las zonas con etiquetas En la mayor a de los casos una zona puede definir un puerto determinado para que act e como puerto de varios niveles en una interfaz compartida En la situaci n anterior donde el puerto ssh est configurado como puerto de varios niveles compartido en una zona no global ninguna otra zona puede recibir conexiones ssh en la direcci n compartida Sin embargo la zona global podr a definir el puerto ssh como puerto de varios niveles privado para la recepci n de conexiones en su direcci n espec fica de la zona En un sistema en el que la zona global y las zonas con etiquetas comparten una direcci n IP se podr a agregar un puerto de varios niveles para el servicio ssh a una zona Si el puerto de varios niveles para ssh se agrega a la zona global ninguna zona con etiquetas puede agregar un puerto de varios niveles para el servicio ssh De manera similar si el puerto de varios niveles para el servicio ssh se agrega a una zona con etiquetas la zona global no se puede configurar con un puerto de varios niveles ssh Para ver un ejemplo de la adici n de puertos de varios niveles a l
147. ara asignar una unidad de disquete Creaci n de autorizaciones Trusted Path y Non Trusted Path De manera predeterminada la autorizaci n Allocate Devices habilita la asignaci n desde adentro y desde afuera de Trusted Path En el siguiente ejemplo la pol tica de seguridad del sitio requiere la restricci n de la asignaci n de CD ROM remota El administrador de la seguridad crea la autorizaci n com someco device cdrom local Esta autorizaci n corresponde a las unidades de CD ROM que se asignan con Trusted Path La autorizaci n com someco device cdrom remote corresponde a los pocos usuarios que tienen permiso para asignar una unidad de CD ROM fuera de Trusted Path El administrador de la seguridad crea los archivos de ayuda agrega las autorizaciones a la base de datos auth_attr agrega las autorizaciones para los dispositivos y luego aplica las autorizaciones en los perfiles de derechos Los perfiles se asignan a los usuarios que tienen permiso para asignar dispositivos m A continuaci n se muestran las entradas de base de datos auth_attr com someco SomeCo Header help Someco html com someco grant Grant All SomeCo Authorizations help SomecoGrant html com someco grant device Grant SomeCo Device Authorizations help SomecoGrantDevice html com someco device cdrom local Allocate Local CD ROM Device help SomecoCDAllocateLocal html com someco device cdrom remote Allocate Remote CD ROM Device help SomecoCDAllocate
148. ara controlar los datos que fluyen por los dispositivos Entre los dispositivos que tienen rangos de etiquetas se encuentran los b feres de trama las unidades de cinta las unidades de disquetes y CD ROM las impresoras y los dispositivos USB Los usuarios asignan dispositivos mediante Device Allocation Manager Device Allocation Manager monta el dispositivo ejecuta una secuencia de comandos clean para prepararlo y realiza la asignaci n Una vez terminado esto el usuario desasigna el dispositivo mediante Device Allocation Manager que ejecuta otra secuencia de comandos clean y desmonta y desasigna el dispositivo FIGURA 2 1 Icono de Device Allocation Manager en Trusted CDE Device Allocation Puede gestionar dispositivos con la herramienta Device Administration de Device Allocation Manager Los usuarios comunes no tienen acceso a Device Allocation Manager Nota En Solaris Trusted Extensions JDS esta interfaz gr fica de usuario se denomina Device Manager y el bot n de Device Administration se denomina Administration Cap tulo 2 Herramientas de administraci n de Trusted Extensions 37 Herramientas de Solaris Management Console FIGURA 2 2 Interfaz gr fica de usuario de Device Allocation Manager Trusted Path Device Allocation Manager Devices Allocatable By sharonr Available Devices Allocated Devices audio0 F EI Device Label Device Administration Para obtener m s i
149. arios y derechos con Solaris Management Console mapa de tareas Ejemplo 7 5 Antes de empezar 1 m Print without Banner autoriza a un usuario a que haga copias impresas sin la p gina de la car tula a Print without Label autoriza a un usuario a que haga copias impresas que no muestren etiquetas m Remote Login autoriza a un usuario a iniciar sesi n de manera remota Shutdown the System autoriza a un usuario a cerrar el sistema y una zona Upgrade DragNDrop or CutPaste Info autoriza a un usuario a seleccionar informaci n de un archivo de nivel inferior y colocarla en un archivo de nivel superior m Upgrade File Label autoriza a un usuario a aumentar el nivel de seguridad de un archivo Asigne el perfil de derechos a un usuario o a un rol Si necesita asistencia consulte la ayuda en pantalla Para conocer el procedimiento paso a paso consulte How to Change the RBAC Properties of a User de System Administration Guide Security Services Asignaci n de una autorizaci n relacionada con la impresi n a un rol En el siguiente ejemplo el administrador de la seguridad le permite a un rol imprimir los trabajos sin etiquetas en las p ginas del cuerpo En Solaris Management Console el administrador de la seguridad navega hasta Administrative Roles El administrador ve los perfiles de derechos que se incluyen en un rol en particular y luego se asegura de que las autorizaciones relacionadas con la impresi n s
150. aris se utiliza el comando crle para 276 Procedimientos de administradores de Oracle Solaris Trusted Extensions Agosto de 2011 Adici n de software a Trusted Extensions agregar directorios de bibliotecas compartidas de un programa con privilegios a la lista de directorios de confianza Para obtener detalles consulte la p gina del comando man crle 1 Evaluaci n de software para la seguridad Cuando se le asignan privilegios al software o cuando se lo ejecuta con un ID de grupo o de usuario alternativo se convierte en un software de confianza El software de confianza puede omitir aspectos de la pol tica de seguridad de Trusted Extensions Tenga en cuenta que puede convertir el software en confiable aunque podr a no ser de confianza El administrador de la seguridad debe esperar para otorgar privilegios al software hasta que se efect e un examen minucioso que demuestre que el software utiliza los privilegios de manera confiable En un sistema de confianza los programas se dividen en tres categor as Programas que no requieren atributos de seguridad algunos programas se ejecutan en un solo nivel y no requieren privilegios Estos programas pueden instalarse en un directorio p blico como usr local Para obtener acceso asigne el programa como comandos en los perfiles de derechos de los usuarios y de los roles Programas que se ejecutan como root algunos programas se ejecutan con setuid 0 Se puede asignar a estos programas un
151. aris 8 Puede ser con una etiqueta CIPSO o sin etiquetas Trusted Extensions Trusted Solaris 8 Autorice alos usuarios enel Los usuarios de Trusted sistema Trusted Extensions cree un perfil que agregue las autorizaciones necesarias Asigne el perfil a los usuarios Extensions pueden enumerar o cancelar los trabajos de impresi n que env en a una impresora de Trusted Solaris 8 Los usuarios no pueden ver ni eliminar trabajos en una etiqueta diferente Cap tulo 15 Gesti n de impresi n con etiquetas tareas 215 Etiquetas impresoras e impresi n Sistema de origen Sistema de servidor de impresi n Acci n Resultados Trusted Solaris 8 Trusted Solaris 8 Trusted Extensions Trusted Extensions Configure la impresi n en tnrhdb de Trusted Solaris 8 asigne una plantilla con el rango de etiquetas adecuado al servidor de impresi n de Trusted Extensions Puede ser con una etiqueta CIPSO o sin etiquetas Autorice alos usuarios en el sistema Trusted Solaris 8 cree un perfil que agregue las autorizaciones necesarias Asigne el perfil a los usuarios La impresora de Trusted Extensions puede imprimir trabajos desde un sistema Trusted Solaris 8 dentro del rango de etiquetas de la impresora Los usuarios de Trusted Solaris 8 pueden enumerar o cancelar los trabajos de impresi n que env en a una impresora de Trusted Extensions Los usuarios no pueden ver ni eliminar trabajos en una
152. as LDAP Los archivos auto_home_nombre de zona en otros sistemas de la red se actualizan desde la base de datos LDAP Montaje de un directorio principal de nivel inferior en un sistema que se administra mediante archivos En este ejemplo el administrador del sistema habilita a los usuarios para que accedan a sus directorios principales en cada etiqueta Las etiquetas del sitio son PUBLIC INTERNAL y NEEDTOKNOW Este sitio utiliza dos servidores de directorios principales y se administra mediante el uso de archivos El segundo servidor contiene los directorios principales para los usuarios jdoe y pkai Para completar esta tarea el administrador del sistema define los directorios principales NFS de la zona public y comparte esta configuraci n con las zonas internal y needtoknow En primer lugar despu s de asumir el rol de administrador del sistema el administrador crea un espacio de trabajo en la etiqueta PUBLIC En este espacio de trabajo el administrador crea un archivo nuevo export home auto_home public Este archivo contiene todas las entradas de especificaci n NFS personalizadas por usuario Cap tulo 11 Gesti n y montaje de archivos en Trusted Extensions tareas 159 Copia de seguridad uso compartido y montaje de archivos con etiquetas mapa de tareas 160 Antes de empezar Jexport home auto_home_ public file at PUBLIC label jdoe homedir2 server export home jdoe pkai homedir2 server export home pkai home
153. as ipTnetTemplate y ipTnetHost Los atributos se definen de la siguiente manera ipTnetNumber 1 3 6 1 1 1 1 34 NAME ipTnetNumber DESC Trusted network host or subnet address Procedimientos de administradores de Oracle Solaris Trusted Extensions Agosto de 2011 Uso del servicio de nombres en Trusted Extensions EQUALITY caseExactlIA5Match SYNTAX 1 3 6 1 4 1 1466 115 121 1 26 SINGLE VALUE ipTnetTemplateName 1 3 6 1 1 1 1 35 NAME ipTnetTemplateName DESC Trusted network template name EQUALITY caseExactIA5Match SYNTAX 1 3 6 1 4 1 1466 115 121 1 26 SINGLE VALUE Las clases de objeto se definen de la siguiente manera ipTnetTemplate 1 3 6 1 1 1 2 18 NAME ipTnetTemplate SUP top STRUCTURAL DESC Object class for Trusted network host templates MUST ipTnetTemplateName MAY SolarisAttrkKeyValue ipTnetHost 1 3 6 1 1 1 2 19 NAME ipTnetHost SUP top AUXILIARY DESC Object class for Trusted network host subnet address to template mapping MUST ipTnetNumber ipTnetTemplateName La plantilla de definici n cipso en LDAP es similar a la siguiente ou ipTnet dc example dc examplel dc exampleco dc com objectClass top objectClass organizationalUnit ou ipTnet ipTnetTemplateName cipso ou ipTnet dc example dc examplel dc exampleco dc com objectClass top objectClass ipTnetTemplate ipTnetTemplateName cipso SolarisAttrKeyValue host_type cipso doi 1 min_sl ADMIN_LOW max_sl ADMIN_ HIGH ipT
154. as eas Etre Assume root Rola Assume root Role hange Password Change Password Allocate Device Allocate Device Quy Winia I abel Query Windir i abid Lepe Help z Ll z tas a o H LO rea de selecci n de espacios de trabajo b Seleccione Assume rolename Role del men Trusted Path Cap tulo 3 Introducci n para administradores de Trusted Extensions tareas 53 Introducci n para administradores de Trusted Extensions mapa de tareas Antes de empezar 54 Cuando aparezca el indicador escriba la contrase a de rol En Trusted CDE se crea un nuevo espacio de trabajo de rol el bot n de selecci n de espacios de trabajo se cambia al color del escritorio del rol y la barra de t tulo de cada ventana muestra el t tulo Trusted Path En Trusted JDS el espacio de trabajo actual cambia al espacio de trabajo del rol En Trusted CDE si desea salir del espacio de trabajo de un rol debe usar el mouse para seleccionar el espacio de trabajo de un usuario com n Tambi n puede eliminar el ltimo espacio de trabajo de rol para salir de un rol En Trusted JDS debe hacer clic en el nombre de rol en la banda de confianza y luego seleccionar del men un rol o usuario diferente Esta acci n cambia el espacio de trabajo actual al proceso del nuevo rol o usuario C mo salir de la zona global en Trusted Extensions Las ubicaciones del men para salir de un rol son diferentes en Trusted JDS y en Trusted CDE Debe encontrarse e
155. as responsabilidades del administrador de la seguridad se incluyen las siguientes 1 Asegurarse de que el programador y el proceso de distribuci n del programa sean de confianza 2 A partir de una de las siguientes fuentes determinar qu privilegios requiere el programa m Preguntar al programador Buscar en el c digo de origen los privilegios que el programa prev utilizar Buscar en el c digo de origen las autorizaciones que el programa requiere de los usuarios Usar las opciones de depuraci n para el comando ppriva fin de buscar la utilizaci n del privilegio Para ver ejemplos consulte la p gina del comando man ppriv 1 3 Examinar el c digo de origen para asegurarse de que se comporte de manera confiable con relaci n a los privilegios que el programa necesita para operar 278 Procedimientos de administradores de Oracle Solaris Trusted Extensions Agosto de 2011 Procesos de confianza en el sistema de ventanas Si el programa no puede utilizar los privilegios de manera confiable y usted puede modificar el c digo de origen del programa modifique el c digo Un consultor de seguridad o un desarrollador que tenga conocimientos sobre la seguridad puede modificar el c digo Las modificaciones pueden incluir la separaci n de privilegios o la comprobaci n de autorizaciones La asignaci n de privilegios debe realizarse manualmente Se pueden asignar privilegios a un programa que falla debido a la falta de privilegi
156. as zonas con etiquetas consulte el Ejemplo 13 16 Zonas e ICMP en Trusted Extensions Las redes transmiten mensajes de difusi n y env an paquetes de ICMP a los sistemas de la red En un sistema de varios niveles estas transmisiones pueden colapsar el sistema en cada etiqueta De manera predeterminada la pol tica de red para las zonas con etiquetas requiere que los paquetes de ICMP se reciban nicamente en la etiqueta que coincide Procesos de la zona global y de las zonas con etiquetas En Trusted Extensions la pol tica de MAC se aplica a todos los procesos incluso los procesos de la zona global Los procesos de la zona global se ejecutan en la etiqueta ADMIN_HIGH Cuando se comparten los archivos de una zona global se comparten en la etiqueta ADMIN_LOW Por lo tanto dado que MAC impide que un proceso con una etiqueta superior modifique un objeto de nivel inferior generalmente la zona global no puede escribir en un sistema montado en NFS 128 Sin embargo en un n mero limitado de los casos las acciones en una zona con etiquetas puede requerir que un proceso de la zona global modifique un archivo en dicha zona A fin de habilitar un proceso de la zona global para que monte un sistema de archivos remoto con permisos de lectura y escritura el montaje debe estar en la ruta de la zona cuya etiqueta corresponde a la del sistema de archivos remoto El montaje no debe estar en la ruta root de la zona m Fl sistema de montaje debe tene
157. ates o Trusted Network Zones En general debe ejecutar este comando para comprobar la sintaxis de los archivos de las bases de datos que est configurando para que se usen en el futuro Debe estar en la zona global en un rol que pueda verificar la configuraci n de la red El rol de administrador de la seguridad y el rol de administrador del sistema pueden verificar esta configuraci n En una ventana de terminal ejecute el comando tnchkdb tnchkdb h tarhdb path t tarhtp path z tnzonecfg path checking etc security tsol tnrhtp checking etc security tsol tnrhdb checking etc security tsol tnzonecfg Procedimientos de administradores de Oracle Solaris Trusted Extensions Agosto de 2011 Configuraci n de rutas y comprobaci n de la informaci n de red en Trusted Extensions mapa de tareas Ejemplo 13 15 Antes de empezar Comprobaci n de la sintaxis de una base de datos de red de prueba En este ejemplo el administrador de la seguridad prueba un archivo de base de datos de red para su posible uso Primero el administrador usa la opci n incorrecta Los resultados de la comprobaci n se imprimen en la l nea para el archivo tnrhdb tnchkdb h opt secfiles trial tnrhtp checking etc security tsol tnrhtp checking opt secfiles trial tnrhtp line 12 Illegal name min_s1 ADMIN_LOW max_sl ADMIN_HIGH line 14 Illegal name min_s1 ADMIN_LOW max_sl ADMIN_HIGH checking etc security tsol tnzonecfg
158. atorio Es posible tener m s etiquetas que zonas con etiquetas en un sistema No es posible tener m s zonas con etiquetas que etiquetas Por lo general en el sistema Trusted Extensions los sistemas de archivos de una zona suelen montarse en bucle de retorno como sistemas de archivos de bucle de retorno LOFS Loopback File System Todos los archivos y directorios que se pueden escribir en una zona con etiquetas se encuentran en la etiqueta de la zona De manera predeterminada el usuario puede visualizar los archivos que est n en una zona de una etiqueta inferior a la etiqueta actual del usuario Esta configuraci n permite a los usuarios ver sus directorios principales en las etiquetas inferiores a la etiqueta del espacio de trabajo actual Aunque los usuarios pueden ver los archivos en una etiqueta inferior no pueden modificarlos Los usuarios pueden modificar solamente los archivos de un proceso que tenga la misma etiqueta que el archivo En Trusted Extensions la zona global es una zona administrativa Las zonas con etiquetas son para los usuarios comunes Los usuarios pueden trabajar en una zona cuya etiqueta se encuentre dentro del rango de acreditaci n del usuario 125 Zonas en Trusted Extensions Cada zona tiene una direcci n IP asociada y atributos de seguridad Las zonas pueden configurarse con puertos de varios niveles MLP Multilevel Ports Asimismo las zonas se pueden configurar con una pol tica para la difusi n del pro
159. atos reales El paquete IPv6 de Trusted Extensions incluye una opci n de seguridad de varios niveles en el encabezado con extensiones Encabezado IPv6 con extensiones TCP UDP o SCTP Datos Comunicaciones de la red de confianza Trusted Extensions admite hosts con etiquetas y sin etiquetas en una red de confianza LDAP es un servicio de nombres completamente admitido Varios comandos e interfaces gr ficas de usuario permiten la administraci n de la red Procedimientos de administradores de Oracle Solaris Trusted Extensions Agosto de 2011 La red de confianza Los sistemas que ejecutan el software de Trusted Extensions admiten las comunicaciones de red entre los hosts de Trusted Extensions y cualquiera de los siguientes tipos de sistemas Otros sistemas que ejecutan Trusted Extensions Los sistemas que ejecutan sistemas operativos que no reconocen atributos de seguridad pero admiten TCP IP como los sistemas de Oracle Solaris otros sistemas UNIX Microsoft Windows y Macintosh OS Los sistemas que ejecutan otros sistemas operativos de confianza que reconocen etiquetas CIPSO Como en el SO Oracle Solaris el servicio de nombres puede administrar las comunicaciones y los servicios de red de Trusted Extensions Trusted Extensions agrega las siguientes interfaces a las interfaces de red de Oracle Solaris Trusted Extensions agrega tres bases de datos de configuraci n de la red tnzonecfg tnrhdb y tnrhtp Para ob
160. b con privilegios que pueda recibir todas las etiquetas pero cuyas respuestas est n restringidas por etiqueta De manera predeterminada las zonas con etiquetas no tienen puertos de varios niveles El rango o el conjunto de etiquetas que restringe los paquetes que el puerto de varios niveles puede aceptar se basan en la direcci n IP de la zona Se asigna a la direcci n IP una plantilla de host remoto en la base de datos tnrhdb El rango o el conjunto de etiquetas en la plantilla del host remoto restringen los paquetes que el puerto de varios niveles puede aceptar ma Las restricciones en los puertos de varios niveles para las configuraciones de direcciones IP diferentes son las siguientes En los sistemas en que la zona global tiene una direcci n IP y cada zona con etiquetas tiene una sola direcci n IP se puede agregar un puerto de varios niveles para un servicio en particular a cada zona Por ejemplo el sistema podr a configurarse para que el servicio ssh mediante el puerto TCP 22 sea un puerto de varios niveles en la zona global y en cada zona con etiquetas En una configuraci n t pica a la zona global se le asigna una direcci n IP y las zonas con etiquetas comparten una segunda direcci n IP con la zona global Cuando se agrega un puerto de varios niveles a una interfaz compartida el paquete de servicio se enruta hacia la zona con etiquetas donde se define el puerto de varios niveles El paquete se acepta nicamente si la pl
161. bel_encodings 4 Tambi n se puede encontrar informaci n detallada en Oracle Solaris Trusted Extensions Label Administration y Compartmented Mode Workstation Labeling Encodings Format Procedimientos de administradores de Oracle Solaris Trusted Extensions Agosto de 2011 Conceptos b sicos de Trusted Extensions Rangos de etiquetas Un rango de etiquetas es el conjunto de etiquetas potencialmente utilizables en que pueden operar los usuarios Tanto los usuarios como los recursos tienen rangos de etiquetas Los rangos de etiquetas pueden proteger recursos que incluyen elementos como dispositivos asignables redes interfaces b feres de trama y comandos o acciones Un rango de etiquetas est definido por una acreditaci n en la parte superior del rango y una etiqueta m nima en la parte inferior Un rango no incluye necesariamente todas las combinaciones de etiquetas que se ubican entre una etiqueta m xima y una etiqueta m nima Las reglas del archivo label_encodings pueden inhabilitar algunas combinaciones Una etiqueta debe estar bien formada es decir deben permitirla todas las reglas aplicables del archivo de codificaciones de etiqueta a fin de que pueda incluirse en un rango No obstante no es necesario que una acreditaci n est bien formada Imagine por ejemplo que un archivo label_encodings proh be todas las combinaciones de los compartimientos Eng Mkt y Fin de una etiqueta INTERNAL Eng Mkt Fin ser a una acreditaci n v
162. bla de enrutamiento de Trusted Extensions pueden incorporar atributos de seguridad Los atributos de seguridad pueden incluir una palabra clave cipso Los atributos de seguridad deben incluir una etiqueta m xima una etiqueta m nima y un DOI En las entradas que no proporcionan atributos de seguridad se utilizan los atributos de la plantilla de seguridad de la puerta de enlace Comprobaciones de acreditaciones de Trusted Extensions Por motivos de seguridad el software de Trusted Extensions determina la idoneidad de una ruta El software efect a una serie de pruebas que se denominan comprobaciones de acreditaciones en el host de origen el host de destino y las puertas de enlace intermedias Nota En la explicaci n siguiente la comprobaci n de acreditaci n de un rango de etiquetas tambi n implica la comprobaci n de un conjunto de etiquetas de seguridad La comprobaci n de acreditaci n controla el rango de etiquetas y la informaci n de la etiqueta CIPSO Los atributos de seguridad de una ruta se obtienen de la entrada de la tabla de enrutamiento o de la plantilla de seguridad de la puerta de enlace si la entrada no tiene atributos de seguridad Procedimientos de administradores de Oracle Solaris Trusted Extensions Agosto de 2011 Descripci n general del enrutamiento en Trusted Extensions En las comunicaciones entrantes el software de Trusted Extensions obtiene etiquetas de los mismos paquetes siempre que sea posible La ob
163. c fica En Trusted Extensions los usuarios comunes no utilizan este comando Agregar la opci n a para mostrar los atributos del dispositivo como las autorizaciones y las etiquetas Agregar la opci n d para mostrar los atributos predeterminados de un tipo de dispositivo asignado Agregar la opci n z para mostrar los dispositivos disponibles que pueden asignarse a una zona con etiquetas Para obtener m s informaci n C mo asignar un dispositivo en Trusted Extensions de Gu a del usuario de Oracle Solaris Trusted Extensions C mo asignar un dispositivo en Trusted Extensions de Gu a del usuario de Oracle Solaris Trusted Extensions Consulte la p gina del comando man tar 1 Agregar la opci n T para archivar y extraer los C mo realizar copias de seguridad de los archivos y directorios que tengan etiquetas archivos en Trusted Extensions en la p gina 152 y C mo restaurar archivos en Trusted Extensions en la p gina 153 auditconfig 1M Agregar las opciones de pol tica de auditor a How to Configure Audit Policy de System windata_down ywindata_up Administration Guide Security Services auditreduce 1M Agregar la opci n 1 para seleccionar los registros de Howto Select Audit Events From the auditor a por etiqueta Audit Trail de System Administration Guide Security Services automount 1M Modificar los nombres y los contenidos de los mapas Cambios en el montador autom tico en auto_
164. cada etiqueta a fin de especificar el servidor de correo El servidor de correo puede ser el mismo o uno diferente para cada una de las etiquetas pero el servidor debe estar especificado La herramienta de listas de correo de Solaris Management Console administra los alias de Correo Seg n el mbito de la caja de herramientas de Solaris Management Console seleccionada puede actualizar el archivo local etc aliases o la entrada de LDAP en el Oracle Directory Server Enterprise Edition El software de Trusted Extensions comprueba las etiquetas del host y del usuario antes de enviar o reenviar correo ma El software comprueba que el correo se encuentre dentro del rango de acreditaci n del host Las comprobaciones se describen en esta lista y en el Cap tulo 13 Gesti n de redes en Trusted Extensions tareas El software comprueba que el correo se encuentre entre la autorizaci n de la cuenta y la etiqueta m nima Los usuarios pueden leer el correo electr nico que se recibe dentro del rango de acreditaci n Durante una sesi n los usuarios pueden leer el correo solamente en su etiqueta actual Para ponerse en contacto con un usuario com n mediante correo electr nico un rol administrativo debe enviar un correo desde un espacio de trabajo que se encuentre en una etiqueta que el usuario pueda leer Por lo general la etiqueta predeterminada del usuario es una buena opci n Procedimientos de administradores de Oracle Solar
165. cal 212 etiquetado del servidor de impresi n de Oracle Solaris 233 234 gesti n 209 217 impedir etiquetas en el resultado 232 233 internacionalizaci n del resultado con etiquetas 212 interoperatividad con Trusted Solaris 8 215 216 localizaci n del resultado con etiquetas 212 restricci n del rango de etiquetas 230 231 restricciones PostScript en Trusted Extensions 213 215 secuencias de comandos del modelo 214 sin etiquetas de p ginas 97 99 234 sin p ginas de la car tula y del ubicador con etiquetas 97 99 235 trabajos p blicos de un servidor de impresi n de Oracle Solaris 234 uso del servidor de impresi n de Oracle Solaris 233 234 y archivo label_encodings 30 impresi n con etiquetas archivos PostScript 235 237 clientes Sun Ray 220 224 eliminaci n de etiqueta 97 99 eliminaci n de restricci n PostScript 97 99 p ginas de la car tula 211 213 306 Procedimientos de administradores de Oracle Solaris Trusted Extensions impresi n con etiquetas Continuaci n p ginas del cuerpo 211 sin p gina de car tula 97 99 sin p ginas de la car tula 235 impresi n con una sola etiqueta configuraci n para una zona 227 228 impresi n de varios niveles acceso mediante cliente deimpresi n 228 230 clientes Sun Ray 224 226 configuraci n 218 220 impresi n en cascada 224 226 impresi n sin etiquetas configuraci n 231 237 impresoras configuraci n de rango de etiquetas 241 informaci n de seguridad e
166. cambiar el intervalo de sondeo Para obtener detalles consulte la p gina del comando man tnd 1M tninfo este comando muestra los detalles del estado actual de la antememoria del n cleo de la red de confianza Es posible filtrar los resultados por zona plantilla de seguridad o nombre de host Para obtener detalles consulte la p gina del comando man tninfo 1M Trusted Extensions agrega opciones a los siguientes comandos de red de Oracle Solaris ifconfig el indicador de interfaz all zones de este comando pone la interfaz especificada a disposici n de todas las zonas del sistema La zona adecuada para entregar los datos se encuentra determinada por la etiqueta que est asociada con los datos Para obtener detalles consulte la p gina del comando man ifconfig 1M netstat la opci n R ampl a el uso de netstat de Oracle Solaris para mostrar informaci n espec fica de Trusted Extensions como los atributos de seguridad para sockets de varios niveles y las entradas de la tabla de enrutamiento Los atributos de seguridad ampliados incluyen la etiqueta del igual y establecen si el socket es espec fico para una zona o si est disponible para varias zonas Para obtener detalles consulte la p gina del comando man netstat 1M route la opci n secattr ampl a el uso de route de Oracle Solaris para mostrar los atributos de seguridad de la ruta El valor de la opci n tiene el siguiente formato min_sl label max_sl label doi integer ci
167. cesos de confianza en el sistema de ventanas en la p gina 279 m Gesti n de software en Trusted Extensions tareas en la p gina 280 Adici n de software a Trusted Extensions Los programas de software que pueden agregarse a un sistema Oracle Solaris tambi n pueden agregarse a un sistema que est configurado con Trusted Extensions Adem s es posible agregar los programas que utilizan las API de Trusted Extensions La adici n de software a un sistema Trusted Extensions es similar a la adici n de software a un sistema Oracle Solaris que ejecuta zonas no globales Por ejemplo los problemas de empaquetado afectan los sistemas que tienen zonas no globales Los par metros de los paquetes definen lo siguiente F mbito de la zona del paquete el mbito determina el tipo de zona en que puede instalarse un paquete espec fico Lavisibilidad del paquete la visibilidad determina si un paquete debe ser instalado e id ntico en todas las zonas Lalimitaci n del paquete una limitaci n es que un paquete deba instalarse en la zona actual nicamente En Trusted Extensions los programas suelen instalarse en la zona global para que puedan utilizarlos los usuarios comunes en las zonas con etiquetas Para obtener detalles sobre la instalaci n de paquetes en las zonas consulte el Cap tulo 25 About Packages and Patches ona Solaris System With Zones Installed Overview de System Administration Guide Oracle Solaris Conta
168. chivos entre etiquetas en Trusted CDE de Gu a del usuario de Oracle Solaris Trusted Extensions Adjuntar un conjunto de datos de ZFS a una zona con etiquetas y compartirlo Montar un conjunto de datos de ZFS con permisos de lectura y escritura en una zona con etiquetas y compartir la parte de s lo lectura del conjunto de datos con una zona superior C mo compartir un conjunto de datos de ZFS desde una zona con etiquetas en la p gina 137 Configurar una zona nueva Crear una zona en una etiqueta que no se est utilizando actualmente para etiquetar una zona en este sistema Consulte Asignaci n de nombre y etiquetado de zona de Gu a de configuraci n de Oracle Solaris Trusted Extensions Luego siga el procedimiento que el equipo de configuraci n inicial utiliz para crear las otras zonas Para conocer los pasos consulte Creaci n de zonas con etiquetas de Gu a de configuraci n de Oracle Solaris Trusted Extensions Crear un puerto de varios niveles para una aplicaci n Los puertos de varios niveles son tiles para los programas que requieren un avance de varios niveles en una zona con etiquetas C mo configurar un puerto de varios niveles para NFSv3 mediante udp en la p gina 141 C mo crear un puerto de varios niveles para una zona en la p gina 142 Resolver problemas de montaje NFS y de acceso Depurar problemas de acceso generales para los montajes
169. ci n Para obtener instrucciones Configurar una impresora para que no etiquete el resultado Impedir la impresi n de informaci n de seguridad en las p ginas del cuerpo y eliminar las p ginas de la car tula y del ubicador C mo eliminar las etiquetas del resultado de la impresi n en la p gina 232 Configurar las impresoras en una sola etiqueta sin resultado con etiquetas Habilitar a los usuarios para que impriman con una etiqueta espec fica en una impresora de Oracle Solaris Los trabajos de impresi n no se marcan con etiquetas C mo asignar una etiqueta a un servidor de impresi n sin etiquetas en la p gina 233 Eliminar las etiquetas visibles de las p ginas del cuerpo Modificar el archivo tsol_separator ps para impedir que las p ginas del cuerpo de todos los trabajos de impresi n que se env an desde un host de Trusted Extensions tengan etiquetas C mo eliminar las etiquetas de las p ginas de todos los trabajos de impresi n en la p gina 234 Suprimir las p ginas de la car tula y del ubicador Autorizar a usuarios espec ficos para que impriman trabajos sin las p ginas de la car tula y del ubicador C mo suprimir las p ginas de la car tula y del ubicador para usuarios espec ficos en la p gina 235 Habilitar usuarios de confianza para que impriman trabajos sin etiquetas Habilitar la impresi n de archivos PostScript Autorizar a usuarios espec
170. ci n de bases de datos de red de confianza mapa de tareas Antes de empezar Precauci n La plantilla predeterminada admin_low puede ser un riesgo de seguridad en una red de Trusted Extensions Si la seguridad del sitio requiere una protecci n elevada el administrador de la seguridad puede eliminar la entrada de comod n 0 0 0 0 despu s de que se instala el sistema La entrada debe reemplazarse con entradas para cada host con el que el sistema se contacta durante el inicio Por ejemplo los servidores DNS los servidores del directorio principal los servidores de auditor a las direcciones de difusi n y multidifusi n y los enrutadores deben estar en el archivo local tnrhdb uva vez que se elimine la entrada de comod n 0 0 0 0 Si al inicio una aplicaci n reconoce clientes en la direcci n de host 0 0 0 0 debe agregar la entrada de host 0 0 0 0 32 admin_lowa la base de datos tnrhdb Por ejemplo para recibir las solicitudes de conexi n inicial de los posibles clientes Sun Ray los servidores Sun Ray deben incluir esta entrada A continuaci n cuando el servidor reconoce los clientes se proporciona una direcci n IP a los clientes y se los conecta como clientes CIPSO Debe estar en el rol de administrador de la seguridad en la zona global Todos los hosts que se deben contactar en el momento del inicio deben existir en la herramienta Computers and Networks En Solaris Management Console vaya a la herramienta Security Templa
171. cliente el privilegio net_mac_aware debe especificarse en el archivo de configuraci n de la zona que se utiliza durante la etapa inicial de configuraci n de la zona Por lo tanto el usuario que tenga permiso para ver todos los directorios principales de nivel inferior tambi n debe tener el privilegio net_mac_aware en cada zona excepto en la zona m s inferior Para ver un ejemplo consulte C mo montar archivos en NFS en una zona con etiquetas en la p gina 155 EJEMPLO 11 1 C mo proporcionar acceso alos directorios principales de nivel inferior En el servidor del directorio principal el administrador crea y modifica el archivo zone labeled zone etc dfs dfstab en cada zona con etiquetas El archivo dfstab exporta el directorio export home con permisos de lectura y escritura De este modo cuando el directorio se monta en la misma etiqueta se puede escribir en el directorio principal Para exportar el directorio export home de PUBLIC el administrador crea un espacio de trabajo en la etiqueta PUBLIC en el servidor del directorio principal y desde la zona global modifica el archivo zone public etc dfs dfstab Procedimientos de administradores de Oracle Solaris Trusted Extensions Agosto de 2011 Acceso alos directorios montados de NFS en Trusted Extensions EJEMPLO 11 1 C mo proporcionar acceso alos directorios principales de nivel inferior Continuaci n En el cliente el administrador de la zona global comprueba que cada z
172. con etiqueta inferior a fin de que se ale al archivo que reci n se rellen c Modifique el archivo etc auto_home_nombre de zona con etiqueta inferioren cada zona de nivel superior a fin de que apunte al archivo que cre en el Paso a Si desea ver un ejemplo consulte el Ejemplo 11 7 Montaje de archivos en una zona con etiquetas con el comando mount En este ejemplo el administrador del sistema monta un sistema de archivos remoto desde una zona public La zona public est en un servidor de varios niveles Despu s de asumir el rol de administrador del sistema el administrador crea un espacio de trabajo en la etiqueta PUBLIC En ese espacio de trabajo el administrador ejecuta el comando mount zonename public mount F nfs remote sys zone public root opt docs opt docs El servidor de archivos de una sola etiqueta en la etiqueta PUBLIC tambi n contiene documentos que se deben montar mount F nfs public sys publicdocs opt publicdocs Cuando la zona public del servidor de archivos remote sys se encuentra en estado ready o running los archivos remote sys se montan correctamente en este sistema Cuando el servidor de archivos public sys se est ejecutando los archivos se montan correctamente Montaje de archivos de lectura y escritura en una zona con etiquetas mediante la modificaci n del archivo vfstab En este ejemplo el administrador del sistema monta dos sistemas de archivos remotos en la etiqueta PUBLIC en l
173. conexi n de cliente con el servidor LDAP conccnninciincnnnnonnnononaneninos 205 Correo de varios niveles en Trusted Extensions descripci n general 207 Servicio de correo de varios nivel vidad ida diia 207 Funciones de c rreo de Trusted EXtenSiONS iii iia iii 207 Procedimientos de administradores de Oracle Solaris Trusted Extensions Agosto de 2011 Contenido 15 Gesti n de impresi n con etiquetas tareas ooocicidinnnnncicinnnonccconnconocononononcncr no cono nononnrnnnos 209 Etiquetas impresoras IMPTESI N aiii ae iia 209 Restricci n del acceso a las impresoras y a la informaci n de trabajos de impresi n en Trusted EXtensiONS visera ii iii dd didas 210 Resultado de impresi n CON tiQUEaS cocoonccononennnnnnnonnncnncnncncncnnononcnn coronan rana coran araannn 210 Impresi n PostScript de la informaci n de seguridad ccocconicinninnnncnnancncerncnrncnrnrcnios 213 Interoperabilidad de Trusted Extensions con la impresi n de Trusted Solaris 8 215 Interfaces de impresi n de Trusted Extensions referencia coccicinononinnnmmrmss 216 Gesti n de impresi n en Trusted Extensions mapa de tareas oocoononinnnnnnnnnnnncnnncnnecncaccnanes 217 Configuraci n de impresi n con etiquetas mapa de tareas cooconcncinnnnnnnnncnnnnnneciocncncannonconannes 218 Y C mo configurar un servidor de impresi n de varios niveles y sus impresoras u 218 Y C mo configurar una impres
174. ctura en sentido descendente funcionan para NFSv3 con la configuraci n predeterminada Si eventualmente llegara a restringir los montajes en NFSv3 para que se use el protocolo udp en las operaciones NES iniciales y posteriores debe crear un MLP para las operaciones NFS que usan el protocolo udp Para conocer el procedimiento consulte C mo configurar un puerto de varios niveles para NFSv3 mediante udp en la p gina 141 Un host que est configurado con Trusted Extensions tambi n puede compartir sus propios sistemas de archivos con hosts sin etiquetas Un archivo o directorio que se exporta a un host sin etiquetas se puede escribir si su etiqueta es igual a la etiqueta asociada con el host remoto en sus entradas de base de datos de conexi n de redes de confianza Un archivo o directorio que se exporta a un host sin etiquetas se puede leer nicamente si su etiqueta est dominada por la etiqueta que est asociada con el host remoto Las comunicaciones con los sistemas que ejecutan una versi n del software de Trusted Solaris son posibles en una sola etiqueta Los sistemas Trusted Extensions y Trusted Solaris deben asignar al otro sistema una plantilla con el tipo de host sin etiquetas Los tipos de host sin etiquetas deben especificar la misma etiqueta sola Como cliente NES sin etiquetas de un servidor de Trusted Solaris la etiqueta del cliente no puede ser ADMIN_LOW El protocolo NES que se utiliza es independiente del tipo de sistema d
175. cu l es el momento adecuado para hacerlo Roles y Trusted Extensions En un sistema que ejecuta el software de Oracle Solaris sin Trusted Extensions los roles son opcionales En un sistema que est configurado con Trusted Extensions los roles son necesarios Los roles de administrador del sistema y de administrador de la seguridad administran el sistema En algunos casos se utiliza el rol root Como en el SO Oracle Solaris los perfiles de derechos son la base de las capacidades de un rol Trusted Extensions proporciona dos perfiles de derechos el de seguridad de la informaci n y el de seguridad del usuario Estos dos perfiles definen el rol de administrador de la seguridad Los programas que est n disponibles para un rol en Trusted Extensions tienen una propiedad especial el atributo de la ruta de confianza Este atributo indica que el programa es parte de la TCB El atributo de la ruta de confianza est disponible cuando un programa se inicia desde la zona global Para obtener informaci n sobre los roles consulte la Parte III Roles Rights Profiles and Privileges de System Administration Guide Security Services Etiquetas en el software de Trusted Extensions Las etiquetas y las acreditaciones son fundamentales para el control de acceso obligatorio MAC en Trusted Extensions Determinan qu usuarios pueden acceder a qu programas archivos y directorios Las etiquetas y las acreditaciones contienen un componente de clas
176. d que brindan mayor protecci n en Trusted Extensions Trusted Extensions establece valores predeterminados de seguridad que brindan mayor protecci n que el SO Oracle Solaris Auditor a Dispositivos Impresi n De manera predeterminada la auditor a est habilitada El administrador puede desactivar la auditor a Sin embargo la auditor a suele requerirse en sitios que instalan Trusted Extensions De manera predeterminada la asignaci n de dispositivos est habilitada De manera predeterminada la asignaci n de dispositivos requiere autorizaci n Por lo tanto de manera predeterminada los usuarios comunes no pueden utilizar los medios extra bles El administrador puede eliminar el requisito de autorizaci n Sin embargo la asignaci n de dispositivos suele requerirse en sitios que instalan Trusted Extensions Los usuarios comunes pueden imprimir nicamente en las impresoras que incluyen la etiqueta del usuario en el rango de etiquetas de la impresora De manera predeterminada el resultado de la impresi n tiene las p ginas de la car tula y del ubicador Estas p ginas y las p ginas del cuerpo incluyen la etiqueta del trabajo de impresi n 286 Procedimientos de administradores de Oracle Solaris Trusted Extensions Agosto de 2011 Opciones limitadas en Trusted Extensions De manera predeterminada los usuarios no pueden imprimir archivos PostScript Roles Los roles est n disponibles en el SO Oracle So
177. de ayuda ampliada vaya al men Help o haga clic en los enlaces de la ayuda contextual Para obtener m s informaci n consulte el Cap tulo 2 Working With the Solaris Management Console Tasks de System Administration Guide Basic Administration Tambi n consulte Using the Solaris Management Tools With RBAC Task Map de System Administration Guide Basic Administration Procedimientos de administradores de Oracle Solaris Trusted Extensions Agosto de 2011 Generador de etiquetas en Trusted Extensions Generador de etiquetas en Trusted Extensions La interfaz gr fica de usuario del generador de etiquetas aplica la etiqueta v lida o la acreditaci n que usted elija cuando un programa le solicite que asigne una etiqueta Por ejemplo un generador de etiquetas aparece durante el inicio de sesi n consulte el Cap tulo 2 Inicio de sesi n en Trusted Extensions tareas de Gu a del usuario de Oracle Solaris Trusted Extensions El generador de etiquetas tambi n aparece cuando cambia la etiqueta de un espacio de trabajo o cuando asigna una etiqueta a un usuario una zona o una interfaz de red en Solaris Management Console El siguiente generador de etiquetas aparece cuando asigna un rango de etiquetas a un nuevo dispositivo ADMIN_LOW j Y En el generador de etiquetas los nombres de los componentes en la columna Classification corresponden a la secci n CLASSIFICATIONS del archivo label_encodings Los nombres de los
178. de configuraci n LDAP es un ejemplo de un servicio de nombres El archivo nsswitch conf determina qu servicio de nombres se utiliza LDAP es el servicio de nombres recomendado para Trusted Extensions El servidor de directorios puede proporcionar el servicio de nombres LDAP para los clientes de Trusted Extensions y Oracle Solaris El servidor debe incluir bases de datos de red de Trusted Extensions y los clientes de Trusted Extensions deben conectarse al servidor mediante un puerto de varios niveles El administrador de la seguridad especifica el puerto de varios niveles cuando configura Trusted Extensions 119 Uso del servicio de nombres en Trusted Extensions 120 Trusted Extensions agrega dos bases de datos de red de confianza al servidor LDAP tnrhdb y tnrhtp Estas bases se administran mediante la herramienta Security Templates de Solaris Management Console Una caja de herramientas de Scope LDAP Policy TSOL almacena los cambios de configuraci n en el servidor de directorios m Para obtener informaci n sobre el uso del servicio de nombres LDAP en el SO Oracle Solaris consulte la Gu a de administraci n del sistema Servicios de nombres y directorios DNS NIS y LDAP La configuraci n de los clientes del servidor de directorios para Trusted Extensions se describe en la Gu a de configuraci n de Oracle Solaris Trusted Extensions Los sistemas Trusted Extensions pueden ser clientes de un servidor LDAP de Oracle Solaris media
179. de las opciones de IP no es consistente con la acreditaci n del destino m Es posible configurar otros tipos de enrutadores que no ejecutan el software de Trusted Extensions para transferir los paquetes o descartar aquellos paquetes que incluyan la opci n CIPSO S lo las puertas de enlace que reconozcan CIPSO como las que ofrece Trusted Extensions pueden utilizar el contenido de la opci n de IP CIPSO para aplicar el MAC A fin de admitir el enrutamiento de confianza se ampliaron las tablas de enrutamiento de Solaris 10 para incluir los atributos de seguridad de Trusted Extensions En Entradas de la tabla de enrutamiento en Trusted Extensions en la p gina 174 se describen los atributos Trusted Extensions admite el enrutamiento est tico en el que el administrador crea manualmente las entradas de la tabla de enrutamiento Para obtener detalles consulte la opci n p en la p gina del comando man route 1M El software de enrutamiento intenta buscar una ruta para el host de destino en las tablas de enrutamiento Cuando el host no est nombrado de manera expl cita el software de enrutamiento busca una entrada para la subred donde reside el host Cuando no est n definidos ni el host ni la red donde reside el host el host env a el paquete a una puerta de enlace predeterminada en caso de que est definida Se pueden definir varias puertas de enlace predeterminadas y todas son tratadas del mismo modo En esta versi n de Trusted Ext
180. del tiempo de espera para volver a etiquetar 93 94 bloqueo de cuentas impedir 101 buscar equivalente de la etiqueta en formato de texto 74 75 equivalente de la etiqueta en hexadecimal 73 74 C cajas de herramientas defined 38 cambiar valores predeterminados de seguridad del sistema 75 76 valores predeterminados del confirmador de selecci n 66 cambio etiquetas de usuarios autorizados 102 nivel de seguridad de datos 102 palabra clave IDLETIME 89 90 privilegios de usuario 99 101 cambios reglas para cambios de etiquetas 66 carpeta Trusted_Extensions ubicaci n 34 uso de acciones en 56 57 uso de Admin Editor desde 57 58 301 ndice cierre de sesi n requisito 89 90 clase de auditor a xc 267 clase de auditor a xp 267 clase de auditor a xs 267 clase de auditor a xx 267 clases de auditor a para Trusted Extensions lista de clases de auditor a X nuevas 266 267 clases de auditor a X 266 267 colores que se alan la etiqueta del espacio de trabajo 32 comando add_allocatable 44 comando allocate 46 comando atohexlabel 44 73 74 comando audit_startup acci n para editar 35 comando auditconfig 46 comando auditreduce 46 comando automount 46 comando chk_encodings 44 acci n parainvocar 35 comando deallocate 46 comando dtappsession 44 comando dtsession ejecuci n de updatehome 84 85 comando dtwm 279 comando getlabel 44 comando getzonepath 44 comando hextoalabel 44 74 75 comando ifc
181. del sistema configura y administra servidores de correo seg n las instrucciones de Oracle Solaris que figuran en la Gu a de administraci n del sistema Administraci n avanzada y la Gu a de administraci n del sistema servicios IP Adem s el administrador de la seguridad determina c mo se deben configurar las funciones de correo de Trusted Extensions Los siguientes aspectos de la gesti n de correo son espec ficos de Trusted Extensions Elarchivo mailrc se encuentra en una etiqueta m nima del usuario Por lo tanto los usuarios que trabajan en varias etiquetas no tienen un archivo mailrcen las etiquetas superiores a menos que copien o enlacen el archivo mail rc ubicado en el directorio de la etiqueta m nima a cada directorio superior 207 Funciones de correo de Trusted Extensions 208 El rol de administrador de la seguridad o el usuario individual pueden agregar el archivo mailrca copy_filesoa link_ files Para obtener una descripci n de estos archivos consulte la p gina del comando man updatehome 1M Para obtener sugerencias de configuraci n consulte Archivos copy_files y link_files en la p gina 84 El lector de correo se puede ejecutar en cualquier etiqueta del sistema Es necesario realizar algunas tareas de configuraci n para conectar un cliente de correo al servidor Por ejemplo para utilizar Mozilla para el correo de varios niveles es necesario que configure un cliente de correo de Mozilla en
182. desde la l nea de comandos Tambi n se puede utilizar Solaris Management Console En Trusted CDE el programa dtappsession puede iniciar acciones de Trusted CDE de manera remota A partir de la versi n Solaris 10 5 09 se puede utilizar un equipo de red virtual VNC Virtual Networking Computer para mostrar de forma remota un escritorio de varios niveles Los siguientes m todos de administraci n remota son posibles en Trusted Extensions a Un usuario root puede iniciar sesi n en un host remoto desde un terminal Consulte C mo iniciar sesi n de manera remota desde la l nea de comandos en Trusted Extensions en la p gina 109 Este m todo funciona como en el sistema Oracle Solaris Este m todo resulta inseguro Un rol puede iniciar sesi n en un host remoto desde un terminal en el espacio de trabajo del rol Consulte C mo iniciar sesi n de manera remota desde la l nea de comandos en Trusted Extensions en la p gina 109 ma Losadministradores pueden iniciar un servidor Solaris Management Console que se est ejecutando en un sistema remoto Consulte C mo administrar sistemas de manera remota con Solaris Management Console desde un sistema Trusted Extensions en la p gina 111 Procedimientos de administradores de Oracle Solaris Trusted Extensions Agosto de 2011 Inicio de sesi n remoto por un rol en Trusted Extensions m Lasacciones de la carpeta Trusted_Extensions pueden iniciarse de manera remota mediante
183. detallada de las interfaces incluidas las rutinas de biblioteca y las llamadas del sistema consulte el Ap ndice B Lista de las p ginas del comando man de Trusted Extensions Interfaces administrativas en Trusted Extensions Trusted Extensions proporciona interfaces para el software Las siguientes interfaces est n disponibles nicamente cuando se ejecuta el software de Trusted Extensions secuencia de comandos txzonemgr Acciones de Trusted CDE Admin Editor Proporciona un asistente basado en men para crear instalar inicializar e iniciar las zonas con etiquetas El t tulo del men es Labeled Zone Manager Esta secuencia de comandos tambi n proporciona opciones de men para las opciones de red y de servicios de nombres o a fin de establecer la zona global como cliente de un servidor LDAP existente En Trusted CDE Workspace Menu gt Application Manager gt Trusted_Extensions contiene acciones de CDE que configuran los archivos instalan e inician las zonas y simplifican otras tareas de Trusted Extensions Para obtener informaci n sobre las tareas que realizan estas acciones consulte Acciones de Trusted CDE en la p gina 35 La ayuda en pantalla de Trusted CDE tambi n describe estas acciones Este editor de confianza se utiliza para editar archivos del sistema En Trusted CDE Workspace Menu gt Application Manager gt Trusted_Extensions gt Admin Editor invoca el editor de administraci n En Tr
184. detenga la impresi n de la car tula por completo lpadmin p printer o nobanner never Las p ginas del cuerpo se siguen etiquetando Establezca la secuencia de comandos del modelo de la impresora en una secuencia de comandos de Oracle Solaris lpadmin p printer MX m 4 standard netstandard standard _foomatic netstandard_foomatic No aparecen etiquetas en el resultado de la impresi n v C mo asignar una etiqueta a un servidor de impresi n Antes de empezar 1 sin etiquetas El servidor de impresi n de Oracle Solaris es un servidor de impresi n sin etiquetas al cual se le puede asignar una etiqueta para que Trusted Extensions acceda a la impresora en esa etiqueta Las impresoras conectadas a un servidor de impresi n sin etiquetas pueden imprimir trabajos solamente en la etiqueta que est asignada al servidor de impresi n Los trabajos se imprimen sin las etiquetas ni las p ginas del ubicador y puede que se impriman sin las p ginas de la car tula Si un trabajo se imprime con la p gina de la car tula es porque la p gina no contiene ninguna informaci n de seguridad El sistema Trusted Extensions puede configurarse para que env en trabajos a una impresora gestionada con un servidor de impresi n sin etiquetas Los usuarios pueden imprimir los trabajos en la impresora sin etiquetas en la etiqueta que el administrador de la seguridad asigna al servidor de impresi n Debe estar en el rol de administrador
185. diferente en el sitio Reemplace el valor de PageLabe1 por un par ntesis vac o PageLabel def Procedimientos de administradores de Oracle Solaris Trusted Extensions Agosto de 2011 Reducci n de las restricciones de impresi n en Trusted Extensions mapa de tareas Antes de empezar 1 Antes de empezar 1 Antes de empezar C mo habilitar a usuarios espec ficos para que supriman las etiquetas de las p ginas Mediante este procedimiento se habilita a un rol o usuario autorizado a imprimir trabajos en una impresora Trusted Extensions sin etiquetas en la parte superior ni en la parte inferior de cada p gina del cuerpo Las etiquetas de las p ginas se suprimen para todas las etiquetas en las que el usuario puede trabajar Debe estar en el rol de administrador de la seguridad en la zona global Determine qui n tiene permiso para imprimir los trabajos sin las etiquetas de las p ginas Autorice a esos roles y usuarios para imprimir los trabajos sin las etiquetas de las p ginas Asigne un perfil de derechos que incluya la autorizaci n Print without Label para esos roles y usuarios Para obtener detalles consulte C mo crear perfiles de derechos para autorizaciones convenientes en la p gina 97 Indique al rol o al usuario que use el comando 1p para ejecutar los trabajos de impresi n lp o nolabels staff mtg notes C mo suprimir las p ginas de la car tula y del ubicador para usuarios espec ficos
186. dificar la seguridad de la red Por ejemplo los roles que tengan asignados los perfiles de derechos de seguridad de la informaci n o de las redes pueden modificar las configuraciones de seguridad El rol de administrador de la seguridad incluye estos perfiles Para utilizar la caja de herramientas LDAP debe haber completado Configuraci n de Solaris Management Console para LDAP mapa de tareas de Gu a de configuraci n de Oracle Solaris Trusted Extensions Inicie Solaris Management Console Para obtener detalles consulte Tnicializaci n del servidor de Solaris Management Console en Trusted Extensions de Gu a de configuraci n de Oracle Solaris Trusted Extensions Utilice la herramienta adecuada m Para modificar una plantilla utilice la herramienta Security Templates Todas las plantillas que est n definidas actualmente se muestran en el panel derecho Al seleccionar o crear una plantilla la ayuda en pantalla est disponible en el panel izquierdo m Para asignar un host a una plantilla utilice la herramienta Security Templates m Para crear un host que se pueda asignar a una plantilla utilice la herramienta Computers and Networks Procedimientos de administradores de Oracle Solaris Trusted Extensions Agosto de 2011 Configuraci n de bases de datos de red de confianza mapa de tareas v Antes de empezar ma Para asignar una etiqueta a una zona utilice la herramienta Trusted Network Zones Para obten
187. dimiento es un requisito previo para que un usuario pueda volver a etiquetar archivos Debe estar en el rol de administrador de la seguridad en la zona global Detenga la zona cuya configuraci n desea cambiar zoneadm z zone name halt Configure la zona para habilitar la opci n de volver a etiquetar Agregue los privilegios adecuados a la zona Los privilegios de las ventanas permiten a los usuarios emplear las operaciones arrastrar y soltar y cortar y pegar m Para habilitar las disminuciones de niveles agregue el privilegio file_downgrade_sl ala zona zonecfg z zone name set limitpriv default win_dac_read win_mac_read win_dac_write win_mac_write win_selection file_downgrade_sl exit m Para activar las actualizaciones agregue a la zona los privilegios sys_trans_label y file_upgrade_sl zonecfg z zone name set limitpriv default win_dac_read win_mac_read win_dac_write win_mac_write win_selection sys_trans_label file_upgrade_sl exit Cap tulo 10 Gesti n de zonas en Trusted Extensions tareas 139 Gesti n de zonas mapa de tareas 140 Ejemplo 10 6 Ejemplo 10 7 m Para habilitar los aumentos o las disminuciones de niveles agregue los tres privilegios a la zona zonecfg z zone name set limitpriv default win_dac_read win_mac_read win_dac write win_mac_write win _selection sys trans label file downgrade sl file upgrade sl exit Reinicie la zona zoneadm z zone name boot Para conocer los r
188. dings 35 acci n Check TN Files 35 acci n Clone Zone 36 acci n Configure Selection Confirmation 35 acci n Configure Zone 36 acci n Copy Zone 36 acci n Create LDAP Client 35 acci n Edit Encodings 35 acci n Initialize Zone for LDAP 36 acci n Install Zone 36 acci n Name Service Switch 36 203 acci n Restart Zone 36 acci n Set Daily Message 36 acci n Set Default Routes 36 acci n Set DNS Servers 36 acci n Share Filesystems 36 acci n Share Logical Interface 36 acci n Share Physical Interface 36 acci n Shut Down Zone 36 acci n Start Zone 36 acci n Zone Terminal Console 36 acciones Ver tambi n acciones individuales por nombre adici n de acciones de Trusted CDE nuevas 279 280 Admin Editor 57 58 Device Allocation Manager 241 243 diferencias de uso entre CDE y Trusted CDE 280 lista de Trusted CDE 35 36 Name Service Switch 203 restringidas por perfiles de derechos 279 acciones administrativas Ver tambi n acciones acceso 57 58 de confianza 279 en CDE 35 36 en la carpeta Trusted_Extensions 56 57 iniciar de manera remota 111 113 113 115 297 ndice acciones administrativas Continuaci n lista de Trusted CDE 35 36 acciones de CDE Ver acciones acciones de confianza en CDE 35 36 acreditaciones descripci n general de las etiquetas 28 etiqueta ADMIN_LOW etiqueta m nima 30 protecci n de archivos administrativos 63 administraci n archivos copia de seguridad 152 15
189. dir server export home amp En segundo lugar el administrador modifica el archivo etc auto_home_public a fin de que apunte a este archivo nuevo Jetc auto home public file in the public zone Use export home auto home public for the user entries auto home public export home auto_home_public Esta entrada le indica al montador autom tico que utilice el contenido del archivo local En tercer lugar el administrador modifica de manera similar el archivo etc auto_home_public archivo en las zonas internal y needtoknow El administrador utiliza el nombre de la ruta de la zona public que est visible para las zonas internal y needtoknow Jetc auto home public file in the internal zone Use zone public export home auto home public for PUBLIC user home dirs auto home public zone public export home auto_home_public Jetc auto home public file in the needtoknow zone Use zone public export home auto home public for PUBLIC user home dirs auto home public zone public export home auto_home_public Cuando el administrador agrega al usuario nuevo ikuk ste se agrega en el archivo export home auto_home_public de la etiqueta PUBLIC export home auto home public file at PUBLIC label jdoe homedir2 server export home jdoe pkai homedir2 server export home pkai ikuk homedir2 server export home ikuk iS homedir server export home 8 Las zonas de nivel superior leen en sentido descendente para
190. dministrador de la seguridad crea Personalizaci n de autorizaciones para autorizaciones paralos autorizaciones nuevas las agrega al dispositivo las dispositivos en Trusted Extensions mapa de dispositivos ubica en un perfil de derechos y luego asigna ese perfil tareas en la p gina 256 al usuario 245 Uso de dispositivos en Trusted Extensions mapa de tareas Uso de dispositivos en Trusted Extensions mapa de tareas En Trusted Extensions todos los roles est n autorizados a asignar dispositivos Como los usuarios los roles deben usar Device Allocation Manager El comando de Oracle Solaris allocate no funciona en Trusted Extensions El siguiente mapa de tareas hace referencia a los procedimientos de usuario que implican el uso de dispositivos para realizar tareas administrativas Tarea Para obtener instrucciones Asignar y desasignar un dispositivo Trusted Extensions C mo asignar un dispositivo en Trusted Extensions de Gu a del usuario de Oracle Solaris Trusted Extensions rea de selecci n de espacios de trabajo de Gu a del usuario de Oracle Solaris Utilizar medios port tiles para transferir archivos C mo copiar archivos desde medios port tiles en Trusted Extensions de Gu a de configuraci n de Oracle Solaris Trusted Extensions C mo copiar archivos en medios port tiles en Trusted Extensions de Gu a de configuraci n de Oracle Solaris Trusted Extens
191. dministrador deben crear los archivos copy_files y link_files Los archivos copy_files y link_files de Trusted Extensions ayudan a automatizar los procedimientos para copiar o enlazar los archivos de inicio en cada etiqueta del directorio principal de una cuenta Siempre que un usuario crea un espacio de trabajo en una etiqueta nueva el comando updatehome lee el contenido de copy_files y link_files en la etiqueta m nima de la cuenta A continuaci n el comando enlaza o copia cada archivo enumerado en el espacio de trabajo con etiquetas superiores El archivo copy_files resulta til cuando un usuario quiere que los archivos de inicio sean diferentes en las etiquetas diferentes Se prefiere copiar por ejemplo cuando los usuarios utilizan alias de correo diferentes en etiquetas diferentes El archivo link files resulta til cuando es necesario que el archivo de inicio sea id ntico en cualquier etiqueta que se invoque Se prefiere enlazar por ejemplo cuando una impresora se utiliza para todos los trabajos de impresi n con etiquetas Para ver archivos de ejemplo consulte C mo configurar los archivos de inicio para los usuarios en Trusted Extensions en la p gina 90 La lista siguiente enumera algunos archivos de inicio que quiz s quiera que los usuarios puedan enlazar o copiar en etiquetas superiores acrorc dtprofile mailrc aliases emacs mime_types cshrc login hewsrc Procedimientos de administradores de Oracle So
192. dos de auditor a existentes 273 clases de auditor a X 266 267 diferencias con la auditor a de Oracle Solaris 263 eventos de auditor a adicionales 267 pol ticas de auditor a adicionales 273 referencia 263 273 roles de administraci n 264 266 tareas 264 265 tareas del administrador de la seguridad 265 tareas del administrador del sistema 265 266 tokens de auditor a adicionales 267 273 aumento de nivel de etiquetas configuraci n de reglas para el confirmador de selecci n 66 autorizaci n asignaci n de dispositivos 260 261 impresi n PostScript 231 237 impresi n sin etiquetas 231 237 autorizaci n Allocate Device 97 99 240 260 261 autorizaci n Configure Device Attributes 260 autorizaci n Downgrade DragN Drop or CutPaste Info 97 99 autorizaci n Downgrade File Label 97 99 autorizaci n DragN Drop or CutPaste without viewing contents 97 99 autorizaci n Print Postscript 97 99 213 215 235 237 autorizaci n Print without Banner 97 99 235 autorizaci n Print without Label 97 99 Agosto de 2011 ndice autorizaci n Remote Login 97 99 autorizaci n Revoke or Reclaim Device 260 261 autorizaci n Shutdown 97 99 autorizaci n solaris print nobanner 90 235 autorizaci n solaris print ps 235 237 autorizaci n solaris print unlabeled 90 autorizaci n Upgrade DragN Drop or CutPaste Info 97 99 autorizaci n Upgrade File Label 97 99 autorizaciones agregar nuevas autorizaciones para dispositivos
193. e administrador de la seguridad se hayan configurado de manera que la cuenta no se pueda bloquear Esta pr ctica garantiza que al menos una cuenta siempre pueda iniciar sesi n y asumir el rol de administrador de la seguridad para volver a abrir las cuentas de todos los dem s si estas se bloquean a Comunique la contrase a al usuario de una cuenta nueva de modo tal que nadie m s pueda enterarse de cu l es la contrase a Cambie la contrase a de una cuenta ante la m s m nima sospecha de que alguien que no debiera conocer la contrase a la haya descubierto a Nunca use los nombres de usuario o los ID de usuario m s de una vez durante la vida til del sistema Al asegurarse de que los nombres de usuario y los ID de usuario no se vuelvan a utilizar se evitan posibles confusiones respecto de lo siguiente m Lasacciones que realiz cada usuario en el an lisis de los registros de auditor a Los archivos que posee cada usuario en la restauraci n de archivos Protecci n de la informaci n Como administrador tiene la responsabilidad de configurar y mantener correctamente la protecci n del control de acceso discrecional DAC y del control de acceso obligatorio MAC para los archivos cuya seguridad es cr tica Entre los archivos cr ticos se incluyen los siguientes Archivo shadow contiene contrase as cifradas Consulte shadow 4 Base de datos prof_attr contiene definiciones de los perfiles de derechos Consulte prof_a
194. e archivos local En realidad el protocolo depende del tipo de sistema operativo del equipo de uso compartido El tipo de sistema de archivos especificado en el comando mount o el archivo vfstab para sistemas de archivos remotos siempre es NES Cap tulo 11 Gesti n y montaje de archivos en Trusted Extensions tareas 151 Copia de seguridad uso compartido y montaje de archivos con etiquetas mapa de tareas Copia de seguridad uso compartido y montaje de archivos con etiquetas mapa de tareas En el siguiente mapa de tareas se describen las tareas comunes que se emplean para realizar copias de seguridad y restaurar los datos de sistemas de archivos con etiquetas y para compartir o montar los directorios y archivos que tienen etiquetas Tarea Descripci n Para obtener instrucciones Realizar copias de seguridad de archivos Proteger los datos con una copia de seguridad C mo realizar copias de seguridad de los archivos en Trusted Extensions en la p gina 152 Restaurar datos Restaurar datos de una copia de seguridad C mo restaurar archivos en Trusted Extensions en la p gina 153 Compartir el contenido de un directorio desde una zona con etiquetas Compartir el contenido de un directorio con etiquetas con los usuarios C mo compartir directorios desde una zona con etiquetas en la p gina 153 Montar el contenido de un directorio compartido por una zona con etiquetas C
195. e detener la zona Cree el conjunto de datos de ZFS zfs create datasetdir subdir El nombre del conjunto de datos puede incluir un directorio como zone data En la zona global detenga la zona con etiquetas zoneadm z labeled zone name halt Defina el punto de montaje del conjunto de datos zfs set mountpoint legacy datasetdir subdir La configuraci n de la propiedad ZFS mountpoint establece la etiqueta del punto de montaje cuando el punto de montaje corresponde a una zona con etiquetas Agregue el conjunto de datos a la zona como un sistema de archivos zonecfg z labeled zone name zonecfg labeled zone name gt add fs zonecfg labeled zone name dataset gt set dir subdir zonecfg labeled zone name dataset gt set special datasetdir subdir zonecfg labeled zone name dataset gt set type zfs zonecfg labeled zone name dataset gt end zonecfg labeled zone name gt exit Si se agrega el conjunto de datos como un sistema de archivos el conjunto de datos se monta en data en la zona antes de que se interprete el archivo dfstab Este paso garantiza que el conjunto de datos no se monte antes de que se inicie la zona En concreto se inicia la zona se monta el conjunto de datos y luego se interpreta el archivo dfstab Cap tulo 10 Gesti n de zonas en Trusted Extensions tareas 137 Gesti n de zonas mapa de tareas 138 Ejemplo 10 5 Comparta el conjunto de datos Agregue una entrada para el
196. e enlace y la copia del directorio principal para la etiqueta actual Obtiene los atributos de etiqueta de un cliente X Obtiene los atributos de etiqueta de una propiedad de una ventana Ap ndiceB Lista de las p ginas del comando man de Trusted Extensions 291 P ginas del comando man de Trusted Extensions en orden alfab tico 292 XTSOLgetPropLabel 3XTSOL XTSOLgetPropUID 3XTSOL XTSOLgetResAttributes 3XTSOL XTSOLgetResLabel 3XTSOL XTSOLgetResuID 3XTSOL XTSOLgetSSHeight 3XTSOL XTSOLgetWorkstation0wner 3XTSOL XTSOLIsWindowTrusted 3XTSOL XTSOLMakeTPWindow 3XTSOL XTSOLsetPolyInstInfo 3XTSOL XTSOLsetPropLabel 3XTSOL XTSOLsetPropUID 3XTSOL XTSOLsetResLabel 3XTSOL XTSOLsetResuID 3XTSOL XTSOLsetSessionHI 3XTSOL XTSOLsetSessionLO 3XTSOL XTSOLsetSSHeight 3XTSOL XTSOLsetWorkstation0wner 3XTSOL Obtiene la etiqueta de una propiedad de una ventana Obtiene el UID de una propiedad de una ventana Obtiene todos los atributos de etiqueta de una ventana o un mapa de p xeles Obtiene la etiqueta de una ventana un mapa de p xeles o un mapa de colores Obtiene el UID de una ventana o un mapa de p xeles Obtiene la altura de la banda de la pantalla Obtiene la propiedad de la estaci n de trabajo Determina si un cliente de confianza cre la ventana Convierte esta ventana en una ventana Trusted Path Establece la informaci n para la creaci n de varias instancias Establece
197. e incluyan en uno de los perfiles de derechos del rol C mo restringir el conjunto de privilegios de un usuario Puede que la seguridad del sitio requiera que a los usuarios se les otorgue menos privilegios que los asignados de manera predeterminada Por ejemplo en un sitio que utiliza Trusted Extensions en los sistemas Sun Ray puede que desee impedir que los usuarios vean los procesos de los dem s usuarios en el servidor Sun Ray Debe estar en el rol de administrador de la seguridad en la zona global Abra una caja de herramientas de Trusted Extensions en Solaris Management Console Utilice una caja de herramientas del mbito adecuado Para obtener detalles consulte Inicializaci n del servidor de Solaris Management Console en Trusted Extensions de Gu a de configuraci n de Oracle Solaris Trusted Extensions Cap tulo7 Gesti n de usuarios derechos y roles en Trusted Extensions tareas 99 Gesti n de usuarios y derechos con Solaris Management Console mapa de tareas 2 En System Configuration vaya a User Accounts Puede que se muestre el indicador de contrase a 3 Escriba la contrase a del rol 4 Haga doble clic en el icono del usuario 5 Elimine uno o varios de los privilegios del conjunto basic a Haga doble clic en el icono del usuario b Haga clic en la ficha Rights c 27 Help A right is a named collection of commands authorizations to use specific applications or to perf
198. e problemas de la red de confianza mapa de tareas Resoluci n de problemas de la red de confianza mapa de tareas El siguiente mapa de tareas describe las tareas que se deben realizar para depurar la red Tarea Descripci n Para obtener instrucciones Determinar por qu dos hosts no se Comprobar que las interfaces de un solo C mo verificar que las interfaces del host pueden comunicar sistema est n activas est n activas en la p gina 201 Utilizar las herramientas de depuraci n C mo depurar la red de Trusted cuando dos hosts no se pueden comunicar Extensions en la p gina 202 entre s Determinar por qu un cliente LDAP no Resolver los problemas de p rdida de C mo depurar una conexi n de cliente puede alcanzar el servidor LDAP conexi n entre un servidor LDAP y un con el servidor LDAP en la p gina 205 cliente v C mo verificar que las interfaces del host est n activas Utilice este procedimiento si el sistema no se comunica con otros hosts seg n lo esperado Antesde Debe estar en la zona global en un rol que pueda verificar la configuraci n de la red El rol de empezar administrador de la seguridad y el rol de administrador del sistema pueden verificar esta configuraci n 1 Verifique que la interfaz de la red del sistema est activa La siguiente salida muestra que el sistema tiene dos interfaces de red hme0 y hme0 3 Ninguna interfaz est activa ifconfig a hme
199. e red IP IPMP e IPQoS Servicios de nombres y directorios DNS NIS y LDAP incluida la transici n de NIS a LDAP y de NIS a LDAP Servidores de antememoria web servicios relacionados con el tiempo sistemas de archivos de red NES y Autofs correo SLP y PPP Auditor a gesti n de dispositivos seguridad de archivos BART servicios Kerberos PAM estructura criptogr fica de Solaris privilegios RBAC SASL y Solaris Secure Shell Tareas y proyectos de temas de gesti n de recursos contabilidad extendida controles de recursos planificaci n por reparto equitativo FSS control de memoria f sica utilizando el daemon de limitaci n de recursos rcapd y agrupaciones de recursos virtualizaci n con la tecnolog a de partici n de software Zonas de Solaris y zonas con la marca 1x Creaci n y administraci n de sistemas de archivos y agrupaciones de almacenamiento ZES instant neas clones copias de seguridad uso de listas de control de acceso ACL para proteger archivos ZFS uso de Solaris ZFS en un sistema Solaris con zonas instaladas vol menes emulados y resoluci n de problemas y recuperaci n de datos Tareas y temas de impresi n de Solaris el uso de servicios herramientas protocolos y tecnolog as para configurar y administrar las impresoras y los servicios de impresi n Prefacio Referencias relacionadas Documento de la pol tica de seguridad del sitio describe la pol tica y los procedimientos de segurid
200. e se vean los procesos de los dem s 90 impresi n 209 217 usuarios Continuaci n inicio de sesi n de manera remota en la zona global 115 116 inicio de sesi n en modo a prueba de fallos 95 modificaci n de valores predeterminados de seguridad 88 89 modificaci n de valores predeterminados de seguridad para todos los usuarios 89 90 opci n de men Change Password 60 personalizaci n del entorno 87 95 planificaci n para 79 80 precauciones de seguridad 63 precauciones para eliminar 63 rango de sesi n 31 32 restablecimiento del control del enfoque del escritorio 72 73 uso de dispositivos 246 uso del archivo copy_files 90 93 uso del archivo link_files 90 93 usuarios comunes Ver usuarios utilidad de gesti n de servicios SME servicio de Trusted Extensions 49 50 V verificaci n de que la interfaz est activa 201 sintaxis de las bases de datos de la red 196 visibilidad del icono en el men Workspace 279 en File Manager 279 visualizaci n Ver acceso estado de cada zona 132 etiquetas de sistemas de archivos en zonas con etiquetas 134 volver a etiquetar informaci n 102 Z ZFS adici n de conjunto de datos a zona con etiquetas de 137 139 312 Procedimientos de administradores de Oracle Solaris Trusted Extensions Agosto de 2011 ndice ZFS Continuaci n montaje de lectura y escritura de conjunto de datos en zona con etiquetas 137 139 visualizaci n de conjunto de datos montado en s lo
201. e un glosario administradores y desarrolladores Solaris Trusted Extensions Installation Obsoleto Describe c mo planificar instalar y configurar Trusted Administradores y and Configuration for Solaris 1011 06 Extensions para las versiones Solaris 10 11 06 y Solaris 10 8 07 de desarrolladores and Solaris 10 8 07 Releases Trusted Extensions Gu a de configuraci n de Oracle Solaris A partir de la versi n Solaris 10 5 08 describe c mo habilitar y Administradores y Trusted Extensions configurar inicialmente Trusted Extensions Sustituye Solaris desarrolladores Trusted Extensions Installation and Configuration Procedimientos de administradores de Muestra c mo realizar tareas de administraci n espec ficas Administradores y Oracle Solaris Trusted Extensions desarrolladores Oracle Solaris Trusted Extensions Describe c mo desarrollar aplicaciones con Trusted Extensions Desarrolladores y Developers Guide administradores Oracle Solaris Trusted Extensions Label Proporciona informaci n sobre c mo especificar componentes Administradores Administration de etiquetas en el archivo de codificaciones de etiqueta Compartmented Mode Workstation Describe la sintaxis utilizada en el archivo de codificaciones de Administradores Labeling Encodings Format etiqueta La sintaxis aplica distintas reglas para dar un formato correcto a las etiquetas de un sistema 18 Procedimientos de administradores de Oracle Solaris Trusted Extensions Agosto de 2011 P
202. e una de las acciones siguientes m Para obtener el valor hexadecimal de una etiqueta de sensibilidad pase la etiqueta al comando atohexlabel CONFIDENTIAL NEED TO KNOW 0x0004 08 68 m Para obtener el valor hexadecimal de una acreditaci n utilice la opci n c atohexlabel c CONFIDENTIAL NEED TO KNOW 0x0004 08 68 Cap tulo 5 Administraci n de los requisitos de seguridad en Trusted Extensions tareas 73 Tareas comunes en Trusted Extensions mapa de tareas 74 Ejemplo 5 5 Errores m s frecuentes Antes de empezar Nota Las etiquetas de sensibilidad y de acreditaci n en lenguaje natural se forman seg n las reglas del archivo label_encodings Cada tipo de etiqueta utiliza reglas de una secci n independiente de este archivo Cuando la etiqueta de sensibilidad y la etiqueta de acreditaci n expresan el mismo nivel de sensibilidad subyacente ambas tienen una forma hexadecimal id ntica Sin embargo las etiquetas pueden tener diferentes formas en lenguaje natural Las interfaces del sistema que aceptan etiquetas en lenguaje natural como entrada esperan un tipo de etiqueta Si las cadenas de texto de los tipos de etiquetas difieren estas cadenas de texto no se pueden intercambiar En el archivo predeterminado label_encodings el equivalente de texto de una etiqueta de acreditaci n no incluye dos puntos Uso del comando atohexlabel Cuando pasa una etiqueta v lida en formato hexadecimal el comando devu
203. ed Extensions Instale el software Para obtener detalles consulte Where to Find Software Management Tasks de System Administration Guide Basic Administration Desasigne el dispositivo cuando haya terminado Para obtener detalles consulte C mo asignar un dispositivo en Trusted Extensions de Gu a del usuario de Oracle Solaris Trusted Extensions C mo instalar un archivo de almacenamiento Java en Trusted Extensions Este procedimiento descarga un archivo de almacenamiento Java JAR en la zona global Desde la zona global el administrador puede hacer que est disponible para los usuarios comunes El administrador de la seguridad debe haber verificado que el origen del programa Java sea de confianza que el m todo de entrega sea seguro y que el programa pueda ejecutarse de manera confiable Est en el rol de administrador del sistema en la zona global En Trusted CDE el perfil de derechos de instalaci n de software incluye la acci n de abrir para el c digo Java Cap tulo 19 Gesti n de software en Trusted Extensions tareas 281 Gesti n de software en Trusted Extensions tareas 282 Ejemplo 19 1 Descargue el archivo JAR en el directorio tmp Por ejemplo si selecciona el programa de software desde http www sunfreeware com utilice las instrucciones tituladas Solaris pkg get tool herramienta pkg get de Solaris que aparecen en este sitio Abra File Manager y vaya al directorio tmp Ha
204. ed Extensions Agosto de 2011 Herramientas de Solaris Management Console Los hosts se definen en la herramienta Computers Los atributos de seguridad de los hosts se asignan en la herramienta Security Templates El cuadro de di logo Modify Template contiene dos fichas a Ficha General describe la plantilla Incluye el nombre el tipo de host la etiqueta predeterminada el dominio de interpretaci n DOL Domain of Interpretation el rango de acreditaci n y el conjunto de etiquetas de sensibilidad discretas a Ficha Hosts Assigned to Template enumera todos los hosts de la red que asign a esta pantalla Las redes de confianza y las plantillas de seguridad se explican en m s detalle en el Cap tulo 12 Redes de confianza descripci n general Herramienta Trusted Network Zones La herramienta Trusted Network Zones identifica las zonas del sistema Al inicio la zona global aparece en la lista Cuando agrega zonas con sus etiquetas los nombres de las zonas se muestran en el panel Por lo general la creaci n de zonas se produce durante la configuraci n del sistema La asignaci n de etiquetas la configuraci n de puertos de varios niveles y la pol tica de etiquetas se configuran en esta herramienta Para obtener detalles consulte el Cap tulo 10 Gesti n de zonas en Trusted Extensions tareas Comunicaci n cliente servidor con Solaris Management Console Normalmente el cliente de Solaris Management Console ad
205. ediante udp en la p gina 141 El daemon de la antememoria del servicio de nombres nscd puede configurarse para que se ejecute en cada zona con etiquetas en la etiqueta de la zona Requisitos de seguridad para la administraci n de Trusted Extensions 50 En Trusted Extensions los roles son el medio convencional para administrar el sistema Por lo general el superusuario no se utiliza Los roles se crean iguales a los del SO Oracle Solaris y la mayor a de las tareas se realizan mediante roles En Trusted Extensions el usuario root no se utiliza para realizar las tareas administrativas Los siguientes son los roles t picos de un sitio de Trusted Extensions m Rol root creado por el equipo de configuraci n inicial Rol de administrador de la seguridad creado por el equipo de configuraci n inicial durante o una vez finalizada la configuraci n inicial Rol de administrador del sistema creado por el rol de administrador de la seguridad Como en el SO Oracle Solaris tambi n puede crear un rol de administrador principal un rol de operador etc A excepci n del rol root puede administrar en un servicio de nombres los roles que cree Como en el SO Oracle Solaris solamente los usuarios que tiene un rol asignado pueden asumir ese rol En Solaris Trusted Extensions CDE puede asumir un rol desde el men de escritorio llamado Trusted Path Menu En Solaris Trusted Extensions JDS puede asumir un rol cuando su nombre de
206. eguridad de NewCo necesita establecer autorizaciones para dispositivos espec ficas para la compa a En primer lugar el administrador escribe los siguientes archivos de ayuda y los coloca en el directorio usr lib help auths locale C Newco html NewcoGrant html NewcoGrantDevice html NewcoTapeAllocate html NewcoFloppyAllocate html Luego el administrador agrega un encabezado a todas las autorizaciones para newco com en el archivo auth_attr Cap tulo 17 Gesti n de dispositivos para Trusted Extensions tareas 257 Personalizaci n de autorizaciones para dispositivos en Trusted Extensions mapa de tareas Ejemplo 17 5 258 auth_attr file com newco NewCo Header help Newco html A continuaci n el administrador agrega entradas de autorizaci n al archivo com newco grant Grant All NewCo Authorizations help NewcoGrant html com newco grant device Grant NewCo Device Authorizations help NewcoGrantDevice html com newco device allocate tape Allocate Tape Device help NewcoTapeAllocate html com newco device allocate floppy Allocate Floppy Device help NewcoFloppyAllocate html Las l neas se dividen con fines de visualizaci n Las entradas auth_attr crean las siguientes autorizaciones Una autorizaci n para conceder todas las autorizaciones de NewCo Una autorizaci n para conceder las autorizaciones para dispositivos de NewCo Una autorizaci n para asignar una unidad de cinta Una autorizaci n p
207. eguridad para hosts sin etiquetas que funcionen como puertas de enlace de una sola etiqueta Ejemplo 13 3 Crear una plantilla de seguridad para hosts con un rango de etiquetas restringido Ejemplo 13 4 Crear una plantilla de seguridad para un host que especifique un conjunto de etiquetas discretas en su rango de etiquetas Ejemplo 13 5 Crear una plantilla de seguridad para redes y sistemas sin etiquetas Ejemplo 13 6 Crear una plantilla de seguridad para dos sistemas de desarrolladores Ejemplo 13 7 180 Procedimientos de administradores de Oracle Solaris Trusted Extensions Agosto de 2011 Configuraci n de bases de datos de red de confianza mapa de tareas Tarea Descripci n Para obtener instrucciones Agregar hosts a la red conocida Agregar sistemas y redes a la red de confianza C mo agregar hosts a la red conocida del sistema en la p gina 188 Proporcionar acceso a hosts remotos mediante entradas de comod n Permitir que los hosts que se encuentren dentro de un rango dado de direcciones IP se comuniquen con un sistema mediante la asignaci n indirecta de cada host a la misma plantilla de seguridad Ejemplo 13 8 Ejemplo 13 9 Ejemplo 13 10 Cambiar la entrada de comod n admin_low en el archivo tnrhab Aumentar la seguridad por medio del reemplazo de la entrada de comod n con direcciones espec ficas con las que los host se contactan en e
208. el enrutador no admita etiquetas de manera expl cita Por ejemplo un enrutador sin etiquetas necesita una etiqueta predeterminada para definir el nivel en el que se deben tratar las conexiones con el enrutador quiz s para la gesti n del enrutador En este ejemplo el administrador de la seguridad crea un enrutador que puede reenviar tr fico en cualquier etiqueta pero toda comunicaci n directa con el enrutador se gestiona en la etiqueta predeterminada PUBLIC En Solaris Management Console el administrador crea una plantilla y asigna el host de la puerta de enlace a la plantilla Primero el enrutador y su direcci n IP se agregan a la herramienta Computers and Networks router 1 192 168 131 82 Luego se crea la plantilla en la herramienta Security Templates Los valores siguientes figuran en la plantilla Template Name UNL_PUBLIC Host Type UNLABELED DOI 1 Default Label PUBLIC Minimum Label ADMIN_LOW Maximum Label ADMIN_HIGH La herramienta proporciona el valor hexadecimal para las etiquetas Por ltimo el enrutador router 1 se asigna a la plantilla por su nombre y direcci n IP router 1 192 168 131 82 Creaci n de una plantilla de seguridad con un rango de etiquetas limitado En este ejemplo el administrador de la seguridad desea crear una puerta de enlace que restrinja los paquetes a un rango de etiquetas estrecho En Solaris Management Console el administrador crea una plantilla y asigna el host de la puert
209. ell actual establ zcalo en la ventana de terminal Por ejemplo en un shell Korn utilice los siguientes comandos setenv EDITOR pathname of editor export EDITOR En un shell C utilice el siguiente comando setenv EDITOR pathname of editor 70 Procedimientos de administradores de Oracle Solaris Trusted Extensions Agosto de 2011 Tareas comunes en Trusted Extensions mapa de tareas Ejemplo 5 1 En un shell Bourne utilice los siguientes comandos 4 EDITOR pathname of editor export EDITOR Especificaci n del editor como editor de confianza El rol de administrador de la seguridad desea utilizar vi para editar los archivos del sistema El usuario que asume el rol modifica el archivo de inicializaci n kshrc en el directorio principal del rol cd home secadmin vi kshrc Interactive shell set o vi export EDITOR vi La pr xima vez que un usuario asuma el rol de administrador de la seguridad vi ser el editor de confianza C mo cambiar la contrase a de root El rol de administrador de la seguridad est autorizado a cambiar la contrase a de una cuenta en cualquier momento mediante Solaris Management Console Sin embargo no se puede cambiar la contrase a de una cuenta del sistema mediante Solaris Management Console La cuenta del sistema es una cuenta que tiene un UID inferior a 100 root es una cuenta del sistema porque su UID es 0 Convi rtase en superusuario Si su sitio determin el superus
210. elve el argumento atohexlabel 0x0004 08 68 0x0004 08 68 Cuando pasa una etiqueta administrativa el comando devuelve el argumento atohexlabel admin_high ADMIN_HIGH atohexlabel admin_low ADMIN_LOW El mensaje de error atohexlabel parsing error found in lt string gt at position 0 indica que el argumento lt string gt que pas a atohexlabel no es una etiqueta o acreditaci n v lidas Verifique que no haya errores de escritura y compruebe que la etiqueta exista en el archivo label_encodings que tiene instalado C mo obtener una etiqueta legible de su forma hexadecimal Este procedimiento proporciona un modo de reparar las etiquetas almacenadas en las bases de datos internas Para obtener m s informaci n consulte la p gina del comando man hextoalabel 1M Debe estar en el rol de administrador de la seguridad en la zona global Procedimientos de administradores de Oracle Solaris Trusted Extensions Agosto de 2011 Tareas comunes en Trusted Extensions mapa de tareas A Antes de empezar Para obtener el equivalente de texto de la representaci n interna de una etiqueta realice una de las acciones siguientes m Para obtener el equivalente de texto de una etiqueta de sensibilidad pase la forma hexadecimal de la etiqueta hextoalabel 0x0004 08 68 CONFIDENTIAL NEED TO KNOW m Para obtener el equivalente de texto de una acreditaci n utilice la opci n c hextoalabel c 0x0004 08 68 CONFIDENTIAL NEED
211. emas con etiquetas porque la etiqueta SANDBOX est separada de las otras etiquetas de la red Template Name cipso _sandbox Host Type CIPSO Minimum Label SANDBOX Maximum Label SANDBOX DOI 1 Hostname DevMachinel IP Address 196 168 129 129 Hostname DevMachine2 IP Address 196 168 129 102 Los desarrolladores que utilizan estos sistemas pueden comunicarse entre s en la etiqueta SANDBOX Cap tulo 13 Gesti n de redes en Trusted Extensions tareas 187 Configuraci n de bases de datos de red de confianza mapa de tareas 188 v Antes de empezar Antes de empezar C mo agregar hosts a la red conocida del sistema La herramienta Computers de Solaris Management Console es id ntica a la herramienta Computers de SO Oracle Solaris Este procedimiento se proporciona aqu para su comodidad Despu s de que se establecen los hosts conocidos debe asignar los hosts a una plantilla de seguridad Debe estar en un administrador que pueda gestionar redes Por ejemplo los roles que incluyen los perfiles de derechos de gesti n de red o administraci n del sistema pueden gestionar redes En Solaris Management Console vaya a la herramienta Computers Para obtener detalles consulte C mo abrir las herramientas de redes de confianza en la p gina 182 En la herramienta Computers confirme que desea ver todos los equipos de la red Agregue un host con el que este sistema pueda contactarse Debe agregar todo
212. en en zonas con etiquetas Cree un archivo dfstab en la etiqueta de la zona y a continuaci n reinicie la zona para compartir los directorios con etiquetas Precauci n No utilice nombres propietarios para los sistemas de archivos compartidos Los nombres de los sistemas de archivos compartidos son visibles para todos los usuarios Debe ser superusuario o asumir el rol de administrador del sistema en la zona global del servidor de archivos Cap tulo 11 Gesti n y montaje de archivos en Trusted Extensions tareas 153 Copia de seguridad uso compartido y montaje de archivos con etiquetas mapa de tareas 154 Cree un espacio de trabajo en la etiqueta del directorio que se va a compartir Para obtener detalles consulte C mo agregar un espacio de trabajo en una etiqueta determinada de Gu a del usuario de Oracle Solaris Trusted Extensions Cree un archivo dfstab en la etiqueta de la zona Para cada zona que comparta un directorio repita los pasos siguientes a Creeel directorio etc dfs en la zona mkdir p zone zone name etc dfs b Abra el editor de confianza Para obtener detalles consulte C mo editar archivos administrativos en Trusted Extensions en la p gina 57 c Escriba el nombre de ruta completo del archivo dfstab en el editor zone zone name etc dfs dfstab d Agregue una entrada para compartir un directorio desde esa zona La entrada describe el directorio desde la perspectiva de la
213. en un servidor Sun Ray que tiene una sola interfaz all zones La impresora se pone a disposici n de todos los usuarios de los clientes Procedimientos de administradores de Oracle Solaris Trusted Extensions Agosto de 2011 Configuraci n de impresi n con etiquetas mapa de tareas Antes de empezar 1 Sun Ray de este servidor La configuraci n inicial se realiza en la zona global Una vez que se configura la zona global se configuran todas las zonas con etiquetas para que utilicen la impresora Debe estar conectado en una sesi n de varios niveles en Trusted CDE En la zona global asigne una direcci n IP a la impresora de red Para obtener instrucciones consulte el Cap tulo 5 Setting Up Printers by Using LP Print Commands Tasks de System Administration Guide Printing Inicie Solaris Management Console Para obtener instrucciones consulte Tnicializaci n del servidor de Solaris Management Console en Trusted Extensions de Gu a de configuraci n de Oracle Solaris Trusted Extensions m Seleccione la caja de herramientas Scope Files Policy TSOL e inicie sesi n Asigne la impresora a la plantilla admin_low a Enla herramienta Computers and Networks haga doble clic en Security Templates b Haga doble clicen admin_low c Enlaficha Hosts Assigned to Template agregue la direcci n IP de la impresora Para obtener m s informaci n lea la ayuda en pantalla que se encuentra en el panel izquierdo
214. ensions Trusted Extensions agrega dos opciones de pol tica de auditor a a las opciones de pol tica de auditor a de Oracle Solaris existentes Consulte la lista de pol ticas para conocer las nuevas opciones auditconfig 1spolicy windata_down Include downgraded window information in audit records windata_up Include upgraded window information in audit records Extensiones realizadas en comandos de auditor a de Trusted Extensions Los comandos auditconfig auditreduce y bsmrecord se extendieron a fin de manejar la informaci n de Trusted Extensions a Elcomando auditconfig incluye las pol ticas de auditor a de Trusted Extensions Para obtener detalles consulte la p gina del comando man auditconfig 1M a Elcomando auditreduce proporciona la opci n 1 para filtrar registros por etiqueta Para obtener detalles consulte la p gina del comando man auditreduce 1M Elcomando bsmrecord incluye los eventos de auditor a de Trusted Extensions Para obtener detalles consulte la p gina del comando man bsmrecord 1M Cap tulo 18 Auditor a de Trusted Extensions descripci n general 273 274 CAP TULO 19 Gesti n de software en Trusted Extensions tareas Este cap tulo contiene informaci n sobre c mo garantizar que el software de terceros se ejecute de manera confiable en un sistema que est configurado con Trusted Extensions Adici n de software a Trusted Extensions en la p gina 275 Pro
215. ensions Agosto de 2011 Manejo de otras tareas en Solaris Management Console mapa de tareas Tambi n debe asegurarse de que se eliminen todos los trabajos por lotes que est n asociados con el usuario Ning n objeto o proceso que pertenezca a un usuario eliminado puede permanecer en el sistema Antesde Debe estar en el rol de administrador del sistema empezar 1 Archive el directorio principal del usuario en cada etiqueta 2 Archive los archivos de correo del usuario en cada etiqueta 3 En Solaris Management Console elimine la cuenta del usuario a Abra una caja de herramientas de Trusted Extensions en Solaris Management Console Utilice una caja de herramientas del mbito adecuado Para obtener detalles consulte Tnicializaci n del servidor de Solaris Management Console en Trusted Extensions de Gu a de configuraci n de Oracle Solaris Trusted Extensions b En System Configuration vaya a User Accounts Puede que se muestre el indicador de contrase a c Escriba la contrase a del rol d Seleccione la cuenta de usuario que desea eliminar y haga clic en el bot n Delete Se le indicar que elimine el directorio principal del usuario y sus archivos de correo Cuando acepta el indicador el directorio principal del usuario y sus archivos de correo se eliminan solamente en la zona global 4 Encada zona con etiquetas elimine manualmente los directorios del usuario y sus archivos de correo Nota Deber buscar
216. ensions el administrador de la seguridad configura manualmente las rutas y a continuaci n cambia manualmente la tabla de enrutamiento cuando cambian las condiciones Por ejemplo varios sitios tienen una sola puerta de enlace que comunica con el mundo exterior En estos casos se puede definir estad sticamente dicha puerta de enlace como predeterminada para cada host de la red Es posible que versiones futuras de Trusted Extensions admitan el encadenamiento din mico Puertas de enlace en Trusted Extensions A continuaci n se muestra un ejemplo de enrutamiento en Trusted Extensions El diagrama y la tabla muestran tres rutas posibles entre el Host 1 y el Host 2 Cap tulo 12 Redes de confianza descripci n general 177 Administraci n del enrutamiento en Trusted Extensions FIGURA 12 1 Rutas y entradas de la tabla de enrutamiento t picas de Trusted Extensions o Ruta n 1 Puerta 1 Puerta o de enlace de enlace Ruta n 2 Puerta Puerta Host 1 de enlace Y de enlace 4 Host 2 Ruta n 3 Puerta 5 lt Puerta 6 de enlace de enlace Ruta Puerta de enlace del primer salto Etiqueta m nima Etiqueta m xima DOI N 21 Puerta de enlace 1 CONFIDENTIAL SECRET 1 N 2 Puerta de enlace 3 ADMIN_LOW ADMIN_HIGH 1 N 23 Puerta de enlace 5 LaRuta N 1 puede transmitir paquetes dentro del rango de etiquetas de CONFIDENTIAL a SECRET LaRuta
217. ensions es una configuraci n del SO Oracle Solaris En este ap ndice se proporciona una breve descripci n de las p ginas del comando man de Oracle Solaris que incluyen informaci n sobre Trusted Extensions P ginas del comando man de Trusted Extensions en orden alfab tico Las siguientes p ginas del comando man describen el software de Trusted Extensions en un sistema Oracle Solaris Estas p ginas del comando man s lo son relevantes en un sistema que est configurado con Trusted Extensions P gina del comando man de Oracle Solaris S ntesis add_allocatable 1M Agrega entradas a las bases de datos de asignaci n atohexlabel 1M Convierte una etiqueta en lenguaje natural a su equivalente de texto interno blcompare 3TSOL Compara etiquetas binarias blminmax 3TSOL Determina el v nculo entre dos etiquetas chk_encodings 1M Comprueba la sintaxis del archivo de codificaciones de etiqueta dtappsession 1 Inicia una sesi n nueva de Application Manager fgetlabel 2 Obtiene la etiqueta del archivo getlabel 1 Muestra la etiqueta de los archivos getlabel 2 Obtiene la etiqueta de un archivo 289 P ginas del comando man de Trusted Extensions en orden alfab tico 290 getpathbylabel 3TSOL getplabel 3TSOL getuserrange 3TSOL getzoneidbylabel 3TSOL getzonelabelbyid 3TSOL getzonelabelbyname 3TSOL getzonepath 1 getzonerootbyid 3TSOL getzonerootbylabel 3TSOL getzonerootbyname 3TSOL hextoalabel 1M
218. entos de administradores de Oracle Solaris Trusted Extensions Agosto de 2011 Copia de seguridad uso compartido y montaje de archivos con etiquetas mapa de tareas A Antes de empezar Utilice uno de los siguientes m todos para realizar copias de seguridad m usr lib fs ufs ufsdump para las copias principales m usr sbin tar cT para las copias peque as m Una secuencia de comandos que llame a cualquiera de estos comandos Por ejemplo la aplicaci n para realizar copias de seguridad Budtool llama al comando ufsdump Consulte la p gina del comando man ufsdump 1M Para obtener detalles sobre la opci n T para el comando tar consulte la p gina del comando man tar 1 C mo restaurar archivos en Trusted Extensions Convi rtase en usuario root Utilice uno de los m todos siguientes m usr lib fs ufs ufsrestore para restauraciones principales m usr sbin tar xT para restauraciones peque as Una secuencia de comandos que llame a cualquiera de estos comandos Para obtener detalles sobre la opci n T para el comando tar consulte la p gina del comando man tar 1 Precauci n S lo estos comandos preservan las etiquetas C mo compartir directorios desde una zona con etiquetas Como en el SO Oracle Solaris la herramienta Mounts and Shares de Solaris Management Console se utiliza para compartir y montar archivos desde la zona global Esta herramienta no se puede usar para montar o compartir directorios que se origin
219. eon son marcas comerciales o marcas comerciales registradas de Intel Corporation Todas las marcas comerciales de SPARC se utilizan con licencia y son marcas comerciales o marcas comerciales registradas de SPARC International Inc AMD Opteron el logotipo de AMD y el logotipo de AMD Opteron son marcas comerciales o marcas comerciales registradas de Advanced Micro Devices UNIX es una marca comercial registrada de The Open Group Este software o hardware y la documentaci n pueden ofrecer acceso a contenidos productos o servicios de terceros o informaci n sobre los mismos Ni Oracle Corporation ni sus subsidiarias ser n responsables de ofrecer cualquier tipo de garant a sobre el contenido los productos o los servicios de terceros y renuncian expl citamente a ello Oracle Corporation y sus subsidiarias no se har n responsables de las p rdidas los costos o los da os en los que se incurra como consecuencia del acceso o el uso de contenidos productos o servicios de terceros 111013025097 Contenido A diirei E EE ia 17 Conceptos de la administraci n de Trusted Extensions oooocicinncnnnnonononononcncncnnononononononononoss 23 Software de Trusted Extensions y el SO Oracle Solaris ssassn 23 Similitudes entre Trusted Extensions y el SO Oracle Solaris coccion 23 Diferencias entre Trusted Extensions y el SO Oracle Solaris oconnciionininnnnnacamereneceess 24 Sistemas de varios encabezados y escritorio de Trusted Extensions oooicconconion
220. equisitos del proceso y del usuario que permiten volver a etiquetar consulte la p gina del comando man setflabel 3TSOL Para saber c mo autorizar a un usuario a que vuelva a etiquetar archivos consulte C mo habilitar a un usuario para que cambie el nivel de seguridad de los datos en la p gina 102 Habilitaci n de aumentos de nivel desde la zona internal En este ejemplo el administrador de la seguridad desea habilitar a los usuarios autorizados de un sistema para que puedan aumentar el nivel de los archivos Cuando el administrador habilita alos usuarios a aumentar el nivel de la informaci n les permite proteger la informaci n con el mayor nivel de seguridad En la zona global el administrador ejecuta los siguientes comandos de administraci n de la zona zoneadm z internal halt zonecfg z internal set limitpriv default sys_trans_label file_upgrade_sl exit zoneadm z internal boot As los usuarios autorizados pueden aumentar el nivel de la informaci n de internal a restricted desde la zona internal Habilitaci n de disminuciones de nivel desde la zona restricted En este ejemplo el administrador de la seguridad desea habilitar a los usuarios autorizados de un sistema para que puedan disminuir el nivel de los archivos Debido a que el administrador no agrega privilegios de las ventanas a la zona los usuarios autorizados no pueden utilizar File Manager para volver a etiquetar archivos Para volver a etiquetar arc
221. er m s informaci n sobre las zonas en Trusted Extensions consulte el Cap tulo 10 Gesti n de zonas en Trusted Extensions tareas C mo crear una plantilla de host remoto Debe estar en la zona global en un rol que pueda modificar la seguridad de la red Por ejemplo los roles que tengan asignados los perfiles de derechos de seguridad de la informaci n o de las redes pueden modificar las configuraciones de seguridad El rol de administrador de la seguridad incluye estos perfiles En Solaris Management Console vaya a la herramienta Security Templates Consulte C mo abrir las herramientas de redes de confianza en la p gina 182 para conocer los pasos En Computers and Networks haga doble clic en Security Templates Las plantillas existentes se muestran en el panel View Estas plantillas describen los atributos de seguridad para los hosts que este sistema puede contactar Estos hosts incluyen hosts CIPSO que se ejecutan en Trusted Extensions y hosts sin etiquetas Examine la plantilla de cipso Vea qu hosts y qu redes ya est n asignadas a esta plantilla Examine la plantilla admin_Low Vea qu hosts y qu redes ya est n asignadas a esta plantilla Cree una plantilla Si las plantillas proporcionadas no incluyen una descripci n suficiente de los hosts que pueden estar comunicados con este sistema seleccione Add Template en el men Action Utilice la ayuda en pantalla para obtener asistencia Antes de a
222. erramientas administrativas de Trusted Extensions Acciones administrativas en Trusted CDE su finalidad y los perfiles de derechos AOS ia aio 35 Acciones de instalaci n en Trusted CDE su finalidad y los perfiles de derechos ASOCIADOS iii ida 36 Comandos de usuario y de administraci n de Trusted Extensions oocoiniicm 44 Comandos de usuario y de administraci n que Trusted Extensions modifica 46 Condiciones para mover archivos a una etiqueta nueva ciccincinionninnnncnncannacinss 64 Condiciones para mover selecciones a una etiqueta nueva ncccininnnnnnncnnnnnanicnoss 65 Valores predeterminados de seguridad de Trusted Extensions en el archivo DOMLEYSCON E o RTE A AERA 81 Atributos de seguridad que se asignan despu s la creaci n del usuario 82 Entradas del mecanismo de reserva y la direcci n de host de tnrhab 172 Valores configurables en el archivo tsol_separator ps 213 Clases de auditor a del servidor X 267 Tokens de auditor a de Trusted Extensions o ocococonononoconononcnnnos 268 Restricciones a las acciones de CDE en Trusted Extensions oomoconoconononcnnannnnnnos 280 16 Prefacio La gu a Procedimientos de administradores de Oracle Solaris Trusted Extensions describe los procedimientos para configurar Trusted Extensions en el sistema operativo Solaris Adem s esta gu a brinda informaci n acerca de los procedimientos para gestionar usuarios zonas dispositivos y
223. es Para gestionar a los usuarios y sus atributos de seguridad asuma el rol de administrador de la seguridad El siguiente mapa de tareas describe las tareas comunes que debe realizar para los usuarios que operan en un entorno con etiquetas Tarea Descripci n Para obtener instrucciones Modificar el rango de etiquetas Modificar las etiquetas en las que el usuario puede C mo modificar el rango de etiquetas de un del usuario trabajar Es posible que las modificaciones usuario en Solaris Management Console restrinjan o ampl en el rango que el archivo en la p gina 96 label_encodings permite Crear un perfil de derechos para Existen varias autorizaciones que pueden ser C mo crear perfiles de derechos para las autorizaciones convenientes tiles para los usuarios comunes Crear un perfil autorizaciones convenientes en la p gina 97 para los usuarios que cumplen los requisitos para tener estas autorizaciones Modificar el conjunto de Eliminar un privilegio del conjunto de privilegios C mo restringir el conjunto de privilegios de privilegios predeterminado del predeterminado del usuario un usuario en la p gina 99 usuario Cap tulo7 Gesti n de usuarios derechos y roles en Trusted Extensions tareas 95 Gesti n de usuarios y derechos con Solaris Management Console mapa de tareas Tarea Descripci n Para obtener instrucciones Impedir el bloqueo de cuenta
224. es no funciona en la zona global lpadmin p printer name v dev null o protocol tcp o dest printer IP address 9100 T PS I postscript accept printer name enable printer name Asigne una secuencia de comandos del modelo de la impresora a cada impresora que est conectada con el servidor de impresi n La secuencia de comandos del modelo activa las p ginas de la car tula y del ubicador para la impresora especificada Para obtener una descripci n de las secuencias de comandos consulte Secuencias de comandos del modelo de la impresora en la p gina 214 Si el nombre del controlador de la impresora comienza con Foomatic especifique una de las secuencias de comandos del modelo foomatic En una l nea utilice el siguiente comando lpadmin p printer m tsol_standard tsol_netstandard tsol_standard_foomatic tsol_netstandard_foomatic Si el rango de etiquetas predeterminado que va de ADMIN_LOW a ADMIN _HIGH es aceptable para todas las impresoras significa que se complet la configuraci n de las etiquetas Cap tulo 15 Gesti n de impresi n con etiquetas tareas 219 Configuraci n de impresi n con etiquetas mapa de tareas V ase tambi n 220 Configure la impresora en cada zona con etiquetas donde se permite la impresi n Utilice la direcci n IP all zones como servidor de impresi n para la zona global a Inicie sesi n como usuario root en la consola de la zona con etiquetas
225. escriba una cadena que elija el archivo label_encodings Imprime la clasificaci n m s O bien no imprima nada dominante Contiene compartimientos si la etiqueta del trabajo de impresi n tiene compartimientos Texto y etiqueta dela Protect Job_Protect def Vea la descripci n de Igual que para cambiar PageLabel instrucci n de PageLabel clasificaci n Protect as Protect_Text1 def Reemplace en Protect_Text1y Protect_Text2 con cadenas de texto Texto que aparecer encima de Protect_Text2 def la etiqueta Texto que aparecer debajo de la etiqueta Impresi n PostScript de la informaci n de seguridad La impresi n con etiquetas en Trusted Extensions se basa en funciones de impresi n de Solaris En el SO Oracle Solaris las secuencias de comandos del modelo de la impresora gestionan la creaci n de la p gina de la car tula A fin de implementar las etiquetas la secuencia de comandos del modelo de la impresora primero convierte el trabajo de impresi n en un archivo PostScript A continuaci n el archivo PostScript se manipula para que se inserten etiquetas en las p ginas del cuerpo y se creen las p ginas de la car tula y del ubicador Las secuencias de comandos del modelo de la impresora de Solaris tambi n pueden convertir PostScript al lenguaje original de la impresora Si la impresora acepta entrada PostScript el Cap tulo 15 Gesti n de impresi n con etiquetas tareas 213 Etiq
226. esta ventana se requiere la autorizaci n solaris label win noview adem s de que se vuelvan a etiquetar las autorizaciones La siguiente ilustraci n muestra una selecci n zonename en la ventana Cap tulo 4 Requisitos de seguridad del sistema Trusted Extensions descripci n general 65 Reglas para cambiar el nivel de seguridad de los datos 66 Selection Manager CONFIDENTIAL INTERNAL USE ONLY PUBLIC Text zonename De manera predeterminada el confirmador de selecci n aparece cuando se transfieren datos a una etiqueta diferente Si una selecci n requiere varias decisiones de transferencia el mecanismo de respuesta autom tico proporciona un modo de responder una sola vez a todas las transferencias Para obtener m s informaci n consulte la p gina del comando man sel_config 4 y la secci n siguiente Archivo sel_config El archivo sel_config se verifica a fin de determinar la conducta del confirmador de selecci n cuando una operaci n aumente o disminuya el nivel de una etiqueta El archivo sel_config define lo siguiente m Qu tipos de selecciones obtienen respuestas autom ticas m Qu tipos de operaciones pueden confirmarse autom ticamente m Cu ndo se muestra un cuadro de di logo del confirmador de selecci n En Trusted CDE el rol de administrador de la seguridad puede cambiar los valores predeterminados con la acci n Configure Selection Confirmation en la carpeta Trusted_Extensions Los nuev
227. etas a Configure la impresora en el servidor Windows Mediante la interfaz gr fica de usuario vaya a Inicio gt Configuraci n gt Impresoras y faxes Especifique la siguiente configuraci n para la impresora m Agregar una impresora Impresora local conectada a este equipo m Crear nuevo puerto seleccione Puerto TCP IP est ndar a Nombre de impresora o direcci n IP escriba 192 168 4 17 que es la direcci n IP de la zona con etiquetas a Nombre del puerto acepte el valor predeterminado m Se requiere informaci n adicional sobre puertos acepte el valor predeterminado Tipo de dispositivo Personalizado Configuraci n Protocolo LPR a Configuraci n LPR Nombre de cola math printer que es el nombre de cola de UNIX Cuenta de bytes LPR habilitada Para terminar de completar las indicaciones especifique el fabricante el modelo el controlador y los dem s par metros de la impresora 8 Para probar la impresora selecci nela desde una aplicaci n Por ejemplo pruebe el sistema winserver que est en la misma subred que la zona internal Los par metros de configuraci n son los siguientes m Ladirecci n IP de math printer es 192 168 4 6 a Ladirecci n IP de winserver es 192 168 4 200 a Ladirecci n IP de la zona internal es 192 168 4 17 winserver C gt ipconfig Windows IP Configuration Ethernet adapter TP NIC Connection specific DNS Suffix IP Address 192 168 4 200 Subnet
228. etiqueta diferente Interfaces de impresi n de Trusted Extensions referencia Los siguientes comandos de usuario se ampl an a fin de cumplir con la pol tica de seguridad de Trusted Extensions cancel el emisor debe ser igual a la etiqueta del trabajo de impresi n para cancelar un trabajo De manera predeterminada los usuarios comunes pueden cancelar solamente sus propios trabajos m lp Trusted Extensions agrega la opci n o nolabels Los usuarios deben estar autorizados para imprimir sin etiquetas Asimismo los usuarios deben estar autorizados para usar la opci n o nobamner m lpstat el emisor debe ser igual a la etiqueta del trabajo de impresi n para obtener el estado de un trabajo De manera predeterminada los usuarios comunes pueden ver solamente sus propios trabajos de impresi n 216 Procedimientos de administradores de Oracle Solaris Trusted Extensions Agosto de 2011 Gesti n de impresi n en Trusted Extensions mapa de tareas Los siguientes comandos administrativos se ampl an a fin de cumplir con la pol tica de seguridad de Trusted Extensions Como en el SO Oracle Solaris solamente los roles que incluyen el perfil de derechos de gesti n de impresoras pueden ejecutar estos comandos 1pmove el emisor debe ser igual a la etiqueta del trabajo de impresi n para mover un trabajo De manera predeterminada los usuarios comunes pueden mover solamente sus propios trabajos de impresi n lpadmin e
229. faults hostname wq En los archivos de inicializaci n del shell el administrador garantiza que los trabajos de impresi n de los usuarios se dirijan a una impresora con etiquetas cshrc file setenv PRINTER conf printerl setenv LPDEST conf printerl ksh file export PRINTER conf printer1 export LPDEST conf printerl El administrador modifica el archivo Xdefaults home directory server para forzar el comando dtterm como origen del archivo profile para un terminal nuevo Procedimientos de administradores de Oracle Solaris Trusted Extensions Agosto de 2011 Personalizaci n del entorno de usuario para la seguridad mapa de tareas Errores m s frecuentes A Antes de empezar Xdefaults HDserver Dtterm LoginShell true Los archivos personalizados se copian en el directorio de estructura b sica apropiado cp copy_files link_files cshrc login profile mailrc Xdefaults Xdefaults home directory server etc skelC cp copy_files link_ files ksh profile Y mailrc Xdefaults Xdefaults home directory server etc skelK Si crea archivos copy_files en la etiqueta m s baja y a continuaci n inicia sesi n en una zona superior para ejecutar el comando updatehonme y el comando falla con un error de acceso intente realizar lo siguiente m Verifique que desde la zona de nivel superior pueda ver el directorio de nivel inferior higher level zone ls zone lower level zone home username ACCESS
230. fique el archivo etc security policy conf Modifique el archivo policy conf Utilice el editor de confianza Para obtener detalles consulte C mo editar archivos administrativos en Trusted Extensions en la p gina 57 Agreguela autorizaci n solaris print ps AUTHS_GRANTED 0ther authorizations solaris print ps Guarde el archivo y cierre el editor Para habilitar a un rol o un usuario para que impriman archivos PostScript desde cualquier sistema proporcione la autorizaci n adecuada solamente al rol o al usuario determinado Asigne un perfil que incluya la autorizaci n Print Postscript al rol o al usuario determinado Para obtener detalles consulte C mo crear perfiles de derechos para autorizaciones convenientes en la p gina 97 Habilitaci n de la impresi n PostScript desde un sistema p blico En el siguiente ejemplo el administrador de la seguridad restringi un quiosco p blico para operar en la etiqueta PUBLIC El sistema tambi n tiene algunos iconos que abren temas de inter s Estos temas se pueden imprimir El administrador de la seguridad crea un archivo etc default print en el sistema El archivo tiene una entrada para habilitar la impresi n de archivos PostScript Ning n usuario necesita una autorizaci n Print Postscript Procedimientos de administradores de Oracle Solaris Trusted Extensions Agosto de 2011 Reducci n de las restricciones de impresi n en Trusted Extensions mapa de tareas
231. font 270 token xgc 271 token xpixmap 271 token xproperty 271 272 token xselect 272 token xwindow 272 273 traducci n Ver localizaci n 311 ndice Trusted Extensions diferencias con el SO Oracle Solaris 24 25 diferencias con la auditor a de Oracle Solaris 263 referencia r pida a la administraci n 283 287 referencia r pida de p ginas del comando man 289 295 similitudes con el SO Oracle Solaris 23 24 similitudes con la auditor a de Oracle Solaris 263 U UID de root necesario para las aplicaciones 277 UID real de root necesario para las aplicaciones 277 unidades de CD ROM acceso 240 reproducci n autom tica de m sica 253 254 uso compartido conjunto de datos de ZFS de zona con etiquetas 137 139 Uso de dispositivos en Trusted Extensions mapa de tareas 246 usuarios acceso a dispositivos 240 acceso a las impresoras 209 217 acceso a los dispositivos 239 241 archivos de inicio 90 93 asignaci n de autorizaciones a 83 asignaci n de contrase as 83 asignaci n de derechos 83 asignaci n de etiquetas 84 asignaci n de roles a 83 autorizaciones para 97 99 cambiar los privilegios predeterminados 84 configuraci n de directorios de estructura b sica 90 93 creaci n 78 eliminaci n de algunos privilegios 99 101 etiquetas de procesos 31 32 extensi n del tiempo de espera para volver a etiquetar 93 94 formaci n sobre seguridad 61 63 243 244 impedir bloqueo de cuentas 101 impedir qu
232. gNDrop or CutPaste Info 4 Login Control Remote Login q Printer Management Printwithout Banner Print Postscript Printwithout Label q Machine Administration Shutdown the System A Set Label Outside User Accred Range Login Control Mail Network Y Printer Mananement View As O Names Descriptions Allocate Device autoriza a un usuario para que asigne un dispositivo perif rico como un micr fono De manera predeterminada los usuarios de Oracle Solaris pueden leer y escribir en un CD ROM Sin embargo en Trusted Extensions solamente los usuarios que pueden asignar un dispositivo pueden acceder a la unidad de CD ROM Para asignar la unidad para su uso se requiere autorizaci n Por lo tanto para leer y escribir en un CD ROM en Trusted Extensions los usuarios necesitan la autorizaci n Allocate Device Downgrade DragN Drop or CutPaste Info autoriza a un usuario a seleccionar la informaci n de un archivo de nivel superior y colocarla en un archivo de nivel inferior archivo Downgrade File Label autoriza a un usuario a disminuir el nivel de seguridad de un archivo DragNDrop or CutPaste without viewing contents autoriza a un usuario a mover informaci n sin que se vea la informaci n que se mueve Print Postscript autoriza a un usuario a imprimir archivos PostScript Procedimientos de administradores de Oracle Solaris Trusted Extensions Agosto de 2011 Gesti n de usu
233. ga doble clic en el archivo descargado Para instalar el software responda las preguntas en los cuadros de di logo Lea el registro de instalaci n Descarga de un archivo JAR en una etiqueta del usuario Para limitar el riesgo de seguridad el administrador del sistema descarga el software en una sola etiqueta dentro del rango de acreditaci n de un usuario com n Luego el administrador de la seguridad prueba el archivo JAR en esa etiqueta Cuando el software supera la prueba el administrador de la seguridad reduce el nivel de la etiqueta a ADMIN_LOW El administrador del sistema instala el software en un servidor NFS a fin de que est disponible para todos los usuarios 1 En primer lugar el administrador del sistema crea un espacio de trabajo en una etiqueta del usuario En ese espacio de trabajo descarga el archivo JAR En esa etiqueta el administrador de la seguridad prueba el archivo Luego el administrador de la seguridad cambia la etiqueta del archivo a ADMIN_LOW O eo A Por ltimo el administrador del sistema copia el archivo a un servidor NFS cuya etiqueta sea ADMIN_LOW Procedimientos de administradores de Oracle Solaris Trusted Extensions Agosto de 2011 AP NDICE A Referencia r pida a la administraci n de Trusted Extensions Las interfaces de Trusted Extensions ampl an el SO Oracle Solaris En este ap ndice se proporciona una referencia r pida sobre las diferencias Para obtener una lista
234. ga restricciones de etiqueta a la capacidad del administrador para administrar la impresi n Agrega restricciones de etiqueta a la capacidad del administrador para mover un trabajo de impresi n Agrega restricciones de etiqueta para la visualizaci n de la informaci n de la cola de impresi n Agrega restricciones de etiqueta a la capacidad del emisor para eliminar solicitudes de impresi n Agrega restricciones de etiqueta a la capacidad del administrador para detener y reiniciar el servicio de impresi n Agrega restricciones de etiqueta para la visualizaci n del estado del servicio de impresi n Agrega la opci n R para visualizar atributos de seguridad ampliados Agrega privilegios de Trusted Extensions como PRIV_FILE DOWNGRADE SL Agrega perfiles de derechos como el de gesti n de etiquetas de objetos Agrega la opci n secattr para adicionar atributos de seguridad ampliados a una ruta Procedimientos de administradores de Oracle Solaris Trusted Extensions Agosto de 2011 P ginas del comando man de Oracle Solaris que Trusted Extensions modifica setpflags 2 setsockopt 3SOCKET setsockopt 3XNET smexec 1M smrole 1M smuser 1M socket h 3HEAD tar 1 tar h 3HEAD ucred_getlabel 3C user_attr 4 Establece el indicador por proceso NET_MAC_AWARE Establece la opci n SO_MAC_EXEMPT Establece el control de acceso obligatorio SO_MAC_EXEMPT en el socket Agrega opciones para admitir el
235. gt set type zfs zonecfg needtoknow dataset gt end zonecfg needtoknow gt exit A continuaci n el administrador modifica el archivo zone needtoknow etc dfs dfstab para compartir el conjunto de datos Luego inicia la zona needtoknow Global zone dfstab file for needtoknow zone share F nfs d App Data on ZFS data zoneadm z needtoknow boot Procedimientos de administradores de Oracle Solaris Trusted Extensions Agosto de 2011 Gesti n de zonas mapa de tareas Errores m s frecuentes Antes de empezar 1 Finalmente se podr acceder al conjunto de datos Los usuarios de la zona restricted que domina la zona needtoknow pueden ver el conjunto de datos montado Para ello deben cambiar al directorio data Deben usar la ruta completa para acceder al conjunto de datos montado desde la perspectiva de la zona global En este ejemplo machinel es el nombre de host del sistema que incluye la zona con etiquetas El administrador asign este nombre de host a una direcci n IP no compartida cd net machinel zone needtoknow root data Si el intento de alcanzar el conjunto de datos desde la etiqueta superior devuelve los mensajes de error not found o No such file or directory el administrador debe reiniciar el servicio del montador autom tico mediante la ejecuci n del comando svcadm restart autofs C mo permitir que los archivos se vuelvan a etiquetar desde una zona con etiquetas Este proce
236. guen los procedimientos b sicos de administraci n de impresoras de Oracle Solaris y luego asignan etiquetas a los servidores de impresi n y a las impresoras El software de Trusted Extensions admite la impresi n de un solo nivel y tambi n de varios niveles La impresi n de varios niveles se implementa nicamente en la zona global Para utilizar el servidor de impresi n de la zona global las zonas con etiquetas deben tener un nombre de host distinto del de la zona global Una manera de obtener un nombre de host distinto es asignar una direcci n IP a la zona con etiquetas La direcci n ser a distinta de la direcci n IP de la zona global 209 Etiquetas impresoras e impresi n 210 Restricci n del acceso a las impresoras y a la informaci n de trabajos de impresi n en Trusted Extensions Los usuarios y los roles de los sistemas en los que est configurado el software de Trusted Extensions crean trabajos de impresi n en la etiqueta de su sesi n Los trabajos de impresi n se pueden imprimir solamente en impresoras que reconozcan esa etiqueta La etiqueta debe estar dentro del rango de etiquetas de la impresora Los usuarios y los roles pueden ver los trabajos de impresi n que tengan la misma etiqueta que la sesi n En la zona global un rol puede ver los trabajos cuyas etiquetas est n controladas por la etiqueta de la zona Las impresoras que se configuran con el software de Trusted Extensions imprimen etiquetas en el
237. guientes acciones a Enelcampo Hostname escriba el nombre del host b En el campo IP Address escriba la direcci n del host c Haga clic en el bot n Add d Para guardar los cambios haga clic en OK Para asignar una plantilla a un grupo de hosts con direcciones contiguas realice las siguientes acciones a Haga clic en Wildcard b En el campo IP Address escriba la direcci n IP c Enel campo Prefix escriba el prefijo que describe el grupo de las direcciones contiguas d Haga clic en el bot n Add e Para guardar los cambios haga clic en OK Adici n de una red IPv4 como entrada de comod n En el ejemplo siguiente un administrador de la seguridad asigna varias subredes IPv4 a la misma plantilla de seguridad En la ficha Hosts Assigned to Template el administrador agrega las siguientes entradas de comod n IP Address 192 168 113 0 IP address 192 168 75 0 Adici n de una lista de hosts IPv4 como entrada de comod n En el ejemplo siguiente un administrador de la seguridad asigna direcciones IPv4 contiguas que no est n en los l mites de octetos de la misma plantilla de seguridad En la ficha Hosts Assigned to Template el administrador agrega las siguientes entradas de comod n Cap tulo 13 Gesti n de redes en Trusted Extensions tareas 189 Configuraci n de bases de datos de red de confianza mapa de tareas Ejemplo 13 10 190 IP Address 192 168 113 100 Prefix Length 25 Esta entrada de com
238. hivos los usuarios deben utilizar el comando setlabel Cuando el administrador habilita a los usuarios a disminuir el nivel de la informaci n permite que los usuarios de menor nivel de seguridad puedan acceder a los archivos En la zona global el administrador ejecuta los siguientes comandos de administraci n de la zona zoneadm z restricted halt zonecfg z restricted set limitpriv default file_downgrade_sl Procedimientos de administradores de Oracle Solaris Trusted Extensions Agosto de 2011 Gesti n de zonas mapa de tareas Antes de empezar 1 exit zoneadm z restricted boot As los usuarios autorizados pueden disminuir el nivel de la informaci n de restricteda internal o public desde la zona restricted con el comando setlabel C mo configurar un puerto de varios niveles para NFSv3 mediante udp Este procedimiento se utiliza para habilitar los montajes de lectura en sentido descendente para NFSv3 mediante udp Para agregar el puerto de varios niveles se utiliza Solaris Management Console Debe estar en el rol de administrador de la seguridad en la zona global Inicie Solaris Management Console Para obtener detalles consulte C mo administrar el sistema local con Solaris Management Console en la p gina 55 Seleccione la caja de herramientas Files El t tulo de la caja de herramientas incluye Scope Files Policy TSOL Configure la zona y el puerto de varios niveles a Vayaala herramien
239. home para justificar los nombres y la visibilidad Trusted Extensions en la p gina 150 de la zona de etiquetas superiores ifconfig 1M Agregar la opci n all zones opci n para que una C mo verificar que las interfaces del host interfaz est a disposici n en todas las zonas del est n activas en la p gina 201 sistema netstat 1M Agregar la opci n R para mostrar los atributos de C mo depurar la red de Trusted seguridad ampliados para los sockets y las entradas de Extensions en la p gina 202 la tabla de enrutamiento route 1M Agregar la opci n secattr para mostrar los C mo configurar las rutas con los atributos de seguridad de la ruta cipso doi max_sl y atributos de seguridad en la p gina 195 min_sl 46 Procedimientos de administradores de Oracle Solaris Trusted Extensions Agosto de 2011 Administraci n remota en Trusted Extensions Administraci n remota en Trusted Extensions Para administrar remotamente un sistema configurado con Trusted Extensions debe utilizar el comando ssh el programa dtappsession o Solaris Management Console Si la pol tica de seguridad del sitio lo permite puede configurar un host de Trusted Extensions para habilitar el inicio de sesi n desde un host que no sea de Trusted Extensions aunque esta configuraci n sea menos segura Para obtener informaci n consulte el Cap tulo 8 Administraci n remota en Trusted Extensions tareas Cap tulo 2 Herramientas de administr
240. hosts con etiquetas del software de Trusted Extensions Nota Esta versi n de Oracle Solaris es compatible con sistemas que usen arquitecturas de las familias de procesadores SPARC y x86 Los sistemas compatibles aparecen en SO Oracle Solaris listas de compatibilidad de hardware http www oracle com webfolder technetwork hcl index html Este documento indica las diferencias de implementaci n entre los tipos de plataforma En este documento estos t rminos relacionados con x86 significan lo siguiente m x86 hace referencia a la familia m s grande de productos compatibles con x86 de 64 bits m x64 hace referencia espec ficamente a CPU compatibles con x86 de 64 bits Para saber cu les son los sistemas admitidos consulte las listas de compatibilidad del sistema operativo Oracle Solaris Usuarios a los que est destinada esta gu a Esta gu a est destinada a administradores de sistemas y administradores de seguridad expertos que deban configurar y administrar software de Trusted Extensions El nivel de confianza que requiere la pol tica de seguridad del sitio y el grado de experiencia necesario determinan qui n puede realizar las tareas de configuraci n Los administradores deben estar familiarizados con la administraci n de Oracle Solaris Asimismo los administradores deben comprender lo siguiente a Las funciones de seguridad de Trusted Extensions y la pol tica de seguridad del sitio Los procedimientos y conceptos b
241. i n No Users de la secci n Allocatable By impide que los usuarios remotos escuchen las conversaciones en un sistema remoto El administrador de la seguridad configura el dispositivo de audio en Device Allocation Manager de la siguiente manera Device Name audio For Allocations From Trusted Path Allocatable By Authorized Users Authorizations solaris device allocate Device Name audio For Allocations From Non Trusted Pathh Allocatable By No Users C mo configurar una l nea de serie para el inicio de sesiones Debe estar en el rol de administrador de la seguridad en la zona global Abra Solaris Management Console en el mbito Files Procedimientos de administradores de Oracle Solaris Trusted Extensions Agosto de 2011 Gesti n de dispositivos en Trusted Extensions mapa de tareas 2 Ejemplo 17 2 FIGURA 17 1 Herramienta Serial Ports de Solaris Management Console This Computer 127 0 0 1 Scope Console Edit Action View Go Help ales Biola a a Navigation E This Computer 127 0 0 1 Scope Files Policy TSOL o hi System Status Ja System Configuration de Users Patches GQ Computers and Networks dh Projects o y Services gt 3 Storage 9 E Devices and Hardware 4 Serial Ports lt Legacy Application En Devices and Hardware vaya a Serial Ports Escriba una contrase a cuando se le solicite Siga la ayuda en pantalla para configurar el puerto de serie Para cambiar el
242. ibutes Ya debe haber creado las autorizaciones espec ficas del sitio como se describe en C mo crear nuevas autorizaciones para dispositivos en la p gina 256 Siga el procedimiento de C mo configurar un dispositivo en Trusted Extensions en la p gina 247 a Seleccione un dispositivo que deba protegerse con las autorizaciones nuevas b Abra el cuadro de di logo Device Administration c Enel cuadro de di logo Device Configuration haga clic en el bot n Authorizations Las autorizaciones nuevas se muestran en la lista Not Required d Agregar las autorizaciones nuevas a la lista de autorizaciones Required Cap tulo 17 Gesti n de dispositivos para Trusted Extensions tareas 259 Personalizaci n de autorizaciones para dispositivos en Trusted Extensions mapa de tareas 2 Antes de empezar 260 Para guardar los cambios haga clic en OK C mo asignar autorizaciones para dispositivos La autorizaci n Allocate Device habilita a los usuarios para que asignen un dispositivo Las autorizaciones Allocate Device y Revoke or Reclaim Device son adecuadas para los roles administrativos Debe estar en el rol de administrador de la seguridad en la zona global Si los perfiles existentes no son adecuados el administrador de la seguridad puede crear un perfil nuevo Para ver un ejemplo consulte C mo crear perfiles de derechos para autorizaciones convenientes en la p gina 97 Asigne al usuario un perfil
243. icamente en sus espacios de trabajo En un espacio de trabajo de rol puede acceder a los comandos las acciones las aplicaciones y las secuencias de comandos que son de confianza La siguiente tabla proporciona un resumen de estas herramientas administrativas 33 Herramientas de administraci n para Trusted Extensions TABLA 2 1 Herramientas administrativas de Trusted Extensions Herramienta usr sbin txzonemgr En Trusted CDE acciones en la carpeta Trusted_Extensions en la carpeta Application Manager En Trusted CDE Device Allocation Manager En Solaris Trusted Extensions JDS Device Manager Solaris Management Console Comandos de Solaris Management Console como smuser y smtnzonecfg Label Builder Comandos de Trusted Extensions Descripci n Proporciona un asistente basado en men para crear instalar inicializar e iniciar las zonas Esta secuencia de comandos sustituye las acciones de Trusted CDE que administran las zonas Adem s proporciona opciones de men para las opciones de redes y de servicios de nombres o a fin de establecer la zona global como cliente de un servidor LDAP existente txzonemgr utiliza el comando zenity Se utiliza para editar archivos locales que Solaris Management Console no gestiona como etc system Algunas acciones ejecutan secuencias de comandos como la acci n Install Zone Se utiliza para administrar los rangos de etiquetas de los dispositivos y para asig
244. ice en el men Trusted Path En Trusted CDE inicie la acci n Device Allocation Manager del subpanel Tools en el panel frontal 2 Haga clic en el bot n Device Administration para ver el cuadro de di logo Device Allocation Administration 3 Escriba un nombre para la impresora nueva Si la impresora no est conectada al sistema busque el nombre de la impresora 4 Haga clic en el bot n Configure para ver el cuadro de di logo Device Allocation Configuration 5 Cambieel rango de etiquetas de la impresora a Haga clicen el bot n Min Label para cambiar la etiqueta m nima Seleccione una etiqueta del generador de etiquetas Para obtener informaci n sobre el generador de etiquetas consulte Generador de etiquetas en Trusted Extensions en la p gina 43 b Haga clic en el bot n Max Label para cambiar la etiqueta m xima 6 Guarde los cambios a Haga clic en OK en el cuadro de di logo Configuration b Haga clic en OK en el cuadro de di logo Administration 7 Cierre Device Allocation Manager Reducci n de las restricciones de impresi n en Trusted Extensions mapa de tareas Las siguientes tareas son opcionales Disminuyen la seguridad de la impresi n que Trusted Extensions proporciona de manera predeterminada cuando se instala el software Cap tulo 15 Gesti n de impresi n con etiquetas tareas 231 Reducci n de las restricciones de impresi n en Trusted Extensions mapa de tareas Tarea Descrip
245. ico con atributos de seguridad 195 196 tablas 174 177 uso del comando route 195 196 equivalentes de etiquetas de texto determinaci n 74 75 escritorio de varios niveles remoto acceso 116 117 escritorios acceso remoto de varios niveles 116 117 cambios de color del espacio de trabajo 54 inicio de sesi n en modo a prueba de fallos 95 espacio de trabajo de rol zona global 50 51 espacios de trabajo cambios de color 54 colores que se alan la etiqueta de 32 zona global 50 51 estado de error de asignaci n correcci n 250 251 etiqueta ADMIN_HIGH 30 etiquetas Ver tambi n rangos de etiquetas autorizar a un usuario o rol a cambiar etiquetas de datos 102 bien formadas 31 componente de clasificaci n 29 componente de compartimiento 29 configuraci n de reglas para cambios de etiquetas 66 de procesos 32 de procesos del usuario 31 32 descripci n general 28 descritas 27 determinaci n de equivalentes de texto 74 75 disminuci n y aumento de nivel 66 dominio 29 30 en el resultado de la impresi n 210 213 impresi n sin etiquetas de p ginas 234 Agosto de 2011 ndice etiquetas Continuaci n predeterminada en plantillas de hosts remotos 169 relaciones 29 30 reparaci n en bases de datos internas 74 75 resoluci n de problemas 74 75 visualizaci n de etiquetas de sistemas de archivos en zonas con etiquetas 134 visualizaci n en hexadecimal 73 74 etiquetas administrativas 30 etiquetas bien formada
246. ierre la sesi n Por lo tanto el rol de administrador de la seguridad agrega el siguiente par palabra clave valor IDLETIME al archivo policy conf IDLETIME 10 Cap tulo7 Gesti n de usuarios derechos y roles en Trusted Extensions tareas 89 Personalizaci n del entorno de usuario para la seguridad mapa de tareas 90 Ejemplo 7 2 Ejemplo 7 3 Antes de empezar As el sistema cierra la sesi n del usuario si el sistema permanece inactivo durante 10 min Modificaci n del conjunto de privilegios b sico de cada usuario En este ejemplo el administrador de la seguridad de una instalaci n de Sun Ray no quiere que los usuarios comunes vean los procesos de otros usuarios de Sun Ray Por lo tanto en todos los sistemas que est n configurados con Trusted Extensions el administrador elimina proc_info desde el conjunto de privilegios b sico La configuraci n PRIV_DEFAULT del archivo etc policy conf se modifica de la siguiente manera PRIV_DEFAULT basic proc_info Asignaci n de las autorizaciones relacionadas con la impresi n a todos los usuarios de un sistema En este ejemplo el administrador de la seguridad habilita un equipo de un quiosco p blico para que imprima sin etiquetas si se escribe lo siguiente en el archivo del equipo etc security policy conf La pr xima vez que inicie los trabajos de impresi n de todos los usuarios de este quiosco se imprimen sin las etiquetas de las p ginas AUTHS_GRANTED solaris
247. ificaci n y adem s puede que no contengan ning n componente de compartimiento o que contengan algunos El componente de clasificaci n se ala el nivel jer rquico de seguridad como TOP SECRET o CONFIDENTIAL El componente de compartimiento representa un grupo de usuarios que podr an necesitar acceso a un cuerpo com n de informaci n Algunos de los ejemplos de tipos de compartimientos m s comunes son los proyectos los departamentos o las ubicaciones f sicas Las etiquetas son legibles para los usuarios autorizados pero internamente se las manipula como n meros En el archivo label_encodings se definen los n meros y las versiones legibles correspondientes Trusted Extensions media en todas las transacciones relacionadas con la seguridad que se hayan intentado realizar El software compara las etiquetas de la entidad de acceso por lo general un proceso y la entidad a la que se accede normalmente un objeto del sistema de archivos Procedimientos de administradores de Oracle Solaris Trusted Extensions Agosto de 2011 Conceptos b sicos de Trusted Extensions Luego el software permite o no realizar la transacci n seg n qu etiqueta sea dominante Tambi n se utilizan las etiquetas para determinar el acceso a otros recursos del sistema como dispositivos asignables redes b feres de trama y otros hosts Relaciones de dominio entre etiquetas Se dice que la etiqueta de una entidad domina otra etiqueta si se cumplen las do
248. in etiquetas cuyo dominio de interpretaci n es 1 La etiqueta predeterminada de la plantilla es ADMIN_LOW El rango de etiquetas para la plantilla es ADMIN_LOW a ADMIN_HIGH En la configuraci n predeterminada se asigna la Cap tulo 13 Gesti n de redes en Trusted Extensions tareas 181 Configuraci n de bases de datos de red de confianza mapa de tareas 182 v Antes de empezar direcci n 0 0 0 0 a esta plantilla Por lo tanto todos los hosts no CIPSO se tratan como hosts que operan en la etiqueta de seguridad ADMIN _LOW Mantener las plantillas predeterminadas Por razones de soporte no elimine ni modifique las plantillas predeterminadas Puede cambiar el host que se asigna a estas plantillas predeterminadas Para obtener un ejemplo consulte C mo limitar los hosts que se pueden contactar en la red de confianza en la p gina 190 Cree plantillas nuevas si desea realizar alguna de las siguientes acciones m Limitar el rango de etiquetas de un host o un grupo de hosts m Crear un host de una sola etiqueta m Crear un host que reconozca algunas etiquetas discretas Utilizar un dominio de interpretaci n diferente de 1 m Requiera una etiqueta predeterminada para hosts sin etiquetas que no sea ADMIN_LOW Para obtener detalles consulte C mo crear una plantilla de host remoto en la p gina 183 C mo abrir las herramientas de redes de confianza Debe estar en la zona global en un rol que pueda mo
249. incluye las bases de datos tnrhtp y tnrhdb Estas bases de datos proporcionan etiquetas para los hosts remotos que se contactan con el sistema Solaris Management Console proporciona la interfaz gr fica de usuario que se utiliza para administrar estas bases de datos El siguiente mapa de tareas describe las tareas para crear plantillas de seguridad y aplicarlas a los hosts Tarea Descripci n Para obtener instrucciones Determinar si el sitio requiere plantillas de seguridad personalizadas Evaluar la plantillas existentes seg n los requisitos de seguridad del sitio C mo determinar si necesita plantillas de seguridad espec ficas del sitio en la p gina 181 Acceder a la herramienta Security Templates en Solaris Management Console Acceder a la herramienta para modificar las bases de datos de red de confianza C mo abrir las herramientas de redes de confianza en la p gina 182 Modificar las plantillas de seguridad Cambiar las definiciones de los atributos de seguridad en la red de confianza mediante la modificaci n de las bases de datos de red de confianza C mo crear una plantilla de host remoto en la p gina 183 Cambiar el dominio de interpretaci n a un valor distinto de 1 Ejemplo 13 1 Crear una plantilla de seguridad para hosts con etiquetas que restrinja la comunicaci n entre otros hosts con una sola etiqueta Ejemplo 13 2 Crear una plantilla de s
250. iners Resource Management and Oracle Solaris Zones Tambi n consulte la p gina del comando man pkgadd 1M 275 Adici n de software a Trusted Extensions En un sitio de Trusted Extensions el administrador del sistema trabaja junto con el administrador de la seguridad para instalar el software El administrador de la seguridad eval a si las adiciones de software cumplen la pol tica de seguridad Cuando el software requiere que los privilegios o las autorizaciones se efect en correctamente el rol de administrador de la seguridad asigna un perfil de derechos adecuado alos usuarios del software La importaci n de software desde medios extra bles requiere autorizaci n Una cuenta con la autorizaci n Allocate Device puede importar o exportar datos desde medios extra bles Los datos pueden incluir c digo ejecutable Un usuario com n s lo puede importar datos en una etiqueta dentro de la acreditaci n del usuario El rol de administrador del sistema es responsable de agregar los programas que apruebe el administrador de la seguridad Mecanismos de seguridad de Oracle Solaris para software Trusted Extensions utiliza los mismos mecanismos de seguridad que el SO Oracle Solaris Entre los mecanismos se incluyen los siguientes a Autorizaciones es posible que a los usuarios de un programa se les requiera una autorizaci n espec fica Para obtener informaci n sobre las autorizaciones consulte Oracle Solaris RBAC Elements and Ba
251. inncncnnannnnncncnnoos 25 Conceptos b sicos de Trusted Extensions neninn cacon coronan arcano canaria 26 Protecciones de Trusted Extensi0nS caia etc 26 Trusted Extensions y el control de ACCESO arsscsariran sran nMan NANAON nerd opereta 27 Roles y Trusted Extensi n acsi materialidad insensibles a a destaca 28 Etiquetas en el software de Trusted Extensions oooconcononconnconecenecnrnnccneccne carnero 28 Herramientas de administraci n de Trusted Extensions oonocininnoncnnnnnnsemecacess 33 Herramientas de administraci n para Trusted Extensions ococicnnnnnnnnnnnncnncecrnrarn corran coronas 33 Secuencia de comandos TXZONEMQT ssassn aaisa Riiasse iiaia 35 Acciones de Trusted CDE nsciintdda iii odio ir dd id dd 35 Device Allocation Manage iia 37 Herramientas de Solaris Management Console sissrsnsicnsisiasarsiorasiiicsr iaa 38 Herramientas de Trusted Extensions en Solaris Management Console mociones 39 Comunicaci n cliente servidor con Solaris Management Console cecicinnioninnnnnnnnnncncinnninss 41 Documentaci n de Solaris Management Console sssssssssssssssssrirsesesrtstssssssssssssrnrnerenrenerereeerse 42 Generador de etiquetas en Trusted Extensions aucroriiiiiiisiiiriiiiii aii 43 Herramientas de la l nea de comandos en Trusted Extensions coccion 44 Administraci n remota en Trusted Extensions ocoinnonnnncninninncncncncncenconcnn cocer cnn cn rencor corona rcnr canon 47 Contenido 4 Requisitos de seguridad del sistema Trusted Ex
252. iones en una ventana que en un archivo La acci n de arrastrar y soltar selecciones siempre requiere que exista igualdad de etiquetas y propiedad La acci n de arrastrar y soltar entre ventanas es mediada por la aplicaci n Selection Manager no por el archivo sel_config Las reglas para cambiar la etiqueta de selecciones se resumen en la siguiente tabla 64 Procedimientos de administradores de Oracle Solaris Trusted Extensions Agosto de 2011 Reglas para cambiar el nivel de seguridad de los datos TABLA 4 2 Condiciones para mover selecciones a una etiqueta nueva Descripci n de la transacci n Relaciones de etiquetas Copiar y pegar o cortar y pegar las Misma etiqueta selecciones entre las ventanas Disminuci n de nivel Aumento de nivel Disminuci n de nivel Aumento de nivel Arrastrar y soltar las selecciones Misma etiqueta entre las ventanas Relaciones de propietarios Mismo UID Mismo UID Mismo UID Diferentes UID Diferentes UID Mismo UID Autorizaci n requerida Ninguna solaris label win downgrade solaris label win upgrade solaris label win downgrade solaris label win upgrade Ninguna Trusted Extensions proporciona un confirmador de selecci n para que medie en los cambios de etiquetas Esta ventana aparece cuando un usuario autorizado intenta cambiar la etiqueta de un archivo o selecci n El usuario tiene 120 segundos para confirmar la operaci n Para cambiar el nivel de seguridad de datos sin
253. ions Gesti n de dispositivos en Trusted Extensions mapa de tareas El siguiente mapa de tareas describe los procedimientos que se deben llevar a cabo para proteger los dispositivos en el sitio Tarea Descripci n Para obtener instrucciones Establecer o modificar la pol tica de dispositivos Cambiar los privilegios necesarios para acceder a un dispositivo Configuring Device Policy Task Map de System Administration Guide Security Services Autorizar alos usuarios a asignar un dispositivo El rol de administrador de la seguridad asigna un perfil al usuario con la autorizaci n Allocate Device How to Authorize Users to Allocate a Device de System Administration Guide Security Services El rol de administrador de la seguridad asigna un perfil al usuario con las autorizaciones espec ficas del sitio Personalizaci n de autorizaciones para dispositivos en Trusted Extensions mapa de tareas en la p gina 256 Configurar un dispositivo Seleccionar funciones de seguridad para proteger el dispositivo C mo configurar un dispositivo en Trusted Extensions en la p gina 247 246 Procedimientos de administradores de Oracle Solaris Trusted Extensions Agosto de 2011 Gesti n de dispositivos en Trusted Extensions mapa de tareas Tarea Descripci n Para obtener instrucciones Revocar o reclamar un dispositivo Usar Device Allocation Man
254. ions Inicie sesi n en el host remoto Puede utilizar los comandos rlogin o ssh ssh remote host Procedimientos de administradores de Oracle Solaris Trusted Extensions Agosto de 2011 Administraci n remota de Trusted Extensions mapa de tareas Inicie la administraci n remota En la ventana de terminal de la sesi n escriba el comando dtappsession seguido del nombre del host local usr dt bin dtappsession local host Si Application Manager se est ejecutando en el host remoto se muestra en el host local Adem s aparece un cuadro de di logo de salida Administre el host remoto Si invoc la sesi n remota desde Trusted CDE puede utilizar acciones en la carpeta Trusted_Extensions Cuando termine haga clic en el bot n Exit Trusted Path idea Remote Administration O Press Exit to logout of idea Exit Precauci n No se recomienda cerrar Application Manager esto no finaliza la sesi n En la ventana de terminal salga de la sesi n remota Adem s utilice el comando hostname para verificar que est en el host local exit hostname local host C mo administrar sistemas de manera remota con Solaris Management Console desde un sistema Trusted Extensions Solaris Management Console ofrece una interfaz de administraci n remota para gestionar los usuarios los derechos los roles y la red Debe asumir un rol para usar la consola En este procedimiento ejecute la co
255. irectorio etc dt config cp usr dt config Xservers etc dt config Xservers c Edite el archivo etc dt config Xservers para iniciar el programa Xvnc en lugar de Xserver o Xorg En este ejemplo la entrada est configurada para iniciar sesi n en el servidor sin contrase a Para iniciar la sesi n el escritorio de manera correcta el UID local debe ser none en lugar de console Procedimientos de administradores de Oracle Solaris Trusted Extensions Agosto de 2011 Administraci n remota de Trusted Extensions mapa de tareas La entrada se divide con fines de visualizaci n La entrada debe ocupar solamente una l nea 0 Local local_uid console root usr X11 bin Xserver 0 nobanner 0 Local local_uid none root usr X11 bin Xvnc 0 nobanner AlwaysShared SecurityTypes None geometry 1024x768x24 depth 24 Nota Para que la configuraci n sea m s segura se debe solicitar una contrase a mediante el par metro SecurityTypes VncAuth La p gina del comando man Xvnc 1 describe los requisitos de las contrase as d Reinicie el servidor o inicie el servidor Xvnc reboot Despu s de reiniciar verifique que el programa Xvnc se est ejecutando ps ef grep Xvnc root 2145 932 0 Jan 18 6 15 usr X11 bin Xvnc 0 nobanner AlwaysShared SecurityTypes None geometry 1024 En cada cliente VNC del servidor Xvnc de Trusted Extensions instale el software del cliente VNC Para el sistema cliente puede elegir el software En
256. is Trusted Extensions Agosto de 2011 CAP TULO 15 Gesti n de impresi n con etiquetas tareas En este cap tulo se describe c mo utilizar el software de Trusted Extensions para configurar la impresi n con etiquetas Adem s se explica c mo configurar los trabajos de impresi n sin opciones de etiquetas Etiquetas impresoras e impresi n en la p gina 209 m Gesti n de impresi n en Trusted Extensions mapa de tareas en la p gina 217 m Configuraci n de impresi n con etiquetas mapa de tareas en la p gina 218 Reducci n de las restricciones de impresi n en Trusted Extensions mapa de tareas en la p gina 231 Etiquetas impresoras e impresi n El software de Trusted Extensions usa etiquetas para controlar el acceso a las impresoras Las etiquetas se usan para controlar el acceso a las impresoras y a la informaci n sobre los trabajos de impresi n en cola El software tambi n etiqueta el resultado de la impresi n Las p ginas del cuerpo y las p ginas de la car tula y el ubicador obligatorios tienen etiquetas Adem s las p ginas de la car tula y el ubicador pueden incluir instrucciones de tratamiento El administrador del sistema se encarga de la administraci n b sica de las impresoras El rol de administrador de la seguridad se ocupa de la seguridad de las impresoras que incluye las etiquetas y el tratamiento del resultado de impresi n con etiquetas Los administradores si
257. ispositivo no sea asignable haga clic en No Users Si configura una impresora un b fer de trama u otro dispositivo que no deba ser asignable seleccione No Users Para hacer que el dispositivo sea asignable pero que no requiera autorizaci n haga clic en All Users Especifique si el dispositivo se puede asignar de manera remota En la secci n For Allocations From Non Trusted Path seleccione una opci n de la lista Allocatable By De manera predeterminada la opci n Same As Trusted Path est activada Para solicitar autorizaci n del usuario seleccione Allocatable by Authorized Users Para hacer que los usuarios remotos no puedan asignar el dispositivo seleccione No Users Para hacer que cualquiera pueda asignar el dispositivo seleccione All Users Cap tulo 17 Gesti n de dispositivos para Trusted Extensions tareas 249 Gesti n de dispositivos en Trusted Extensions mapa de tareas Antes de empezar 250 Si el dispositivo es asignable y su sitio ha creado nuevas autorizaciones para dispositivos seleccione la autorizaci n adecuada El cuadro de di logo siguiente muestra que se requiere la autorizaci n solaris device allocate para asignar el dispositivo cdrom0 solaris admin dcmgr admin solaris admin dcmgr clients solaris admin dcmgr read Allocate Device j y hal JO Reset Cancel Para crear y utilizar autorizaciones espec ficas del sitio consulte Personalizaci n de autorizaciones para dis
258. istradores de Oracle Solaris Trusted Extensions Agosto de 2011 Gesti n de dispositivos en Trusted Extensions mapa de tareas Antes de empezar Comente la acci n adecuada El siguiente ejemplo muestra las acciones action_filemgr so comentadas para los dispositivos cdrom y diskette action cdrom action filemgr so action floppy action _filemgr so Cuando un CDROM o disquete est asignado File Manager no se visualiza C mo agregar una secuencia de comandos device clean en Trusted Extensions Si no se especifica ninguna secuencia de comandos device_clean cuando se crea un dispositivo se usa la secuencia de comandos predeterminada bin true Debe tener lista una secuencia de comandos que purgue todos los datos utilizables del dispositivo f sico y que devuelva 0 para que el proceso se realice correctamente Para los dispositivos con medios extra bles la secuencia de comandos intenta expulsar el medio si el usuario no lo hace La secuencia de comandos coloca el dispositivo en estado de error de asignaci n si el medio no se expulsa Para obtener detalles sobre los requisitos consulte la p gina del comando man device_clean 5 Debe estar en el rol de administrador del sistema en la zona global Copie la secuencia de comandos en el directorio etc security lib En el cuadro de di logo Device Administration especifique la ruta completa para acceder a la secuencia de comandos a Abra Device Allocation Manager b Haga
259. istration Guide Security Services How to Change the RBAC Properties ofa User de System Administration Guide Security Services How to Audit Roles de System Administration Guide Security Services Cap tulo 9 Using Role Based Access Control Tasks de System Administration Guide Security Services o la p gina Dname service type server name domain name del comando man smprofile 1M Procedimientos de administradores de Oracle Solaris Trusted Extensions Agosto de 2011 CAP TULO 8 Administraci n remota en Trusted Extensions tareas En este cap tulo se describe c mo utilizar las herramientas administrativas de Trusted Extensions para administrar un sistema remoto Administraci n remota segura en Trusted Extensions en la p gina 105 M todos para administrar sistemas remotos en Trusted Extensions en la p gina 106 Inicio de sesi n remoto por un rol en Trusted Extensions en la p gina 107 Administraci n remota de Trusted Extensions mapa de tareas en la p gina 108 Administraci n remota segura en Trusted Extensions De manera predeterminada Trusted Extensions no permite la administraci n remota La administraci n remota implicar a un gran riesgo de seguridad si los usuarios de sistemas remotos que no son de confianza pudieran administrar los sistemas que est n configurados con Trusted Extensions Por esto los sistemas se instalan inicialmente sin la opci n que per
260. ition escriba dsadm start export home ds instances your instance dsadm stop export home ds instances your instance a Para iniciar o detener un servidor proxy LDAP en la versi n 6 del software de Oracle Directory Server Enterprise Edition escriba dpadm start export home ds instances your instance dpadm stop export home ds instances your instance Cap tulo 9 Trusted Extensions y LDAP descripci n general 123 124 CAP TULO 10 Gesti n de zonas en Trusted Extensions tareas En este cap tulo se describe c mo funcionan las zonas no globales en los sistemas que est n configurados con Trusted Extensions Adem s se explican procedimientos exclusivos de las zonas en Trusted Extensions Zonas en Trusted Extensions en la p gina 125 Procesos de la zona global y de las zonas con etiquetas en la p gina 128 Utilidades de administraci n de zona en Trusted Extensions en la p gina 130 Gesti n de zonas mapa de tareas en la p gina 130 Zonas en Trusted Extensions El sistema Trusted Extensions bien configurado consta de una zona global que es la instancia del sistema operativo y una o m s zonas no globales con etiquetas Durante la configuraci n Trusted Extensions anexa una sola etiqueta a cada zona lo que crea las zonas con etiquetas Las etiquetas proceden del archivo label_encodings Los administradores pueden crear una zona para cada una de las etiquetas pero esto no es oblig
261. ivo etc printers conf de la zona Pruebe un sistema Oracle Solaris que se encuentre en la misma subred que esta zona con etiquetas Por ejemplo pruebe el sistema Solaris1 Este sistema se encuentra en la misma subred que la zona internal Los par metros de configuraci n son los siguientes m Ladirecci n IP de math printer es 192 168 4 6 a Ladirecci n IP de Solaris1 es 192 168 4 12 Ladirecci n IP de la zona internal es 192 168 4 17 Solarisl uname a SunOS Solaris1 Generic_120011 11 sun4u sparc SUNW Sun Blade 1000 Solaris1 lpadmin p math printer s 192 168 4 17 Solaris1 lpadmin d math printer Solarisl lpstat t scheduler is not running system default destination math printer system for default 192 168 4 17 as printer math printer system for math printer 192 168 4 17 default accepting requests since Feb 28 00 00 2008 math printer accepting requests since Feb 28 00 00 2008 printer default is idle enabled since Feb 28 00 00 2008 available printer math printer is idle enabled since Feb 28 00 00 2008 available m Pruebeelcomando 1p Solaris1 lp etc hosts request id is math printer 1 1 file Pruebe la impresi n desde las aplicaciones como StarOffice y desde el explorador Cap tulo 15 Gesti n de impresi n con etiquetas tareas 225 Configuraci n de impresi n con etiquetas mapa de tareas 7 Pruebe un servidor Windows 2003 que se encuentre en la misma subred que esta zona con etiqu
262. izaci n consulte Personalizaci n de autorizaciones para dispositivos en Trusted Extensions mapa de tareas en la p gina 256 Como en el SO Oracle Solaris los privilegios no se pueden ampliar Funciones de seguridad de Trusted Extensions Trusted Extensions proporciona las siguientes funciones de seguridad exclusivas m Etiquetas los sujetos y los objetos tienen etiquetas Los procesos tienen etiquetas Las zonas y la red tienen etiquetas m Device Allocation Manager de manera predeterminada los dispositivos se encuentran protegidos por los requisitos de asignaci n La GUI de Device Allocation Manager es la interfaz para administradores y para usuarios comunes m Opci n de men Change Password el men Trusted Path le permite cambiar su contrase a de usuario y la contrase a del rol que asumi Procedimientos de administradores de Oracle Solaris Trusted Extensions Agosto de 2011 Aplicaci n de los requisitos de seguridad Aplicaci n de los requisitos de seguridad A fin de garantizar que la seguridad del sistema no se vea comprometida los administradores necesitan proteger las contrase as los archivos y los datos de auditor a Los usuarios deben estar capacitados para hacer su parte del trabajo Para cumplir con los requisitos de una configuraci n evaluada siga las directrices descritas de esta secci n Usuarios y requisitos de seguridad Cada administrador de la seguridad del sitio debe garantizar que
263. l archivo de configuraci n auto_home se personaliza por zona El archivo se denomina seg n el nombre de la zona Por ejemplo si el sistema tiene una zona global y una zona public habr dos archivos auto_home auto_home_global y auto_home_ public Cap tulo 11 Gesti n y montaje de archivos en Trusted Extensions tareas 155 Copia de seguridad uso compartido y montaje de archivos con etiquetas mapa de tareas Antes de empezar 156 Trusted Extensions utiliza las mismas interfaces de montaje que el SO Oracle Solaris Para montar archivos durante el inicio utilice el archivo etc vfstab en la zona con etiquetas Para montar los archivos din micamente utilice el comando mount en la zona con etiquetas Para montar los directorios principales autom ticamente utilice los archivos auto_home_nombre de zona Para montar otros directorios autom ticamente use los mapas de montaje autom tico est ndares Si los mapas de montaje autom tico est n en LDAP utilice los comandos LDAP para gestionarlos Debe estar en el sistema cliente en la zona de la etiqueta de los archivos que desea montar Si no usa el montador autom tico debe ser superusuario o estar en el rol de administrador del sistema Para montar servidores de nivel inferior la zona debe estar configurada con el privilegio net_mac_aware Para montar archivos en NFS en una zona con etiquetas aplique los procedimientos siguientes La mayor a de los procedimientos
264. l cuerpo de la car tula y del ubicador Esta clase de impresoras pueden imprimir los trabajos de impresi n dentro del rango de etiquetas del servidor de impresi n Cualquier host de Trusted Extensions que llegue al servidor de impresi n puede utilizar las impresoras que est n conectadas al servidor Antes de empezar 218 Determine el servidor de impresi n para su red de Trusted Extensions Debe estar en el rol de administrador del sistema de la zona global de este servidor de impresi n Procedimientos de administradores de Oracle Solaris Trusted Extensions Agosto de 2011 Configuraci n de impresi n con etiquetas mapa de tareas Inicie Solaris Management Console Para obtener detalles consulte C mo administrar el sistema local con Solaris Management Console en la p gina 55 Seleccione la caja de herramientas Files El t tulo de la caja de herramientas incluye Scope Files Policy TSOL Habilite la impresi n de varios niveles mediante la configuraci n de la zona global con el puerto del servidor de impresi n 515 tcp Cree un puerto de varios niveles MLP para el servidor de impresi n Para ello agregue el puerto a la zona global a Vayaala herramienta Trusted Network Zones b En Multilevel Ports for Zone s IP Addresses agregue 515 tcp c Haga clic en OK Defina las caracter sticas de cada impresora conectada Use la l nea de comandos La interfaz gr fica de usuario del gestor de impresion
265. l momento del inicio C mo limitar los hosts que se pueden contactar en la red de confianza en la p gina 190 Aumentar la seguridad por medio del reemplazo de la entrada de comod n con una red de hosts con etiquetas como valor predeterminado Ejemplo 13 11 Crear una entrada para la direcci n de host 0 0 0 0 Configurar un servidor Sun Ray para aceptar el contacto inicial desde un cliente remoto Ejemplo 13 13 Asignar plantillas de seguridad Asociar una plantilla con una direcci n IP o lista de direcciones IP contiguas C mo asignar una plantilla de seguridad a un host o a un grupo de hosts en la p gina 188 espec ficas del sitio Antes de empezar 1 Familiar cese con las plantillas Trusted Extensions C mo determinar si necesita plantillas de seguridad Debe estar en el rol de administrador de la seguridad en la zona global Lea el archivo tnrhtp en un host local Los comentarios del archivo sirven de ayuda Tambi n puede ver los valores de atributo de seguridad de la herramienta Security Templates de Solaris Management Console Las plantillas predeterminadas coinciden con cualquier instalaci n El rango de etiquetas para cada plantilla es de ADMIN_LOWa ADMIN_HIGH a Laplantilla cipso define un tipo de host CIPSO cuyo dominio de interpretaci n es 1 El rango de etiquetas para cada plantilla es de ADMIN_LOW a ADMIN_HIGH a Laplantilla de admin_low define un host s
266. l servidor Escriba la contrase a del rol y haga clic en Login as Role A continuaci n puede utilizar Solaris Management Console para administrar el sistema Procedimientos de administradores de Oracle Solaris Trusted Extensions Agosto de 2011 Administraci n remota de Trusted Extensions mapa de tareas Antes de empezar Nota Si intenta acceder a la informaci n de la base de datos de la red desde un sistema distinto del servidor LDAP la operaci n fallar La consola le permite iniciar sesi n en el host remoto y abrir la caja de herramientas Sin embargo si intenta acceder a la informaci n o modificarla el siguiente mensaje de error le indicar que ha seleccionado Scope LDAP en un sistema distinto del servidor LDAP Management server cannot perform the operation requested Error extracting the value from tool The keys received from the client were machine domain Scope Problem with Scope C mo habilitar a usuarios espec ficos para que inicien sesi n de manera remota en la zona global en Trusted Extensions El rango de etiquetas predeterminado del usuario y el comportamiento predeterminado de la zona se cambian a fin de habilitar a quienes no tengan roles para que inicien sesi n de manera remota Quiz s desee llevar a cabo este procedimiento para un evaluador que utiliza un sistema con etiquetas remoto Por motivos de seguridad el sistema del evaluador debe ejecutar una etiqueta separada de los dem s usuarios
267. l siguiente ejemplo muestra la base de datos local tnrhdb con entradas para un cliente LDAP con dos interfaces de red El cliente se comunica con otra red y con los enrutadores Procedimientos de administradores de Oracle Solaris Trusted Extensions Agosto de 2011 Configuraci n de bases de datos de red de confianza mapa de tareas Ejemplo 13 13 127 0 0 1 cipso Loopback address 192 168 112 111 cipso Interface 1 ofthis host 192 168 113 111 cipso Interface 2 ofthis host 10 6 6 2 cipso LDAP server 192 168 113 6 cipso Audit server 192 168 112 255 cipso Subnet broadcast address 192 168 113 255 cipso Subnet broadcast address 192 168 113 1 cipso Router 192 168 117 0 cipso Another Trusted Extensions network 192 168 112 12 public Specific network router 192 168 113 12 public Specific network router 224 0 0 2 public Multicast address 255 255 255 255 admin_low Broadcast address Establecimiento de la direcci n de host0 0 0 0 como entrada tnrhdb v lida En este ejemplo el administrador de la seguridad configura un servidor Sun Ray para que acepte las solicitudes de conexi n inicial de clientes potenciales El servidor usa una topolog a privada y los valores predeterminados utadm a bge0 Primero el administrador determina el nombre de dominio de Solaris Management Console SMCserver usr sadm bin dtsetup scopes Getting list of managable scopes Scope 1 file machinel ExampleCo COM machinel ExampleCo COM Luego el administrador
268. l sistema local Despu s de asumir el rol de administrador del sistema el administrador crea un espacio de trabajo en la etiqueta INTERNAL Luego modifica el archivo vfstab en esa zona Readable books directory at PUBLIC ro entry indicates that PUBLIC docs can never be mounted rw in internal zone remote sys zone public root opt docs opt docs nfs no yes ro Para acceder a los archivos en la zona con etiquetas remota la entrada vfstab utiliza la ruta root de la zona de la zona public del sistema remoto zone public root como nombre de ruta de los directorios que se deben montar Desde la perspectiva de un usuario en la zona interna se puede acceder a los archivos en opt docs En una ventana de terminal en la etiqueta INTERNAL el administrador monta los archivos mountall Montaje de directorios principales con etiquetas de una red que se administra mediante LDAP En este ejemplo el administrador del sistema habilita a un usuario nuevo ikuk para que acceda asu directorio principal en cada etiqueta Este sitio utiliza dos servidores de directorios principales y se administra mediante LDAP El segundo servidor contiene los directorios principales para los usuarios jdoe y pkai El usuario nuevo se agrega a esta lista Primero despu s de asumir el rol de administrador del sistema el administrador modifica los archivos auto_home_nombre de zona en el directorio etc de la zona global a fin de incluir al usuario nuevo en el
269. la consola de la zona con etiquetas zlogin C labeled zonename b Agregue la impresora a la zona lpadmin p printer name s global zone shared IP address c Opcional Establezca la impresora como predeterminada lpadmin d printer name En cada zona pruebe la impresora Nota A partir de la versi n Solaris 10 7 10 los archivos que tengan una etiqueta administrativa ya sea ADMIN_HIGH o ADMIN_LOW imprimen ADMIN_HIGH en el cuerpo de la copia impresa Las p ginas de la car tula y del ubicador tienen la etiqueta m xima y los compartimientos del archivo label_encodings Como usuario root y como usuario com n realice los siguientes pasos a Imprima los archivos sin formato de la l nea de comandos b Imprima los archivos desde las aplicaciones como StarOffice y desde el explorador y el editor c Verifique que las p ginas de la car tula y del ubicador y las car tulas de seguridad se impriman correctamente Determinaci n del estado de una impresora de red En este ejemplo el administrador verifica el estado de la impresora de red desde la zona global y desde una zona con etiquetas global lpstat t scheduler is running system default destination math printer system for default trustedl as printer math printer device for math printer dev null character set default accepting requests since Feb 28 00 00 2008 lex accepting requests since Feb 28 00 00 2008 printer math printer is idle enabled since
270. la etiqueta de una propiedad de la ventana Establece el UID de una propiedad de una ventana Establece la etiqueta de una ventana o un mapa de p xeles Establece el UID de una ventana un mapa de p xeles o un mapa de colores Establece la etiqueta de sensibilidad alta de sesi n para el servidor de la ventana Establece la etiqueta de sensibilidad baja de sesi n para el servidor de la ventana Establece la altura de la banda de la pantalla Establece la propiedad de la estaci n de trabajo Procedimientos de administradores de Oracle Solaris Trusted Extensions Agosto de 2011 P ginas del comando man de Oracle Solaris que Trusted Extensions modifica P ginas del comando man de Oracle Solaris que Trusted Extensions modifica Trusted Extensions agrega informaci n a las siguientes p ginas del comando man de Oracle Solaris P gina del comando man de Oracle Solaris Modificaci n de Trusted Extensions allocate 1 Agrega opciones para admitir la asignaci n de un dispositivo en una zona y la limpieza del dispositivo en un entorno de ventanas auditconfig 1M Agrega la pol tica de ventanas para la audit_class 4 audit_event 4 auditreduce 1M auth_attr 4 automount 1M cancel 1 deallocate 1 device clean 5 exec_attr 4 getpflags 2 getsockopt 3SOCKET informaci n con etiquetas Agrega las clases de auditor a del servidor X Agrega eventos de auditor a Agrega un selector de etiquetas Agrega a
271. la zona global y todas las zonas con etiquetas Esta configuraci n es til para los sistemas que utilizan software de DHCP para obtener su direcci n IP Si no se espera que ning n usuario inicie sesi n el servidor LDAP puede tener esta configuraci n m F sistema tiene una direcci n IP para la zona global y otra direcci n IP que comparten todas las zonas incluida la zona global Cualquier zona puede tener una combinaci n de una direcci n exclusiva y una direcci n compartida Esta configuraci n es til para los sistemas en que los usuarios comunes iniciar n sesi n Tambi n se puede utilizar para una impresora o un servidor NES Esta configuraci n conserva las direcciones IP ma Fl sistema tiene una direcci n IP para la zona global y cada zona con etiquetas tiene una direcci n IP exclusiva Esta configuraci n sirve para proporcionar acceso a redes f sicas separadas de sistemas de un solo nivel Normalmente cada zona tiene una direcci n IP en una red f sica diferente de las dem s zonas con etiquetas Debido a que esta configuraci n se implementa con una sola instancia de IP la zona global controla las interfaces f sicas y gestiona los recursos globales como la tabla de enrutamiento 126 Procedimientos de administradores de Oracle Solaris Trusted Extensions Agosto de 2011 Zonas en Trusted Extensions Con la introducci n de las instancias de IP exclusivas para las zonas no globales se suma un cuarto tipo de
272. laris pero su uso es opcional En Trusted Extensions los roles son necesarios para la correcta administraci n En el SO Oracle Solaris es posible establecer el usuario root como rol En Trusted Extensions se establece el usuario root como rol para auditar con mayor eficacia al superusuario Opciones limitadas en Trusted Extensions Trusted Extensions reduce el rango de las opciones de configuraci n de Oracle Solaris Escritorio Servicio de nombres Zonas Trusted Extensions ofrece dos escritorios Solaris Trusted Extensions CDE y Solaris Trusted Extensions JDS Trusted Extensions ofrece el escritorio Solaris Trusted Extensions GNOME Se admite el servicio de nombres de LDAP Todas las zonas deben administrarse desde un solo servicio de nombres La zona global es una zona administrativa Solamente el usuario root o un rol pueden entrar en la zona global Por lo tanto las interfaces administrativas que est n disponibles para los usuarios comunes de Oracle Solaris no est n disponibles para los usuarios comunes de Trusted Extensions Por ejemplo en Trusted Extensions los usuarios no pueden abrir la consola Solaris Management Console Las zonas no globales son las zonas con etiquetas Los usuarios trabajan en las zonas con etiquetas Ap ndice A Referencia r pida a la administraci n de Trusted Extensions 287 288 AP NDICE B Lista de las p ginas del comando man de Trusted Extensions Trusted Ext
273. laris Trusted Extensions Agosto de 2011 Atributos de seguridad que deben asignarse a los usuarios profile soffice Xdefaults hostname signature Xdefaults Cap tulo6 Usuarios derechos y roles en Trusted Extensions descripci n general 85 86 CAP TULO 7 Gesti n de usuarios derechos y roles en Trusted Extensions tareas En este cap tulo se explican los procedimientos de Trusted Extensions para configurar y gestionar usuarios cuentas de usuario y perfiles de derechos m Personalizaci n del entorno de usuario para la seguridad mapa de tareas en la p gina 87 m Gesti n de usuarios y derechos con Solaris Management Console mapa de tareas en la p gina 95 m Manejo de otras tareas en Solaris Management Console mapa de tareas en la p gina 103 Personalizaci n del entorno de usuario para la seguridad mapa de tareas En el siguiente mapa de tareas se describen las tareas comunes que puede llevar a cabo para personalizar un sistema para todos los usuarios o una cuenta de usuario individual Tarea Cambiar los atributos de etiqueta Descripci n Modificar los atributos de etiquetas como la vista de la etiqueta m nima y la etiqueta predeterminada para una cuenta de usuario Para obtener instrucciones C mo modificar atributos de etiquetas de usuarios predeterminados en la p gina 88 87 Personalizaci n del entorno de usuario para la seg
274. led zone tiene la misma etiqueta que la zona zone labeled zone root directories A esta ruta tambi n se la llama ruta root de la zona Desde la perspectiva de la zona global es la ruta root de una zona con etiquetas Desde la perspectiva de la zona con etiquetas es el root de la zona es el directorio La zona global no usa esta ruta para administrar la zona Para compartir directorios desde una zona con etiquetas el administrador de la zona global debe crear y modificar el archivo dfstab en el directorio etc de la ruta de la zona zone labeled zone etc dfs dfstab El directorio etc no se puede ver desde la zona con etiquetas Este directorio es diferente del directorio etc que se ve desde la zona Global zone view zone labeled zone root etc Labeled zone view of the same directory etc Un archivo dfstab de esta ruta no habilita el uso compartido de los directorios con etiquetas Cap tulo 11 Gesti n y montaje de archivos en Trusted Extensions tareas 147 Acceso alos directorios montados de NFS en Trusted Extensions Cuando el estado de la zona con etiquetas es ready o running los archivos que aparecen en el archivo zone labeled zone etc dfs dfstab se comparten en la etiqueta de la zona Para conocer el procedimiento consulte C mo compartir directorios desde una zona con etiquetas en la p gina 153 Acceso alos directorios montados de NFS en Trusted Extensions 148 De manera predeterminada los siste
275. les Policy TSOL This Computer Idap server Scope LDAP Policy TSOL Vaya hasta la herramienta de Solaris Management Console que desee Se muestra el indicador de contrase a Para las herramientas que Trusted Extensions haya modificado haga clic en System Configuration Cap tulo 3 Introducci n para administradores de Trusted Extensions tareas 55 Introducci n para administradores de Trusted Extensions mapa de tareas 5 Escriba la contrase a del usuario Consulte la ayuda en pantalla para obtener informaci n adicional sobre las herramientas de Solaris Management Console Para obtener una introducci n a las herramientas que Trusted Extensions modifica consulte Herramientas de Solaris Management Console en la p gina 38 6 Paracerrar la interfaz gr fica de usuario seleccione Exit en el men Console v C mo iniciar acciones administrativas de CDE en Trusted Extensions 1 Asumaun rol Para obtener detalles consulte C mo entrar en la zona global en Trusted Extensions en la p gina 53 2 EnTrusted CDE traiga Application Manager hacia adelante a Haga clic con el tercer bot n del mouse en el fondo para que aparezca el men Workspace b Haga clic en Applications y luego en la opci n de men Application Manager Application Manager A Z Desktop_Apps Desktop_Controls z Desktop_Tools Information System_Admin Trusted_Extensions E Solaris Management Console Sun Update Manage
276. los usuarios que pueden iniciar sesi n en m s de una etiqueta quiz s desee configurar los archivos copy_files y link_files en el directorio principal de etiqueta m nima del usuario La herramienta User Accounts de Solaris Management Console funciona de la misma manera que en el SO Oracle Solaris pero con dos excepciones Trusted Extensions agrega atributos a las cuentas de usuario Elacceso al servidor del directorio principal requiere atenci n administrativa en Trusted Extensions m Primero debe crear la entrada del servidor del directorio principal igual que en el sistema Oracle Solaris m Luego el usuario y usted deben realizar los dem s pasos para montar el directorio principal en cada etiqueta de usuario Cap tulo 6 Usuarios derechos y roles en Trusted Extensions descripci n general 81 Atributos de seguridad que deben asignarse a los usuarios Como se describe en How to Add a User With the Solaris Management Console s Users Tool de System Administration Guide Basic Administration un asistente lo habilita para que cree las cuentas de usuario con rapidez Despu s de utilizar el asistente puede modificar los atributos de Trusted Extensions predeterminados para el usuario Para obtener m s informaci n sobre los archivos copy_files y link_files consulte Archivos copy_files y link_files en la p gina 84 Atributos de seguridad que deben asignarse a los usuarios 82 El rol de administr
277. los hosts que LDAP gestiona escriba ldaplist l hosts Long listing ldaplist hosts One line listing Para crear una lista con la informaci n del rbol de informaci n de directorios DIT Directory Information Tree en LDAP escriba Ildaplist l services more dn cn apocd ipServiceProtocol udp ou Services dc exampleco dc com objectClass ipService objectClass top cn apocd ipServicePort 38900 ipServiceProtocol udp Ildaplist services name dn cn name ipServiceProtocol udp ou Services dc exampleco dc com Para visualizar el estado del servicio LDAP en el cliente escriba svcs xv network ldap client svc network ldap client default LDAP client State online since date See man M usr share man s 1M ldap_cachemgr See var svc log network ldap client default log Impact None Para iniciar o detener el cliente LDAP escriba 122 Procedimientos de administradores de Oracle Solaris Trusted Extensions Agosto de 2011 Uso del servicio de nombres LDAP en Trusted Extensions svcadm enable network ldap client svcadm disable network ldap client a Parainiciar o detener el servidor LDAP en la versi n 5 2 del software de Oracle Directory Server Enterprise Edition escriba installation directory slap LDAP server hostname start slapd installation directory slap LDAP server hostname stop slapd Parainiciar o detener el servidor LDAP en la versi n 6 del software de Oracle Directory Server Enterprise Ed
278. los usuarios reciban la formaci n necesaria sobre procedimientos de seguridad El administrador de la seguridad necesita comunicar las siguientes reglas a los empleados nuevos y recordarlas a los empleados existentes con regularidad m No digaa nadie la contrase a Cualquiera que conozca su contrase a puede acceder a la misma informaci n que usted sin identificarse y por lo tanto sin tener que responsabilizarse m No escriba su contrase a en un papel ni la incluya en un correo electr nico a Elija contrase as que sean dif ciles de adivinar ma No env e su contrase a a nadie por correo electr nico No deje su equipo desatendido sin bloquear la pantalla o cerrar sesi n m Recuerde que los administradores no dependen del correo electr nico para enviar instrucciones a los usuarios Nunca siga las instrucciones enviadas mediante correo electr nico por un administrador sin antes confirmar con el administrador Tenga en cuenta que la informaci n del remitente en el correo electr nico puede falsificarse a Dado que es responsable de los permisos de acceso a los archivos y directorios que crea aseg rese de que los permisos de los archivos y directorios se hayan definido correctamente No permita que los usuarios no autorizados lean o modifiquen un archivo enumeren los contenidos de un directorio o aumenten un directorio Es posible que en su sitio desee proporcionar sugerencias adicionales Uso del correo electr nico
279. main suffix domain prefix grant Grant All Company Authorizations help CompanyGrant html domain suffix domain prefix grant device Grant Company Device Authorizations help CompanyGrantDevice html domain suffix domain prefix device allocate tape Allocate Tape Device help CompanyTapeAllocate html domain suffix domain prefix device allocate floppy Allocate Floppy Device help CompanyFloppyAllocate html Guarde el archivo y cierre el editor Si usa LDAP como servicio de nombres actualice las entradas auth_attr en el Oracle Directory Server Enterprise Edition servidor LDAP Para obtener informaci n consulte la p gina del comando man ldapaddent 1M Agregue las autorizaciones nuevas a los perfiles de derechos adecuados Luego asigne los perfiles a los usuarios y los roles Utilice Solaris Management Console Asuma el rol de administrador de la seguridad y siga el procedimiento de Oracle Solaris How to Create or Change a Rights Profile de System Administration Guide Security Services Utilice la autorizaci n para restringir el acceso a unidades de cintas y de disquetes Agregar las autorizaciones nuevas a la lista de autorizaciones requeridas en Device Allocation Manager Para conocer el procedimiento consulte C mo agregar autorizaciones espec ficas del sitio a un dispositivo en Trusted Extensions en la p gina 259 Creaci n de autorizaciones para dispositivos espec ficas Un administrador de la s
280. mas de archivos montados en NES son visibles en la etiqueta de sistema de archivos exportado Si el sistema de archivos se exporta con permisos de lectura y escritura los usuarios que cuenten con dicha etiqueta pueden escribir en los archivos El usuario puede ver los montajes de NFS que est n en una etiqueta inferior a su sesi n actual pero no puede escribir en ellos Incluso si un sistema de archivos se comparte con permisos de lectura y escritura el sistema de montaje puede escribirlos solamente en la etiqueta del montaje Para hacer que los usuarios de una zona de nivel superior puedan ver los directorios de nivel inferior montados en NES el administrador de la zona global del servidor NFS debe exportar el directorio principal El directorio principal se exporta en su etiqueta En el lado del cliente cada zona debe tener el privilegio net_mac_aware De manera predeterminada las zonas con etiquetas incluyen el privilegio net_mac_aware en su conjunto limitpriv a Configuraci n del servidor en el servidor NFS debe exportar el directorio principal en un archivo dfstab Si el directorio principal est en una zona con etiquetas el archivo dfstab debe modificarse en la zona con etiquetas del directorio principal El archivo dfstab para una zona con etiquetas se puede ver solamente desde la zona global Para conocer el procedimiento consulte C mo compartir directorios desde una zona con etiquetas en la p gina 153 Configuraci n del
281. mbi n agrega perfiles a la base de datos Trusted Extensions agrega acciones de CDE a los archivos ejecutables que pueden tener privilegios en la base de datos exec_attr Trusted Extensions agrega campos a la base de datos policy conf Para obtener informaci n sobre los campos consulte Valores predeterminados del archivo policy conf en Trusted Extensions en la p gina 81 Trusted Extensions agrega tokens de auditor a eventos de auditor a clases de auditor a y opciones de pol tica de auditor a Para ver una lista consulte la Referencia de auditor a de Trusted Extensions en la p gina 266 Ap ndice A Referencia r pida a la administraci n de Trusted Extensions 285 Valores predeterminados de seguridad que brindan mayor protecci n en Trusted Extensions Solaris Management Console Trusted Extensions agrega la herramienta Security Templates al conjunto de herramientas Computers and Networks Trusted Extensions agrega la herramienta Trusted Network Zones al conjunto de herramientas Computers and Networks Trusted Extensions agrega la ficha Trusted Extensions Attributes a las herramientas Users y Administrative Roles Directorios compartidos desde las zonas Trusted Extensions le permite compartir directorios desde las zonas con etiquetas Los directorios se comparten en la etiqueta de la zona mediante la creaci n de un archivo etc dfs dfstab desde la zona global Valores predeterminados de segurida
282. mbre del directorio principal coincide con un usuario v lido cuyo directorio principal todav a no existe en nombre de zona Para obtener detalles sobre los cambios en el montador autom tico consulte la p gina del comando man automount 1M 150 Procedimientos de administradores de Oracle Solaris Trusted Extensions Agosto de 2011 Software de Trusted Extensions y versiones del protocolo NFS Software de Trusted Extensions y versiones del protocolo NFS En las versiones Solaris 10 11 06 y Solaris 10 8 07 Trusted Extensions reconoce varias etiquetas nicamente en NFS versi n 4 NFSv4 A partir de la versi n Solaris 10 5 08 el software de Trusted Extensions reconoce las etiquetas de NFS versi n 3 NFSv3 y NFSv4 Puede utilizar una de las siguientes opciones de conjuntos de montaje vers 4 proto tcp vers 3 proto tcp vers 3 proto udp Trusted Extensions no tiene restricciones para los montajes realizados en protocolo tcp En NFSv3 y NESva el protocolo tcp puede usarse para los montajes de una misma etiqueta y los montajes de lectura en sentido descendente Los montajes de lectura en sentido descendente requieren un puerto de varios niveles MLP Para NFSv3 Trusted Extensions funciona como el SO Oracle Solaris El protocolo udp es el que est predeterminado para NFSv3 pero udp se usa solamente para la operaci n de montaje inicial Para las operaciones de NFS subsiguientes el sistema utiliza tcp Por lo tanto los montajes de le
283. ministra los sistemas de manera remota En una red que utiliza LDAP como servicio de nombres el cliente de Solaris Management Console se conecta con el servidor de Solaris Management Console que se ejecuta en el servidor LDAP La siguiente figura muestra esta configuraci n Cap tulo 2 Herramientas de administraci n de Trusted Extensions 41 Herramientas de Solaris Management Console 42 FIGURA 2 5 Cliente de Solaris Management Console que usa un servidor LDAP para administrar la red Cliente de Solaris Management Console Servidor LDAP tcp_listen true tsol_Idap tbx Scope LDAP Policy TSOL remote connections true remote connections true La Figura 2 6 muestra una red que no est configurada con un servidor LDAP El administrador configur cada sistema remoto con un servidor de Solaris Management Console FIGURA 2 6 Cliente de Solaris Management Console que administra sistemas remotos individuales en una red tcp_listen true Cliente de Solaris remote connections true Management Console tcp_listen true remote connections true tcp_listen true remote connections true a remote connections true Documentaci n de Solaris Management Console La principal fuente de documentaci n de Solaris Management Console es la ayuda en pantalla La ayuda contextual aparece en el panel de informaci n y est enlazada con la funci n que se encuentre seleccionada Para acceder a los temas
284. mite la administraci n de manera remota Hasta que la red se configura todos los hosts remotos se asignan a la plantilla de seguridad admin_low Por lo tanto el protocolo CIPSO no se utiliza ni se acepta para ninguna conexi n En este estado inicial los sistemas permanecen protegidos frente a los ataques remotos mediante varios mecanismos Entre estos mecanismos se incluyen la configuraci n de netservices la pol tica de inicio de sesi n predeterminada y la pol tica de m dulos de autentificaci n enlazables PAM Plugable Authentication Modules Cuando el perfil de la utilidad de gesti n de servicio SMF netservices se establece como limited no se habilita ning n servicio remoto a excepci n del shell seguro Sin embargo el servicio ssh no se puede utilizar para inicios de sesi n remotos seg n lo establecido en las pol ticas de inicio de sesi n y de PAM La cuenta root no puede utilizarse para inicios de sesiones remotas porque la pol tica predeterminada para CONSOLE en el archivo etc default login impide que root inicie sesi n de manera remota m Adem s dos configuraciones de PAM afectan los inicios de sesi n remotos 105 M todos para administrar sistemas remotos en Trusted Extensions El m dulo pam_roles siempre rechaza los inicios de sesi n locales desde las cuentas de tipo role De manera predeterminada este m dulo tambi n rechaza inicios de sesi n remotos Sin embargo el sistema puede configurarse
285. modificarlo ADMIN_LOW se utiliza normalmente para proteger los archivos ejecutables que son p blicos y est n compartidos como los archivos de usr bin Archivo de codificaciones de etiqueta Todos los componentes de etiqueta de un sistema es decir las clasificaciones los compartimientos y las reglas asociadas se almacenan en un archivo ADMIN_HIGH el archivo label _encodings Este archivo se encuentra en el directorio etc security tsol El administrador de la seguridad configura el archivo label_encodings para el sitio Un archivo de codificaciones de etiqueta contiene lo siguiente Definiciones de componente son las definiciones de clasificaciones compartimientos etiquetas y acreditaciones incluidas las reglas para las restricciones y las combinaciones necesarias a Definiciones de rangos de acreditaci n es la especificaci n de las acreditaciones y las etiquetas m nimas que definen los conjuntos de etiquetas disponibles para todo el sistema y los usuarios comunes Especificaciones de impresi n representan la identificaci n y el tratamiento de la informaci n para imprimir la p gina de la car tula las p ginas del ubicador el encabezado el pie de p gina y otras funciones de seguridad en el resultado de la impresi n Personalizaciones son las definiciones locales que incluyen los c digos de color de etiquetas y otros valores predeterminados Para obtener m s informaci n consulte la p gina del comando man la
286. mpezar Debe haber un servidor de impresi n configurado con un rango de etiquetas o una sola etiqueta y las impresoras conectadas a ese servidor deben estar configuradas Para obtener detalles consulte lo siguiente C mo configurar un servidor de impresi n de varios niveles y sus impresoras en la p gina 218 C mo configurar una zona para la impresi n con una sola etiqueta en la p gina 227 C mo asignar una etiqueta a un servidor de impresi n sin etiquetas en la p gina 233 Debe estar en el rol de administrador del sistema en la zona global o debe poder asumirlo Realice los procedimientos necesarios para habilitar el acceso las impresoras en los sistemas Configure la zona global en un sistema que no sea servidor de impresi n y use la zona global de otro sistema para acceder a las impresoras a Enelsistema que no tiene acceso a las impresoras asuma el rol de administrador del sistema b Agregue el acceso a la impresora que est conectada al servidor de impresi n de Trusted Extensions lpadmin s printer m Configure una zona con etiquetas a fin de usar su zona global para acceder a una impresora a Cambie la etiqueta del espacio de trabajo del rol por la etiqueta de la zona con etiquetas Para obtener detalles consulte C mo cambiar la etiqueta de un espacio de trabajo de Gu a del usuario de Oracle Solaris Trusted Extensions b Agregue el acceso a la impresora lpadmin s printer
287. n Para obtener instrucciones Cambiar el programa editor del editor de confianza Especificar el editor para los archivos administrativos C mo asignar el editor de su elecci n como editor de confianza en la p gina 70 Cambiar la contrase a de root Especificar una contrase a nueva para el usuario root o el rol root C mo cambiar la contrase a de root en la p gina 71 Cambiar la contrase a de un rol Especificar una contrase a nueva para el rol actual Ejemplo 5 2 Utilizar la combinaci n de teclas de aviso de seguridad Obtener el control del mouse o el teclado Probar si el mouse o el teclado son de confianza C mo recuperar el control del enfoque actual del escritorio en la p gina 72 Determinar el n mero hexadecimal de una etiqueta Mostrar la representaci n interna de una etiqueta de texto C mo obtener el equivalente hexadecimal de una etiqueta en la p gina 73 Determinar la representaci n de texto de una etiqueta Mostrar la representaci n de texto de una etiqueta hexadecimal C mo obtener una etiqueta legible de su forma hexadecimal en la p gina 74 Editar archivos del sistema Editar de manera segura los archivos del sistema Oracle Solaris o Trusted Extensions C mo cambiar los valores predeterminados de seguridad en los archivos del sistema en la p gina 75 69 Tareas comunes en Trusted Exte
288. n archivos que no sean de su propiedad Precauci n No elimine los privilegios proc_forko proc_exec Sin estos privilegios el usuario no podr utilizar el sistema 100 Procedimientos de administradores de Oracle Solaris Trusted Extensions Agosto de 2011 Gesti n de usuarios y derechos con Solaris Management Console mapa de tareas Antes de empezar 1 Trusted Path Edit Default Privileges KA Help Allows a process to examine the AV AAS A a E R O E aA status of processes other than those o File System Privileges q File System Privileges it can send signals to Processes IPC Privileges Add file_link_any Excluded Privileges Included Privileges which cannot be examined cannot Network Privileges 9 Process Privileges Process Privileges lt Remove proc_exec System Privileges proc_fork Window Privileges proc_info Other Privileges Add AID proc_session be seen in proc and appear not to exist lt Remove All OK Cancel Para guardar los cambios haga clic en OK C mo impedir el bloqueo de cuentas de los usuarios Trusted Extensions ampl a las funciones de seguridad del usuario en Solaris Management Console a fin de que se incluya el bloqueo de cuentas Desactive el bloqueo de cuentas para los usuarios que pueden asumir un rol Debe estar en el rol de administrador de la seguridad en la zona global Inicie Solaris Management Console Utilice una
289. n cada host de Trusted Extensions C mo modificar los valores predeterminados de policy conf La modificaci n de los valores predeterminados de policy conf en Trusted Extensions es similar ala modificaci n de cualquier archivo de sistema relativo a la seguridad en el SO Oracle Solaris En Trusted Extensions se utiliza un editor de confianza para modificar archivos de sistema Debe estar en el rol de administrador de la seguridad en la zona global Para obtener detalles consulte C mo entrar en la zona global en Trusted Extensions en la p gina 53 Revise los valores predeterminados en el archivo etc security policy conf Para conocer las palabras clave de Trusted Extensions consulte la Tabla 6 1 Modifique la configuraci n Utilice el editor de confianza para editar el archivo del sistema Para obtener detalles consulte C mo editar archivos administrativos en Trusted Extensions en la p gina 57 Cambio de la configuraci n del tiempo de inactividad del sistema En este ejemplo el administrador de la seguridad desea que los sistemas inactivos regresen a la pantalla de inicio de sesi n El valor predeterminado bloquea los sistemas inactivos Por lo tanto el rol de administrador de la seguridad agrega el siguiente par palabra clave valor IDLECMD al archivo etc security policy conf IDLECMD LOGOUT El administrador tambi n desea que los sistemas permanezcan inactivos durante un per odo m s corto antes de que se c
290. n de los requisitos de seguridad en la p gina 61 m Reglas para cambiar el nivel de seguridad de los datos en la p gina 64 La Personalizaci n de Solaris Trusted Extensions CDE en la p gina 67 Funciones de seguridad de Oracle Solaris que pueden configurarse Trusted Extensions utiliza las mismas funciones de seguridad que proporciona el SO Oracle Solaris y agrega algunas otras funciones Por ejemplo el SO Oracle Solaris proporciona protecci n eeprom algoritmos de contrase a complejos y requisitos de contrase a protecci n del sistema mediante el bloqueo del usuario y protecci n frente a la interrupci n del teclado Trusted Extensions difiere del SO Oracle Solaris en los procedimientos concretos que se utilizan para modificar estos valores predeterminados de seguridad En Trusted Extensions normalmente se asume un rol para administrar los sistemas Las configuraciones locales se modifican con el editor de confianza Los cambios que afectan la red de usuarios roles y hosts se realizan en Solaris Management Console Interfaces de Trusted Extensions para configurar las funciones de seguridad En esta gu a se mencionan procedimientos en que Trusted Extensions requiere una interfaz espec fica para modificar la configuraci n de seguridad Dicha interfaz es opcional en el SO Oracle Solaris En esta gu a no se mencionan procedimientos por separado en los que Trusted 59 Funciones de seguridad de Oracle Solaris que
291. n el men Workspace persisten m Loscambios que se realizan en el men Workspace se almacenan en el directorio principal del usuario en la etiqueta actual El archivo de men personalizado es dt wsmenu m El perfil de derechos del usuario debe permitir al usuario ejecutar la acci n deseada Cualquier acci n que se agregue al men Workspace debe gestionarse mediante uno de los perfiles de derechos del usuario De lo contrario la acci n falla cuando se la invoca y aparece un mensaje de error Por ejemplo cualquier usuario que tenga la acci n Run puede hacer doble clic en el icono de cualquier ejecutable para ejecutarlo incluso si la acci n o alg n comando que la acci n invoca no est n incluidos en los perfiles de derechos de las cuentas De manera predeterminada los roles no tienen asignada la acci n Run Por lo tanto cualquier opci n de men que requiera la acci n Run falla cuando la ejecuta un rol 68 Procedimientos de administradores de Oracle Solaris Trusted Extensions Agosto de 2011 CAP TULO 5 Administraci n de los requisitos de seguridad en Trusted Extensions tareas Este cap tulo trata las tareas que se realizan normalmente en el sistema configurado con Trusted Extensions Tareas comunes en Trusted Extensions mapa de tareas En el siguiente mapa de tareas se describen los procedimientos que configuran el entorno de trabajo para los administradores de Trusted Extensions Tarea Descripci
292. n el resultado de la impresi n 210 213 inform tica en red virtual vnc Ver sistemas Xvnc que ejecutan Trusted Extensions inicio de sesi n configuraci n de l nea de serie 252 253 inici de sesi n por roles 50 51 inicio de sesi n remoto por roles 107 108 interfaces asignaci n a plantilla de seguridad 188 190 verificar que est n activas 201 internacionalizaci n Ver localizaci n interoperatividad Trusted Solaris 8 y la impresi n 215 216 interrupci n del teclado habilitar 75 76 Introducci n para administradores de Trusted Extensions mapa de tareas 51 58 L LDAP acci n para crear clientes de la zona global 35 bases de datos de Trusted Extensions 119 detener 122 gesti n del servicio de nombres 122 123 iniciar 122 resoluci n de problemas 205 206 servicio de nombres para Trusted Extensions 119 121 visualizar entradas 122 Agosto de 2011 ndice limitaci n hosts definidos en la red 190 194 l nea de serie configuraci n para el inicio de sesiones 252 253 localizaci n cambio del resultado de la impresi n con etiquetas 212 M MAC Ver control de acceso obligatorio MAC Manejo de otras tareas en Solaris Management Console mapa de tareas 103 104 mecanismo de reserva entnrhdb 171 para hosts remotos 180 194 uso para la configuraci n de redes 180 194 mecanismos de seguridad ampliaci n 60 Oracle Solaris 276 277 medios extra bles montaje 281 men Trusted Path Assume
293. n este cap tulo se explican las decisiones fandamentales que debe tomar antes de crear usuarios comunes y se proporciona informaci n b sica adicional para administrar las cuentas de usuario En el cap tulo se supone que el equipo de configuraci n inicial ya configur los roles y un n mero determinado de cuentas de usuario Estos usuarios pueden asumir los roles que se utilizan para configurar y administrar Trusted Extensions Para obtener detalles consulte Creaci n de roles y usuarios en Trusted Extensions de Gu a de configuraci n de Oracle Solaris Trusted Extensions Funciones de seguridad del usuario en Trusted Extensions en la p gina 77 m Responsabilidades del administrador para los usuarios en la p gina 78 m Decisiones que deben tomarse antes de crear usuarios en Trusted Extensions en la p gina 79 Atributos de seguridad del usuario predeterminados en Trusted Extensions en la p gina 80 Atributos de usuario que pueden configurarse en Trusted Extensions en la p gina 81 Atributos de seguridad que deben asignarse a los usuarios en la p gina 82 Funciones de seguridad del usuario en Trusted Extensions El software de Trusted Extensions a ade las siguientes funciones de seguridad para los usuarios los roles o los perfiles de derechos Los usuarios tienen un rango de etiquetas dentro del que pueden utilizar el sistema Hayun rango de etiquetas dentro del que pueden utilizarse los r
294. n la zona global En ambos escritorios puede hacer clic en el espacio de trabajo de un usuario en el rea de selecci n de espacios de trabajo Tambi n puede salir del espacio de trabajo del rol y por consiguiente de la zona global si realiza una de las siguientes acciones En Trusted JDS haga clic en el nombre del rol en la banda de confianza Al hacer clic en el nombre del rol aparece su nombre de usuario y una lista con los roles que puede asumir Si selecciona su nombre de usuario todas las ventanas que cree en lo sucesivo en ese espacio de trabajo tendr n el nombre seleccionado Las ventanas que haya creado anteriormente en el escritorio actual seguir n apareciendo con el nombre y la etiqueta del rol Si selecciona un nombre de rol diferente permanecer en la zona global con un rol diferente m En Trusted CDE elimine el espacio de trabajo del rol Haga clic con el tercer bot n del mouse sobre el bot n del espacio de trabajo y seleccione Delete Volver al ltimo espacio de trabajo que hab a ocupado Procedimientos de administradores de Oracle Solaris Trusted Extensions Agosto de 2011 Introducci n para administradores de Trusted Extensions mapa de tareas Antes de empezar C mo administrar el sistema local con Solaris Management Console La primera vez que Solaris Management Console se inicia en un sistema se produce un retraso mientras se registran las herramientas y se crean los distintos direc
295. n la zona global este comando funciona con todos los trabajos En las zonas con etiquetas el emisor debe dominar la etiqueta del trabajo de impresi n para que pueda verse un trabajo y debe ser igual para que pueda cambiarse Trusted Extensions agrega secuencias de comandos del modelo de la impresora a la opci n m Trusted Extensions agrega la opci n o nolabels lpsched en la zona global este comando siempre funciona correctamente Como en el SO Oracle Solaris utilice el comando svcadm para habilitar deshabilitar iniciar o reiniciar el servicio de impresi n En una zona con etiquetas el emisor debe ser igual a la etiqueta del servicio de impresi n para que se cambie el servicio de impresi n Para obtener detalles sobre la utilidad de gesti n de servicios consulte las p ginas del comando man smt 5 svcadm 1M y svcs 1 Trusted Extensions agrega la autorizaci n solaris label print al perfil de derechos de gesti n de impresoras Se requiere la autorizaci n solaris print unlabeled para imprimir las p ginas del cuerpo sin etiquetas Gesti n de impresi n en Trusted Extensions mapa de tareas Los procedimientos de Trusted Extensions para configurar la impresi n se realizan una vez que se completa la configuraci n de la impresora de Oracle Solaris El siguiente mapa de tareas hace referencia a las tareas principales que gestionan la impresi n con etiquetas Tarea Descripci n Para obtener instrucciones Configurar imp
296. n los sitios que usan Trusted Extensions el rol de administrador principal pueden infringir la pol tica de seguridad Estos sitios convertir an al usuario root en un rol y crear an un rol de administrador de la seguridad m Paracrear el rol root consulte How to Make root User Into a Role de System Administration Guide Security Services m Paracrear roles con Solaris Management Console consulte How to Create and Assign a Role by Using the GUI de System Administration Guide Security Services Asunci n de roles en Trusted Extensions A diferencia del SO Oracle Solaris Trusted Extensions proporciona la opci n de men Assume Rolename Role desde Trusted Path Menu Despu s de confirmar la contrase a del rol el software activa un espacio de trabajo para el rol con el atributo de la ruta de confianza Los espacios de trabajo de los roles son espacios de trabajo administrativos Estos espacios de trabajo se encuentran en la zona global Introducci n para administradores de Trusted Extensions mapa de tareas Familiar cese con los siguientes procedimientos antes de administrar Trusted Extensions Cap tulo 3 Introducci n para administradores de Trusted Extensions tareas 51 Introducci n para administradores de Trusted Extensions mapa de tareas Tarea Descripci n Para obtener instrucciones Iniciar sesi n Iniciar sesi n de manera segura Inicio de sesi n en Trusted Extensions de Gu a
297. nar o desasignar dispositivos Se utiliza para configurar los usuarios los roles los derechos los hosts las zonas y las redes Con esta herramienta pueden actualizarse los archivos locales o las bases de datos LDAP Con esta herramienta tambi n puede iniciarse la aplicaci n heredada dtappsession Es la interfaz de la l nea de comandos para Solaris Management Console Es otra herramienta de usuario Aparece cuando un programa le solicita que seleccione una etiqueta Se usan para realizar tareas que no se puedan realizar con las herramientas de Solaris Management Console o las acciones de CDE Para obtener m s informaci n Consulte Creaci n de zonas con etiquetas de Gu a de configuraci n de Oracle Solaris Trusted Extensions Tambi n consulte la p gina del comando man zenity 1 Consulte Acciones de Trusted CDE en la p gina 35 y C mo iniciar acciones administrativas de CDE en Trusted Extensions en la p gina 56 Consulte Device Allocation Manager en la p gina 37 y Control de dispositivos en Trusted Extensions mapa de tareas en la p gina 245 Para conocer acerca de la funcionalidad b sica consulte el Cap tulo 2 Working With the Solaris Management Console Tasks de System Administration Guide Basic Administration Para obtener informaci n espec fica de Trusted Extensions consulte Herramientas de Solaris Management Console en la p gina 38 Para
298. nas Cuando se mueve una ventana a un escritorio de trabajo con etiquetas diferentes la ventana conserva la etiqueta original Zonas cada zona tiene una sola etiqueta Los archivos y los directorios que son propiedad de una zona se encuentran en la etiqueta de la zona Para obtener m s informaci n consulte la p gina del comando man getzonepath 1 Procedimientos de administradores de Oracle Solaris Trusted Extensions Agosto de 2011 CAP TULO 2 Herramientas de administraci n de Trusted Extensions En este cap tulo se describen las herramientas que est n disponibles en Trusted Extensions la ubicaci n de dichas herramientas y las bases de datos en las que operan Herramientas de administraci n para Trusted Extensions en la p gina 33 Acciones de Trusted CDE en la p gina 35 Device Allocation Manager en la p gina 37 m Herramientas de Solaris Management Console en la p gina 38 m Herramientas de la l nea de comandos en Trusted Extensions en la p gina 44 Administraci n remota en Trusted Extensions en la p gina 47 Herramientas de administraci n para Trusted Extensions La administraci n en los sistemas configurados con Trusted Extensions emplea muchas de las herramientas que se encuentran disponibles en el SO Oracle Solaris Asimismo Trusted Extensions ofrece herramientas con mejoras en la seguridad Los roles pueden acceder a las herramientas de administraci n n
299. nemgr en lugar de las acciones de Trusted CDE txzonemgr utiliza el comando zenity Para obtener detalles consulte la p gina del comando man zenity 1 En Trusted CDE la configuraci n y la creaci n de zonas se puede llevar a cabo con acciones en la carpeta Trusted_Extensions Para obtener una descripci n de las acciones consulte Acciones de Trusted CDE en la p gina 35 Para conocer los procedimientos que utilizan las acciones consulte C mo iniciar acciones administrativas de CDE en Trusted Extensions en la p gina 56 Gesti n de zonas mapa de tareas El mapa de tareas siguiente describe las tareas de gesti n de zonas que son espec ficas de Trusted Extensions El mapa tambi n hace referencia alos procedimientos comunes que se realizan en Trusted Extensions de la misma manera en que se realizan en un sistema Oracle Solaris Tarea Descripci n Para obtener instrucciones Ver todas las zonas En cualquier etiqueta ver las zonas C mo visualizar las zonas que est n dominadas por la zona actual preparadas o en ejecuci n en la p gina 132 Ver directorios montados En cualquier etiqueta ver los directorios C mo visualizar las etiquetas de los dominados por la etiqueta actual archivos montados en la p gina 133 Habilitar a los usuarios comunes para que Montar en bucle de retorno un directorio o C mo montar en bucle de retorno un vean un archivo etc archivo de la zona global
300. nera predeterminada los roles tienen la autorizaci n Remote Login Administraci n remota basada en roles desde hosts sin etiquetas En Trusted Extensions los usuarios asumen roles mediante el men Trusted Path Los roles operan en espacios de trabajo de confianza De manera predeterminada los roles no pueden asumirse fuera de Trusted Path Si la pol tica del sitio lo permite el administrador de la seguridad puede cambiar la pol tica predeterminada Los administradores de hosts sin etiquetas que ejecuten el software de cliente de Solaris Management Console 2 1 pueden administrar los hosts de confianza Para cambiar la pol tica predeterminada consulte Habilitaci n del inicio de sesi n remoto por parte de un rol en Trusted Extensions de Gu a de configuraci n de Oracle Solaris Trusted Extensions Paraadministrar sistemas de manera remota consulte C mo iniciar sesi n de manera remota desde la l nea de comandos en Trusted Extensions en la p gina 109 Este cambio de pol tica se aplica solamente cuando el usuario del sistema remoto sin etiquetas tiene una cuenta de usuario en el host de Trusted Extensions El usuario de Trusted Extensions Cap tulo8 Administraci n remota en Trusted Extensions tareas 107 Administraci n remota de Trusted Extensions mapa de tareas A debe tener la capacidad para asumir un rol administrativo El rol puede usar Solaris Management Console para administrar el sistema remot
301. netNumber 0 0 0 0 ou ipTnet dc example dc examplel dc exampleco dc com objectClass top objectClass ipTnetTemplate objectClass ipTnetHost ipTnetNumber 0 0 0 0 ipTnetTemplateName internal Cap tulo 9 Trusted Extensions y LDAP descripci n general 121 Uso del servicio de nombres LDAP en Trusted Extensions Uso del servicio de nombres LDAP en Trusted Extensions El servicio de nombres LDAP se gestiona en Trusted Extensions como en el SO Oracle Solaris A continuaci n se proporcionan algunos comandos tiles con referencias para obtener informaci n m s detallada Para conocer estrategias de resoluci n de problemas de configuraci n LDAP consulte el Cap tulo 13 LDAP Troubleshooting Reference de System Administration Guide Naming and Directory Services DNS NIS and LDAP Para resolver problemas de conexi n entre clientes y servidores LDAP que se ven afectados por etiquetas consulte C mo depurar una conexi n de cliente con el servidor LDAP en la p gina 205 Para resolver otros problemas de conexi n entre clientes y servidores LDAB consulte el Cap tulo 13 LDAP Troubleshooting Reference de System Administration Guide Naming and Directory Services DNS NIS and LDAP Para visualizar las entradas LDAP desde un cliente LDAP escriba Ildaplist l ldap_cachemgr g Para visualizar las entradas LDAP desde un servidor LDAP escriba Ildap_cachemgr g idsconfig v Para visualizar
302. nfo h hostname IP Address IP address Template template name Visualice una definici n de la plantilla tninfo t template name template template name host_type one of CIPSO or UNLABELED doi 1 min_sl minimum label hex minimum hex label max_sl maximum label hex maximum hex label Cap tulo 13 Gesti n de redes en Trusted Extensions tareas 203 Resoluci n de problemas de la red de confianza mapa de tareas m Visualice los puertos de varios niveles para una zona tninfo m zone name private ports that are specific to this zone only shared ports that the zone shares with other zones 4 Corrija cualquier informaci n incorrecta Para cambiar o verificar la informaci n de seguridad de la red utilice las herramientas de Solaris Management Console Para obtener detalles consulte C mo abrir las herramientas de redes de confianza en la p gina 182 m Para actualizar la antememoria del n cleo reinicie el servicio tnctl en el host cuya informaci n se encuentre desactualizada Deje pasar un tiempo hasta que el proceso se complete Luego actualice el servicio tnd Si la actualizaci n falla intente reiniciar el servicio tnd Para obtener detalles consulte C mo sincronizar la antememoria del n cleo con las bases de datos de red de confianza en la p gina 198 Nota El servicio tnd se ejecuta solamente si el servicio Ldap tambi n se ejecuta Si se reinicia se borra la antememoria del
303. nformaci n sobre la protecci n de los dispositivos en Trusted Extensions consulte el Cap tulo 17 Gesti n de dispositivos para Trusted Extensions tareas Herramientas de Solaris Management Console 38 Solaris Management Console proporciona acceso a las cajas de herramientas de administraci n basadas en la interfaz gr fica de usuario Estas herramientas permiten editar opciones de distintas bases de datos de configuraci n En Trusted Extensions Solaris Management Console es la interfaz administrativa para los usuarios los roles y las bases de datos de la red de confianza Trusted Extensions ampl a Solaris Management Console Trusted Extensions modifica el conjunto de herramientas Users de Solaris Management Console Para ver una introducci n al conjunto de herramientas consulte el Cap tulo 2 Working With the Solaris Management Console Tasks de System Administration Guide Basic Administration m Trusted Extensions agrega las herramientas Security Templates y Trusted Network Zones al conjunto de herramientas Computers and Networks Las herramientas de Solaris Management Console se re nen en cajas de herramientas seg n el mbito y la pol tica de seguridad Para administrar Trusted Extensions Trusted Extensions proporciona cajas de herramientas con Policy TSOL Puede acceder a las herramientas en funci n del mbito es decir seg n el servicio de nombres Los mbitos disponibles son el host local y LDAP
304. nicio en la etiqueta ADMIN_LOW c Agregue cada host con etiquetas que se deba contactar en el momento del inicio Para obtener detalles consulte C mo asignar una plantilla de seguridad a un host o a un grupo de hosts en la p gina 188 a Incluya el servidor LDAP Incluya cada enrutador on link que est ejecutando Trusted Extensions mediante el cual este host debe comunicarse Aseg rese de que todas las interfaces de red est n asignadas a la plantilla Incluya direcciones de difusi n d Agregue los rangos de los hosts que se deben contactar en el momento del inicio Compruebe que las asignaciones de hosts permitan que el sistema se inicie Cambio de la etiqueta de la entrada 0 0 0 0 tnrhdb En este ejemplo el administrador de la seguridad crea un sistema de puerta de enlace p blica El administrador elimina la entrada 0 0 0 0 de la plantilla admin_low y asigna la entrada a una plantilla sin etiquetas que se denomina public El sistema reconoce cualquier sistema que no figure en su archivo tnrhdb como sistema sin etiquetas con los atributos de seguridad de la plantilla de seguridad public A continuaci n se describe una plantilla sin etiquetas creada especificamente para puertas de enlace p blicas Template Name public Host Type Unlabeled Default Label Public Minimum Label Public Maximum Label Public DOI 1 Enumeraci n de equipos que se deben contactar durante el inicio en la base de datos tnrhdb E
305. nncnnoncnnnonnncorcn cono cncanos 130 Gestion de zonas mapa detareas nina ica 130 Y C mo visualizar las zonas que est n preparadas o en ejecuci n cmccnionionconncanocanenanianinos 132 Y C mo visualizar las etiquetas de los archivos montados ccociciononioncanconcnnnnnencnninreacin conan 133 Y C mo montar en bucle de retorno un archivo que no suele estar visible en una zona con equ iii A iS AAA A e at 135 Procedimientos de administradores de Oracle Solaris Trusted Extensions Agosto de 2011 Contenido 11 12 Y C mo deshabilitar el montaje de archivos de nivel inferior oiioninioniniinmesmrc 136 Y C mo compartir un conjunto de datos de ZFS desde una zona con etiquetas ccccincnnnnns 137 V C mo permitir que los archivos se vuelvan a etiquetar desde una zona con etiquetas 139 Y C mo configurar un puerto de varios niveles para NFSv3 mediante udp eoccoiccincioninncnnncinns 141 Y C mo crear un puerto de varios niveles para una ZONA cecccccinnoncnninninnincin cnica coronar conan 142 Gesti n y montaje de archivos en Trusted Extensions tareas ooocononinicicicinnccomimimmnos 145 Uso compartido y montaje de archivos en Trusted Extensions oncoiocioninioncnnconacnnacnrnccninnss 145 Montajes de NFS en Trusted EXtenSiobS sisi mc Uso compartido de archivos desde una zona con etiquetas Acceso a los directorios montados de NFS en Trusted Extensions ocococococcocononononononononcncnnnnononoos 148 Creaci n de directori
306. nnncncnenncn corner cn cornccnons 168 Tipo de host y nombre de plantilla en Security Templates ocicicicnininnnninnnnnnenmecess 169 Etiqueta predeterminada en Security Templates Dominio de interpretaci n en Security Templates Rango de etiquetas en Security Templates ocinicicninnninnnnnnnncncercncnccaen cocer sians Conjunto de etiquetas de seguridad en Security Templates occoicinnononnnnncnncenecess 171 Mecanismo de reserva de la red de confianza oococcccconicononncnnononananannn coca nnonona no cnn nono cn non ano no rn crcnanann ns 171 Contenido 13 14 Descripci n general del enrutamiento en Trusted Extensions ccncinninnnnnnnnncncinnnncan cancion 173 Fondo del enrutamiento ataca e tit 174 Entradas de la tabla de enrutamiento en Trusted Extensions ccoccononnocononcnnononononcncnnranonons 174 Comprobaciones de acreditaciones de Trusted Extensions ss sesssssiessressressressrsseserserreessee 174 Administraci n del enrutamiento en Trusted Extensions ss ssssssssesssessssssessesssessssresssesersstesses 176 Selecci n de los enrutadores en Trusted Extensions coccoccococonoconnnnononononononnononononononcnconananono 177 Puertas de enlace en Trusted Extensions coocococcicinoncnnnnnconnnnncncnnonnrnnnnnn coco conan oran oran riei 177 Comandos de enrutamiento en Trusted Extensions ooccoccicononcnnnnnonnnnnnrnnnrnrcr cn rn cn cnnarnnnns 178 Gesti n de redes en Trusted Extensions tareas 179 Gesti n de la
307. nno coreo conran con canecnnans 101 V C mo habilitar a un usuario para que cambie el nivel de seguridad de los datos 102 V C mo eliminar una cuenta de usuario de un sistema Trusted Extensions ccccininninninnonnnss 102 Manejo de otras tareas en Solaris Management Console mapa de tareas cocnccncinnnnnnonnninninnss 103 Contenido 8 10 Administraci n remota en Trusted Extensions tareas onoonnnninnninnninnanionncnnnnocinans 105 Administraci n remota segura en Trusted Extensions economicos 105 M todos para administrar sistemas remotos en Trusted Extensions occinononioninncninncnconcocnnnes 106 Inicio de sesi n remoto por un rol en Trusted Extensions ococionincnninninncncnnconcnncoroncnn coran canon coronas 107 Administraci n remota basada en roles desde hosts sin etiquetas oocinnoninnnnmmmmmm 107 Gesti n de inicio de sesi n remoto en Trusted Extensions coccocococoninonononnonononononorcnnnorno conos 108 Administraci n remota de Trusted Extensions mapa de tareas cococciccononinnnnonnncnncncnnnncnnnncnnnns 108 Y C mo iniciar sesi n de manera remota desde la l nea de comandos en Trusted EXtensiOnS ii ic idas 109 Y C mo administrar Trusted Extensions con dtappsession de manera remota ocio 110 Y C mo administrar sistemas de manera remota con Solaris Management Console desde un sistema Trusted Extensions ada adi EA 111 Y C mo administrar sistemas de manera remota con Solaris Management
308. no global comparta archivos Adem s Trusted Extensions anexa una etiqueta nica a cada zona no global Todos los archivos y directorios que pertenecen a esa zona se montan en la etiqueta de la zona Cualquier sistema de archivos compartidos que pertenezca a otras zonas o a servidores NFS se monta en la etiqueta del propietario Trusted Extensions impide cualquier montaje que pueda infringir las pol ticas del control de acceso obligatorio MAC sobre el uso de etiquetas Por ejemplo la etiqueta de una zona debe dominar todas las etiquetas de su sistema de archivos montado Solamente los sistemas de archivos con etiquetas igualmente se pueden montar con permisos de lectura y escritura 145 Montajes de NFS en Trusted Extensions Montajes de NFS en Trusted Extensions 146 Los montajes de NFS en Trusted Extensions son similares a los montajes en Oracle Solaris Las diferencias se producen en el uso de los nombres de ruta root de la zona para montar una zona con etiquetas en Trusted Extensions y en la aplicaci n de la pol tica de MAC El uso compartido de NFS en Trusted Extensions es similar al uso compartido de Oracle Solaris en una zona global Sin embargo el uso compartido de archivos desde una zona con etiquetas en un sistema de varios niveles es exclusivo de Trusted Extensions m Uso compartido y montaje en la zona global el uso compartido y el montaje de archivos en la zona global del sistema Trusted Extensions es casi id ntico al
309. nsibilidad de los datos con la etiqueta del destino Por lo general en una red de confianza el host de env o genera la etiqueta y el host de recepci n la procesa Sin embargo un enrutador de confianza tambi n puede agregar o filtrar etiquetas cuando reenv a paquetes en una red de confianza Antes de la transmisi n se asigna una etiqueta de sensibilidad a una etiqueta CIPSO La etiqueta CIPSO est integrada en el paquete IP En general el remitente y el receptor de un paquete operan en la misma etiqueta El software de las redes de confianza garantiza que la pol tica de seguridad de Trusted Extensions se aplique incluso cuando los sujetos procesos y los objetos datos est n en hosts diferentes Las redes de Trusted Extensions mantienen el MAC en todas las aplicaciones distribuidas Paquetes de datos de Trusted Extensions Los paquetes de datos de Trusted Extensions incluyen una opci n de etiqueta CIPSO Los paquetes de datos pueden enviarse mediante las redes IPv4 o IPv6 En el formato IPv4 est ndar el encabezado IPv4 con opciones va seguido de un encabezado TCP UDP o SCTP y a continuaci n los datos reales La versi n de Trusted Extensions de un paquete IPv4 utiliza la opci n CIPSO del encabezado IP para los atributos de seguridad Encabezado IPv4 con opci n CIPSO TCP UDP o SCTP Datos En el formato IPv6 est ndar un encabezado IPv6 con extensiones va seguido de un encabezado TCP UDP o SCTP y a continuaci n los d
310. nsions 35 Acciones de Trusted CDE TABLA 2 2 Acciones administrativas en Trusted CDE su finalidad y los perfiles de derechos asociados Continuaci n Nombre de la acci n Finalidad de la acci n Perfil de derechos predeterminado Name Service Switch Set DNS Servers Set Daily Message Set Default Routes Share Filesystem Editar el archivo dfstab Esta acci n no ejecuta el comando share Consulte dfstab 4 Editar el archivo nsswitch conf Consulte nsswitch conf 4 Network Management Editar el archivo resolv conf Consulte resolv conf 4 Network Management Editar el archivo etc motd En el inicio de sesi n los Network Management contenidos de este archivo aparecen en el cuadro de di logo Last Login Especificar rutas est ticas predeterminadas Network Management File System Management El equipo de configuraci n inicial utiliza las siguientes acciones durante la creaci n de zonas Algunas de estas acciones pueden utilizarse para mantenimiento y resoluci n de problemas TABLA 2 3 Acciones de instalaci n en Trusted CDE su finalidad y los perfiles de derechos asociados Nombre de la acci n Finalidad de la acci n Perfil de derechos predeterminado Clone Zone Copy Zone Configure Zone Initialize Zone for LDAP Install Zone Restart Zone Share Logical Interface Share Physical Interface Shut Down Zone Start Zone Zone Terminal Console Crear una zona con etiquetas de una
311. nsions mapa de tareas Tarea Descripci n Para obtener instrucciones Asignar un dispositivo Utilizar un perif rico para agregar o eliminar C mo asignar un dispositivo en Trusted informaci n en el sistema Extensions de Gu a del usuario de Oracle Solaris Trusted Extensions Administrar un host de Administrar hosts de Oracle Solaris o Trusted Cap tulo 8 Administraci n remota en Trusted manera remota Extensions desde un host remoto Extensions tareas v C mo asignar el editor de su elecci n como editor de confianza El editor de confianza utiliza el valor de la variable de entorno EDITOR como editor Antesde Debe estar en un rol de la zona global empezar 1 Determine el valor de la variable EDITOR echo EDITOR A continuaci n se mencionan los editores posibles Tambi n es posible que la variable EDITOR no se establezca m usr dt bin dtpad es el editor que CDE proporciona m usr bin gedit es el editor que Java Desktop System versi n n mero proporciona Solaris Trusted Extensions JDS es la versi n de confianza de ese escritorio m usr bin vi esel editor visual 2 Establezca el valor de la variable EDITOR m Para definir el valor de manera permanente modifique el valor en el archivo de inicializaci n del shell del rol Por ejemplo en el directorio principal del rol modifique el archivo kshrc en un shell Korn y el archivo cshrc en un shell C m Para definir el valor del sh
312. nsions controla el acceso a los datos mediante marcas de seguridad especiales que se denominan etiquetas Las etiquetas proporcionan el control de acceso obligatorio MAC Se brinda la protecci n de MAC adem s de los permisos de archivos UNIX o el control de acceso discrecional DAC Las etiquetas se asignan directamente a los usuarios las zonas los dispositivos las ventanas y los puntos finales de red De manera impl cita las etiquetas se asignan a los procesos los archivos y otros objetos del sistema Los usuarios comunes no pueden invalidar el MAC Trusted Extensions requiere que los usuarios comunes operen en las zonas con etiquetas De manera predeterminada ning n usuario o proceso de las zonas con etiquetas puede invalidar el MAC Como en el SO Oracle Solaris la capacidad de invalidar la pol tica de seguridad puede asignarse a procesos o usuarios espec ficos en los casos en que puede invalidarse el MAC Por ejemplo los usuarios pueden estar autorizados para cambiar la etiqueta de un archivo Este tipo de acciones aumentan o disminuyen el nivel de sensibilidad de la informaci n en dicho archivo Trusted Extensions complementa los comandos y los archivos de configuraci n existentes Por ejemplo Trusted Extensions agrega eventos de auditor a autorizaciones privilegios y perfiles de derechos Algunas funciones que son opcionales en un sistema Oracle Solaris son necesarias en un sistema Trusted Extensions Por ejemplo las zona
313. nsola en el sistema local y especifique el sistema remoto como servidor Cap tulo8 Administraci n remota en Trusted Extensions tareas 111 Administraci n remota de Trusted Extensions mapa de tareas Antesde Debe haber completado los siguientes procedimientos empezar En ambos sistemas Inicializaci n del servidor de Solaris Management Console en Trusted Extensions de Gu a de configuraci n de Oracle Solaris Trusted Extensions En el sistema remoto Habilitaci n del inicio de sesi n remoto por parte de un rol en Trusted Extensions de Gu a de configuraci n de Oracle Solaris Trusted Extensions y Habilitaci n de comunicaciones de red en Solaris Management Console de Gu a de configuraci n de Oracle Solaris Trusted Extensions m En el sistema remoto que es el servidor LDAP Configuraci n de Solaris Management Console para LDAP mapa de tareas de Gu a de configuraci n de Oracle Solaris Trusted Extensions 1 Enel sistema local inicie sesi n como el usuario que se define de manera id ntica en el sistema remoto 2 Asumael rol que desea utilizar para administrar el sistema 3 Enelrol inicie Solaris Management Console Para obtener detalles consulte Inicializaci n del servidor de Solaris Management Console en Trusted Extensions de Gu a de configuraci n de Oracle Solaris Trusted Extensions a Enel cuadro de di logo del servidor escriba el nombre del servidor remoto a Siest
314. nsswitch conf Para modificar estas entradas el administrador del sistema utiliza la acci n Name Service Switch Para obtener detalles consulte C mo iniciar acciones administrativas de CDE en Trusted Extensions en la p gina 56 Esta acci n mantiene los permisos de los archivos DAC y MAC necesarios ldaplist l c Compruebe que los dos hosts se encuentren en el servicio de nombres LDAP ldaplist l hosts grep hostname 3 Compruebe que cada host se haya definido correctamente a Utilice la Solaris Management Console para verificar las definiciones b Utilice la l nea de comandos para comprobar que la informaci n de la red del n cleo sea En la herramienta Security Templates compruebe que cada host est asignado a una plantilla de seguridad que sea compatible con la plantilla de seguridad de los otros host Para un sistema sin etiquetas compruebe que la asignaci n de etiquetas predeterminadas sea correcta En la herramienta Trusted Network Zones compruebe que los puertos de varios niveles MLP est n configurados correctamente actual Compruebe que la asignaci n en la antememoria del n cleo de cada host coincida con la asignaci n en la red y en el otro host Para obtener informaci n de seguridad para hosts de puerta de enlace origen y destino en la transmisi n utilice el comando tninfo Visualice la direcci n IP y la plantilla de seguridad asignada para un host determinado tni
315. nt Console mapa de tareas 98 2 En System Configuration vaya a Rights Puede que se muestre el indicador de contrase a Escriba la contrase a del rol Para agregar un perfil de derechos haga clic en Action gt Add Right Cree un perfil de derechos que contenga una o m s de las siguientes autorizaciones Para conocer el procedimiento paso a paso consulte How to Create or Change a Rights Profile de System Administration Guide Security Services En la siguiente figura la ventana Authorizations Included muestra las autorizaciones que pueden ser convenientes para los usuarios Add Right General Commands Actions Authorizations Supplementary Rights Authorizations Excluded Authorizations Included y oenarronmanayer Ta All Solaris Authorizations User Accounts Logical Volume Manager Audit Management Computer System Information 9 Device Allocation q Device Allocation Allocate Device y Label Management y solaris label file Downgrade File Label CD R RW Recording Authorizations Add gt Configure Device Attributes o me tabal Delegate Device Administration Remove Downgrade DragNDrop or CutPaste Info Revoke or Reclaim Device g g p DHCP Service Management o File Operations Add AND e Job Scheduler q Label Management lt E Remove All View Printer Queue at All Labels DragNDrop or CutPaste without viewing contents Upgrade Dra
316. nta Security Templates de Solaris Management Console Para obtener detalles consulte C mo asignar una plantilla de seguridad a un host o a un grupo de hosts en la p gina 188 Configure las rutas En una ventana de terminal utilice el comando route add para especificar las rutas La primera entrada configura una ruta predeterminada La entrada especifica una direcci n de puerta de enlace 192 168 113 1 para utilizar cuando no hay una ruta espec fica definida para el host o el destino del paquete route add default 192 168 113 1 static Para obtener detalles consulte la p gina del comando man route 1M Configure una o m s entradas de red Utilice el indicador secattr para especificar los atributos de seguridad En la siguiente lista de comandos la segunda l nea muestra una entrada de red La tercera l nea muestra una entrada de red con un rango de etiquetas de PUBLIC a CONFIDENTIAL INTERNAL USE ONLY route add default 192 168 113 36 route add net 192 168 102 0 gateway 101 route add net 192 168 101 0 gateway 102 secattr min_sl PUBLIC max_sl CONFIDENTIAL INTERNAL USE ONLY doi 1 Configure una o m s entradas de host La cuarta l nea nueva muestra una entrada para el host de una sola etiqueta gateway pub gateway pub tiene un rango de etiquetas de PUBLIC a PUBLIC route add default 192 168 113 36 route add net 192 168 102 0 gateway 101 Cap tulo 13 Gesti n de redes en T
317. ntajes de NFS consulte C mo resolver problemas por fallos de montaje en Trusted Extensions en la p gina 160 m Para obtener informaci n sobre la depuraci n de las comunicaciones LDAP consulte C mo depurar una conexi n de cliente con el servidor LDAP en la p gina 205 Debe estar en la zona global en un rol que pueda verificar la configuraci n de la red El rol de administrador de la seguridad o el rol de administrador del sistema pueden verificar esta configuraci n Para resolver el problema del daemon de tnd cambie el intervalo de sondeo y recopile la informaci n de depuraci n Nota El servicio tnd se ejecuta solamente si el servicio Ldap tambi n se ejecuta Para obtener detalles consulte la p gina del comando man tnd 1M Compruebe que los hosts que no pueden comunicarse est n utilizando el mismo servicio de nombres a En cada host revise el archivo nsswitch conf i Verifique los valores de las bases de datos de Trusted Extensions en el archivo nsswitch conf Por ejemplo en un sitio que utiliza LDAP para administrar la red las entradas son similares a las siguientes Trusted Extensions tnrhtp files ldap tnrhdb files ldap Procedimientos de administradores de Oracle Solaris Trusted Extensions Agosto de 2011 Resoluci n de problemas de la red de confianza mapa de tareas b Compruebe que el servicio de nombres LDAP est configurado Silos valores son diferentes corrija el archivo
318. ntas de usuario Los valores que establece expl citamente para un usuario sustituyen estos valores de sistema Algunos valores que se establecen en estos archivos tambi n se aplican a las cuentas de rol Para conocer los atributos de seguridad que puede establecer expl citamente consulte Atributos de usuario que pueden configurarse en Trusted Extensions en la p gina 81 Valores predeterminados del archivo label encodings El archivo label_encodings define la visualizaci n de la etiqueta predeterminada la etiqueta m nima y la acreditaci n del usuario Para obtener detalles sobre el archivo consulte la p gina del comando man label_encodings 4 El archivo label_encodings fue instalado por el equipo de configuraci n inicial Las decisiones que tom el equipo se basan en Dise o de una estrategia de etiqueta de Gu a de configuraci n de Oracle Solaris Trusted Extensions y ejemplos de Oracle Solaris Trusted Extensions Label Administration Los valores de las etiquetas que el administrador de la seguridad establece expl citamente para los usuarios individuales en Solaris Management Console derivan del archivo label_encodings Los valores establecidos expl citamente sustituyen los valores del archivo label _encodings Procedimientos de administradores de Oracle Solaris Trusted Extensions Agosto de 2011 Atributos de usuario que pueden configurarse en Trusted Extensions Valores predeterminados del archivo policy conf en
319. nte un servidor proxy LDAP que est configurado con Trusted Extensions Nota Los sistemas que se configuran con Trusted Extensions no pueden ser clientes de servidores maestros NIS o NIS Sistemas Trusted Extensions que no est n en red Si un servicio de nombres no se usa en un sitio los administradores deben asegurarse de que la informaci n de configuraci n para los usuarios los hosts y las redes sea id ntica en todos los hosts Si se realiza un cambio en un host dicho cambio debe aplicarse tambi n en todos los dem s hosts En un sistema Trusted Extensions que no est en red la informaci n de configuraci n se mantiene en los directorios etc etc security y etc security tsol Las acciones de la carpeta Trusted_Extensions le permiten modificar algunas partes de la informaci n de configuraci n La herramienta Security Templates de Solaris Management Console le permite modificar los par metros de la base de datos de red Los usuarios los roles y los derechos se modifican mediante las herramientas User Accounts Administrative Roles y Rights Una caja de herramientas en This Computer con Scope Files Policy TSOL almacena localmente los cambios de configuraci n Bases de datos LDAP de Trusted Extensions Trusted Extensions ampl a el esquema del servidor de directorios para acomodar las bases de datos tnrhdb y tnrhtp Trusted Extensions define dos atributos nuevos ipTnetNumber y ipTnetTemplateName y dos clases de objeto nuev
320. nversi n que el sitio necesita Igualmente el rol de administrador del sistema del sitio puede instalar filtros adicionales Por lo tanto se puede confiar en que las etiquetas y las p ginas de la car tula y del ubicador de estos filtros son aut nticas Para obtener informaci n sobre c mo agregar filtros de conversi n consulte el Cap tulo 7 Customizing LP Printing Services and Printers Tasks de System Administration Guide Printing Interoperabilidad de Trusted Extensions con la impresi n de Trusted Solaris 8 Los sistemas Trusted Solaris 8 y Trusted Extensions que tienen archivos label_encodings compatibles y que se identifican entre s mediante una plantilla CIPSO pueden usarse rec procamente para la impresi n remota La siguiente tabla describe c mo configurar los sistemas para habilitar la impresi n De manera predeterminada los usuarios no pueden enumerar o cancelar trabajos de impresi n en un servidor de impresi n remoto del otro sistema operativo Si desea puede autorizar a los usuarios para que puedan hacerlo Sistema de servidor de Sistema de origen impresi n Acci n Resultados Trusted Extensions Trusted Solaris 8 Configure la impresi n en La impresora de Trusted tnrhdb de Trusted Solaris 8 puede imprimir Extensions asigne una trabajos desde un sistema plantilla con el rango de Trusted Extensions dentro etiquetas adecuado al del rango de etiquetas de la servidor de impresi n de impresora Trusted Sol
321. nza como Label Builder y Device Allocation Manager Los conceptos de esta secci n son necesarios para que los usuarios y los administradores comprendan Trusted Extensions En la Gu a del usuario de Oracle Solaris Trusted Extensions se presentan estos conceptos para los usuarios Protecciones de Trusted Extensions El software de Trusted Extensions mejora la protecci n del SO Oracle Solaris El SO Oracle Solaris protege el acceso al sistema mediante cuentas de usuario que requieren contrase as Se puede requerir que las contrase as deban cambiarse con regularidad que tengan una extensi n determinada etc tera Los roles requieren contrase as adicionales para realizar tareas administrativas La autenticaci n adicional limita el da o que puede ocasionar un intruso que adivina la contrase a del usuario root ya que los roles no pueden utilizarse como cuentas de entrada El software de Trusted Extensions mejora a n m s este aspecto al restringir a los usuarios y los roles a un rango de etiquetas aprobado Este rango de etiquetas limita la informaci n a la que pueden acceder los usuarios y los roles El software de Trusted Extensions muestra el s mbolo de Trusted Path un emblema inconfundible y a prueba de falsificaciones que aparece a la izquierda de la banda de confianza En Trusted CDE la banda se encuentra en la parte inferior de la pantalla En Trusted JDS la banda se muestra en la parte superior de la pantalla El s mbolo de Trusted
322. o Precauci n Si se habilita la administraci n remota desde un host que no es de Trusted Extensions el entorno administrativo queda menos protegido que un espacio de trabajo administrativo de Trusted Extensions Tenga cuidado al escribir contrase as y otros datos confidenciales Como medida de precauci n cierre todas las aplicaciones que no sean de confianza antes de iniciar Solaris Management Console Gesti n de inicio de sesi n remoto en Trusted Extensions El inicio de sesi n remoto entre dos hosts de Trusted Extensions se considera una extensi n de la sesi n actual No se requiere autorizaci n cuando el comando rlogin no solicita una contrase a Si un archivo etc hosts equiv o un archivo rhosts del directorio principal del usuario en el host remoto muestra el nombre de usuario o el host desde el que se intenta efectuar el inicio de sesi n remoto no se requiere contrase a Para obtener m s informaci n consulte las p ginas del comando man rhosts 4 y rlogin 1 Para todos los dem s inicios de sesi n remotos incluidos los inicios de sesi n con el comando ftp se requiere la autorizaci n Remote Login Para crear un perfil de derechos que incluya la autorizaci n Remote Login consulte Gesti n de usuarios y derechos con Solaris Management Console mapa de tareas en la p gina 95 Administraci n remota de Trusted Extensions mapa de En el siguiente mapa de tareas se describen las tareas que se utiliz
323. o etc rmmount conf 253 254 254 255 archivo etc security audit_class 35 archivo etc security audit_control 35 archivo etc security audit_event 35 archivo etc security audit_startup 35 archivo etc security policy conf c mo editarlo 75 76 habilitaci n de impresi n PostScript 236 modificaci n 89 90 valores predeterminados 81 archivo etc security tsol label_encodings 30 archivo gtkrc mine 93 94 archivo link_ files archivo de inicio 45 configuraci n para usuarios 90 93 descripci n 84 85 archivo usr dt config sel_ config 66 archivo usr lib lp postscript tsol separator ps resultado de la impresi n de etiquetado 210 213 archivo usr share gnome sel_ config 66 archivo zone public etc dfs dfstab 148 149 archivo audit_class acci n para editar 35 archivo audit_control acci n para editar 35 archivo audit_event 35 archivo de imagen del n cleo dev kmem infracci n de seguridad 277 archivo de imagen del n cleo kmem 277 archivo dfstab acci n para editar 36 para la zona public 148 149 archivo label_encodings acci n para editar y comprobar 35 contenidos 30 archivo label _encodings Continuaci n fuente de rangos de acreditaci n 30 referencia para impresi n con etiquetas 210 213 archivo motd acci n para editar 36 archivo nsswitch conf acci n para editar 36 archivo policy conf cambiar valores predeterminados 75 76 c mo editar 89 90 palabras clave de cambio de Trusted Extensions 89
324. o de etiquetas del dispositivo Si no fuera as se deniega la asignaci n La etiqueta actual del usuario se aplica a los datos que se importan o exportan mientras se asigna el dispositivo al usuario La etiqueta de los datos exportados se muestra cuando el dispositivo se desasigna El usuario debe colocar una etiqueta en el medio que contiene los datos exportados de manera f sica Procedimientos de administradores de Oracle Solaris Trusted Extensions Agosto de 2011 Interfaz gr fica de usuario de Device Allocation Manager Efectos del rango de etiquetas en un dispositivo Para restringir el acceso de inicio de sesi n directo por medio de la consola el administrador de la seguridad puede establecer un rango de etiquetas restringido en el b fer de trama Por ejemplo se puede especificar un rango de etiquetas restringido a fin de limitar el acceso a un sistema de acceso p blico El rango de etiquetas permite a los usuarios acceder al sistema solamente en una etiqueta que est dentro del rango de etiquetas del b fer de trama Cuando un host tiene una impresora local un rango de etiquetas restringido en la impresora limita los trabajos que se pueden imprimir con esa impresora Pol ticas de acceso a dispositivos Trusted Extensions sigue las mismas pol ticas de dispositivos que el sistema operativo Oracle Solaris El administrador de la seguridad puede cambiar las pol ticas predeterminadas y definir pol ticas nuevas El comando ge
325. o en el SO Oracle Solaris se deben crear los roles del software Los perfiles de derechos para estos dos roles est n incluidos El equipo de configuraci n inicial cre el rol de administrador de la seguridad durante la configuraci n inicial Para obtener detalles consulte Creaci n del rol de administrador de la seguridad en Trusted Extensions de Gu a de configuraci n de Oracle Solaris Trusted Extensions Nota El sistema registra nicamente los eventos relativos a la seguridad que establecen los archivos de configuraci n de auditor a es decir eventos preseleccionados Por lo tanto en cualquier revisi n de auditor a que se realice luego solamente se pueden incluir los eventos que se hayan registrado A causa de un error de configuraci n puede que no se detecten los intentos de infracci n de la seguridad del sistema o que el administrador no logre detectar al usuario que intent infringir la seguridad Los administradores deben analizar las pistas de auditor a con regularidad para verificar que no haya infracciones de la seguridad Tareas de auditor a en Trusted Extensions Los procedimientos para configurar y gestionar la auditor a en Trusted Extensions difieren levemente de los procedimientos de Oracle Solaris Uno delos roles administrativos realiza la configuraci n de la auditor a en la zona global Luego el administrador del sistema copia archivos de auditor a personalizados espec ficos de la zona global a las
326. obtener directorios principales por usuario de la zona public de nivel inferior C mo resolver problemas por fallos de montaje en Trusted Extensions Debe estar en la zona de la etiqueta de los archivos que desea montar Debe ser superusuario o estar en el rol de administrador del sistema Procedimientos de administradores de Oracle Solaris Trusted Extensions Agosto de 2011 Copia de seguridad uso compartido y montaje de archivos con etiquetas mapa de tareas Compruebe los atributos de seguridad del servidor NFS Utilice la herramienta Security Templates de Solaris Management Console en el mbito adecuado Para obtener detalles consulte Tnicializaci n del servidor de Solaris Management Console en Trusted Extensions de Gu a de configuraci n de Oracle Solaris Trusted Extensions a Compruebe que la direcci n IP del servidor NFS sea un host asignado en una de las plantillas de seguridad La direcci n se puede asignar de manera directa o de manera indirecta mediante un mecanismo de comod n La direcci n puede estar en una plantilla con etiquetas o sin etiquetas b Revise la etiqueta que la plantilla asigna al servidor NFS Esta etiqueta debe ser coherente con la etiqueta en la que intenta montar los archivos Revise la etiqueta de la zona actual Si esta etiqueta es superior a la etiqueta del sistema de archivos montados no podr escribir en el montaje aunque el sistema de archivos remoto se exporte con permis
327. ocesan al principio sino a lo ltimo Por lo tanto nadie puede personalizar las acciones existentes Al rol de administrador de la seguridad se le asigna la acci n Admin Editor para que pueda realizar las modificaciones necesarias en el archivo usr dt appconfig types C dtwm fp y en los dem s archivos de configuraci n para los subpaneles del panel frontal Personalizaci n del men Workspace El men Workspace aparece al hacer clic con el tercer bot n del mouse en el fondo del espacio de trabajo Los usuarios comunes pueden personalizar el men y agregarle opciones Cuando se permite al usuario trabajar en varias etiquetas se aplican las condiciones siguientes a F usuario debe tener un directorio principal en la zona global Para guardar las personalizaciones los procesos de la zona global deben poder escribir en la etiqueta correcta del directorio principal del usuario La ruta de la zona al directorio principal de un usuario en la que los procesos de la zona global pueden escribir es similar a la siguiente zone zone name home username El usuario debe usar las opciones Customize Menu y Add Item to Menu en el espacio de trabajo de un usuario com n El usuario puede crear una personalizaci n diferente para cada etiqueta Cap tulo 4 Requisitos de seguridad del sistema Trusted Extensions descripci n general 67 Personalizaci n de Solaris Trusted Extensions CDE Cuando el usuario asume un rol los cambios e
328. od n cubre el rango de direcciones de 192 168 113 0a192 168 113 127 La direcci n incluye 192 168 113 100 Adici n de una lista de hosts IPv6 como entrada de comod n En el ejemplo siguiente un administrador de la seguridad asigna direcciones IPv6 contiguas a la misma plantilla de seguridad En la ficha Hosts Assigned to Template el administrador agrega las siguientes entradas de comod n IP Address 2001 a08 3903 200 0 Prefix Length 56 Esta entrada de comod n cubre el rango de direcciones de 2001 a08 3903 200 0a 2001 a08 3903 2ff ffff ffff ffff ffff La direcci n incluye 2001 a08 3903 201 20e cff fe08 58c C mo limitar los hosts que se pueden contactar en la red de confianza Este procedimiento protege los hosts con etiquetas del contacto de hosts sin etiquetas arbitrarios Si Trusted Extensions est instalado esta plantilla predeterminada define cada host en la red Utilice este procedimiento para enumerar hosts sin etiquetas espec ficos El archivo local tnrhdb de cada sistema se utiliza para contactar con la red en el momento del inicio De manera predeterminada cada host que no se proporciona con una plantilla CIPSO se define mediante la plantilla admin_Low Esta plantilla asigna todos los sistemas que no est n definidos de ning n otro modo 0 0 0 0 como sistemas sin etiquetas con la etiqueta predeterminada admin_low Procedimientos de administradores de Oracle Solaris Trusted Extensions Agosto de 2011 Configura
329. oftware calcula una longitud de prefijo de 24 16 8 0 respectivamente Las entradas 3 6 en la Tabla 12 1 muestran este mecanismo de reserva Tambi n puede determinar una longitud de prefijo fija si agrega una barra diagonal seguida del n mero de bits fijos Las direcciones de red IPv4 pueden tener una longitud de prefijo entre 1 y 32 Las direcciones de red IPv6 pueden tener una longitud de prefijo entre 1 y 128 La siguiente tabla proporciona ejemplos de direcciones de host y de reserva Si una direcci n del conjunto de direcciones de reserva est asignada de manera directa el mecanismo de reserva no se utiliza para esa direcci n TABLA 12 1 Entradas del mecanismo de reserva y la direcci n de host de tnrhdb Versi n delP Entrada tnrhdb Direcciones incluidas IPy4 192 168 118 57 cipso 192 168 118 57 192 168 118 57 32 cipso 32 establece una longitud de prefijo de 32 bits fijos 192 168 118 128 26 cipso De 192 168 118 0a192 168 118 63 192 168 118 0 cipso Todas las direcciones de la red 192 168 118 192 168 118 0 24 cipso 192 168 0 0 24 cipso Todas las direcciones de la red 192 168 0 192 168 0 0 cipso Todas las direcciones de la red 192 168 192 168 0 0 16 cipso 192 0 0 0 cipso Todas las direcciones de la red 192 192 0 0 0 8 cipso 192 168 0 0 32 cipso Direcci n de red 192 168 0 0 no es una direcci n de comod n 192 168 118 0 32 cipso Direcci n de red 192 168 118 0 no es una direcci n de
330. oles para realizar tareas administrativas Los perfiles de derecho de Trusted Extensions pueden incluir acciones administrativas de CDE Como los comandos las acciones pueden tener atributos de seguridad Los comandos y las acciones en un perfil de derechos de Trusted Extensions tienen un atributo de etiqueta Los comandos o las acciones deben realizarse dentro de un rango de etiquetas o en una etiqueta en particular 77 Responsabilidades del administrador para los usuarios El software de Trusted Extensions agrega privilegios y autorizaciones al conjunto de privilegios y autorizaciones que el SO Oracle Solaris define Responsabilidades del administrador para los usuarios El rol de administrador del sistema crea las cuentas de usuarios El rol de administrador de la seguridad configura los aspectos de seguridad de una cuenta Si est utilizando Oracle Directory Server Enterprise Edition para el servicio de nombres LDAP compruebe que el equipo de configuraci n inicial haya configurado la caja de herramientas tsol_ldap tbx Para conocer el procedimiento consulte Configuraci n de Solaris Management Console para LDAP mapa de tareas de Gu a de configuraci n de Oracle Solaris Trusted Extensions Para obtener detalles sobre la configuraci n de los usuarios y los roles consulte lo siguiente m Howto Create the First Role Primary Administrator de System Administration Guide Basic Administration m Setting
331. ols in a name service domain see To Create a Name Service Domain Toolbox Select an item Errn aal dantad Tasen in tha niahi nnna debio alial Masen ta onan tha Tasen tanla fe Item s Herramientas de Trusted Extensions en Solaris Management Console Trusted Extensions proporciona atributos de seguridad que pueden configurarse para tres herramientas Herramienta User Accounts es la interfaz administrativa que permite cambiar las etiquetas de usuarios y la visualizaci n de las etiquetas que tiene el usuario y tambi n controlar el uso de la cuenta Herramienta Administrative Roles es la interfaz administrativa que permite cambiar el comportamiento de bloqueo de pantalla y el rango de etiquetas de los roles durante el tiempo de inactividad a Herramienta Rights incluye acciones de CDE que pueden asignarse a perfiles de derechos Los atributos de seguridad pueden asignarse a estas acciones Cap tulo2 Herramientas de administraci n de Trusted Extensions 39 Herramientas de Solaris Management Console 40 Trusted Extensions agrega dos herramientas al conjunto Computers and Networks Herramienta Security Templates es la interfaz administrativa que permite gestionar aspectos relativos a las etiquetas de los hosts y las redes Esta herramienta modifica las bases de datos tnrhtp y tnrhdb aplica la precisi n sint ctica y actualiza el n cleo con los cambios Herramienta Trusted
332. on Manager Muestra la etiqueta de los archivos o directorios seleccionados Muestra el nombre de ruta completo de una zona espec fica Convierte una etiqueta hexadecimal en su equivalente en lenguaje natural Muestra la etiqueta del proceso actual Impide la asignaci n de un dispositivo mediante la eliminaci n de su entrada de las bases de datos de asignaci n de dispositivos Vuelve a etiquetar el elemento seleccionado Requiere las autorizaciones solaris label file downgrade osolaris label file upgrade Estas autorizaciones est n en el perfil de derechos de gesti n de etiquetas de objetos C mo configurar un dispositivo en Trusted Extensions en la p gina 247 C mo obtener el equivalente hexadecimal de una etiqueta en la p gina 73 How to Debug a label_encodings File de Oracle Solaris Trusted Extensions Label Administration Cap tulo 8 Administraci n remota en Trusted Extensions tareas C mo visualizar las etiquetas de los archivos montados en la p gina 133 Acquiring a Sensitivity Label de Oracle Solaris Trusted Extensions Developers Guide C mo obtener una etiqueta legible de su forma hexadecimal en la p gina 74 Consulte la p gina del comando man C mo configurar un dispositivo en Trusted Extensions en la p gina 247 Para conocer el procedimiento de GUI equivalente consulte C mo mover archivos entre etiquetas en Trusted CDE
333. ona con etiquetas excepto la etiqueta menor tenga el privilegio net_mac_aware Este privilegio permite realizar el montaje Este privilegio se puede especificar mediante el comando zonecfg durante la configuraci n de la zona El directorio principal de nivel inferior s lo puede verse Mediante MAC se impide la modificaci n de los archivos del directorio Creaci n de directorios principales en Trusted Extensions Los directorios principales son un caso especial en Trusted Extensions Debe asegurarse de que se creen los directorios principales en cada zona que los usuarios pueden utilizar Adem s deben crearse los puntos de montaje del directorio principal en las zonas del sistema del usuario Para que los directorios principales montados en NFS funcionen correctamente se debe usar la ubicaci n convencional de los directorios export home En Trusted Extensions se cambi el montador autom tico para manejar los directorios principales en cada zona es decir en cada etiqueta Para obtener detalles consulte Cambios en el montador autom tico en Trusted Extensions en la p gina 150 Los directorios principales se generan cuando se crean los usuarios En Trusted Extensions Solaris Management Console se utiliza para crear usuarios por lo que la consola crea los directorios principales Sin embargo la consola crea los directorios principales en la zona global del servidor del directorio principal En ese servidor los directorios est n
334. onfig 46 167 comando list devices 46 comando netstat 46 167 202 comando plabel 44 comando remove_allocatable 44 comando route 46 167 comando setlabel 44 comando smtnrhdb 45 comando smtnrhtp 45 comando smtnzonecfg 45 comando snoop 168 202 comando tar 46 comando tnchkdb acci n para comprobar 35 descripci n 167 resumen 45 comando tnctl actualizaci n de la antememoria del n cleo 198 302 Procedimientos de administradores de Oracle Solaris Trusted Extensions comando tnctl Continuaci n descripci n 167 mediante 200 resumen 45 comando tnd descripci n 167 summary 45 comando tninfo descripci n 167 mediante 203 resumen 45 uso 205 comando updatehome 45 84 85 comando utadm configuraci n predeterminada de servidores Sun Ray 193 comandos editor de confianza trusted edit 57 58 ejecuci n con privilegio 53 54 resoluci n de problemas de redes 202 combinaciones de teclas comprobar si el arrastre es de confianza 72 73 componente de etiqueta de clasificaci n 29 componente de etiqueta de compartimiento 29 comprobaciones de acreditaciones 174 176 conceptos de redes 164 165 configuraci n archivos de inicio para los usuarios 90 93 auditor a 265 autorizaciones para dispositivos 256 259 dispositivo de audio para reproducir m sica 253 254 dispositivos 247 250 impresi n con etiquetas 218 231 l nea de serie para el inicio de sesiones 252 253 red de confianza 179 206 rutas con atribut
335. ontados de la zona actual Cuando la secuencia de comandos se ejecuta desde la zona global muestra las etiquetas de todos los sistemas de archivos montados en cada zona Debe estar en el rol de administrador del sistema en la zona global Utilice el editor de confianza para crear la secuencia de comandos getmounts Para obtener detalles consulte C mo editar archivos administrativos en Trusted Extensions en la p gina 57 Proporcione el nombre de la ruta de la secuencia de comandos por ejemplo usr local scripts getmounts Agregue el siguiente contenido y guarde el archivo 4 bin sh for i in usr sbin mount p cut d f3 do usr bin getlabel i done Cap tulo 10 Gesti n de zonas en Trusted Extensions tareas 133 Gesti n de zonas mapa de tareas 134 Ejemplo 10 2 Pruebe la secuencia de comandos en la zona global usr local scripts getmounts ADMIN_LOW dev ADMIN_LOW kernel ADMIN_LOW lib ADMIN_LOW opt ADMIN_LOW platform ADMIN_LOW sbin ADMIN_LOW usr ADMIN_LOW var tsol doors ADMIN_LOW zone needtoknow export home CONFIDENTIAL NEED TO KNOW zone internal export home CONFIDENTIAL INTERNAL USE ONLY zone restricted export home CONFIDENTIAL RESTRICTED proc ADMIN_LOW system contract ADMIN_LOW etc svc volatile ADMIN_LOW etc mnttab ADMIN_LOW dev fd ADMIN_LOW tmp ADMIN_LOW var run ADMIN_LOW zone public export home PUBLIC root AD
336. ora de red para los clientes Sun Ray ccioniicioniinnnnnconconnonnnncnnos 220 Y C mo configurar la impresi n en cascada en un sistema con etiquetas oococncnnconionnnnonecnnns 224 Y C mo configurar una zona para la impresi n con una sola etiqueta ooconiciininiononnnm 227 V C mo habilitar un cliente de Trusted Extensions para que acceda a un impresora 228 Y C mo configurar un rango de etiquetas restringido para una impresora cncucncnninnenancnnnos 230 Reducci n de las restricciones de impresi n en Trusted Extensions mapa de tareas 231 V C mo eliminar las etiquetas del resultado de la impresi n oociniiniinninninnnnmmmm 1 3232 Y C mo asignar una etiqueta a un servidor de impresi n sin etiquetas 14239 V C mo eliminar las etiquetas de las p ginas de todos los trabajos de impresi n 234 Y C mo habilitar a usuarios espec ficos para que supriman las etiquetas de las p ginas 235 Y C mo suprimir las p ginas de la car tula y del ubicador para usuarios espec ficos 235 Y C mo habilitar a los usuarios para que impriman archivos PostScript en Trusted VEDAL CITOI CEE E E ir iii ds a decidir 235 16 Dispositivos en Trusted Extensions descripci n general onoonionninninnnnnncninnoninnncmm 239 Protecci n de los dispositivos con el software de Trusted Extensions cccicicnononiononncnonnncnens 239 Rangos de etiquetas de dispositivos seins iii ir cir id cis 240 Efect
337. origen y de destino se encuentran en subredes diferentes el paquete se env a desde el host de origen hasta una puerta de enlace El rango de etiquetas del destino y la puerta de enlace del primer salto se comprueban en el origen cuando una ruta est seleccionada Cap tulo 12 Redes de confianza descripci n general 173 Descripci n general del enrutamiento en Trusted Extensions 174 La puerta de enlace env a el paquete a la red en que est conectado el host de destino Es posible que un paquete atraviese varias puertas de enlace antes de llegar al destino Fondo del enrutamiento En las puertas de enlace de Trusted Extensions las comprobaciones de los rangos de etiquetas se llevan a cabo en algunos casos Un sistema Trusted Extensions que enruta un paquete entre dos hosts sin etiquetas compara la etiqueta predeterminada del host de origen con la etiqueta predeterminada del host de destino Cuando los hosts sin etiquetas comparten una etiqueta predeterminada se enruta el paquete Cada puerta de enlace mantiene una lista de rutas con todos los destinos El enrutamiento est ndar de Oracle Solaris genera opciones para optimizar la ruta Trusted Extensions proporciona software adicional para comprobar los requisitos de seguridad que se aplican a las opciones de ruta Se omiten las opciones de Oracle Solaris que no cumplen los requisitos de seguridad Entradas de la tabla de enrutamiento en Trusted Extensions Las entradas de la ta
338. orio 72 73 restricci n acceso a archivos de nivel inferior 136 137 acceso a equipo basado en etiquetas 241 acceso a impresoras con etiquetas 210 acceso a la zona global 51 acceso a los dispositivos 239 241 acceso remoto 105 106 acciones por perfiles de derechos 279 montaje de archivos de nivel inferior 136 137 rango de etiquetas de laimpresora 230 231 resultado de la impresi n Ver impresi n rol de administrador de la seguridad administraci n de la seguridad de las impresoras 209 administraci n de red de usuarios 95 103 administraci n de restricci n PostScript 214 aplicaci n de la seguridad 244 asignaci n de autorizaciones a usuarios 97 99 configuraci n de dispositivos 247 250 configuraci n de l nea de serie para el inicio de sesiones 252 253 creaci n del perfil de derechos de autorizaciones convenientes 97 99 habilitaci n de las p ginas del cuerpo sin etiquetas de un sistema p blico 90 modificaci n de archivos de configuraci n de ventanas 67 proteger dispositivos no asignables 251 252 tareas de auditor a 265 rol de administrador del sistema administraci n de las impresoras 209 agregar filtros de conversi n de impresi n 215 agregar la secuencia de comandos device clean 255 habilitar la reproducci n autom tica de m sica 253 254 impedir la visualizaci n de File Manager 254 255 reclamar un dispositivo 250 251 revisi n de los registros de auditor a 266 tareas de auditor a 265 266
339. orm specific functions within an application privileges and other previously created rights whose use can be granted or denied to an administrator In Trusted Extensions CDE actions can be added to a right You are permitted to grant move into the Granted Rights column or deny remove from the Granted Rights column any rights that are active not grayed or dimmed Your right to grant or deny rights to others was itself granted by another administrator Trusted Path User Properties for srvl Mail Rights Roles Trusted Extensions Attributes Audit General Group Projects Home Directory Password Password Options Available Rights pplication Server Manager j udit Control Add D udit Review Basic Solaris User Contract Observer Cron Management Crypto Management Remove Move Up A E ean ann Move Down Y Granted Rights Basic Actions right_extended_attrs Default pasic Limit zone Elimine proc_sessiono file link any Haga clic en el bot n Edit situado a la derecha del conjunto basic en el campo right_extended_attr Con la eliminaci n del privilegio proc_session se impide que el usuario examine cualquier proceso que se encuentre fuera de su sesi n actual Con la eliminaci n del privilegio file_link_any se impide que el usuario establezca enlaces f sicos co
340. ormaci n de las bases de datos de red de confianza locales en el n cleo m Actualice la antememoria del n cleo para las entradas que se hayan agregado recientemente tnctl h hostname Este comando lee solamente la informaci n desde la opci n seleccionada en el n cleo Para obtener detalles sobre las opciones consulte el Ejemplo 13 17 y la p gina del comando man tnctl 1M Modifique el servicio tnd Nota El servicio tnd se ejecuta solamente si el servicio Ldap tambi n se ejecuta Cambie el intervalo de sondeo tnd Esto no actualiza la antememoria del n cleo Sin embargo puede acortar el intervalo de sondeo para actualizar la antememoria del n cleo con m s frecuencia Para obtener detalles consulte el ejemplo de la p gina del comando man tnd 1M Actualice el tnd Este comando de la Utilidad de gesti n de servicios SMF inicia una actualizaci n inmediata del n cleo con los cambios recientes en las bases de datos de red de confianza svcadm refresh svc network tnd Reinicie el tnd con SMF svcadm restart svc network tnd Precauci n Evite la ejecuci n del comando tnd para reiniciar el tnd Este comando puede interrumpir comunicaciones que se est n realizando con xito Actualizaci n del n cleo con las ltimas entradas tnrhdb En este ejemplo el administrador agrega tres direcciones a la base de datos local tnrhdb Primero el administrador elimina la entrada de comod n 0 0 0 0
341. ormaci n de red en Trusted Extensions mapa de tareas en la p gina 194 m Resoluci n de problemas de la red de confianza mapa de tareas en la p gina 201 Gesti n de la red de confianza mapa de tareas La siguiente tabla hace referencia a los mapas de tareas de procedimientos comunes relativos a las redes de confianza Tarea Descripci n Para obtener instrucciones Configurar bases de datos de red Crear plantillas de hosts remotos y asignar hosts a las plantillas Configuraci n de bases de datos de red de confianza mapa de tareas en la p gina 180 Configurar el enrutamiento y revisar las bases de datos de red y la informaci n de red en el n cleo Configurar las rutas est ticas que habilitan los paquetes con etiquetas para que alcancen su destino mediante las puertas de enlace con etiquetas y sin etiquetas Mostrar el estado de la red Configuraci n de rutas y comprobaci n de la informaci n de red en Trusted Extensions mapa de tareas en la p gina 194 Resolver problemas de redes Pasos que se deben seguir para diagnosticar problemas de redes con paquetes con etiquetas Resoluci n de problemas de la red de confianza mapa de tareas en la p gina 201 179 Configuraci n de bases de datos de red de confianza mapa de tareas Configuraci n de bases de datos de red de confianza mapa de tareas El software de Trusted Extensions
342. os Como alternativa el administrador de la seguridad puede decidir asignar un UID o un GID efectivo para que el privilegio resulte innecesario Procesos de confianza en el sistema de ventanas En Solaris Trusted Extensions CDE los siguientes procesos del sistema de ventanas son de confianza Panel frontal Subpaneles del panel frontal Men Workspace File Manager Application Manager Los procesos de confianza del sistema de ventanas est n disponibles para todos pero el acceso a las acciones administrativas est restringido a los roles en la zona global En File Manager si una acci n no se encuentra en uno de los perfiles de la cuenta el icono de la acci n no es visible En el men Workspace si una acci n no se encuentra en uno de los perfiles de la cuenta la acci n es visible pero aparece un mensaje de error si se invoca la acci n En Trusted CDE el gestor de ventanas dtwm llama a la secuencia de comandos Xtsolusersession Esta secuencia de comandos funciona con el gestor de ventanas para invocar las acciones que se iniciaron desde el sistema de ventanas La secuencia de comandos Xtsolusersession comprueba los perfiles de derechos de la cuenta cuando la cuenta intenta iniciar una acci n En cualquiera de estos casos si la acci n se encuentra en un perfil de derechos asignado la acci n se ejecuta con los atributos de seguridad que est n especificados en el perfil Adici n de acciones de Trusted CDE El proceso
343. os archivos se requiere autorizaci n Cuando los usuarios est n autorizados a cambiar el nivel de seguridad de los datos la aplicaci n Selection Manager media en la transferencia En Trusted CDE el archivo usr dt config sel_config controla las acciones para volver a etiquetar archivos y para cortar o copiar la informaci n y pegarla en una etiqueta diferente En Trusted JDS el archivo usr share gnome sel_config controla estas transferencias En Trusted CDE la aplicaci n usr dt bin sel_mgr controla las operaciones de arrastrar y soltar entre las ventanas Como se muestra en las siguientes tablas hay m s restricciones para volver a etiquetar una selecci n que un archivo La siguiente tabla muestra un resumen de las reglas para volver a etiquetar archivos Las reglas incluyen las operaciones de cortar y pegar copiar y pegar y arrastrar y soltar TABLA 4 1 Condiciones para mover archivos a una etiqueta nueva Descripci n de la transacci n Relaciones de etiquetas Relaciones de propietarios Autorizaci n requerida Copiar y pegar cortar y pegar o arrastrar y Misma etiqueta Mismo UID Ninguna soltar archivos entre administradores de e archivos Disminuci n de nivel Mismo UID solaris label file downgrade Aumento de nivel Mismo UID solaris label file upgrade Disminuci n de nivel Diferentes UID solaris label file downgrade Aumento de nivel Diferentes UID solaris label file upgrade Se aplican reglas diferentes a las selecc
344. os de lectura y escritura S lo puede escribir en el sistema de archivos montados en la etiqueta del montaje Para montar los sistemas de archivos desde un servidor NFS que ejecuta versiones anteriores del software de Trusted Solaris realice las siguientes acciones m Para un servidor NFS de Trusted Solaris 1 use las opciones vers 2 y proto udp para el comando mount m Para un servidor NFS de Trusted Solaris 2 5 1 use las opciones vers 2 y proto udp para el comando mount m Para un servidor NFS de Trusted Solaris 8 use las opciones vers 3 y proto udp para el comando mount Para montar sistemas de archivos de cualquiera de estos servidores el servidor debe estar asignado a una plantilla sin etiquetas Cap tulo 11 Gesti n y montaje de archivos en Trusted Extensions tareas 161 162 CAP TULO 12 Redes de confianza descripci n general En este cap tulo se describen los conceptos y los mecanismos de las redes de confianza de Trusted Extensions La red de confianza en la p gina 163 Atributos de seguridad de red en Trusted Extensions en la p gina 168 Mecanismo de reserva de la red de confianza en la p gina 171 Descripci n general del enrutamiento en Trusted Extensions en la p gina 173 Administraci n del enrutamiento en Trusted Extensions en la p gina 176 La red de confianza Trusted Extensions asigna atributos de seguridad a las zonas los hosts y las rede
345. os de seguridad 195 196 Configuraci n de bases de datos de red de confianza mapa de tareas 180 194 Configuraci n de impresi n con etiquetas mapa de tareas 218 231 Configuraci n de rutas y comprobaci n de la informaci n de red en Trusted Extensions mapa de tareas 194 200 Agosto de 2011 ndice conjunto de etiquetas de seguridad plantillas de hosts remotos 169 conjunto de herramientas Computers and Networks 40 conjuntos de datos de Ver ZFS contrase as almacenamiento 63 asignaci n 83 cambiar contrase a de root 71 72 cambio de contrase as de usuario 60 comprobar si el indicador de contrase a es de confianza 73 opci n de men Change Password 60 71 72 control Ver restricci n control de acceso discrecional DAC 27 control de acceso obligatorio MAC aplicaci n en la red 163 168 en Trusted Extensions 27 Control de dispositivos en Trusted Extensions mapa de tareas 245 246 Copia de seguridad uso compartido y montaje de archivos con etiquetas mapa de tareas 152 161 correo administraci n 207 208 implementaci n en Trusted Extensions 207 208 varios niveles 207 cortar y pegar configuraci n de reglas para cambios de etiquetas 66 y etiquetas 64 67 creaci n autorizaciones para dispositivos 256 259 directorios principales 149 cuentas Ver roles Ver tambi n usuarios D DAC Ver control de acceso discrecional DAC definiciones de componente archivo label _encodings 30 depuraci
346. os del rango de etiquetas en Un dispositivo ssssinniininriiiininiinnnnnrni iii 241 Pol ticas de acceso a diSpositiVOS c cococconccionnonncnnmncnnrecnenennnecn crecen cananea 241 Secuencias de comandos device cleaO coocccccncinicicicononnonncoooncncnrnnnrnnnr nono cnnnnnn aan i 241 Interfaz gr fica de usuario de Device Allocation Manager occcioninnionconncncnnncnnncnnncnrancnrancnninnos 241 Aplicaci n de la seguridad de los dispositivos en Trusted Extensions cccconinnononionionnnanconnnanions 243 Dispositivos en Trusted Extensions referencia coccion crnar cronos 244 Contenido 10 17 18 19 Gesti n de dispositivos para Trusted Extensions tareas ooocoinicnnnnnnnoommomonooroononoos 245 Control de dispositivos en Trusted Extensions mapa de tareas cocccncioninncnninncenecenacacancicnns 245 Uso de dispositivos en Trusted Extensions mapa de tareas cococicinninnnnnnnnnecnenecnnaceciciecannas 246 Gesti n de dispositivos en Trusted Extensions mapa de tareas Y C mo configurar un dispositivo en Trusted Extensions 247 Y C mo revocar o reclamar un dispositivo en Trusted Extensions ocicocininninnonononnncncnnonnanens 250 Y C mo proteger los dispositivos no asignables en Trusted Extensions ccoccininninninnonconinncnos 251 Y C mo configurar una l nea de serie para el inicio de sesiones ooonionionionioncnnnncnnoranocaceos 252 Y C mo configurar un programa reproductor de audio para que
347. os hosts y las puertas de enlace tnrhtp puede tratarse de una base de datos local o almacenada en el servidor LDAP Los hosts y las puertas de enlace utilizan los atributos del host de destino y la puerta de enlace del pr ximo salto para aplicar el MAC al enviar tr fico Cuando el tr fico se recibe los hosts y las puertas de enlace utilizan los atributos del remitente Para obtener detalles sobre los atributos de seguridad consulte Atributos de seguridad de la red de confianza en la p gina 168 Para obtener m s informaci n consulte la p gina del comando man smtnrhtp 1M tnrhdb esta base de datos contiene los prefijos de red mecanismo de reserva y las direcciones IP que corresponden a todos los hosts que tienen permiso para comunicarse tnrhdb puede ser una base de datos local o una almacenada en el servidor LDAP Se asigna una plantilla de seguridad de la base de datos tnrhtp a cada host o prefijo de red Los atributos de la plantilla definen los atributos del host asignado Para obtener m s informaci n consulte la p gina del comando man smtnrhdb 1M En Trusted Extensions se ampli Solaris Management Console para gestionar estas bases de datos Para obtener detalles consulte Herramientas de Solaris Management Console en la p gina 38 Procedimientos de administradores de Oracle Solaris Trusted Extensions Agosto de 2011 La red de confianza Comandos de red en Trusted Extensions Trusted Extensions agrega los
348. os principales en Trusted Extensions oconconinnononinnnncnnnnnnecinecnnns 149 Cambios en el montador autom tico en Trusted Extensions occocononinononnononoorcnononcncnnnnnos 150 Software de Trusted Extensions y versiones del protocolo NES occcciiiacioncnncncinnnancncanncincianions 151 Copia de seguridad uso compartido y montaje de archivos con etiquetas mapa de tareas 152 Y C mo realizar copias de seguridad de los archivos en Trusted Extensions ocucccnaonnnacnnss 152 Y C mo restaurar archivos en Trusted Extensions ssrceossssncorsssrsponiakorsri Y C mo compartir directorios desde una zona con etiquetas Y C mo montar archivos en NFS en una zona con etiquetas Y C mo resolver problemas por fallos de montaje en Trusted Extensions occoncinnioncnnnnncnnns 160 Redes de confianza descripci n general oooocnoiccnicicicnononocionnconononcnrnrconnnnnnnononnrnrnncnnnnanos 163 La red de confianza Paquetes de datos de Tr sted Extensions siii dia 164 Comunicaciones de la red de CONFIANZA conccinionionninnnconcnnnencnnn cacon conca corno coran 164 Bases de datos de configuraci n de red en Trusted Extensions ccccaciononconncnnnncnnecacancncnos 166 Comandos de red en Trusted Extensi0WS commcnicinnnnnnnnnnnnncnnnecrrnrcn recrean 167 Atributos de seguridad de la red de confi nZ ssissiesissisusiusi ssi sissssisssssisisiseidsisidesasssisvisisaisiaasas 168 Atributos de seguridad de red en Trusted Extensions coccccicconconinnnnonconcen
349. os valores entran en vigor en el siguiente inicio de sesi n En Procedimientos de administradores de Oracle Solaris Trusted Extensions Agosto de 2011 Personalizaci n de Solaris Trusted Extensions CDE Solaris Trusted Extensions JDS la acci n de CDE no est disponible Para cambiar los valores predeterminados modifique el archivo usr share gnome sel_config en un editor de texto Personalizaci n de Solaris Trusted Extensions CDE En Solaris Trusted Extensions CDE los usuarios pueden agregar acciones al panel frontal y personalizar el men Workspace El software de Trusted Extensions limita la capacidad de los usuarios para agregar programas y comandos a CDE Personalizaci n del panel frontal Cualquier usuario puede arrastrar una acci n preexistente de Application Manager y soltarla en el panel frontal siempre que la cuenta que realiza la modificaci n tenga la acci n en su perfil Se pueden agregar al panel frontal las acciones de los directorios usr dt o etc dt pero no las aplicaciones del directorio HOME dt appconfig Aunque los usuarios pueden utilizar la acci n Create Action no pueden escribir en cualquiera de los directorios donde se almacenan las acciones de todo el sistema Por lo tanto los usuarios comunes no pueden crear acciones que sean utilizables En Trusted Extensions se cambi la ruta de b squeda de las acciones Las acciones del directorio principal de cualquier usuario individual no se pr
350. p gina 197 Sincronizar la antememoria del n cleo con las bases de datos de redes Utilizar el comando tnct1l para actualizar la antememoria del n cleo con informaci n actualizada de la base de datos de red en un sistema que se est ejecutando C mo sincronizar la antememoria del n cleo con las bases de datos de red de confianza en la p gina 198 194 Procedimientos de administradores de Oracle Solaris Trusted Extensions Agosto de 2011 Configuraci n de rutas y comprobaci n de la informaci n de red en Trusted Extensions mapa de tareas Antes de empezar 1 C mo configurar las rutas con los atributos de seguridad Debe estar en el rol de administrador de la seguridad en la zona global Agregue todas las puertas de enlace y los host de destino que est utilizando para enrutar paquetes en la red de confianza Las direcciones se agregan al archivo etc hosts local o a su equivalente en el servidor LDAP Utilice la herramienta Computers and Networks de Solaris Management Console El mbito Files modifica el archivo etc hosts El mbito LDAP modifica las entradas en el servidor LDAP Para obtener detalles consulte C mo agregar hosts a la red conocida del sistema en la p gina 188 Asigne cada red puerta de enlace y host de destino a una plantilla de seguridad Las direcciones se agregan al archivo etc security tsol tnrhdb o a su equivalente en el servidor LDAP Utilice la herramie
351. pal de un usuario se procesan en ltimo lugar en vez de en primer lugar Por lo tanto nadie puede personalizar las acciones existentes Los usuarios pueden crear una acci n nueva en el directorio principal pero es posible que la acci n no pueda utilizarse Los usuarios con el perfil de todos pueden utilizar una acci n creada por ellos De lo contrario el administrador de la seguridad debe agregar el nombre de la acci n nueva a uno de perfiles de derechos de la cuenta Para iniciar la acci n el usuario utiliza File Manager El administrador del sistema puede colocar acciones en directorios p blicos Es posible arrastrar y soltar las acciones en el panel frontal El panel frontal es parte de la ruta de confianza El gestor de ventanas reconoce solamente las acciones agregadas administrativamente que est n ubicadas en los subdirectorios usr dt y etc dt Incluso con el perfil de todos un usuario no puede arrastrar una acci n nueva al panel frontal El gestor de ventanas no reconoce las acciones del directorio principal de un usuario El gestor solamente comprueba los directorios p blicos Las acciones pueden realizar operaciones con privilegios si las ejecuta el usuario root Las acciones pueden realizar las operaciones con privilegios si se les asignaron privilegios en un perfil de derechos que est asignado a un usuario Las acciones no se gestionan mediante la consola Solaris Management Console Las acciones
352. perativos Oracle Solaris Tenga en cuenta que el indicador predeterminado del sistema que se muestra en los ejemplos de comandos var a seg n la versi n de Oracle Solaris TABLA P 2 Indicadores de shell Shell Indicador Shell Bash shell Korn y shell Bourne Shell Bash shell Korn y shell Bourne para superusuario Shell C nombre_sistema 21 Prefacio TABLAP 2 Indicadores de shell Continuaci n Shell Indicador Shell C para superusuario nombre_sistemait 22 Procedimientos de administradores de Oracle Solaris Trusted Extensions Agosto de 2011 CAP TULO 1 Conceptos de la administraci n de Trusted Extensions Este cap tulo presenta la administraci n de un sistema que est configurado con el software de Solaris Trusted Extensions Software de Trusted Extensions y el SO Oracle Solaris en la p gina 23 m Conceptos b sicos de Trusted Extensions en la p gina 26 Software de Trusted Extensions y el SO Oracle Solaris El software de Trusted Extensions agrega etiquetas a un sistema que ejecuta el sistema operativo Solaris SO Oracle Solaris Las etiquetas implementan el control de acceso obligatorio MAC Mandatory Access Control El MAC junto con el control de acceso discrecional DAC Discretionary Access Control protege los sujetos procesos y objetos datos del sistema El software de Trusted Extensions proporciona interfaces para gestionar la configuraci n la asignaci n
353. positivos en Trusted Extensions mapa de tareas en la p gina 256 Para guardar los cambios haga clicen OK C mo revocar o reclamar un dispositivo en Trusted Extensions Si un dispositivo no aparece en Device Allocation Manager puede que ya se encuentre asignado o que est en estado de error de asignaci n El administrador del sistema puede recuperar el dispositivo para su uso Debe estar en el rol de administrador del sistema en la zona global Este rol cuenta con la autorizaci n solaris device revoke Procedimientos de administradores de Oracle Solaris Trusted Extensions Agosto de 2011 Gesti n de dispositivos en Trusted Extensions mapa de tareas 1 2 3 Antes de empezar 1 En el men Trusted Path seleccione Allocate Device En la siguiente figura el dispositivo de audio ya est asignado a un usuario Trusted Path E Device Allocation Manager Devices Allocatable By sharonr Available Devices SSSA A i J is Device Label CONFIDENTIAL INTERNAL USE ONLY q Device Administration Haga clic en el bot n Device Administration Compruebe el estado de un dispositivo Seleccione el nombre del dispositivo y active el campo State m Siel campo State dice Allocate Error State haga clic en el bot n Reclaim m Sielcampo State dice Allocated realice una de las siguientes acciones Solicite al usuario del campo Owner que desasigne el dispositivo Para lleva
354. print unlabeled A continuaci n el administrador decide quitar las p ginas de la car tula y del ubicador para ahorrar papel Primero se asegura de que la casilla Always Print Banners de Print Manager no est seleccionada Luego modifica la entrada policy conf para que se lea lo siguiente y reinicia As todos los trabajos de impresi n quedan sin etiquetas y no tienen las p ginas de la car tula ni del ubicador AUTHS_GRANTED solaris print unlabeled solaris print nobanner C mo configurar los archivos de inicio para los usuarios en Trusted Extensions Los usuarios pueden introducir los archivos copy_files y link_files en el directorio principal en la etiqueta que corresponde a la etiqueta de sensibilidad m nima Los usuarios tambi n pueden modificar los archivos copy_files y link_files que ya existen en la etiqueta m nima de los usuarios Este procedimiento sirve para que el rol de administrador automatice la configuraci n del sitio Debe estar en el rol de administrador del sistema en la zona global Para obtener detalles consulte C mo entrar en la zona global en Trusted Extensions en la p gina 53 Procedimientos de administradores de Oracle Solaris Trusted Extensions Agosto de 2011 Personalizaci n del entorno de usuario para la seguridad mapa de tareas Cree dos archivos de inicio de Trusted Extensions Agregar los archivos copy_files y link_files a la lista de archivos de inicio cd etc skel
355. procedimiento del SO Oracle Solaris Para montar archivos se pueden utilizar el montador autom tico el archivo vfstab y el comando mount Para el uso compartido de archivos se usa el archivo dfstab Montaje en zonas con etiquetas el montaje de archivos en las zonas con etiquetas en Trusted Extensions es casi id ntico al montaje de archivos en las zonas no globales en el SO Oracle Solaris Para montar archivos se pueden utilizar el montador autom tico el archivo vfstab y el comando mount En Trusted Extensions existe un nico archivo de configuraci n automount_home_etiqueta para cada zona con etiquetas Uso compartido en zonas con etiquetas los archivos de una zona con etiquetas se pueden compartir en la etiqueta de la zona mediante un archivo dfstab que se encuentre en la etiqueta de la zona pero que sea visible solamente para la zona global Por lo tanto la configuraci n de una zona con etiquetas para compartir archivos la realiza el administrador de la zona global en la zona global misma Este archivo de configuraci n no se puede ver desde su zona con etiquetas Para obtener m s informaci n consulte Procesos de la zona global y de las zonas con etiquetas en la p gina 128 Las etiquetas determinan qu archivos se pueden montar Los archivos se comparten y se montan en una etiqueta determinada Para que un cliente de Trusted Extensions escriba un archivo montado en NES el archivo debe estar montado con permisos de lectur
356. pso La palabra clave cipso es opcional y se establece de manera predeterminada Para obtener detalles consulte la p gina del comando man route 1M Cap tulo 12 Redes de confianza descripci n general 167 Atributos de seguridad de red en Trusted Extensions m snoop como en el SO Oracle Solaris puede utilizarse la opci n v de este comando para mostrar los encabezados IP de manera m s detallada En Trusted Extensions los encabezados contienen informaci n de la etiqueta Atributos de seguridad de la red de confianza La administraci n de redes en Trusted Extensions se basa en plantillas de seguridad Una plantilla de seguridad describe un conjunto de hosts que tienen protocolos comunes y atributos de seguridad id nticos Los atributos de seguridad se asignan administrativamente a los sistemas tanto los hosts como los enrutadores mediante plantillas El administrador de la seguridad administra las plantillas y las asigna a los sistemas Si un sistema no tiene una plantilla asignada no se permiten las comunicaciones con ese sistema Cada plantilla recibe un nombre e incluye lo siguiente a Un tipo de host que puede ser sin etiquetas o CIPSO El tipo de host de la plantilla determina el protocolo que se utiliza para las comunicaciones de red El tipo de host se utiliza para determinar si se usan o no las opciones CIPSO y afecta al MAC Consulte Tipo de host y nombre de plantilla en Security Templates en la p gina 16
357. puerto de varios niveles MLP de una zona Cap tulo 13 Gesti n de redes en Trusted Extensions tareas 197 Configuraci n de rutas y comprobaci n de la informaci n de red en Trusted Extensions mapa de tareas 198 Ejemplo 13 16 Antes de empezar Visualizaci n de puertos de varios niveles en un host En este ejemplo se configura un sistema con varias zonas con etiquetas Todas las zonas comparten la misma direcci n IP Algunas zonas tambi n se configuran con direcciones espec ficas de las zonas En esta configuraci n el puerto TCP para navegar por la web puerto 8080 es un puerto de varios niveles en una interfaz compartida en la zona public El administrador tambi n configur telnet puerto TCP 23 para que sea un puerto de varios niveles en la zona public Dado que estos dos puertos de varios niveles est n en una interfaz compartida ninguna otra zona ni siquiera la zona global puede recibir paquetes de la interfaz compartida en los puertos 8080 y 23 Adem s el puerto TCP para ssh puerto 22 es un puerto de varios niveles por zona en la zona public El servicio de la zona public ssh puede recibir cualquier paquete en su direcci n espec fica de la zona dentro del rango de etiquetas de la etiqueta El siguiente comando muestra los puertos de varios niveles para la zona public tninfo m public private 22 tcp shared 23 tcp 8080 tcp El siguiente comando muestra los puertos de varios niveles para la zona
358. que no es visible archivo que no suele estar visible en una de manera predeterminada en una zona zona con etiquetas en la p gina 135 con etiquetas 130 Procedimientos de administradores de Oracle Solaris Trusted Extensions Agosto de 2011 Gesti n de zonas mapa de tareas Tarea Descripci n Para obtener instrucciones Impedir que los usuarios comunes visualicen un directorio principal de nivel inferior desde una etiqueta de nivel superior De manera predeterminada los directorios de nivel inferior son visibles desde las zonas de nivel superior Cuando deshabilita el montaje de una zona de nivel inferior puede deshabilitar todos los montajes de las zonas de nivel inferior C mo deshabilitar el montaje de archivos de nivel inferior en la p gina 136 Configurar una zona para habilitar el cambio de las etiquetas en los archivos Poner un archivo o directorio en una zona con etiquetas o sacarlo de ella Las zonas con etiquetas tienen privilegios limitados De manera predeterminada las zonas con etiquetas no tienen el privilegio que habilita a un usuario autorizado para volver a etiquetar un archivo Se debe modificar la configuraci n de zona para agregar el privilegio Cambiar el nivel de seguridad de un archivo o directorio mediante el cambio de su etiqueta C mo permitir que los archivos se vuelvan a etiquetar desde una zona con etiquetas en la p gina 139 C mo mover ar
359. que puede asumir un rol inicie sesi n en el host remoto Utilice los comandos rlogin ssho ftp m Silos comandos rlogin lo ssh se utilizan para iniciar sesi n todos los comandos de los perfiles de derechos del rol se encuentran disponibles m ise utiliza el comando ftp consulte la p gina del comando man ftp 1 para conocer los comandos disponibles C mo administrar Trusted Extensions con dtappsession de manera remota El programa dtappsession habilita a un administrador para que administre un sistema remoto que ejecuta CDE dtappsession es til cuando un sistema remoto no tiene supervisor Por ejemplo dtappsession se usa con frecuencia para administrar dominios en servidores grandes Para obtener m s informaci n consulte la p gina del comando man dtappsession 1 En un sistema con etiquetas debe estar en un rol administrativo en la zona global En un sistema sin etiquetas debe asumir un rol que est definido en el sistema remoto A continuaci n debe ejecutar el inicio de sesi n remoto desde el shell del perfil del rol Opcional Cree un espacio de trabajo que est dedicado a la sesi n remota A fin de evitar confusiones entre las aplicaciones de CDE remotas y cualquier aplicaci n local dedique espacio de trabajo de un rol administrativo para este procedimiento Para obtener detalles consulte C mo agregar un espacio de trabajo en una etiqueta determinada de Gu a del usuario de Oracle Solaris Trusted Extens
360. r La carpeta Trusted_Extensions est en Application Manager 3 Abra la carpeta Trusted_Extensions 56 Procedimientos de administradores de Oracle Solaris Trusted Extensions Agosto de 2011 Introducci n para administradores de Trusted Extensions mapa de tareas 4 2 Haga doble clic en el icono adecuado Para obtener una lista de las acciones administrativas consulte Acciones de Trusted CDE en la p gina 35 C mo editar archivos administrativos en Trusted Extensions Los archivos administrativos se editan con un editor de confianza que incorpora la auditor a Este editor tambi n impide que el usuario ejecute los comandos del shell o que guarde con un nombre de archivo que no sea el nombre del archivo original Asuma un rol Para obtener detalles consulte C mo entrar en la zona global en Trusted Extensions en la p gina 53 Abra un editor de confianza m En Solaris Trusted Extensions CDE realice lo siguiente a Afin detraer el editor hacia adelante haga clic con el tercer bot n del mouse en el fondo para que aparezca el men Workspace b Haga clic en Applications y luego en la opci n de men Application Manager La carpeta Trusted_Extensions est en Application Manager c Abra la carpeta Trusted_Extensions d Haga doble clic en la acci n Admin Editor Se le indicar que proporcione un nombre de archivo Para ver el formato consulte el Paso 3 y el Paso 4 m En Solaris Tr
361. r similar a la siguiente tnrhdb database Sun Ray server address 192 168 128 1 cipso Sun Ray client addresses on 192 168 128 network 192 168 128 0 24 admin_low Initial address for new clients 0 0 0 0 32 admin_low 0 0 0 0 admin_low no other systems can enter network at admin_low Other addresses to be contacted at boot Configuraci n de rutas y comprobaci n de la informaci n de red en Trusted Extensions mapa de tareas El siguiente mapa de tareas describe las tareas que se realizan para configurar la red y verificar la configuraci n Tarea Descripci n Para obtener instrucciones Configurar rutas est ticas Describir manualmente la mejor ruta de un host a otro host C mo configurar las rutas con los atributos de seguridad en la p gina 195 Comprobar la precisi n de las bases de datos de redes locales Utilizar el comando tnchkdb para comprobar la validez de la sintaxis de las bases de datos de redes locales C mo comprobar la sintaxis de las bases de datos de red de confianza en la p gina 196 Comparar las entradas de la base de datos de red con las entradas de la antememoria del n cleo Utilizar el comando tninfo a fin de determinar si la antememoria del n cleo se actualiz con la ltima informaci n de la base de datos C mo comparar la informaci n de la base de datos de red de confianza con la antememoria del n cleo en la
362. r a cabo la desasignaci n forzosa del dispositivo haga clic en el bot n Revoke Cierre Device Allocation Manager C mo proteger los dispositivos no asignables en Trusted Extensions La opci n No Users de la secci n Allocatable By del cuadro de di logo Device Configuration con frecuencia se utiliza para el b fer de trama y la impresora que no requieren asignaci n para su uso Debe estar en el rol de administrador de la seguridad en la zona global En el men Trusted Path seleccione Allocate Device Cap tulo 17 Gesti n de dispositivos para Trusted Extensions tareas 251 Gesti n de dispositivos en Trusted Extensions mapa de tareas 252 2 3 Ejemplo 17 1 Antes de empezar 1 En Device Allocation Manager haga clic en el bot n Device Administration Seleccione la impresora o el b fer de trama nuevos a Para hacer que el dispositivo no sea asignable haga clicen No Users b Opcional Restrinja el rango de etiquetas en el dispositivo i Establezca la etiqueta m nima Haga clic en el bot n Min Label Seleccione una etiqueta m nima del generador de etiquetas Para obtener informaci n sobre el generador de etiquetas consulte Generador de etiquetas en Trusted Extensions en la p gina 43 ii Establezca la etiqueta m xima Haga clic en el bot n Max Label y seleccione una etiqueta m xima del generador de etiquetas Impedir la asignaci n remota del dispositivo de audio La opc
363. r m s detalles consulte el Cap tulo 13 Gesti n de redes en Trusted Extensions tareas Trusted Extensions agrega comandos para administrar las redes de confianza Trusted Extensions tambi n agrega opciones a los comandos de red de Oracle Solaris Para obtener una descripci n de estos comandos consulte Comandos de red en Trusted Extensions en la p gina 167 Cap tulo 12 Redes de confianza descripci n general 165 La red de confianza 166 Bases de datos de configuraci n de red en Trusted Extensions Trusted Extensions carga tres bases de datos de configuraci n de red en el n cleo Estas bases de datos se utilizan en las comprobaciones de acreditaciones cuando se transmiten los datos de un host a otro tnzonecfg esta base de datos local almacena atributos de la zona que est n relacionados con la seguridad Los atributos de cada zona especifican la etiqueta de la zona y el acceso de dicha zona alos puertos de un solo nivel y de varios niveles Otro atributo gestiona las respuestas a los mensajes de control como ping Las etiquetas de las zonas se definen en el archivo label_encodings Para obtener m s informaci n consulte las p ginas del comando man label_encodings 4 y smtnzonecfg 1M Para ver una explicaci n sobre los puertos de varios niveles consulte Zonas y puertos de varios niveles en la p gina 127 tnrhtp esta base de datos almacena plantillas que describen los atributos de seguridad de l
364. r una zona en la etiqueta id ntica como el sistema de archivos remoto m El sistema debe montar el sistema de archivos remoto en la ruta de la zona que tiene etiquetas id nticas Procedimientos de administradores de Oracle Solaris Trusted Extensions Agosto de 2011 Procesos de la zona global y de las zonas con etiquetas El sistema no debe montar el sistema de archivos remoto en la ruta root de la zona de la zona que tiene etiquetas id nticas Tenga en cuenta una zona que est denominada como public en la etiqueta PUBLIC La ruta de la zona es zone public Todos los directorios de la ruta de la zona se encuentran en la etiqueta PUBLIC por ejemplo zone public dev zone public etc zone public home username zone public root zone public usr Delos directorios de la ruta de la zona solamente los archivos que se encuentran en zone public root son visibles desde la zona public A los dem s directorios y archivos en la etiqueta PUBLIC se puede acceder solamente desde la zona global La ruta zone public root es la ruta root de la zona Desde la perspectiva del administrador de la zona public la ruta root de la zona se ve como 7 De manera similar el administrador de la zona public no puede acceder a un directorio principal del usuario en la ruta de la zona directorio zone public home username Dicho directorio se ve solamente desde la zona global La zona public monta ese directorio en la ruta root de la zona como home u
365. ra asignar el dispositivo Puntos de montaje del sistema de archivos cada punto de montaje tiene una etiqueta Se puede visualizar la etiqueta con el comando getlabel Interfaces de red las direcciones IP hosts tienen plantillas que describen los rangos de etiquetas correspondientes Los hosts sin etiquetas tambi n tienen una etiqueta predeterminada Impresoras e impresi n las impresoras tienen rangos de etiquetas Las etiquetas se imprimen en las p ginas del cuerpo Las etiquetas el tratamiento de la informaci n y otros datos de seguridad se imprimen en las p ginas de la car tula y del ubicador Para configurar la impresi n en Trusted Extensions consulte el Cap tulo 15 Gesti n de impresi n con etiquetas tareas y Labels on Printed Output de Oracle Solaris Trusted Extensions Label Administration Procesos los procesos tienen etiquetas Los procesos se ejecutan en la etiqueta del espacio de trabajo en que se origina cada proceso Se puede visualizar la etiqueta de un proceso con el comando plabel Usuarios se les asignan una etiqueta predeterminada y un rango de etiquetas La etiqueta del espacio de trabajo del usuario se ala la etiqueta de los procesos del usuario Ventanas se pueden visualizar las etiquetas en la parte superior de las ventanas del escritorio La etiqueta del escritorio tambi n se se ala por color El color aparece en el conmutador del escritorio y encima de las barras de t tulo de las venta
366. ra cada zona el montador autom tico autofs monta un archivo auto_home nombre de zona Por ejemplo a continuaci n se muestra la entrada para la zona global en el archivo auto_home_ global auto home global fstype lofs export home 8 Cuando se inicia una zona que permite montar zonas de nivel inferior sucede lo siguiente Los directorios principales de las zonas de nivel inferior se montan en modo s lo lectura en zone lt nombre de zona gt export home El mapa auto_home_ lt nombre de zona gt especifica la ruta de zone como directorio de origen para volver a realizar un montaje de lofs en zone lt nombre de zona gt home lt nombre de usuario gt Por ejemplo a continuaci n se muestra una entrada auto_home_public en un mapa auto_home_zona en etiqueta superior que se genera a partir de una zona de nivel superior auto home public fstype lofs zone public export home 8 A continuaci n se muestra la entrada correspondiente en la zona public auto home public fstype lofs export home 8 Cuando se hace referencia a un directorio principal y el nombre no coincide con ninguna de las entradas del mapa auto_home_ lt nombre de zona gt el mapa intenta encontrar la coincidencia con esta especificaci n de montaje en bucle de retorno El software crea el directorio principal cuando se cumplen las dos condiciones siguientes 1 El mapa encuentra la coincidencia con la especificaci n de montaje en bucle de retorno 2 El no
367. raciones de seguridad no sean adecuadas para las operaciones habituales del sistema Conserve las plantillas proporcionadas sin modificaciones para el mantenimiento del sistema y el soporte t cnico Etiqueta predeterminada en Security Templates Las plantillas para el tipo de host sin etiquetas especifican una etiqueta predeterminada Esta etiqueta se utiliza para controlar las comunicaciones con los hosts cuyos sistemas operativos no tienen en cuenta las etiquetas como los sistemas de Oracle Solaris La etiqueta predeterminada que est asignada refleja el nivel de confianza adecuado para el host y los usuarios Debido a que las comunicaciones con los hosts sin etiquetas se limitan esencialmente a la etiqueta predeterminada estos hosts tambi n se denominan hosts de una sola etiqueta Dominio de interpretaci n en Security Templates Las organizaciones que utilizan el mismo dominio de interpretaci n DOI deben acordar entre s para interpretar la informaci n de la etiqueta y otros atributos de seguridad de la misma manera Cuando Trusted Extensions realiza una comparaci n de etiquetas se efect a una comprobaci n para determinar si el DOI es igual Un sistema Trusted Extensions aplica la pol tica de etiquetas en un valor DOI Todas las zonas de un sistema Trusted Extensions deben operar en el mismo DOI Un sistema Trusted Extensions no proporciona el tratamiento de excepciones en los paquetes que se recibieron de un sistema que utiliza
368. rear los puntos de montaje del directorio principal Montar el contenido de un directorio en una zona en la misma etiqueta en modo de lectura y escritura Cuando una zona de nivel superior monta el directorio compartido el directorio se monta en modo de s lo lectura Crear puntos de montaje para cada usuario en cada etiqueta Esta tarea permite a los usuarios acceder a su directorio principal en un sistema que no sea el servidor del directorio principal de NFS C mo montar archivos en NFS en una zona con etiquetas en la p gina 155 Habilitaci n de los usuarios para que accedan a sus directorios principales en Trusted Extensions de Gu a de configuraci n de Oracle Solaris Trusted Extensions Ocultar informaci n de nivel inferior a un usuario que est trabajando en una etiqueta superior Impedir la visualizaci n de informaci n de nivel inferior desde una ventana de nivel superior C mo deshabilitar el montaje de archivos de nivel inferior en la p gina 136 Resolver problemas de montaje de sistema de archivos Resolver problemas relacionados con el montaje de un sistema de archivos C mo resolver problemas por fallos de montaje en Trusted Extensions en la p gina 160 v C mo realizar copias de seguridad de los archivos en Trusted Extensions 1 Asumael rol de operador Este rol incluye el perfil de derechos de las copias de seguridad de medios 152 Procedimi
369. recuperar el control del enfoque actual del escritorio La combinaci n de teclas de aviso de seguridad se puede utilizar para interrumpir un arrastre del puntero o del teclado que provenga de una aplicaci n que no sea de confianza Esta combinaci n de teclas tambi n puede utilizarse para verificar si un arrastre del puntero o del teclado proviene de una aplicaci n de confianza En un sistema de varios encabezados que se ha suplantado para que se muestre m s de una banda de confianza esta combinaci n de teclas dirige el puntero hacia la banda de confianza autorizada Para recuperar el control de un teclado de Sun utilice la siguiente combinaci n de teclas Presione las teclas simult neamente para recuperar el control del enfoque actual del escritorio En el teclado de Sun el rombo es la tecla Meta lt Meta gt lt Stop gt Si el arrastre como un puntero no es de confianza el puntero se mueve hacia la banda Si el puntero es de confianza no se pasa a la banda de confianza Si no utiliza un teclado de Sun use la siguiente combinaci n de teclas lt Alt gt lt Break gt Procedimientos de administradores de Oracle Solaris Trusted Extensions Agosto de 2011 Tareas comunes en Trusted Extensions mapa de tareas Ejemplo 5 3 Ejemplo 5 4 Antes de empezar Presione las teclas simult neamente para recuperar el control del enfoque del escritorio actual de su equipo port til Comprobar si el indicador de contrase
370. red de confianza mapa de tareas conccioninniononioncinnacinnss s179 Configuraci n de bases de datos de red de confianza mapa de tareas ooo 180 V C mo determinar si necesita plantillas de seguridad espec ficas del sitio V C mo abrir las herramientas de redes de confianza 182 Y C mo crear una plantilla de host remoto 183 Y C mo agregar hosts a la red conocida del sistema ocicinininnionionnnnnmenms 188 Y C mo asignar una plantilla de seguridad a un host o a un grupo de hosts ococinciccnccnccannnss 188 Y C mo limitar los hosts que se pueden contactar en la red de confianza cococcccninnnnninanoninnanns 190 Configuraci n de rutas y comprobaci n de la informaci n de red en Trusted Extensions mapa A O NN 194 Y C mo configurar las rutas con los atributos de seguridad cocccianiinononncnnnnncnncncinncancnnnnons 195 Y C mo comprobar la sintaxis de las bases de datos de red de confianza oocoociccinionaninnnncinnanss 196 Y C mo comparar la informaci n de la base de datos de red de confianza con la antememoria del mic mida A dt 197 V C mo sincronizar la antememoria del n cleo con las bases de datos de red de confianza 198 Resoluci n de problemas de la red de confianza mapa de tareas oocccioniononnonninncnnonanacaciacns 201 V C mo verificar que las interfaces del host est n activas coccion 201 Y C mo depurar la red de Trusted Extensi0WS sesoto cren corran racer cnc 202 Y C mo depurar una
371. refacio Gu as de administraci n del sistema relacionadas Las siguientes gu as contienen informaci n que resulta til en el momento de preparar y ejecutar software de Trusted Extensions T tulo de la gu a Temas System Administration Guide Basic Administration Gu a de administraci n del sistema Administraci n avanzada System Administration Guide Devices and File Systems Gu a de administraci n del sistema servicios IP Gu a de administraci n del sistema Servicios de nombres y directorios DNS NIS y LDAP Gu a de administraci n del sistema servicios de red System Administration Guide Security Services Gu a de administraci n de sistemas administraci n de recursos y contenedores de Oracle Solaris y zonas de Oracle Solaris Gu a de administraci n de Oracle Solaris ZFS System Administration Guide Printing Grupos y cuentas de usuario asistencia para clientes y servidores cierre e inicio del sistema gesti n de servicios y administraci n de software paquetes y parches Terminales y m dems recursos del sistema cuotas del disco cuentas y archivos crontab procesos del sistema y resoluci n de problemas de software de Solaris Medios extra bles discos y dispositivos sistemas de archivos y copias de seguridad y restauraci n de datos Administraci n de redes TCP IP administraci n de direcciones IPv4 e IPv6 DHCP IPsec IKE filtro IP de Solaris IP m viles ruta m ltiple d
372. requieren la creaci n de un espacio de trabajo en una etiqueta determinada Para crear un espacio de trabajo consulte C mo agregar un espacio de trabajo en una etiqueta determinada de Gu a del usuario de Oracle Solaris Trusted Extensions Monte los archivos din micamente En la zona con etiquetas utilice el comando mount Para ver un ejemplo sobre c mo montar archivos din micamente consulte el Ejemplo 11 3 Monte los archivos cuando se inicia la zona En la zona con etiquetas agregue los montajes al archivo vfstab Para ver ejemplos sobre c mo montar archivos cuando se inicia la zona con etiquetas consulte el Ejemplo 11 4 y el Ejemplo 11 5 Monte los directorios principales en los sistemas que se administran con LDAP a Encada etiqueta agregue las especificaciones de usuario en los archivos auto_home_nombre de zona b Acontinuaci n utilice estos archivos para rellenar la base de datos auto_home_nombre de zona en el servidor LDAP Si desea ver un ejemplo consulte el Ejemplo 11 6 Procedimientos de administradores de Oracle Solaris Trusted Extensions Agosto de 2011 Copia de seguridad uso compartido y montaje de archivos con etiquetas mapa de tareas Ejemplo 11 3 Ejemplo 11 4 m Monte los directorios principales en sistemas que se administran con los archivos a Cree y rellene un archivo export home auto_home_nombre de zona con etiqueta inferior b Edite el archivo etc auto_home_nombre de zona
373. resoras para el Habilitar a los usuarios para que impriman en una Configuraci n de impresi n con resultado con etiquetas impresora de Trusted Extensions Los trabajos de etiquetas mapa de tareas impresi n se marcan con etiquetas en la p gina 218 Eliminar las etiquetas visibles del Habilitar a los usuarios para que impriman con una Reducci n de las restricciones de resultado de la impresi n etiqueta espec fica en una impresora de Oracle Solaris impresi n en Trusted Extensions Los trabajos de impresi n no se marcan con etiquetas mapa de tareas en la p gina 231 O bien impedir que las etiquetas se impriman en una impresora de Trusted Extensions Cap tulo 15 Gesti n de impresi n con etiquetas tareas 217 Configuraci n de impresi n con etiquetas mapa de tareas Configuraci n de impresi n con etiquetas mapa de tareas El siguiente mapa de tareas describe los procedimientos de configuraci n comunes relativos a la impresi n con etiquetas Nota Los clientes de la impresora pueden imprimir solamente los trabajos que se encuentren dentro del rango de etiquetas del servidor de impresi n de Trusted Extensions Tarea Descripci n Para obtener instrucciones Configurar la impresi n desde la zona global Crear un servidor de impresi n de varios niveles en la zona global C mo configurar un servidor de impresi n de varios niveles y sus impresoras en la p gina
374. ria lpadmin s printer Pruebe las impresoras A partir de la versi n Solaris 107 10 los archivos que tengan una etiqueta administrativa ya sea ADMIN_HIGH o ADMIN_LOW imprimen ADMIN_HIGH en el cuerpo de la copia impresa Las p ginas de la car tula y del ubicador tienen la etiqueta m xima y los compartimientos del archivo label _encodings En cada cliente pruebe que la impresi n funcione para los usuarios root y los roles en la zona global y para los usuarios root los roles y los usuarios comunes en las zonas con etiquetas a Imprima los archivos sin formato de la l nea de comandos b Imprima los archivos desde las aplicaciones como StarOffice y desde el explorador y el editor c Verifique que las p ginas de la car tula y del ubicador y las car tulas de seguridad se impriman correctamente C mo configurar un rango de etiquetas restringido para una impresora El rango de etiquetas predeterminado de la impresora es de ADMIN_LOWa ADMIN_HIGH Este procedimiento reduce el rango de etiquetas de las impresoras controladas mediante un servidor de impresi n de Trusted Extensions Procedimientos de administradores de Oracle Solaris Trusted Extensions Agosto de 2011 Reducci n de las restricciones de impresi n en Trusted Extensions mapa de tareas Antesde Debe estar en el rol de administrador de la seguridad en la zona global empezar 1 Inicie Device Allocation Manager a Seleccione la opci n Allocate Dev
375. rminados consulte Atributos de seguridad del usuario predeterminados en Trusted Extensions en la p gina 80 Cap tulo6 Usuarios derechos y roles en Trusted Extensions descripci n general 79 Atributos de seguridad del usuario predeterminados en Trusted Extensions m Decidir qu archivos de inicio se copiar n o enlazar n del directorio principal de etiqueta m nima del usuario a los directorios principales de nivel superior del usuario Para conocer el procedimiento consulte C mo configurar los archivos de inicio para los usuarios en Trusted Extensions en la p gina 90 m Decidir si los usuarios pueden acceder a los dispositivos perif ricos como el micr fono el CD ROM y la unidad Jaz Si a algunos usuarios se les permite el acceso decida si el sitio requiere autorizaciones adicionales a fin de garantizar la seguridad del sitio Para obtener una lista predeterminada con las autorizaciones relacionadas con los dispositivos consulte C mo asignar autorizaciones para dispositivos en la p gina 260 Para ver un conjunto de autorizaciones de dispositivos m s detallado consulte Personalizaci n de autorizaciones para dispositivos en Trusted Extensions mapa de tareas en la p gina 256 Atributos de seguridad del usuario predeterminados en Trusted Extensions 80 Las configuraciones de los archivos label_encodings y policy conf definen conjuntamente los atributos de seguridad predeterminados para las cue
376. rollador de programas puede manipular los conjuntos de privilegios en el c digo de origen si el administrador de la seguridad no asigna los privilegios necesarios al programa el programa fallar El desarrollador y el administrador de la seguridad deben cooperar cuando se crean programas de confianza El desarrollador que escribe un programa de confianza debe realizar lo siguiente 1 Comprender cu ndo el programa requiere privilegios para realizar su trabajo 2 Conocer y aplicar las t cnicas como el escalonamiento de privilegios para utilizar de un modo seguro los privilegios en los programas 3 Tener en cuenta las consecuencias para la seguridad cuando asigna privilegios aun programa El programa no debe infringir la pol tica de seguridad 4 Compilar el programa mediante las bibliotecas compartidas que est n enlazadas al programa desde un directorio de confianza Para obtener m s informaci n consulte Developers Guide to Oracle Solaris Security Para ver ejemplos de c digos para Trusted Extensions consulte la Oracle Solaris Trusted Extensions Developers Guide Responsabilidades del administrador de la seguridad para los programas de confianza El administrador de la seguridad es el responsable de probar y evaluar el software nuevo Despu s de establecer que el software es de confianza el administrador de la seguridad configura los perfiles de derechos y otros atributos relevantes para la seguridad del programa Entre l
377. rusted Extensions mapa de tareas 256 261 Personalizaci n del entorno de usuario para la seguridad mapa de tareas 87 95 Reducci n de las restricciones de impresi n en Trusted Extensions mapa de tareas 231 237 Resoluci n de problemas de la red de confianza mapa de tareas 201 206 tareas y mapas de tareas Continuaci n tareas comunes en Trusted Extensions mapa de tareas 69 76 Tareas de auditor a del administrador de la seguridad 265 Tareas de auditor a del administrador del sistema 265 266 Uso de dispositivos en Trusted Extensions mapa de tareas 246 tecla de acceso r pido recuperaci n del control del enfoque del escritorio 72 73 terminal dtterm forzar el origen de profile 92 Thunderbird extensi n del tiempo de espera para volver a etiquetar 93 94 tipos de host redes 164 tipos de hosts plantillas de hosts remotos 169 redes 169 170 tabla de plantillas y protocolos 169 170 token de auditor a label 268 269 token de auditor a xatom 269 token de auditor a xclient 269 token de auditor a xcolormap 270 token de auditor a xcursor 270 token de auditor a xfont 270 token de auditor a xgc 271 token de auditor a xpixmap 271 token de auditor a xproperty 271 272 token de auditor a xselect 272 token de auditor a xwindow 272 273 tokens de auditor a de Trusted Extensions lista 267 273 token label 268 269 token xatom 269 token xclient 269 token xcolormap 270 token xcursor 270 token x
378. rusted Extensions tareas 195 Configuraci n de rutas y comprobaci n de la informaci n de red en Trusted Extensions mapa de tareas Ejemplo 13 14 route add net 192 168 101 0 gateway 102 secattr min_sl PUBLIC max_sl CONFIDENTIAL INTERNAL USE ONLY doi 1 route add host 192 168 101 3 gateway pub secattr min_sl PUBLIC max_sl PUBLIC doi 1 Adici n de una ruta con un rango de etiquetas de CONFIDENTIAL INTERNAL USE ONLY a CONFIDENTIAL RESTRICTED El siguiente comando route agrega a la tabla de enrutamiento los hosts de 192 168 115 0 con 192 168 118 39 como puerta de enlace El rango de etiquetas es de CONFIDENTIAL INTERNAL USE ONLY a CONFIDENTIAL RESTRICTED y el dominio de interpretaci n es 1 route add net 192 168 115 0 192 168 118 39 secattr min_sl CONFIDENTIAL INTERNAL USE ONLY max_sl CONFIDENTIAL RESTRICTED doi 1 196 Antes de empezar El resultado de los hosts agregados se muestra con el comando netstat rR En el fragmento siguiente se reemplazan otras rutas por puntos suspensivos netstat rRn 192 168 115 0 192 168 118 39 UG 0 0 min_sl CNF INTERNAL USE ONLY max_sl CNF RESTRICTED DOI 1 CIPSO C mo comprobar la sintaxis de las bases de datos de red de confianza El comando tnchkdb comprueba que la sintaxis de cada base de datos de la red sea precisa Solaris Management Console ejecuta este comando autom ticamente cuando se usan las herramientas Security Templ
379. rvicios web a la lista de equipos a En System Configuration dir jase hasta la herramienta Computers and Networks b En la herramienta Computers haga clic en el men Action y seleccione Add Computer c Agregue el nombre del host y la direcci n IP para el host proxy d Guarde los cambios e Agregue el nombre del host y la direcci n IP para el host de servicios web f Guarde los cambios Configure la zona y el puerto de varios niveles 9 Vaya a la herramienta Trusted Network Zones b Seleccione la zona con etiquetas c En la secci n de configuraci n de puertos de varios niveles para las direcciones IP locales especifique el campo de puerto y protocolo adecuado d Guarde los cambios Procedimientos de administradores de Oracle Solaris Trusted Extensions Agosto de 2011 Gesti n de zonas mapa de tareas Personalice una plantilla para la zona Para ello realice los siguientes pasos g h Vaya a la herramienta Security Templates Haga clic en el men Action y seleccione Add Template Utilice el nombre del host para el nombre de la plantilla Especifique la CIPSO para el tipo de host Utilice de la etiqueta de la zona para la etiqueta m nima y la etiqueta m xima Asigne la etiqueta de la zona al conjunto de etiquetas de seguridad Seleccione la ficha Hosts Explicitly Assigned En la secci n Add an Entry agregue la direcci n IP que se asocia con la zona Guarde los cambios Cierre Solaris M
380. s 31 etiquetas m ximas plantillas de hosts remotos 169 etiquetas m nimas plantillas de hosts remotos 169 evaluaci n de programas para la seguridad 277 279 eventos de auditor a para Trusted Extensions lista 267 exportaci n Ver uso compartido extensi n del tiempo de espera para volver a etiquetar 93 94 F File Manager impedir la visualizaci n despu s de la asignaci n de dispositivos 254 255 Firefox extensi n del tiempo de espera para volver a etiquetar 93 94 G gesti n Ver administraci n Gesti n de dispositivos en Trusted Extensions mapa de tareas 246 255 Gesti n de impresi n en Trusted Extensions mapa de tareas 217 218 Gesti n de las redes de confianza mapa de tareas 179 180 Gesti n de software en Trusted Extensions tareas 280 282 Gesti n de usuarios y derechos con Solaris Management Console mapa de tareas 95 103 Gesti n de zonas mapa de tareas 130 143 gestor de ventanas 279 grupos precauciones para eliminar 63 requisitos de seguridad 63 H habilitaci n dominio de interpretaci n diferente de 1 49 50 habilitar apagado del teclado 75 76 herramienta Administrative Roles 39 herramienta Computers and Networks agregar hosts conocidos 188 modificaci n de la base de datos tnrhdb 180 194 herramienta Rights 39 herramienta Security Templates 40 asignaci n de plantillas 188 190 modificaci n de tnrhdb 180 194 uso 182 183 herramienta Trusted Network Zones config
381. s Estos atributos garantizan que las siguientes funciones de seguridad se apliquen en la red Los datos tienen las etiquetas correctas en las comunicaciones de red m Las reglas de control de acceso obligatorio MAC se aplican cuando se env an o se reciben datos mediante una red local y cuando se montan los sistemas de archivos Lasreglas de MAC se aplican cuando se enrutan datos a redes distantes Lasreglas de MAC se aplican cuando se enrutan datos a zonas En Trusted Extensions MAC protege los paquetes de red Las etiquetas se utilizan para las decisiones de MAC Los datos se etiquetan expl cita o impl citamente con una etiqueta de sensibilidad La etiqueta tiene un campo de ID un campo de clasificaci n o nivel y un campo de compartimiento o categor a Los datos deben someterse a una comprobaci n de acreditaci n Esta comprobaci n determina si la etiqueta est bien formada y si se encuentra dentro del rango de acreditaci n del host de recepci n Los paquetes bien formados que est n dentro del rango de acreditaci n del host de recepci n obtienen acceso Es posible etiquetar los paquetes IP que se intercambian entre los sistemas de confianza Trusted Extensions admite las etiquetas de opci n de seguridad de IP comercial CIPSO La 163 La red de confianza 164 etiqueta CIPSO de un paquete sirve para clasificar separar y enrutar paquetes IP Las decisiones de enrutamiento comparan la etiqueta de se
382. s archivos de inicio personalizados en el directorio de estructura b sica apropiado Cap tulo7 Gesti n de usuarios derechos y roles en Trusted Extensions tareas 91 Personalizaci n del entorno de usuario para la seguridad mapa de tareas 92 Ejemplo 7 4 Utilice el nombre de ruta skelX apropiado cuando cree el usuario X representa la letra con la que comienza el nombre del shell por ejemplo B para un shell Bourne K para un shell Korn C para un shell C y P para un shell Profile Personalizaci n de los archivos de inicio para los usuarios En este ejemplo el administrador de la seguridad configura archivos para el directorio principal de cada usuario Los archivos se encuentran en su lugar antes de que cualquier usuario inicie sesi n Los archivos est n en la etiqueta m nima del usuario En este sitio el shell predeterminado de los usuarios es el shell C El administrador de la seguridad crea un archivo copy_files y un archivo link_files en el editor de confianza que contengan lo siguiente copy_ files for regular users Copy these files to my home directory in every zone Mailrc mozilla soffice wq link files for regular users with C shells Link these files to my home directory in every zone cshrc login Xdefaults Xdefaults hostname wq link_files for regular users with Korn shells Link these files to my home directory in every zone ksh profile Xdefaults Xde
383. s condiciones siguientes F componente de clasificaci n de la etiqueta de la primera entidad es mayor o igual que la clasificaci n de la segunda entidad El administrador de la seguridad asigna n meros a las clasificaciones en el archivo label_encodings El software compara estos n meros para determinar el dominio m El conjunto de compartimientos de la primera entidad incluye todos los compartimientos de la segunda entidad Se dice que dos etiquetas son iguales si tienen la misma clasificaci n y el mismo conjunto de compartimientos Si las etiquetas son iguales se dominan entre s y se permite el acceso Si una etiqueta tiene una clasificaci n superior o tiene la misma clasificaci n y los compartimientos son un superconjunto de los compartimientos de la segunda etiqueta o si se cumplen ambas condiciones se dice que la primera etiqueta domina estrictamente la segunda etiqueta Se dice que dos etiquetas est n separadas o no son comparables si ninguna de ellas domina la otra La siguiente tabla presenta algunos ejemplos sobre comparaciones de etiquetas con relaci n al dominio En el ejemplo NEED_TO_KNOW es una clasificaci n superior a INTERNAL Hay tres compartimientos Eng Mkt y Fin TABLA 1 1 Ejemplos de relaciones de etiquetas Etiqueta 1 Relaci n Etiqueta 2 NEED_TO_KNOW Eng Mkt NEED_TO_KNOW Eng Mkt NEED_TO_KNOW Eng Mkt NEED_TO_KNOW Eng Mkt NEED_TO_KNOW Eng Mkt NEED_TO_KNOW Eng Mkt NE
384. s datos es una operaci n privilegiada Esta tarea la deben realizar nicamente los usuarios de confianza Debe estar en el rol de administrador de la seguridad en la zona global Siga el procedimiento C mo crear perfiles de derechos para autorizaciones convenientes en la p gina 97 para crear un perfil de derechos Las siguientes autorizaciones habilitan al usuario para que vuelva a etiquetar un archivo Downgrade File Label Upgrade File Label Las siguientes autorizaciones habilitan al usuario para que vuelva a etiquetar la informaci n de un archivo Downgrade DragNDrop or CutPaste Info DragNDrop or CutPaste Info Without Viewing Upgrade DragNDrop or CutPaste Info Utilice Solaris Management Console para asignar el perfil a los usuarios y los roles adecuados Si necesita asistencia consulte la ayuda en pantalla Para conocer el procedimiento paso a paso consulte How to Change the RBAC Properties ofa User de System Administration Guide Security Services C mo eliminar una cuenta de usuario de un sistema Trusted Extensions Cuando se elimina del sistema a un usuario debe asegurarse de que tambi n se eliminen el directorio principal del usuario y cualquier otro objeto que sea propiedad del usuario Como alternativa a la eliminaci n de objetos que sean propiedad del usuario puede transferir la propiedad de estos objetos a un usuario v lido Procedimientos de administradores de Oracle Solaris Trusted Ext
385. s de Trusted Extensions Cree un sistema de archivos ZFS dedicado Managing Audit Records de System Realice todas las tareas de administraci n aarchivos de auditor a Administration Guide Security Services en la zona global Cree un alias audit_warn How to Configure the audit_warn Email Utilice el editor de confianza Alias de System Administration Guide Security Services Cap tulo 18 Auditor a de Trusted Extensions descripci n general 265 Referencia de auditor a de Trusted Extensions Tarea Para las instrucciones de Oracle Solaris Instrucciones de Trusted Extensions Copie o monte en bucle de retorno los archivos de auditor a personalizados en las zonas con etiquetas Configuring the Audit Service in Zones Tasks de System Administration Guide Security Services Monte en bucle de retorno o copie los archivos en cada zona con etiquetas una vez que se creen las zonas Copielos archivos en la primera zona con etiquetas y luego copie la zona Opcional Distribuya los archivos de configuraci n de auditor a No hay instrucciones Consulte C mo copiar archivos desde medios port tiles en Trusted Extensions de Gu a de configuraci n de Oracle Solaris Trusted Extensions Gestione la auditor a Oracle Solaris Auditing Task Map de System Administration Guide Security Services Ignore las tareas de auditor a por zona Seleccione los registros
386. s los hosts con los que este sistema pueda contactarse incluidos todos los enrutadores est ticos y los servidores de auditor a a En el men Action seleccione Add Computer b Identifique el host por nombre y direcci n IP c Opcional Proporcione informaci n adicional sobre el host d Para agregar el host haga clic en Apply e Cuando las entradas est n completas haga clic en OK Agregue un grupo de hosts con los que este sistema pueda contactarse Utilice la ayuda en pantalla para agregar grupos de hosts con una direcci n IP de red C mo asignar una plantilla de seguridad a un host o a un grupo de hosts Debe estar en el rol de administrador de la seguridad en la zona global Todos los hosts que desee asignar a una plantilla deben existir en la herramienta Computers and Networks Para obtener detalles consulte C mo agregar hosts a la red conocida del sistema en la p gina 188 Procedimientos de administradores de Oracle Solaris Trusted Extensions Agosto de 2011 Configuraci n de bases de datos de red de confianza mapa de tareas Ejemplo 13 8 Ejemplo 13 9 En Solaris Management Console vaya a la herramienta Security Templates Para obtener detalles consulte C mo abrir las herramientas de redes de confianza en la p gina 182 Haga doble clic en el nombre de plantilla correspondiente Haga clic en la ficha Hosts Assigned to Template Para asignar la plantilla a un solo host realice las si
387. s open el comando anterior genera el siguiente error Error inetd property group missing Habilite a todos los usuarios para que impriman en PostScript En Trusted Editor cree el archivo etc default print y agregue la siguiente l nea PRINT_POSTSCRIPT 1 Las aplicaciones como StarOffice y gedit crean una salida de PostScript Agregue todos los filtros LP al servicio de impresi n En la zona global ejecute esta secuencia de comandos C Shell csh cd etc lp fd foreach a fd lpfilter f a r F a end Agregue una impresora en la zona global Use la l nea de comandos La interfaz gr fica de usuario del gestor de impresiones no funciona en la zona global lpadmin p printer name v dev null m tsol_netstandard Y o protocol tcp o dest printer IP address 9100 T PS I postscript accept printer name enable printer name Opcional Establezca la impresora como predeterminada lpadmin d printer name Procedimientos de administradores de Oracle Solaris Trusted Extensions Agosto de 2011 Configuraci n de impresi n con etiquetas mapa de tareas 12 13 Ejemplo 15 1 En cada zona con etiquetas configure la impresora Utilice la direcci n IP all zones como servidor de impresi n para la zona global Si su NIC de all zones es una interfaz de red virtual VNI Virtual Network Interface utilice la direcci n IP para la VNI como argumento de la opci n s a Inicie sesi n como usuario root en
388. s y los roles son necesarios en un sistema que est configurado con Trusted Extensions Algunas funciones que son opcionales en un sistema Oracle Solaris son recomendadas en un sistema Trusted Extensions Por ejemplo en Trusted Extensions el usuario root debe transformarse en el rol root Trusted Extensions puede cambiar el comportamiento predeterminado del SO Oracle Solaris Por ejemplo en un sistema configurado con Trusted Extensions la auditor a est habilitada de manera predeterminada Tambi n se requiere la asignaci n de dispositivos Procedimientos de administradores de Oracle Solaris Trusted Extensions Agosto de 2011 Software de Trusted Extensions y el SO Oracle Solaris a Trusted Extensions puede reducir la oferta de opciones que est n disponibles en el SO Oracle Solaris Por ejemplo en un sistema que est configurado con Trusted Extensions no se admite el servicio de nombres NIS Adem s en Trusted Extensions todas las zonas son zonas con etiquetas A diferencia del SO Oracle Solaris las zonas con etiquetas deben utilizar la misma agrupaci n de ID de usuario e ID de grupo Asimismo en Trusted Extensions las zonas con etiquetas pueden compartir una direcci n IP Trusted Extensions proporciona versiones de confianza de dos escritorios Para trabajar en un entorno con etiquetas los usuarios de escritorios de Trusted Extensions deben utilizar uno de los siguientes escritorios Solaris Trusted Extensions CDE
389. scada Debe realizar este procedimiento en todas las zonas con etiquetas desde las que permita la impresi n en cascada Debe haber terminado con C mo configurar una impresora de red para los clientes Sun Ray en la p gina 220 Inicie sesi n como usuario root en la consola de la zona con etiquetas zlogin C labeled zonename Elimine la dependencia del servicio rfc1179 en relaci n con el servicio print server labeled zone cat lt lt EOF svccfg select application print rfc1179 delpg lpsched end EOF labeled zone swcadm refresh application print rfc1179 Compruebe que el servicio rfc1179 est habilitado labeled zone swcadm enable rfc1179 Procedimientos de administradores de Oracle Solaris Trusted Extensions Agosto de 2011 Configuraci n de impresi n con etiquetas mapa de tareas Si la zona con etiquetas se instal con netservices limited habilite la impresora para que llegue a la red El servicio rfc1179 debe recibir las direcciones que no sean de local host El servicio LP recibe solamente una conducci n con nombre inetadm m svc application print rfc1179 default bind_addr svcadm refresh rfc1179 Nota Si ejecuta netservices open el comando anterior genera el siguiente mensaje Error inetd property group missing Configure la impresi n en cascada desde la zona con etiquetas labeled zone lpset n system a spooling type cascade printer name Este comando actualiza el arch
390. segundo servidor del directorio principal Procedimientos de administradores de Oracle Solaris Trusted Extensions Agosto de 2011 Copia de seguridad uso compartido y montaje de archivos con etiquetas mapa de tareas Ejemplo 11 7 auto home global file jdoe homedir2 server export home jdoe pkai homedir2 server export home pkai ikuk homedir2 server export home ikuk homedir server export home auto home internal file Mount the home directory from the internal zone of the NFS server jdoe homedir2 server export home jdoe pkai homedir2 server export home pkai ikuk homedir2 server export home ikuk homedir server export home auto home public Mount the home directory from the public zone of the NFS server jdoe homedir2 server export home jdoe pkai homedir2 server export home pkai ikuk homedir2 server export home ikuk homedir server export home amp Luego a fin de habilitar a los usuarios para que inicien sesi n en todas las etiquetas el administrador repite estas ediciones en los archivos auto_home_nombre de zona de cada etiqueta Por ltimo despu s de modificar cada archivo auto_home_nombre de zona de este sistema el administrador utiliza estos archivos para agregar entradas a la base de datos LDAP De manera similar a como sucede en el SO Oracle Solaris la entrada auto_home_public de los archivos etc auto_home_nombre de zona dirige el montador autom tico a las entrad
391. sername Desde la perspectiva de la zona global este montaje se ve como zone public root home username El administrador de la zona public puede modificar home username Cuando los archivos del directorio principal del usuario deben modificarse el proceso de la zona global no utiliza dicha ruta La zona global utiliza el directorio principal del usuario en la ruta de la zona zone public home username a Los archivos y directorios que se encuentran en la ruta de la zona zone zonename pero no en la ruta root de la zona directorio zone zonename root pueden modificarse mediante un proceso de la zona global que se ejecute en la etiqueta ADMIN_HIGH a Eladministrador de la zona con etiquetas puede modificar los archivos y directorios de la ruta root de la zona zone public root Por ejemplo cuando un usuario asigna un dispositivo en la zona public un proceso de la zona global que se ejecuta en la etiqueta ADMIN_HIGH modifica el directorio dev en la ruta de la zona zone public dev De manera similar cuando un usuario guarda una configuraci n del escritorio un proceso de la zona global de zone public home username modifica el archivo de la configuraci n del escritorio Por ltimo para compartir archivos desde una zona con etiquetas el administrador de la zona global crea el archivo de configuraci n dfstab en la ruta dela zona zone public etc dfs dfstab El administrador de la zona con etiquetas no puede acceder a ese archivo
392. sic Concepts de System Administration Guide Security Services Tambi n consulte las p ginas del comando man auth_attr 4 y getauthattr 3SECDB a Privilegios se pueden asignar privilegios alos programas y a los procesos Para obtener informaci n sobre los privilegios consulte el Cap tulo 8 Using Roles and Privileges Overview de System Administration Guide Security Services Tambi n consulte la p gina del comando man privileges 5 El comando ppriv proporciona una utilidad de depuraci n Para obtener detalles consulte la p gina del comando man ppriv 1 Para obtener instrucciones sobre el uso de esta utilidad con programas que funcionan en zonas no globales consulte Using the ppriv Utility de System Administration Guide Oracle Solaris Containers Resource Management and Oracle Solaris Zones m Perfiles de derechos los perfiles de derechos recopilan los atributos de seguridad en un solo lugar para asignarlos a los usuarios o alos roles Para obtener informaci n sobre los perfiles de derechos consulte RBAC Rights Profiles de System Administration Guide Security Services Trusted Extensions agrega acciones de CDE para el tipo de ejecutables al que pueden asignarse los atributos de seguridad Bibliotecas de confianza las bibliotecas compartidas de manera din mica que utilizan setuid y setgid y los programas con privilegios pueden cargarse nicamente desde directorios de confianza Como en el SO Oracle Sol
393. sicos para usar un host configurado con Trusted Extensions seg n lo descrito en la Gu a del usuario de Oracle Solaris Trusted Extensions La manera en que se dividen las tareas administrativas entre los roles en el sitio Prefacio C mo se organizan las gu as de Trusted Extensions En la siguiente tabla se muestran los temas que se tratan en las gu as de Trusted Extensions y los destinatarios de cada gu a T tulo de la gu a Temas Destinatarios Solaris Trusted Extensions Transition Obsoleto Proporciona una descripci n general de las diferencias Todos Guide entre el software de Trusted Solaris 8 el software de Solaris 10 y el software de Trusted Extensions En esta versi n el documento Novedades del SO Oracle Solaris proporciona una descripci n general de los cambios de Trusted Extensions Solaris Trusted Extensions Reference Obsoleto Proporciona p ginas del comando man de Trusted Todos Manual Extensions para las versiones Solaris 10 11 06 y Solaris 10 8 07 de Trusted Extensions Para esta versi n se incluyen p ginas del comando man de Trusted Extensions con las p ginas del comando man de Solaris Para encontrar p ginas espec ficas del comando man consulte el Ap ndice B Lista de las p ginas del comando man de Trusted Extensions Gu a del usuario de Oracle Solaris Describe las funciones b sicas de Trusted Extensions Esta gu a Usuarios finales Trusted Extensions contien
394. signar hosts a las plantillas cree todas las plantillas que su sitio requiere Opcional Modifique una plantilla existente que no sea una plantilla predeterminada Haga doble clic en la plantilla y utilice la ayuda en pantalla para obtener asistencia Puede cambiar los hosts asignados o las redes asignadas Cap tulo 13 Gesti n de redes en Trusted Extensions tareas 183 Configuraci n de bases de datos de red de confianza mapa de tareas 184 Ejemplo 13 1 Ejemplo 13 2 Creaci n de una plantilla de seguridad con un valor de dominio de interpretaci n diferente En este ejemplo la red del administrador de la seguridad tiene un dominio de interpretaci n cuyo valor es diferente de 1 El equipo que configura el sistema al inicio complet Configuraci n del dominio de interpretaci n de Gu a de configuraci n de Oracle Solaris Trusted Extensions Primero el administrador de la seguridad confirma el valor del dominio de interpretaci n en el archivo etc system grep doi etc system set default_doi 4 Luego en la herramienta Security Templates por cada plantilla que el administrador crea el valor de doi se establece en 4 El administrador de la seguridad crea la plantilla siguiente para el sistema de una sola etiqueta que se describe en el Ejemplo 13 2 template CIPSO PUBLIC host_type CIPSO doi 4 min_sl PUBLIC max_sl PUBLIC Creaci n de una plantilla de seguridad que tiene una sola etiqueta
395. siguientes comandos para administrar las redes de confianza tnchkdb este comando se utiliza para comprobar la precisi n de las bases de datos de la red de confianza El comando tnchkdb se utiliza cuando se modifica una plantilla de seguridad tnrhtp una asignaci n de plantilla de seguridad tnrhdb o la configuraci n de una zona tnzonecfg Las herramientas de Solaris Management Console ejecutan este comando autom ticamente cuando se modifica una base de datos Para obtener detalles consulte la p gina del comando man tnchkdb 1M tnctl este comando puede utilizarse para actualizar la informaci n de la red de confianza en el n cleo tnctl tambi n es un servicio del sistema Cuando se reinicia con el comando svcadm restart network tnctl se actualiza la antememoria del n cleo de las bases de datos de la red de confianza en el sistema local Las herramientas de Solaris Management Console ejecutan este comando autom ticamente cuando se modifica una base de datos en el mbito Files Para obtener detalles consulte la p gina del comando man tnctl 1M tnd este daemon extrae la informaci n de tnrhdb y tnrhtp del directorio LDAP y los archivos locales La informaci n de los servicios de nombres se carga por orden en el archivo nsswitch conf En el momento del inicio el servicio svc network tnd inicia el daemon tnd Este servicio depende de svc network ldap client El comando tnd tambi n puede utilizarse para la depuraci n y para
396. sions occcninninncnnocanancnncos 81 Atributos de seguridad que deben asignarse alos usuarios cccocooncnnocnnnnonnacnnnconaconoranosaciancncancnos 82 Asignaci n de atributos de seguridad a los usuarios en Trusted Extensions cmccnccinnonnncnnoss 82 Archivos copy tiles y link PILES viii dit 84 7 Gesti n de usuarios derechos y roles en Trusted Extensions tareas oooooccniniono cicic 87 Personalizaci n del entorno de usuario para la seguridad mapa de tareas coccciccnncnniononionecinns 87 Y C mo modificar atributos de etiquetas de usuarios predeterminados ccccincinnioncnninnnncnninnss 88 V C mo modificar los valores predeterminados de policy Conf coccccccicconenncnninnnnocncnnnnecncnnnnns 89 Y C mo configurar los archivos de inicio para los usuarios en Trusted Extensions 90 V C mo extender el tiempo de espera cuando se vuelve a etiquetar la informaci n 93 Y C mo iniciar una sesi n en modo a prueba de fallos en Trusted Extensions oconccionicnicnos 95 Gesti n de usuarios y derechos con Solaris Management Console mapa de tareas cocoa 95 Y C mo modificar el rango de etiquetas de un usuario en Solaris Management Console 96 V C mo crear perfiles de derechos para autorizaciones convenientes econo 97 Y C mo restringir el conjunto de privilegios de Un usuario coccoonocninnonnonnnanonenonenenannancineoss 99 Y C mo impedir el bloqueo de cuentas de los usuarios coccccincinninnioninnioncnnocn
397. sistema de archivos del conjunto de datos al archivo zone labeled zone name etc dfs dfstab Esta entrada tambi n utiliza el nombre de ruta subdir share F nfs d dataset comment subdir Inicie la zona con etiquetas zoneadm z labeled zone name boot Cuando se inicia la zona se monta el conjunto de datos autom ticamente como punto de montaje de lectura y escritura en la zona labeled zone name con la etiqueta de la zona labeled zone name Uso compartido y montaje de un conjunto de datos de ZFS desde zonas con etiquetas En este ejemplo el administrador agrega un conjunto de datos de ZFS a la zona needtoknow y luego lo comparte El conjunto de datos zone data se encuentra asignado al punto de montaje mnt Los usuarios de la zona restricted pueden ver el conjunto de datos En primer lugar el administrador detiene la zona zoneadm z needtoknow halt Dado que el conjunto de datos se encuentra asignado a un punto de montaje diferente el administrador elimina la asignaci n anterior y a continuaci n establece el nuevo punto de montaje zfs set zoned off zone data zfs set mountpoint legacy zone data A continuaci n en la interfaz interactiva zonecfg el administrador agrega expl citamente el conjunto de datos a la zona needtoknow zonecfg z needtoknow zonecfg needtoknow gt add fs zonecfg needtoknow dataset gt set dir data zonecfg needtoknow dataset gt set special zone data zonecfg needtoknow dataset
398. sole La herramienta Security Templates hace que se completen los campos que sean necesarios en las plantillas El tipo de host determina qu campos son necesarios Procedimientos de administradores de Oracle Solaris Trusted Extensions Agosto de 2011 Atributos de seguridad de red en Trusted Extensions Cada tipo de host tiene su propio conjunto de atributos de seguridad adicionales tanto necesarios como opcionales Los siguientes atributos de seguridad est n especificados en las plantillas de seguridad Tipo de host define si los paquetes tienen etiquetas de seguridad CIPSO o no tienen ning n tipo de etiquetas Etiqueta predeterminada define el nivel de confianza del host sin etiquetas En esta etiqueta el host o la puerta de enlace de recepci n de Trusted Extensions leen los paquetes que se env an mediante un host sin etiquetas El atributo de la etiqueta predeterminada es espec fico del tipo de host sin etiquetas Para obtener detalles consulte la p gina del comando man smtnrhtp 1M y las secciones siguientes DOI es un entero positivo distinto de cero que identifica el dominio de interpretaci n El DOI se utiliza para indicar qu conjunto de codificaciones de etiqueta se aplica a una comunicaci n o entidad de red Las etiquetas con DOI diferentes est n separadas incluso si son id nticas en todo lo dem s En los hosts sin etiquetas el DOI se aplica a la etiqueta predeterminada En Trusted Extensions el valor prede
399. ste sistema los usuarios no pueden ver los archivos que se encuentran disponibles p blicamente a menos que est n trabajando en la etiqueta PUBLIC Adem s los usuarios s lo pueden montar archivos en NFS en la etiqueta de las zonas zoneadm z restricted halt zonecfg z restricted set limitpriv default net_mac_aware exit zoneadm z restricted boot zoneadm z needtoknow halt zonecfg z needtoknow set limitpriv default net_mac_aware exit zoneadm z needtoknow boot zoneadm z internal halt zonecfg z internal set limitpriv default net_mac_aware Procedimientos de administradores de Oracle Solaris Trusted Extensions Agosto de 2011 Gesti n de zonas mapa de tareas Antes de empezar 1 exit zoneadm z internal boot Dado que PUBLIC es la etiqueta m nima el administrador de la seguridad no ejecuta los comandos para la zona PUBLIC C mo compartir un conjunto de datos de ZFS desde una zona con etiquetas En este procedimiento monta un conjunto de datos de ZFS con permisos de lectura y escritura en una zona con etiquetas Ya que todos los comandos se ejecutan en la zona global el administrador de la zona global controla la adici n de conjuntos de datos de ZFS a las zonas con etiquetas Como m nimo la zona con etiquetas debe estar en el estado ready para compartir un conjunto de datos La zona puede estar en el estado running Para configurar la zona con el conjunto de datos primero deb
400. t Console consulte C mo crear un puerto de varios niveles para una zona en la p gina 142 C mo comprobar la sintaxis de las bases de datos de red de confianza en la p gina 196 C mo sincronizar la antememoria del n cleo con las bases de datos de red de confianza en la p gina 198 C mo sincronizar la antememoria del n cleo con las bases de datos de red de confianza en la p gina 198 C mo comparar la informaci n de la base de datos de red de confianza con la antememoria del n cleo en la p gina 197 C mo configurar los archivos de inicio para los usuarios en Trusted Extensions en la p gina 90 Cap tulo 2 Herramientas de administraci n de Trusted Extensions La siguiente tabla enumera los comandos de Oracle Solaris que se modifican o se ampl an mediante Trusted Extensions Los comandos se enumeran en el formato de la p gina del comando man 45 Herramientas de la l nea de comandos en Trusted Extensions TABLA 2 5 Comandos de usuario y de administraci n que Trusted Extensions modifica P gina del comando man allocate 1 deallocate 1 list devices 1 Modificaci n de Trusted Extensions Agregar opciones para limpiar el dispositivo asignado y para asignar un dispositivo a una zona espec fica En Trusted Extensions los usuarios comunes no utilizan este comando Agregar opciones para limpiar el dispositivo y para desasignar un dispositivo de una zona espe
401. t Console iii dira 40 Cliente de Solaris Management Console que usa un servidor LDAP para administrar lared a alii 42 Cliente de Solaris Management Console que administra sistemas remotos individualesen una red cidad aii 42 Rutas y entradas de la tabla de enrutamiento t picas de Trusted Extensions 178 Etiqueta del trabajo impresa en la parte superior y en la parte inferior de una P gina del CUETpo ssscncivininininicin iii iii cidcid dicci n 211 P gina de la car tula t pica de un trabajo de impresi n con etiquetas 212 Variaciones en la p gina del Ubicado ueversuonarcnavovonannarouanovsna 212 Device Allocation Manager abierto por un usuario cocconconionioninncncnnonncnronconennanions 242 Herramienta Serial Ports de Solaris Management Console niniccinaninnnnncinnioss 253 Registro de auditor a t pico en un sistema con etiquetas occcnconconinnnnennnnnnecnnnnnnos 266 Formato del token tabet mitin dais dictadas 269 Formato para los tokens xcolormap xcursor xfont xgc xpixmap y xwindow O NN 270 Formato del token xproperty meccccococnnnnonnnnoninncnononncnnnacannoracnnnonocnnnaononnrarnarrrnonannos 272 Formato del token Xselect minita drid 272 14 Lista de tablas TABLA 1 1 TABLA 2 1 TABLA 2 2 TABLA 2 3 TABLA 2 4 TABLA 2 5 TABLA 4 1 TABLA 4 2 TABLA 6 1 TABLA 6 2 TABLA 12 1 TABLA 15 1 TABLA 18 1 TABLA 18 2 TABLA 19 1 Ejemplos de relaciones de etiquetas coccion H
402. ta Trusted Network Zones b Haga doble clic en la zona global c Agregue un puerto de varios niveles para el protocolo UDP i Haga clic en Add for the Multilevel Ports for Zone s IP Addresses ii Escriba 2049 como n mero de puerto y haga clic en OK d Haga clic en OK para guardar la configuraci n Cierre Solaris Management Console Actualice el n cleo tnctl fz etc security tsol tnzonecfg Cap tulo 10 Gesti n de zonas en Trusted Extensions tareas 141 Gesti n de zonas mapa de tareas 142 v C mo crear un puerto de varios niveles para una zona Antes de empezar Este procedimiento se utiliza cuando una aplicaci n que se ejecuta en una zona con etiquetas requiere un puerto de varios niveles para comunicarse con la zona En este procedimiento un proxy web se comunica con la zona Para agregar el puerto de varios niveles se utiliza Solaris Management Console Debe estar en el rol de administrador de la seguridad en la zona global La zona con etiquetas debe existir Para obtener detalles consulte Creaci n de zonas con etiquetas de Gu a de configuraci n de Oracle Solaris Trusted Extensions Inicie Solaris Management Console Para obtener detalles consulte C mo administrar el sistema local con Solaris Management Console en la p gina 55 Seleccione la caja de herramientas Files El t tulo de la caja de herramientas incluye Scope Files Policy TSOL Agregue el host proxy y el host de se
403. ta del host pero se encuentran dentro de un rango de etiquetas especificado Conjunto de etiquetas de seguridad en Security Templates El conjunto de etiquetas de seguridad define un m ximo de cuatro etiquetas discretas en que el host remoto puede aceptar enviar o reenviar paquetes Este atributo es opcional De manera predeterminada no hay ning n conjunto de etiquetas de seguridad definido Mecanismo de reserva de la red de confianza La base de datos tnrhdb puede asignar de manera directa o indirecta una plantilla de seguridad a un host en particular La asignaci n directa asigna una plantilla a la direcci n IP de un host Un mecanismo de reserva gestiona la asignaci n indirecta En primer lugar el software de la red de confianza busca una entrada que asigne espec ficamente la direcci n IP del host a una plantilla Si el software no encuentra una entrada espec fica para el host busca el prefijo m s extenso de bits coincidentes Puede asignar indirectamente un host a una plantilla de seguridad cuando la direcci n IP del host est comprendida dentro del prefijo m s extenso de bits coincidentes de una direcci n IP que tiene una longitud de prefijo fija Cap tulo 12 Redes de confianza descripci n general 171 Mecanismo de reserva de la red de confianza En IPv4 puede realizar una asignaci n indirecta mediante la subred Cuando se realiza una asignaci n indirecta con 1 2 3 6 4 octetos de cero 0 final el s
404. ta predeterminada del host de destino La etiqueta de un paquete CIPSO debe estar dentro del rango de etiquetas del host de destino Comprobaciones de acreditaciones del destino Cuando un host de Trusted Extensions recibe datos el software realiza las siguientes comprobaciones m Siel paquete entrante no tiene etiquetas hereda la etiqueta predeterminada del host de origen de la entrada tnrhdb De lo contrario el paquete recibe la etiqueta CIPSO indicada m Laetiqueta y el DOI del paquete deben ser coherentes con la zona de destino o la etiqueta y el DOI del proceso de destino La nica excepci n es cuando el proceso realiza la recepci n en un puerto de varios niveles El proceso que recibe puede obtener un paquete si tiene el privilegio de establecer comunicaciones de etiqueta cruzada y se encuentra en la zona global o tiene una etiqueta que domina la etiqueta del paquete Administraci n del enrutamiento en Trusted Extensions 176 Trusted Extensions admite varios m todos para el enrutamiento de las comunicaciones entre redes Como administrador de la seguridad puede configurar las rutas que aplican el grado de seguridad que requiere la pol tica de seguridad del sitio Por ejemplo los sitios pueden restringir las comunicaciones fuera de la red local para una sola etiqueta Esta etiqueta se aplica a la informaci n disponible p blicamente Las etiquetas como UNCLASSIFIED o PUBLIC pueden indicar informaci n p blica Par
405. tan de manera id ntica Trusted Extensions proporciona herramientas para administrar las caracter sticas de auditor a de los usuarios y para editar archivos de auditor a Se utilizan dos roles el administrador del sistema y el administrador de la seguridad para configurar y administrar la auditor a en Trusted Extensions El administrador de la seguridad planifica qu se debe auditar y establece asignaciones evento clase espec ficas del sitio Como en el SO Oracle Solaris el administrador del sistema planifica los requisitos de espacio en el disco para los archivos de auditor a crea un servidor de administraci n de auditor a e instala archivos de configuraci n de auditor a 263 Gesti n de auditor a por roles en Trusted Extensions Gesti n de auditor a por roles en Trusted Extensions 264 La auditor a en Trusted Extensions requiere la misma planificaci n que en el SO Oracle Solaris Para obtener detalles sobre la planificaci n consulte el Cap tulo 29 Planning for Oracle Solaris Auditing de System Administration Guide Security Services Configuraci n de roles para administraci n de auditor a En Trusted Extensions dos roles son responsables de la auditor a El rol de administrador del sistema configura los discos y la red de almacenamiento de auditor a El rol de administrador de la seguridad decide qu se debe auditar y especifica la informaci n de los archivos de configuraci n de auditor a Com
406. tdevpolicy recupera la informaci n sobre la pol tica de dispositivos y el comando update_drv cambia la pol tica de dispositivos Para obtener m s informaci n consulte Configuring Device Policy Task Map de System Administration Guide Security Services Consulte tambi n las p ginas del comando man getdevpolicy 1M y update _drv 1M Secuencias de comandos device clean La secuencia de comandos device clean se ejecuta cuando se asigna o desasigna un dispositivo El SO Oracle Solaris proporciona secuencias de comandos para unidades de cinta unidades de CD ROM y disquetes Si su sitio agrega tipos de dispositivos asignables al sistema puede que los dispositivos agregados requieran secuencias de comandos Para ver las secuencias de comandos existentes vaya al directorio etc security lib Para obtener m s informaci n consulte Device Clean Scripts de System Administration Guide Security Services Para el software de Trusted Extensions las secuencias de comandos device clean deben cumplir ciertos requisitos Estos requisitos se describen en la p gina del comando man device clean 5 Interfaz gr fica de usuario de Device Allocation Manager Los administradores usan Device Allocation Manager para administrar dispositivos asignables y no asignables Asimismo los usuarios comunes utilizan Device Allocation Manager para asignar y desasignar dispositivos Los usuarios deben tener la autorizaci n Allocate Device En el espacio de
407. ted Extensions De manera predeterminada en el sistema Trusted Extensions un usuario sin autorizaci n no puede asignar dispositivos como unidades de cinta unidades de CD ROM o disquetes Un usuario com n que cuente con la autorizaci n Allocate Device puede importar o exportar la informaci n de la etiqueta en la que el usuario asigna el dispositivo m Losusuarios invocan Device Allocation Manager cuando inician sesi n directamente Para asignar un dispositivo de manera remota los usuarios deben tener acceso a la zona global En general solamente los roles tienen acceso a la zona global m Puede que el rango de etiquetas de cada dispositivo est restringido por el administrador de la seguridad Los usuarios comunes est n limitados a acceder a los dispositivos cuyo rango de etiquetas incluya las etiquetas en las que a los usuarios se les permite trabajar El rango de etiquetas predeterminado de un dispositivo es de ADMIN_LOWa ADMIN_HIGH m Los rangos de etiquetas se pueden restringir tanto para los dispositivos que son asignables como para los que no son asignables Entre los dispositivos que no son asignables se encuentran los b feres de trama y las impresoras Rangos de etiquetas de dispositivos Para evitar que los usuarios copien informaci n confidencial cada dispositivo asignable tiene un rango de etiquetas Para utilizar un dispositivo asignable el usuario debe encontrarse operando en una etiqueta que est dentro del rang
408. tenci n de etiquetas de los paquetes s lo es posible cuando los mensajes se env an desde sistemas que admiten etiquetas Cuando una etiqueta no est disponible en el paquete se asigna una etiqueta predeterminada al mensaje desde los archivos de las bases de datos de redes de confianza Estas etiquetas se utilizan posteriormente en las comprobaciones de acreditaciones Trusted Extensions aplica varias comprobaciones en los mensajes entrantes salientes y reenviados Comprobaciones de acreditaciones del origen Las siguientes comprobaciones de acreditaciones se realizan en el proceso o la zona de env o En todos los destinos la etiqueta de los datos debe estar dentro del rango de etiquetas del pr ximo salto en la ruta es decir el primer salto Adem s la etiqueta debe estar incluida en los atributos de seguridad de la puerta de enlace del primer salto En todos los destinos el DOI de un paquete saliente debe coincidir con el DOI del host de destino El DOI tambi n debe coincidir con el DOI de todos los saltos de la ruta incluida la puerta de enlace del primer salto Cuando el host de destino es un host sin etiquetas debe cumplirse una de las siguientes condiciones Laetiqueta del host de env o debe coincidir con la etiqueta predeterminada del host de destino El host de env o tiene el privilegio de establecer comunicaciones de etiqueta cruzada y la etiqueta del remitente domina la etiqueta predeterminada del destino
409. tener detalles consulte Bases de datos de configuraci n de red en Trusted Extensions en la p gina 166 La versi n de Trusted Extensions del archivo de cambio del servicio de nombres nsswitch conf incluye entradas para las bases de datos tnrhtp y tnrhdb Es posible modificar estas entradas para que se adapten a la configuraci n de cada sitio Trusted Extensions utiliza el servicio de nombres LDAP para gestionar de manera centralizada los archivos de configuraci n que definen los hosts las redes y los usuarios Las entradas nsswitch conf predeterminadas para las bases de datos de la red de confianza del servicio de nombres LDAP son las siguientes Trusted Extensions tnrhtp files ldap tnrhdb files ldap El servicio de nombres LDAP en Oracle Directory Server Enterprise Edition es el nico servicio de nombres completamente admitido en Trusted Extensions Para obtener informaci n sobre el uso de LDAP en un sistema que est configurado con Trusted Extensions consulte el Cap tulo 9 Trusted Extensions y LDAP descripci n general Trusted Extensions agrega herramientas a Solaris Management Console Se utiliza la consola para gestionar zonas hosts y redes de manera centralizada En Herramientas de Solaris Management Console en la p gina 38 se describen las herramientas de red La Gu a de configuraci n de Oracle Solaris Trusted Extensions describe c mo definir zonas y hosts cuando se configura la red Para obtene
410. tensions descripci n general Introducci n para administradores de Trusted Extensions tareas oo oic o n ciininnnnn 49 Novedades de Trusted Extensions conccconononconenocinoncnnonocinoncnnananancnnonananonananna co nonennnnann iiaa iniaa iEn 49 Requisitos de seguridad para la administraci n de Trusted Extensions occonciccinioninnnnnnncincnninnnncanos 50 Creaci n de roles en Trusted Extensions cccececononononnnnononcnononrnncncncncncncanonanon coco coca raranarororoncnanns 51 Asunci n de roles en Trusted Extensions sesessessoseesesssseoseesessoseosessoseosessessoseosessoseosessoseoseesess 51 Introducci n para administradores de Trusted Extensions mapa de tareas oocccicinnninonimmm 51 Y C mo entrar en la zona global en Trusted Extensions cocccninnnnnnnnncnneninnacncccrcaicos 53 Y C mo salir de la zona global en Trusted Extensions ccococinninnncnnanonancncnncnncnncrcanenno corran 54 Y C mo administrar el sistema local con Solaris Management Console coccincocinninccnioninninnonions 55 Y C mo iniciar acciones administrativas de CDE en Trusted Extensions oocococononononnonnnnnnns 56 Y C mo editar archivos administrativos en Trusted Extensions coccoinicnnnnnnnnenenononorcncncrnononons 57 Funciones de seguridad de Oracle Solaris que pueden configurarse ociccinionionncninnnos Interfaces de Trusted Extensions para configurar las funciones de seguridad Ampliaci n de los mecanismos de seguridad de
411. terminado 89 90 panel frontal Device Allocation Manager 241 243 paquetes acceso alos medios 281 paquetes de red 164 perfil de revisi n de auditor a revisi n de los registros de auditor a 266 perfiles Ver perfiles de derechos perfiles de derechos asignaci n 83 autorizaciones convenientes 97 99 con autorizaciones de asignaci n de dispositivos 260 con la autorizaci n Allocate Device 260 con nuevas autorizaciones para dispositivos 258 259 control del uso de las acciones 279 307 ndice personalizaci n archivo label_encodings 30 autorizaciones para dispositivos 259 260 cuentas de usuario 87 95 impresi n sin etiquetas 231 237 Personalizaci n de autorizaciones para dispositivos en Trusted Extensions mapa de tareas 256 261 Personalizaci n del entorno de usuario para la seguridad mapa de tareas 87 95 plantillas de host remoto asignaci n a hosts 188 190 plantillas de hosts remotos asignaci n 180 194 creaci n 183 187 herramienta para administrar 40 41 plantillas de seguridad Ver plantillas de hosts remotos pol tica de acceso control de acceso discrecional DAC 23 24 25 control de acceso obligatorio MAC 24 dispositivos 241 pol tica de auditor a en Trusted Extensions 273 pol tica de seguridad auditor a 273 formaci n de los usuarios 61 usuarios y dispositivos 243 244 PostScript habilitaci n de la impresi n 235 237 restricciones de impresi n en Trusted Extensions 213 215
412. terminado es 1 Etiqueta m nima define el nivel m s bajo del rango de acreditaci n de etiquetas Los hosts y las puertas de enlace del pr ximo salto no reciben paquetes que est n por debajo de la etiqueta m nima que est especificada en la plantilla correspondiente Etiqueta m xima define el nivel m s alto del rango de acreditaci n de etiquetas Los hosts y las puertas de enlace del pr ximo salto no reciben paquetes que est n por encima de la etiqueta m xima que est especificada en la plantilla correspondiente Conjunto de etiquetas de seguridad es opcional Especifica un conjunto discreto de etiquetas de seguridad para una plantilla de seguridad Adem s del rango de acreditaci n correspondiente que se encuentra determinado por la etiqueta m xima y la etiqueta m nima los hosts que se asignan a una plantilla con un conjunto de etiquetas de seguridad pueden enviar y recibir paquetes que coincidan con cualquiera de las etiquetas del conjunto de etiquetas El n mero m ximo de etiquetas que puede especificarse es cuatro Tipo de host y nombre de plantilla en Security Templates Trusted Extensions admite dos tipos de hosts en las bases de datos de la red de confianza y proporciona dos plantillas predeterminadas Tipo de host CIPSO dise ado para los host que ejecutan sistemas operativos de confianza Trusted Extensions suministra la plantilla denominada cipso para este tipo de host El protocolo de la opci n de seguridad de
413. tes en el mbito Files El mbito Files protege el sistema durante el inicio Para acceder a la herramienta Security Templates consulte C mo abrir las herramientas de redes de confianza en la p gina 182 Modifique los hosts que se asignan a la plantilla admin_Low a Haga doble clic en la plantilla admin_Low Cada host que se agrega se puede contactar durante el inicio en la etiqueta ADMIN_LOW b Haga clic en la ficha Hosts Assigned to Template Cada host que se agrega se puede contactar durante el inicio en la etiqueta ADMIN_LOW c Agregue cada host sin etiquetas que se deba contactar en el momento del inicio Para obtener detalles consulte C mo asignar una plantilla de seguridad a un hosto a un grupo de hosts en la p gina 188 Incluya cada enrutador on link que no est ejecutando Trusted Extensions mediante el cual este host debe comunicarse d Agregue los rangos de los hosts que se deben contactar en el momento del inicio e Elimine la entrada 0 0 0 0 Cap tulo 13 Gesti n de redes en Trusted Extensions tareas 191 Configuraci n de bases de datos de red de confianza mapa de tareas 192 Ejemplo 13 11 Ejemplo 13 12 Modifique los hosts que se asignan a la plantilla cipso a Haga doble clic en la plantilla cipso Cada host que se agrega se puede contactar durante el inicio b Haga clic en la ficha Hosts Assigned to Template Cada host que se agrega se puede contactar durante el i
414. tipo de acci n de CDE Agrega opciones para admitir la etiqueta de un rol Agrega opciones para admitir la etiqueta de un usuario y otros atributos de seguridad como el tiempo de inactividad permitido Admite la opci n SO_MAC_EXEMPT para iguales sin etiquetas Agrega etiquetas de inclusi n en los archivos tar y en los archivos de extracci n en funci n de la etiqueta Agrega los tipos de atributos que se utilizan en los archivos tar con etiquetas Agrega la obtenci n del valor de etiqueta en una credencial de usuario Agrega los atributos de seguridad del usuario que son espec ficos para Trusted Extensions Ap ndice B Lista de las p ginas del comando man de Trusted Extensions 295 296 ndice A acceso Ver acceso a equipos acci n Admin Editor 57 58 acciones de Trusted CDE 56 57 conjunto de datos de ZFS montado en una zona de nivel inferior desde una zona de nivel superior 138 139 directorios principales 125 dispositivos 239 241 escritorio de varios niveles remoto 116 117 herramientas administrativas 51 58 impresoras 209 217 registros de auditor a por etiqueta 266 Solaris Management Console 55 56 zona global 53 54 acceso a equipos responsabilidades del administrador 62 63 restricci n 241 acci n Add Allocatable Device 35 acci n Admin Editor 35 abrir 57 58 acci n Audit Classes 35 acci n Audit Control 35 acci n Audit Events 35 acci n Audit Startup 35 acci n Check Enco
415. tiqueta PUBLIC el administrador del sistema permite alos usuarios leer la documentaci n del directorio export share de la zona public La zona denominada public se ejecuta en la etiqueta PUBLIC Primero el administrador crea un espacio de trabajo public y edita el archivo dfstab mkdir p zone public etc dfs usr dt bin trusted_edit zone public etc dfs dfstab En el archivo el administrador agrega la siguiente entrada Sharing PUBLIC user manuals share F nfs o ro export appdocs El administrador deja el espacio de trabajo public y vuelve al espacio de trabajo de Trusted Path Dado que los usuarios no tienen permiso para iniciar sesi n en este sistema el administrador comparte los archivos Para ello pone la zona en el estado ready zoneadm z public ready Los usuarios pueden acceder a los directorios compartidos una vez que stos quedan montados en sus sistemas C mo montar archivos en NFS en una zona con etiquetas En Trusted Extensions las zonas con etiquetas gestionan el montaje de los archivos en su zona Los archivos de hosts con etiquetas y sin etiquetas pueden montarse en un host con etiquetas de Trusted Extensions m Para montar los archivos de lectura y escritura desde un host de una sola etiqueta la etiqueta asignada del host remoto debe ser id ntica a la zona en que se monta el archivo m Los archivos que se montan en una zona de nivel superior son de s lo lectura a En Trusted Extensions e
416. tiquetas configuraci n en b feres de trama 241 configuraci n en impresoras 241 restricci n del rango de etiquetas de la impresora 230 231 recuperaci n del control del enfoque del escritorio 72 73 red Ver red de confianza red de confianza acci n para establecer rutas predeterminadas 36 Agosto de 2011 ndice red de confianza Continuaci n administraci n con Solaris Management Console 180 194 comprobaci n de sintaxis de archivos 196 conceptos 163 178 edici n de archivos locales 180 194 ejemplo de enrutamiento 177 178 entrada 0 0 0 0 tnrhdb 190 194 etiquetas predeterminadas 175 etiquetas y aplicaci n de MAC 163 168 tipos de hosts 169 170 uso de plantillas 180 194 Reducci n de las restricciones de impresi n en Trusted Extensions mapa de tareas 231 237 registros de auditor a en Trusted Extensions pol tica 273 reparaci n etiquetas en bases de datos internas 74 75 resoluci n de problemas error en inicio de sesi n 95 LDAP 205 206 reclamar un dispositivo 250 251 red 201 206 red de confianza 202 204 reparaci n de etiquetas en bases de datos internas 74 75 sistemas de archivos montados 160 161 verificar que la interfaz est activa 201 visualizaci n de conjunto de datos de ZFS montado en una zona de nivel inferior 139 Resoluci n de problemas de la red de confianza mapa de tareas 201 206 responsabilidades del desarrollador 278 restablecimiento del control del enfoque del escrit
417. tocolo de mensajes de control de Internet ICMP Internet Control Message Protocol como ping Para obtener informaci n sobre c mo compartir directorios desde una zona con etiquetas y sobre el montaje de directorios desde zonas con etiquetas de manera remota consulte el Cap tulo 11 Gesti n y montaje de archivos en Trusted Extensions tareas En Trusted Extensions las zonas est n incorporadas en el producto de zonas de Oracle Solaris Para obtener detalles consulte la Parte IL Zones de System Administration Guide Oracle Solaris Containers Resource Management and Oracle Solaris Zones En particular los problemas de instalaci n de parches y paquetes afectan Trusted Extensions Para obtener detalles consulte el Cap tulo 25 About Packages and Patches on a Solaris System With Zones Installed Overview de System Administration Guide Oracle Solaris Containers Resource Management and Oracle Solaris Zones y el Cap tulo 30 Troubleshooting Miscellaneous Solaris Zones Problems de System Administration Guide Oracle Solaris Containers Resource Management and Oracle Solaris Zones Zonas y direcciones IP en Trusted Extensions El equipo de configuraci n inicial asign direcciones IP a la zona global y a las zonas con etiquetas En Creaci n de zonas con etiquetas de Gu a de configuraci n de Oracle Solaris Trusted Extensions se documentan tres tipos de configuraciones m Elsistema tiene una direcci n IP para
418. torio de Trusted Extensions Cuando los supervisores de un sistema de varios encabezados de Trusted Extensions est n configurados de forma horizontal la banda de confianza abarca todos los supervisores Cuando los supervisores est n configurados de forma vertical la banda de confianza aparece en el supervisor del nivel inferior Cuando los distintos espacios de trabajo se muestran en los supervisores de un sistema de varios encabezados Trusted CDE y Trusted JDS procesan la banda de confianza de diferentes maneras Enelescritorio de Trusted JDS cada supervisor muestra una banda de confianza Cap tulo 1 Conceptos de la administraci n de Trusted Extensions 25 Conceptos b sicos de Trusted Extensions A Enelescritorio de Trusted CDE aparece una banda de confianza en el supervisor principal Precauci n Si aparece una segunda banda de confianza en un sistema de varios encabezados de Trusted CDE el sistema operativo no genera la banda Es posible que tenga un programa no autorizado en el sistema P ngase en contacto con el administrador de la seguridad inmediatamente Para determinar qu banda de confianza es la adecuada consulte C mo recuperar el control del enfoque actual del escritorio en la p gina 72 Conceptos b sicos de Trusted Extensions 26 El software de Trusted Extensions agrega etiquetas a un sistema Oracle Solaris Tambi n se agregan los escritorios con etiquetas y las aplicaciones de confia
419. torios Por lo general este retraso se produce durante la configuraci n del sistema Para conocer el procedimiento consulte Tnicializaci n del servidor de Solaris Management Console en Trusted Extensions de Gu a de configuraci n de Oracle Solaris Trusted Extensions Para saber c mo administrar un sistema remoto consulte Administraci n remota de Trusted Extensions mapa de tareas en la p gina 108 Debe haber asumido un rol Para obtener detalles consulte C mo entrar en la zona global en Trusted Extensions en la p gina 53 Inicie Solaris Management Console En Solaris Trusted Extensions JDS utilice la l nea de comandos usr sbin smc En Trusted CDE tiene tres opciones a Utilice el comando smc en una ventana de terminal En el men desplegable Tools del panel frontal haga clic en el icono de Solaris Management Console En la carpeta Trusted_Extensions haga doble clic en el icono de Solaris Management Console Seleccione Console gt Open Toolbox En la lista seleccione una caja de herramientas de Trusted Extensions del mbito adecuado La caja de herramientas de Trusted Extensions incluye Policy TSOL en su nombre El mbito Files actualiza los archivos locales en el sistema actual El mbito LDAP actualiza los directorios LDAP en Oracle Directory Server Enterprise Edition Los nombres de las cajas de herramientas ser n similares a los siguientes This Computer this host Scope Fi
420. torios de nivel inferior no sean visibles para los usuarios Para obtener detalles consulte C mo deshabilitar el montaje de archivos de nivel inferior en la p gina 136 La pol tica de montaje en Trusted Extensions no incluye invalidaciones de MAC Un proceso de etiqueta superior nunca puede modificar los archivos montados que pueden verse en una etiqueta inferior Esta pol tica de MAC tambi n se aplica en la zona global Un proceso de zona global ADMIN_HIGH no puede modificar un archivo montado en NFS en una etiqueta inferior como un archivo PUBLIC o un archivo ADMIN_LOW Las pol ticas de MAC aplican la configuraci n predeterminada y no est n visibles para los usuarios comunes Los usuarios comunes no pueden ver objetos salvo que tengan acceso MAC Uso compartido de archivos desde una zona con etiquetas En el SO Oracle Solaris una zona no global no puede compartir los directorios de su zona Sin embargo en Trusted Extensions una zona con etiquetas s puede compartir directorios La especificaci n de los directorios que se pueden compartir en una zona con etiquetas se realiza en la zona global con un directorio que se encuentra fuera de la ruta root de la zona Para obtener m s informaci n consulte Procesos de la zona global y de las zonas con etiquetas en la p gina 128 zone labeled zone directories A esta ruta tambi n se la llama ruta de la zona Va de la zona global a la zona con etiquetas Cada directorio en labe
421. touch copy_files link_files Personalice el archivo copy_files a Inicie el editor de confianza Para obtener detalles consulte C mo editar archivos administrativos en Trusted Extensions en la p gina 57 b Escriba el nombre de ruta completo del archivo copy_files etc skel copy_files c Escribaen copy_files uno por l nea los archivos que se copiar n en el directorio principal del usuario en todas las etiquetas Consulte Archivos copy_files y link_files en la p gina 84 para obtener ideas Para ver archivos de muestra consulte el Ejemplo 7 4 Personalice el archivo link_files a Escriba el nombre de ruta completo del archivo Link_files en el editor de confianza etc skel link_files b Escribaen link_files uno por l nea los archivos que se enlazar n con el directorio principal del usuario en todas las etiquetas Personalice los otros archivos de inicio para sus usuarios Para ver una explicaci n de lo que se debe incluir en los archivos de inicio consulte Customizing a User s Work Environment de System Administration Guide Basic Administration Para obtener detalles consulte How to Customize User Initialization Files de System Administration Guide Basic Administration m Si desea ver un ejemplo consulte el Ejemplo 7 4 Opcional Cree un subdirectorio skelP para los usuarios cuyo shell predeterminado sea un shell del perfil P indica el shell Profile Copie lo
422. ttr 4 Base de datos exec_attr contiene los comandos y las acciones que forman parte de los perfiles de derechos Consulte exec_attr 4 a Archivouser_attr contiene los perfiles de derechos los privilegios y las autorizaciones que est n asignadas a los usuarios locales Consulte user_attr 4 Procedimientos de administradores de Oracle Solaris Trusted Extensions Agosto de 2011 Aplicaci n de los requisitos de seguridad Pista de auditor a contiene los registros de auditor a que el servicio de auditor a ha recopilado Consulte audit log 4 Precauci n Dado que los mecanismos de protecci n para las entradas LDAP no est n sujetos a la pol tica de control de acceso que aplica el software de Trusted Extensions las entradas LDAP predeterminadas no deben ampliarse y sus reglas de acceso no deben modificarse Protecci n de contrase a En los archivos locales la protecci n que evita la visualizaci n de las contrase as se realiza mediante DAC y la que evita su modificaci n mediante DAC y MAC Las contrase as de las cuentas locales se actualizan en el archivo etc shadow que solamente el superusuario puede leer Para obtener m s informaci n consulte la p gina del comando man shadow 4 Administraci n de grupos El rol de administrador del sistema necesita comprobar en el sistema local y en la red que todos los grupos tengan un nico ID de grupo GID Group ID Cuando se elimina del sistema un grupo loc
423. uario en el rol root asuma el rol root Seleccione Change Password en el men Trusted Path m En Trusted JDS haga clic en el s mbolo de confianza de la banda de confianza En el men Trusted Path elija Change Password Trusted gt tester CRIT NA m Change Password LAllocate Device Query Window Label 2 Hein En Solaris Trusted Extensions CDE abra el men Trusted Path a Haga clic con el tercer bot n del mouse en el rea de selecci n de espacios de trabajo Cap tulo 5 Administraci n de los requisitos de seguridad en Trusted Extensions tareas 71 Tareas comunes en Trusted Extensions mapa de tareas 72 Ejemplo 5 2 b Seleccione Change Password en el men Trusted Path Trusted Path Menu Add Workspace Assume root Role Assume admin Role Change Password Allocate Device Query Window Label Suspend System Help Cambie la contrase a y confirme el cambio Cambio de la contrase a de un rol Cualquier usuario que pueda asumir un rol definido en LDAP puede utilizar el men Trusted Path para cambiar la contrase a del rol La contrase a de todos los usuarios que intentan asumir el rol se cambia en LDAP Como en el SO Oracle Solaris el rol de administrador principal puede cambiar la contrase a de un rol mediante Solaris Management Console En Trusted Extensions el rol de administrador de la seguridad puede cambiar la contrase a de otro rol mediante Solaris Management Console C mo
424. uarios espec ficos a que accedan ala zona en la zona global en Trusted Extensions global en la p gina 115 v C mo iniciar sesi n de manera remota desde la l nea de comandos en Trusted Extensions Nota El comando telnet no puede utilizarse para la asunci n de roles remota porque no puede transferir la identidad principal y las identidades de roles al m dulo pam_roles Antesde El usuario y el rol deben estar definidos de manera id ntica en el sistema local y en el sistema empezar remoto Cap tulo8 Administraci n remota en Trusted Extensions tareas 109 Administraci n remota de Trusted Extensions mapa de tareas 110 Antes de empezar El rol debe tener la autorizaci n Remote Login De manera predeterminada esta autorizaci n se encuentra en los perfiles de derechos de administraci n remota y mantenimiento y reparaci n El administrador de la seguridad debe haber completado el procedimiento Habilitaci n del inicio de sesi n remoto por parte de un rol en Trusted Extensions de Gu a de configuraci n de Oracle Solaris Trusted Extensions en cada sistema que pueda administrarse de manera remota Si el sistema puede administrarse desde un sistema sin etiquetas significa que el procedimiento Habilitaci n del inicio de sesi n remoto desde un sistema sin etiquetas de Gu a de configuraci n de Oracle Solaris Trusted Extensions tambi n se ha completado Desde el espacio de trabajo de un usuario
425. uetas impresoras e impresi n 214 software de Oracle Solaris env a el trabajo a la impresora Si la impresora no acepta entrada PostScript el software convierte al formato PostScript en una imagen raster Luego la imagen raster se convierte al formato de impresora correspondiente Dado que el software de PostScript se utiliza para imprimir informaci n de las etiquetas los usuarios no pueden imprimir archivos PostScript de manera predeterminada Esta restricci n impide que los programadores expertos en PostScript creen un archivo PostScript que modifique las etiquetas en el resultado de la impresi n El rol de administrador de la seguridad puede invalidar esta restricci n mediante la asignaci n de la autorizaci n Print Postscript a cuentas de roles y usuarios de confianza La autorizaci n se asigna nicamente si se puede confiar en que la cuenta no suplantar las etiquetas en el resultado de la impresi n Adem s si a un usuario se le permite imprimir archivos PostScript debe respetarse la pol tica de seguridad del sitio Secuencias de comandos del modelo de la impresora La secuencia de comandos del modelo de la impresora habilita un modelo de impresora espec fico para proporcionar las p ginas de la car tula y del ubicador Trusted Extensions proporciona cuatro secuencias de comandos m tsol standard para impresoras PostScript conectadas de manera directa por ejemplo impresoras conectadas mediante un puerto paralelo
426. un DOI diferente Si el sitio utiliza un valor DOI distinto del predeterminado debe agregar este valor en el archivo etc system y cambiar el valor en cada plantilla de seguridad Para informarse acerca del Procedimientos de administradores de Oracle Solaris Trusted Extensions Agosto de 2011 Mecanismo de reserva de la red de confianza procedimiento inicial consulte Configuraci n del dominio de interpretaci n de Gu a de configuraci n de Oracle Solaris Trusted Extensions Para configurar el DOI en cada plantilla de seguridad consulte el Ejemplo 13 1 Rango de etiquetas en Security Templates Los atributos de la etiqueta m nima y la etiqueta m xima se utilizan para establecer el rango de etiquetas para los hosts con etiquetas y sin etiquetas Estos atributos se utilizan para realizar lo siguiente a Establecer el rango de etiquetas que pueden utilizarse cuando se establece la comunicaci n con un host CIPSO remoto Para que se env e un paquete a un host de destino la etiqueta del paquete debe estar dentro del rango de etiquetas asignado al host de destino en la plantilla de seguridad para ese host m Establecer un rango de etiquetas para los paquetes que se reenv an mediante una puerta de enlace CIPSO o una sin etiquetas Puede especificarse el rango de etiquetas en la plantilla para un tipo de host sin etiquetas El rango de etiquetas habilita el host para reenviar los paquetes que no est n necesariamente en la etique
427. una zona con etiquetas especificada para que vea los archivos que no se exportaron desde la zona global de manera predeterminada Debe estar en el rol de administrador del sistema en la zona global Detenga la zona cuya configuraci n desea cambiar zoneadm z zone name halt Monte en bucle de retorno un archivo o directorio Por ejemplo habilite a los usuarios comunes para que vean un archivo en el directorio etc zonecfg z zone name add filesystem set special etc filename set directory etc filename set type lofs add options ro nodevices nosetuid end exit Nota Hay algunos archivos que el sistema no utiliza por lo que montarlos en bucle de retorno no causar a ning n efecto Por ejemplo el software de Trusted Extensions no comprueba el archivo etc dfs dfstab en una zona con etiquetas Para obtener m s informaci n consulte Uso compartido de archivos desde una zona con etiquetas en la p gina 147 Inicie la zona zoneadm z zone name boot Montaje en bucle de retorno del archivo etc passwd En este ejemplo el administrador de la seguridad desea habilitar a los evaluadores y a los programadores para que verifiquen si sus contrase as locales se encuentran establecidas Despu s de que se detiene la zona sandbox esta se configura para montar en bucle de retorno el archivo passwd A continuaci n la zona se reinicia zoneadm z sandbox halt zonecfg z sandbox add filesystem set special etc passwd
428. uraci n de un puerto de varios niveles 141 configuraci n de un servidor de impresi n de varios niveles 218 220 creaci n de un puerto de varios niveles 142 descripci n 40 41 herramienta User Accounts 39 herramientas Ver herramientas administrativas herramientas administrativas acceso 51 58 acciones de Trusted CDE 35 36 comandos 44 47 descripci n 33 47 Device Allocation Manager 37 38 en la carpeta Trusted_Extensions 56 57 generador de etiquetas 43 Labeled Zone Manager 35 secuencia de comandos txzonemgr 35 Solaris Management Console 38 42 55 56 herramientas de red de confianza descripci n 40 uso 182 183 hosts asignaci n a plantilla de seguridad 188 190 asignaci n de plantillas 180 194 conceptos de redes 164 165 introducci n en los archivos de red 188 hosts remotos uso del mecanismo de reserva en tnrhdb 171 305 ndice l impedir Ver protecci n importaci n software 275 impresi n agregar filtros de conversi n 214 215 archivos PostScript 235 237 autorizaciones para un resultado sin etiquetas de un sistema p blico 90 configuraci n de etiquetas y texto 212 configuraci n de trabajos de impresi n p blicos 234 configuraci n de zona con etiquetas 227 228 configuraci n para cliente de impresi n 228 230 configuraci n para clientes Sun Ray 220 224 configuraci n para resultado con etiquetas de varios niveles 218 220 eliminaci n de restricci n PostScript 97 99 en el idioma lo
429. uridad mapa de tareas Tarea Descripci n Para obtener instrucciones Cambiar la pol tica de Trusted Extensions para todos los usuarios de un sistema Cambiar el archivo policy conf C mo modificar los valores predeterminados de policy conf en la p gina 89 Activar el protector de pantalla despu s de transcurrido un per odo establecido Cerrar la sesi n del usuario cuando el sistema permanece inactivo durante un per odo establecido Eliminar los privilegios innecesarios de todos los usuarios comunes de un sistema Ejemplo 7 1 Ejemplo 7 2 Eliminar las etiquetas del resultado de la impresi n en un quiosco p blico Ejemplo 7 3 Configurar los archivos de inicializaci n para los usuarios Configurar los archivos de inicio como cshrc copy_files y soffice para todos los usuarios C mo configurar los archivos de inicio para los usuarios en Trusted Extensions en la p gina 90 Extender el tiempo de espera para volver a etiquetar el archivo Configurar algunas aplicaciones para habilitar a los usuarios autorizados para que vuelvan a etiquetar los archivos C mo extender el tiempo de espera cuando se vuelve a etiquetar la informaci n en la p gina 93 Iniciar sesi n en modo a prueba de fallos Corregir archivos de inicializaci n de usuario defectuosos predeterminados C mo iniciar una sesi n en modo a prueba de fallos en Tr
430. uridad predeterminadas Haga clic en Device Administration y a continuaci n resalte el dispositivo La siguiente figura muestra una unidad de CD ROM con configuraciones de seguridad predeterminadas Device Allocation Configuration cdromo Min taba Max Label i etc security 1ib disk_clean i dev sro dev rsro dev dsk cotsd0so dev dsk cot6d0st dev dsk cot6dos2 dev dsk cot6d0s3 dev dsk cot6dosg4 ns solaris device allocate 248 Procedimientos de administradores de Oracle Solaris Trusted Extensions Agosto de 2011 Gesti n de dispositivos en Trusted Extensions mapa de tareas 3 4 Opcional Restrinja el rango de etiquetas en el dispositivo a Establezca la etiqueta m nima Haga clic en el bot n Min Label y seleccione una etiqueta m nima del generador de etiquetas Para obtener informaci n sobre el generador de etiquetas consulte Generador de etiquetas en Trusted Extensions en la p gina 43 Establezca la etiqueta m xima Haga clic en el bot n Max Label Seleccione una etiqueta m xima del generador de etiquetas Especifique si el dispositivo se puede asignar localmente En el cuadro de di logo Device Allocation Configuration en For Allocations From Trusted Path seleccione una opci n de la lista Allocatable By De manera predeterminada la opci n Authorized Users est activada Por lo tanto el dispositivo es asignable y los usuarios deben estar autorizados Para hacer que el d
431. usted 283 Interfaces administrativas en Trusted Extensions Device Allocation Manager Label Builder Selection Manager Men Trusted Path Comandos administrativos JDS se invoca el editor desde la l nea de comandos Debe proporcionar el archivo que se va a editar como argumento por ejemplo usr dt bin trusted edit filename En Trusted Extensions se utiliza esta interfaz gr fica de usuario para administrar dispositivos Los administradores utilizan el cuadro de di logo Device Administration para configurar dispositivos Los roles y los usuarios comunes utilizan Device Allocation Manager para asignar dispositivos La interfaz gr fica de usuario est disponible desde el men Trusted Path Se invoca esta aplicaci n cuando el usuario puede elegir una etiqueta o una acreditaci n Esta aplicaci n tambi n aparece cuando un rol asigna etiquetas o rangos de etiquetas a los dispositivos las zonas los usuarios o los roles Se invoca esta aplicaci n cuando un usuario o un rol autorizados intentan aumentar o disminuir el nivel de la informaci n Este men gestiona las interacciones con la base de computaci n de confianza TCB Por ejemplo este men tiene la opci n de men Change Password En Trusted CDE puede acceder al men Trusted Path desde el rea de selecci n de espacios de trabajo En Trusted JDS para acceder al men Trusted Path debe hacer clic en el s mbolo de confianza que se encuentra a
432. usted Extensions en la p gina 95 C mo modificar atributos de etiquetas de usuarios Puede modificar los atributos de etiquetas de usuarios predeterminados durante la configuraci n del primer sistema Los cambios se deben copiar en cada host de Trusted Extensions Antes de empezar Debe estar en el rol de administrador de la seguridad en la zona global Para obtener detalles consulte C mo entrar en la zona global en Trusted Extensions en la p gina 53 1 Revise la configuraci n predeterminada de los atributos de usuario en el archivo etc security tsol label_encodings Para conocer los valores predeterminados consulte Valores predeterminados del archivo label_encodings en la p gina 80 88 Procedimientos de administradores de Oracle Solaris Trusted Extensions Agosto de 2011 Personalizaci n del entorno de usuario para la seguridad mapa de tareas Antes de empezar Ejemplo 7 1 Modifique la configuraci n de los atributos de usuario en el archivo label_encodings Utilice el editor de confianza Para obtener detalles consulte C mo editar archivos administrativos en Trusted Extensions en la p gina 57 En Trusted CDE tambi n puede utilizar la acci n Edit Label Encodings Para obtener detalles consulte C mo iniciar acciones administrativas de CDE en Trusted Extensions en la p gina 56 El archivo label_encodings debe ser el mismo en todos los hosts Distribuya una copia del archivo e
433. usted Extensions JDS realice lo siguiente m Opcional Para usar gedit como editor de confianza modifique la variable EDITOR Para obtener detalles consulte C mo asignar el editor de su elecci n como editor de confianza en la p gina 70 Utilice la l nea de comandos para traer el editor de confianza hacia adelante usr dt bin trusted edit filename Debe proporcionar un argumento filename Cap tulo 3 Introducci n para administradores de Trusted Extensions tareas 57 Introducci n para administradores de Trusted Extensions mapa de tareas 58 Para crear un archivo nuevo escriba el nombre de ruta completo del archivo nuevo Cuando guarde el archivo el editor crear un archivo temporal Para editar un archivo existente escriba el nombre de ruta completo del archivo existente Nota Si su editor proporciona la opci n de guardar como no la utilice Utilice la opci n de guardar del editor para guardar el archivo Para guardar el archivo en el nombre de ruta especificado cierre el editor Procedimientos de administradores de Oracle Solaris Trusted Extensions Agosto de 2011 CAP TULO 4 Requisitos de seguridad del sistema Trusted Extensions descripci n general En este cap tulo se describen las funciones seguridad que pueden configurarse en un sistema con Trusted Extensions Funciones de seguridad de Oracle Solaris que pueden configurarse en la p gina 59 m Aplicaci
434. utilizando LDAP como un servicio de nombres escriba el nombre del servidor LDAP A continuaci n seleccione uno de los siguientes mbitos m Para administrar las bases de datos del servicio de nombres seleccione la caja de herramientas Scope LDAP This Computer Idap server Scope LDAP Policy TSOL m Para administrar los archivos locales en el servidor LDAP seleccione la caja de herramientas Scope Files This Computer Idap server Scope Files Policy TSOL a Sino utiliza LDAP como servicio de nombres escriba el nombre del sistema remoto que desea administrar A continuaci n seleccione la caja de herramientas Scope Files This Computer remote system Scope Files Policy TSOL 112 Procedimientos de administradores de Oracle Solaris Trusted Extensions Agosto de 2011 Administraci n remota de Trusted Extensions mapa de tareas Antes de empezar Seleccione una herramienta en System Configuration Al seleccionar una herramienta como User aparece un cuadro de di logo con el nombre del servidor de Solaris Management Console el nombre de usuario el nombre de rol y un espacio para escribir la contrase a del rol Aseg rese de que las entradas sean correctas Con el rol que est definido de manera id ntica en los sistemas locales y remotos inicie sesi n en el servidor de Solaris Management Console Escriba la contrase a del rol y haga clic en Login as Role A continuaci n puede utilizar Solaris Management
435. utorizaciones de etiqueta Agrega la capacidad para montar y en consecuencia ver los directorios principales de nivel inferior Agrega restricciones de etiqueta a la capacidad de un usuario para cancelar un trabajo de impresi n Agrega opciones para admitir la desasignaci n de un dispositivo en una zona la limpieza del dispositivo en un entorno de ventanas y la especificaci n del tipo de dispositivo que debe desasignarse Se invoca en Trusted Extensions de manera predeterminada Agrega acciones de CDE como un tipo de objeto de perfil Reconoce los indicadores de proceso NET_MAC_AWARE y NET_MAC_AWARE_INHERIT Obtiene el estado del control de acceso obligatorio SO_MAC_EXEMPT del socket Ap ndice B Lista de las p ginas del comando man de Trusted Extensions 293 P ginas del comando man de Oracle Solaris que Trusted Extensions modifica 294 getsockopt 3XNET ifconfig 1M is system labeled 3C ldaplist 1 list devices 1 1p 1 lpadmin 1M lpmove 1M lpq 1B lprm 1B lpsched 1M lpstat 1 netstat 1M privileges 5 prof_attr 4 route 1M Obtiene el estado del control de acceso obligatorio SO_MAC_EXEMPT del socket Agrega la interfaz all zones Determina si el sistema est configurado con Trusted Extensions Agrega las bases de datos de red de Trusted Extensions Agrega atributos como etiquetas que est n asociados con un dispositivo Agrega la opci n nolabels Agre
436. ve operations 0x00400000 xS X Operations that always silently fail if bad 0x01000000 xx X All X events in the xc xp and xs classes metaclass 0x01c00000 Los eventos de auditor a del servidor X se asignan a estas clases seg n los criterios siguientes xc esta clase audita objetos de servidor de creaci n o destrucci n Por ejemplo esta clase audita CreateWindow xp esta clase audita el uso de privilegios El uso de privilegios puede ser correcto o incorrecto Por ejemplo ChangeWindowAttributes se audita cuando un cliente intenta cambiar los atributos de una ventana de otro cliente Esta clase tambi n incluye rutinas administrativas como SetAccessControl a xs esta clase audita las rutinas que no devuelven mensajes de error X a los clientes en caso de errores causados por los atributos de seguridad Por ejemplo GetImage no devuelve un error de BadWindow si no puede leer desde una ventana por falta de privilegios Estos eventos se deben seleccionar para auditarlos nicamente cuando sean correctos Si los eventos xs se seleccionan cuando son incorrectos la pista de auditor a se llena de registros irrelevantes a xx esta clase incluye todas las clases de auditor a X Eventos de auditor a de Trusted Extensions El software de Trusted Extensions agrega eventos de auditor a al sistema Los eventos de auditor a nuevos y las clases de auditor a a las que los eventos pertenecen se enumeran en el archivo etc
437. wd 1 Nota Las contrase as de los usuarios que pueden asumir roles no deben estar sujetas a ninguna limitaci n por caducidad Asignaci n de roles No es obligatorio que los usuarios tengan roles Puede asignarse un solo usuario a m s de un rol si esto concuerda con la pol tica de seguridad del sitio Asignaci n de autorizaciones Como en el SO Oracle Solaris al asignar autorizaciones directamente a un usuario se agregan autorizaciones nuevas a las existentes En Trusted Extensions primero se agregan las autorizaciones a un perfil de derechos y luego se asigna el perfil al usuario Asignaci n de perfiles de derechos Como en el SO Oracle Solaris el orden de los perfiles es importante El mecanismo de los perfiles utiliza la primera instancia del comando o la acci n del conjunto de perfiles de la cuenta Puede utilizar el orden de clasificaci n de perfiles para su beneficio Si desea que un comando se ejecute con atributos de seguridad diferentes de los que se definen para el comando de un perfil existente cree un perfil nuevo con las asignaciones preferidas para el comando Luego inserte ese perfil nuevo antes del perfil existente Nota No asigne perfiles de derechos que incluyan acciones o comandos administrativos a un usuario com n Puede que el perfil no funcione porque el usuario com n no puede entrar en la zona global Cap tulo 6 Usuarios derechos y roles en Trusted Extensions descripci n general 83 Atributos
438. xgc contiene informaci n sobre el xgc Este token contiene los siguientes campos UnID detoken a Elidentificador del servidor X a ElID de usuario del creador La Figura 18 3 muestra el formato del token Con praudit el token xgc se muestra de la siguiente manera Xgraphic context 0x002f2ca0 srv Token xpixmap El token xpixmap contiene informaci n sobre las asignaciones de p xeles Este token contiene los siguientes campos a UnID detoken a Elidentificador del servidor X a ElID de usuario del creador La Figura 18 3 muestra el formato del token Con praudit el token xpixmap se muestra de la siguiente manera X pixmap 0x08c00005 srv Token xproperty El token xproperty contiene informaci n sobre varias propiedades de una ventana Este token contiene los siguientes campos a UnID detoken Elidentificador del servidor X a ElID de usuario del creador Lalongitud de la cadena Una cadena de texto que identifica el tomo La figura siguiente muestra el formato del token xproperty Cap tulo 18 Auditor a de Trusted Extensions descripci n general 271 Referencia de auditor a de Trusted Extensions FIGURA 18 4 Formato del token xproperty ID de token XID UID del creador longitud de cadena cadena nombre del tomo 1 byte 4 bytes Con praudit el token xproperty se muestra de la siguiente manera 4 bytes 2 bytes X property 0x000075d5 root MOTIF DEFAULT _ BINDINGS
439. y quiz s para las zonas C mo resolver problemas por fallos de montaje en Trusted Extensions en la p gina 160 Cap tulo 10 Gesti n de zonas en Trusted Extensions tareas 131 Gesti n de zonas mapa de tareas Tarea Descripci n Para obtener instrucciones Eliminar una zona con etiquetas Eliminar por completo una zona con How to Remove a Non Global Zone de Antes de empezar 1 132 etiquetas del sistema System Administration Guide Oracle Solaris Containers Resource Management and Oracle Solaris Zones C mo visualizar las zonas que est n preparadas o en ejecuci n Este procedimiento crea una secuencia de comandos de shell que muestra las etiquetas de la zona actual y de todas las zonas dominadas por la zona actual Debe estar en el rol de administrador del sistema en la zona global Utilice el editor de confianza para crear la secuencia de comandos getzonelabels Para obtener detalles consulte C mo editar archivos administrativos en Trusted Extensions en la p gina 57 Proporcione el nombre de la ruta de la secuencia de comandos por ejemplo usr local scripts getzonelabels Agregue el siguiente contenido y guarde el archivo bin sh echo NAME t tSTATUS t tLABEL echo t t t t myzone zonename for i in usr sbin zoneadm list p do zone echo i cut d f2 status echo i cut d f3 path echo i
440. y la pol tica de etiquetas Similitudes entre Trusted Extensions y el SO Oracle Solaris El software de Trusted Extensions utiliza perfiles de derechos roles auditor a privilegios y otras funciones de seguridad del SO Oracle Solaris Puede utilizar Oracle Solaris Secure Shell SSH BART la estructura criptogr fica de Oracle Solaris IPsec o Filtro IP con Trusted Extensions m Como en el SO Oracle Solaris los usuarios pueden estar limitados a utilizar las aplicaciones que son necesarias para realizar su trabajo Se puede autorizar a otros usuarios para que realicen m s tareas m Como en el SO Oracle Solaris las capacidades que antes estaban asignadas al superusuario se asignan a roles individuales y discretos 23 Software de Trusted Extensions y el SO Oracle Solaris 24 Como en el SO Oracle Solaris los privilegios protegen los procesos Tambi n se utilizan las zonas para procesos independientes Como en el SO Oracle Solaris se pueden auditar los eventos del sistema Trusted Extensions utiliza los archivos de configuraci n del sistema del SO Oracle Solaris como policy conf yexec_attr Diferencias entre Trusted Extensions y el SO Oracle Solaris El software de Trusted Extensions ampl a el SO Oracle Solaris La siguiente lista proporciona una descripci n general Para obtener una referencia r pida consulte el Ap ndice A Referencia r pida a la administraci n de Trusted Extensions Trusted Exte
Download Pdf Manuals
Related Search