Configuración y administración de Trusted Extensions
Contents
1. Antes de empezar A V ase tambi n Antes de empezar Para ver el procedimiento paso a paso consulte Asignaci n de derechos a usuarios de Protecci n de los usuarios y los procesos en Oracle Solaris 11 2 C mo restringir el conjunto de privilegios de un usuario Puede que la seguridad del sitio requiera que a los usuarios se les otorgue menos privilegios que los asignados de manera predeterminada Por ejemplo en un sitio que utiliza Trusted Extensions en los sistemas Sun Ray puede que desee impedir que los usuarios vean los procesos de los dem s usuarios en el servidor Sun Ray Debe estar con el rol de administrador de la seguridad en la zona global Elimine uno o varios de los privilegios del conjunto basic Atenci n No elimine los privilegios proc_fork o proc_exec Sin estos privilegios los usuarios no pueden utilizar el sistema usermod K defaultpriv basic proc_info proc_session file link_any Al eliminar el privilegio proc_info impide que el usuario examine los procesos que no se originan desde el usuario Con la eliminaci n del privilegio proc_session se impide que el usuario examine cualquier proceso que se encuentre fuera de su sesi n actual Con la eliminaci n del privilegio file _link_any se impide que el usuario establezca enlaces f sicos con archivos que no sean de su propiedad Para ver un ejemplo de recopilaci n de restricciones de privilegios en un perfil de derechos consulte2. C mo agregar un host a una plantilla de seguridad Se deben cumplir los siguientes requisitos J as direcciones IP deben existir en el archivo etc hosts o DNS debe poder resolverlas Para el archivo hosts consulte C mo agregar hosts a la red conocida del sistema 217 Cap tulo 16 Gesti n de redes en Trusted Extensions 221 C mo agregar un host a una plantilla de seguridad ejemplo 16 3 Para el DNS consulte el Cap tulo 3 Gesti n de sistema de nombres de dominio de Trabajo con servicios de nombres y de directorio en Oracle Solaris 11 2 DNS y NIS Los puntos finales de la etiqueta deben coincidir Para las reglas consulte Acerca del enrutamiento en Trusted Extensions 203 Debe estar con el rol de administrador de la seguridad en la zona global Opcional Verifique que pueda acceder al nombre de host o la direcci n IP que va a agregar En este ejemplo verifique que puede acceder a 192 168 1 2 arp 192 168 1 2 gateway 2 example com 192 168 1 2 at 0 0 0 1 ad cd El comando arp verifica que el host est definido en el archivo etc hosts del sistema o que DNS puede resolverlo Agregue un nombre de host o una direcci n IP a una plantilla de seguridad En este ejemplo agrega la direcci n IP 192 168 1 2 tncfg t cipso tncfg cipso gt add host 192 168 1 2 Si agrega un host que se agreg anteriormente a otra plantilla se le notificar que est sustituyendo la asignaci
3. Y C mo configurar un servidor de impresi n de varios niveles y sus impresoras Las impresoras conectadas a un servidor de impresi n de Trusted Extensions imprimen etiquetas en p ginas del cuerpo de car tula y de ubicador Esta clase de impresoras pueden Cap tulo 19 Gesti n de impresi n con etiquetas 269 C mo configurar un servidor de impresi n de varios niveles y sus impresoras Antes de empezar imprimir los trabajos de impresi n dentro del rango de etiquetas del servidor de impresi n Si la impresora est compartida cualquier host de Trusted Extensions que pueda acceder al servidor de impresi n puede utilizar la impresora compartida Debe estar con el rol de administrador del sistema en la zona global de este servidor de impresi n Determine la marca y el modelo de impresora lpinfo m grep printer manufacturer Por ejemplo la siguiente sintaxis busca todas las impresoras Xerox lpinfo m grep Xerox gutenprint 5 2 xerox able 1406 expert Xerox Able 1406 CUPS Gutenprint v5 2 4 gutenprint 5 2 xerox able 1406 simple Xerox Able 1406 CUPS Gutenprint v5 2 4 gutenprint 5 2 xerox dc_400 expert Xerox Document Centre 400 gutenprint 5 2 xerox dc_400 simple Xerox Document Centre 400 gutenprint 5 2 xerox dp_4508 expert Xerox DocuPrint 4508 gutenprint 5 2 xerox dp_4508 simple Xerox DocuPrint 4508 Defina las caracter sticas de cada impresora conectada lpadmin p printer name E v
4. netstat aR La opci n aR muestra los atributos de seguridad ampliados para sockets netstat rR La opci n rR muestra las entradas de la tabla de enrutamiento Para obtener detalles consulte la p gina del comando man netstat 1M Y C mo depurar la conexi n de un cliente con el servidor LDAP Antes de empezar 1 Un error en la configuraci n de una entrada del cliente en el servidor LDAP puede impedir la comunicaci n del cliente con el servidor Un error en la configuraci n de los archivos del cliente tambi n puede impedir la comunicaci n Compruebe las entradas y los archivos siguientes cuando intente depurar un problema de comunicaci n entre el cliente y el servidor Debe estar con el rol de administrador de la seguridad en la zona global del cliente LDAP Compruebe que la plantilla del host remoto para el servidor LDAP y para la puerta de enlace con el servidor LDAP sea correcta a Utilice el comando tncfg O tninfo para ver informaci n tncfg get host LDAP server tncfg get host gateway to LDAP server tninfo h LDAP server tninfo h gateway to LDAP server Cap tulo 16 Gesti n de redes en Trusted Extensions 247 C mo depurar la conexi n de un cliente con el servidor LDAP 248 b Determine la ruta del servidor route get LDAP server Si existe una asignaci n de plantilla incorrecta agregue el host a la plantilla correcta Revise y corrija el archivo etc hosts si es necesario
5. 63 Resoluci n de los problemas de configuraci n de Trusted Extensions 66 Tareas adicionales de configuraci n de Trusted Extensions oocconocccnnccnnnoocs 67 5 Configuraci n de LDAP para Trusted Extensions o ooooonnnnccccccno 75 Configuraci n de LDAP en una red Trusted Extensions coooccoonccccnoccnnocnnnns 75 Contenido Configuraci n de un servidor proxy LDAP en un sistema Trusted EXTENSIONS ares a iaa 76 Configuraci n de Oracle Directory Server Enterprise Edition en un sistema IEA O AA ELA RAe GAASSEN RA RT 76 Creaci n de un proxy de Trusted Extensions para un servidor Oracle Directory Server Enterprise Edition existente ocooooccconccnnnccnonccnnnnccnnorcnonccnnnnccnnncnnns 84 Creaci n de un cliente LDAP de Trusted Extensions oocccooocconconcnoccnnncnnnns 86 Il Administraci n de Trusted Extensions eere eere eerren 89 6 Conceptos de la administraci n de Trusted Extensions 91 Trusted Extensions y el SO Oracle Solaris ooocccoocccnnccnnnoccnoncnnnnccnnnncnnnonns 91 Conceptos b sicos de Trusted Extensions cooocccoocccnnccnonoccnnconnnnccnnnncnonnnns 93 7 Herramientas de administraci n de Trusted Extensions 101 Herramientas de administraci n para Trusted Extensions occoooccconoccnnocnnn 101 Secuencia de comandos txzonemgr ococcocncnncncnconcnnoncncononcononconononnancnranononns 102 Device MANag T
6. Comprensi n de la pol tica de seguridad del sitio 19 Planificaci n de qui n configurar Trusted Extensions 19 Dise o de una estrategia de etiqueta 20 Planificaci n del hardware y la capacidad del sistema para Trusted Extensions 20 m Planificaci n de la red de confianza 21 a Planificaci n de zonas etiquetadas en Trusted Extensions 22 m Planificaci n de los servicios de varios niveles 24 m Planificaci n del servicio de nombres LDAP en Trusted Extensions 24 Planificaci n de la auditor a en Trusted Extensions 25 a Planificaci n de la seguridad del usuario en Trusted Extensions 25 Formaci n de un equipo de instalaci n para Trusted Extensions 26 Resoluci n de problemas adicionales antes de activar Trusted Extensions 28 Realizaci n de copia de seguridad del sistema antes de activar Trusted Extensions 28 Para obtener una lista de comprobaci n de las tareas de configuraci n de Trusted Extensions consulte el Ap ndice B Lista de comprobaci n de configuraci n de Trusted Extensions Si est interesado en la localizaci n de su sitio consulte Para clientes internacionales de Trusted Extensions 20 Si est interesado en la ejecuci n de una configuraci n evaluada consulte Comprensi n de la pol tica de seguridad del sitio 19 Comprensi n de Trusted Extensions La activaci n y configurac
7. C mo agregar autorizaciones espec ficas del sitio a un dispositivo en Trusted Extensions 300 Asignar autorizaciones para dispositivos a usuarios y roles Permite que los usuarios y los roles usen las autorizaciones nuevas C mo asignar autorizaciones para dispositivos 300 296 Configuraci n y administraci n de Trusted Extensions Julio de 2014 C mo crear nuevas autorizaciones para dispositivos v Antes de empezar 1 ejemplo 21 2 C mo crear nuevas autorizaciones para dispositivos Si un dispositivo no requiere una autorizaci n de manera predeterminada todos los usuarios pueden utilizar el dispositivo Si se requiere una autorizaci n solamente los usuarios autorizados pueden utilizar el dispositivo Para denegar el acceso total a un dispositivo asignable consulte el Ejemplo 21 1 Impedir la asignaci n remota del dispositivo de audio Para crear y utilizar una nueva autorizaci n consulte el Ejemplo 21 3 Creaci n y asignaci n de autorizaciones de dispositivos Trusted Path y Non Trusted Path Debe estar con el rol de administrador de la seguridad en la zona global Opcional Cree un archivo de ayuda para cada nueva autorizaci n de dispositivo Los archivos de ayuda est n en formato HTML La convenci n de denominaci n es AuthName html como en DeviceAllocateCD html Cree las autorizaciones de dispositivos auths add t Authorization description h full pat
8. El sistema las interfaces para las zonas con etiquetas del sistema la puerta de enlace con el servidor LDAP y el servidor LDAP deben figurar en el archivo Puede que tenga m s entradas Busque las entradas duplicadas Elimine cualquier entrada que sea una zona con etiquetas en otros sistemas Por ejemplo si el nombre de su servidor LDAP es Lserver y LServer zones es la interfaz compartida para las zonas con etiquetas elimine LServer zones del archivo etc hosts Si utiliza DNS compruebe la configuraci n del servicio svc network dns client svccfg s dns client listprop config config application config value authorization astring solaris smf value name service dns switch config nameserver astring 192 168 8 25 192 168 122 7 Para cambiar los valores utilice el comando svccfg svccfg s dns client setprop config search astring examplel domain com svccfg s dns client setprop config nameserver net_address 192 168 8 35 svccfg s dns client default refresh svccfg s dns client default validate svcadm enable dns client svcadm refresh name service switch nslookup some system Server 192 168 135 35 Address 192 168 135 35 53 E E H H H H Name some system example1 domain com Address 10 138 8 22 Name some system example1 domain com Address 10 138 8 23 Verifique que las entradas tnrhdb y tnrhtp del servicio name service switch son exactas En la siguiente salida no se muestran las entradas tnrhdb y tnrhtp
9. Nota Consulte su pol tica de seguridad para determinar qu m todos de administraci n remota est n permitidos en su sitio Cap tulo 12 Administraci n remota en Trusted Extensions 149 C mo activar la administraci n remota de un sistema Trusted Extensions remoto vy Antes de empezar C mo activar la administraci n remota de un sistema Trusted Extensions remoto En este procedimiento se activa la autenticaci n basada en host en un sistema remoto Oracle Solaris antes de agregar la funci n Trusted Extensions El sistema remoto es el servidor shell seguro El sistema remoto se instala con Oracle Solaris y es posible acceder a ese sistema Debe tener el rol root En ambos sistemas active la autenticaci n basada en host Para conocer el procedimiento consulte C mo configurar la autenticaci n basada en host para el shell seguro de Gesti n de acceso mediante shell seguro en Oracle Solaris 11 2 Nota No utilice el comando cat Copie y pegue la clave p blica mediante una conexi n shell seguro Si el cliente shell seguro no es un sistema Oracle Solaris siga las instrucciones de la plataforma para configurar un cliente shell seguro con la autenticaci n basada en host Despu s de completar este paso tendr una cuenta de usuario en ambos sistemas que puede asumir el rol de usuario root Se asigna el mismo UID GID y asignaci n de rol a las cuentas Tambi n ha generado pares de claves p blicas priv
10. Versi n de Entrada de host para host_type cipso Direcciones IP cubiertas IP IPv4 192 168 118 57 192 168 118 57 192 168 118 57 32 32 establece una longitud de prefijo de 32 bits fijos 192 168 118 128 26 De 192 168 118 0 a 192 168 118 63 192 168 118 0 Todas las direcciones de la subred 192 168 118 192 168 118 0 24 192 168 0 0 24 Todas las direcciones de la subred 192 168 0 192 168 0 0 Todas las direcciones de la subred 192 168 202 Configuraci n y administraci n de Trusted Extensions Julio de 2014 Acerca del enrutamiento en Trusted Extensions Versi n de Entrada de host para host_type cipso Direcciones IP cubiertas IP 192 168 0 0 16 192 0 0 0 Todas las direcciones de la subred 192 192 0 0 0 8 192 168 118 0 32 Direcci n de host 192 168 118 0 No es un rango de direcciones 192 168 0 0 32 Direcci n de host 192 168 0 0 No es un rango de direcciones 192 0 0 0 32 Direcci n de host 192 0 0 0 No es un rango de direcciones 0 0 0 0 32 Direcci n de host 0 0 0 0 No es un rango de direcciones 0 0 0 0 Todas las direcciones de todas las redes IPv6 20011 DB81 22 50001 1 21f7 2001 DB8 22 5000 21f7 20011 DB8 221 50001 1 0 52 De 2001 DB8 22 5000 0a2001 DB8 22 5fff ffff PERRERA FFAA 01 1 0 0 Todas las direcciones de todas las redes Observe que la direcci n 0 0 0 0 32 coincide con la direcci n espec fica 0 0 0 0 Al agregar la entrada 0 0 0 0 32 a la plantilla de
11. user_attr 4 Agrega los atributos de seguridad de usuario clearance y min_label que son espec ficos de Trusted Extensions Consulte Planificaci n de la seguridad del usuario en Trusted Extensions 25 Ap ndice D Lista de las p ginas del comando man de Trusted Extensions 339 340 Configuraci n y administraci n de Trusted Extensions Julio de 2014 acreditaci n acreditaci n de usuario administrador de la seguridad administrador del sistema Glosario El l mite superior del conjunto de etiquetas en el que puede trabajar el usuario El l mite inferior es la etiqueta m nima que es asignada por el administrador de la seguridad Existen dos tipos de acreditaci n acreditaci n de sesi n o acreditaci n de usuario La acreditaci n asignada por el administrador de la seguridad que establece el l mite superior del conjunto de etiquetas en las que el usuario puede trabajar en cualquier momento El usuario puede decidir aceptar la acreditaci n predeterminada o bien restringir m s dicha acreditaci n durante cualquier sesi n En una organizaci n donde se debe proteger la informaci n confidencial la persona o las personas que definen y aplican la pol tica de seguridad del sitio Estas personas tienen acreditaci n para acceder a toda la informaci n que se est procesando en el sitio En el mbito del software el rol administrativo de administrador de la seguridad se asigna a una o varias personas q
12. Despu s de agregar hosts y grupos de hosts al archivo etc hosts de un sistema el sistema reconoce los hosts S lo es posible agregar hosts conocidos a una plantilla de seguridad Debe estar con el rol de usuario root en la zona global Agregue hosts individuales al archivo etc hosts Cap tulo 16 Gesti n de redes en Trusted Extensions 217 C mo crear plantillas de seguridad v Antes de empezar pfedit etc hosts 192 168 111 121 ahost Agregue un grupo de hosts al archivo etc hosts pfedit etc hosts 192 168 111 0 111 network Creaci n de plantillas de seguridad Esta secci n contiene referencias o ejemplos sobre la creaci n de plantillas de seguridad para las siguientes configuraciones de red F dominio de interpretaci n es un valor distinto de 1 Consulte C mo configurar un dominio de interpretaci n diferente 43 m A los hosts remotos de confianza se les asigna una etiqueta espec fica Consulte el Ejemplo 16 1 Creaci n de una plantilla de seguridad para una puerta de enlace que gestiona paquetes en una sola etiqueta A los hosts remotos no de confianza se les asigna una etiqueta espec fica Consulte el Ejemplo 16 2 Creaci n de una plantilla de seguridad sin etiquetas en la etiqueta PUBLIC Para ver m s ejemplos de plantillas de seguridad que satisfacen requisitos espec ficos consulte Agregaci n de hosts a plantillas de seguridad 221 C mo crear plantillas de s
13. Se reinicia la zona para actualizar la zona que una contrase a ha cambiado C mo aplicar una nueva contrase a de usuario local en una zona con etiquetas 120 Utilizar la combinaci n de teclas de aviso de seguridad Permite obtener control del mouse o el teclado Adem s permite probar si el mouse o el teclado son de confianza C mo recuperar el control del enfoque actual del escritorio 121 Determinar el n mero hexadecimal de una etiqueta Muestra la representaci n interna de una etiqueta de texto C mo obtener el equivalente hexadecimal de una etiqueta 122 Determinar la representaci n de texto de una etiqueta Muestra la representaci n de texto de una etiqueta hexadecimal C mo obtener una etiqueta legible de su forma hexadecimal 123 Asignar un dispositivo Permite a los usuarios asignar dispositivos Utiliza un dispositivo perif rico para agregar o eliminar informaci n en el sistema C mo autorizar a usuarios para que asignen un dispositivo de Protecci n de sistemas y dispositivos conectados en Oracle Solaris 11 2 C mo asignar un dispositivo en Trusted Extensions de Gu a del usuario de Trusted Extensions Cambiar un archivo de configuraci n del sistema Cambia los valores de seguridad predeterminados de Trusted Extensions y Oracle Solaris C mo cambiar los valores predeterminados de seguridad en los archivos del sistema 124
14. Si a algunos usuarios se les permite el acceso decida si el sitio requiere autorizaciones adicionales a fin de garantizar la seguridad del sitio Para obtener una lista predeterminada con las autorizaciones relacionadas con los dispositivos consulte C mo asignar autorizaciones para dispositivos 300 Para crear un conjunto de autorizaciones para dispositivos m s espec fico consulte Personalizaci n de autorizaciones para dispositivos en Trusted Extensions 296 Decida si las cuentas de usuario se deben crear por separado en las zonas etiquetadas De manera predeterminada las zonas etiquetadas comparten la configuraci n del servicio de nombres de la zona global Por lo tanto las cuentas de usuario se crean en la zona global para todas las zonas Los archivos etc passwd y etc shadow de las zonas con etiquetas son vistas de s lo lectura de los archivos de la zona global Del mismo modo las bases de datos LDAP son de s lo lectura en las zonas etiquetadas Las aplicaciones que instala en una zona desde dentro de una zona posiblemente requieran la creaci n de cuentas de usuario por ejemplo pkg service network ftp Para activar una aplicaci n espec fica de zona para crear una cuenta de usuario debe configurar el daemon de servicio de nombres por zona como se describe en C mo configurar un servicio de nombres independiente para cada zona con etiquetas 54 Las cuentas de usuario que Cap tulo 10 Acerca de usuarios derecho
15. lt BODY gt The com newco dev allocate cdvd authorization enables you to allocate the CD drive on your system for your exclusive use lt p gt The use of this authorization by a user other than the authorized account is a security violation lt p gt lt BODY gt lt HTML gt Despu s de crear los archivos de ayuda el administrador utiliza el comando auths para crear cada autorizaci n de dispositivo Dedo que las autorizaciones se utilizan en toda la compa a el administrador coloca las autorizaciones en el repositorio LDAP El comando incluye el nombre de la ruta a los archivos de ayuda El administrador crea dos autorizaciones de dispositivos y un encabezado de autorizaci n Newco m Una autorizaci n autoriza al usuario para asignar una unidad de CD ROM o DVD auths add S ldap t Allocate CD or DVD h docs helps NewcoDevAllocateCDVD html com newco dev allocate cdvd Una autorizaci n autoriza al usuario para asignar un dispositivo USB auths add S ldap t Allocate USB h docs helps NewcoDevAllocateUSB html com newco dev allocate usb m El encabezado de autorizaci n Newco identifica todas las autorizaciones Newco auths add S ldap t Newco Auth Header h docs helps Newco html com newco Creaci n y asignaci n de autorizaciones de dispositivos Trusted Path y Non Trusted Path De manera predeterminada la autorizaci n Allocate Devices permite la asignaci n desde adentro de Trusted
16. Ejecute el comando txzonemgr sin ninguna opci n txzonemgr La secuencia de comandos abre el cuadro de di logo Labeled Zone Manager Este cuadro de di logo de zenity le solicita que realice las tareas correspondientes seg n el estado actual de su configuraci n Para realizar una tarea seleccione la opci n de men a continuaci n presione la tecla de retorno o haga clic en OK Cuando se le pida que introduzca texto escriba el texto y a continuaci n presione la tecla de retorno o haga clic en OK Cap tulo 4 Configuraci n de Trusted Extensions 45 C mo crear zonas con etiquetas de forma interactiva 46 Sugerencia Para ver el estado actual de finalizaci n de la zona haga clic en Return to Main Menu en Labeled Zone Manager O bien puede hacer clic en el bot n Cancel 2 Seleccione uno de los siguientes m todos para instalar las zonas m Para crear dos zonas con etiquetas seleccione public and internal zones en el cuadro de di logo Laprimera zona con etiquetas se basa en el valor de Default User Sensitivity Label del archivo label_encodings Ia segunda zona con etiquetas se basa en el valor de Default User Clearance del archivo label_encodings a Responda la petici n de datos para identificar el sistema Si la zona public utiliza una pila de IP exclusiva o si tiene una direcci n IP definida en DNS utilice el nombre de host como se define en DNS De lo contrario utilice el nombre del sis
17. Gesti n de auditor a por roles en Trusted Extensions La auditor a en Trusted Extensions requiere la misma planificaci n que en el SO Oracle Solaris Para obtener detalles sobre la planificaci n consulte el Cap tulo 2 Planificaci n de la auditor a de Gesti n de auditor a en Oracle Solaris 11 2 Cap tulo 22 Trusted Extensions y la auditor a 303 Referencia de auditor a de Trusted Extensions Responsabilidades de los roles para la administraci n de auditor a En Trusted Extensions existen diferentes roles que son responsables de la auditor a m E rol de usuario root asigna indicadores de auditor a a los usuarios y perfiles de derechos y edita los archivos del sistema como la secuencia de comandos audit_warn E rol de administrador del sistema configura los discos y la red de almacenamiento de auditor a Este rol tambi n puede revisar los registros de auditor a a F rol de administrador de la seguridad decide qu se auditar y configura la auditor a El equipo de configuraci n inicial cre este rol siguiendo las instrucciones detalladas en C mo crear el rol de administrador de la seguridad en Trusted Extensions 56 Nota Un sistema s lo registra los eventos de las clases de auditor a que el administrador de la seguridad ha seleccionado previamente Por lo tanto en cualquier revisi n de auditor a que se realice luego solamente se pueden incluir los eventos que se hayan registrado A
18. Se muestra la entrada de VNIC El sistema asigna el nombre zonename_n como en internal_0 Para configurar la red externa del sistema vaya a C mo conectar un sistema Trusted Extensions con otros sistemas Trusted Extensions 53 C mo conectar un sistema Trusted Extensions con otros sistemas Trusted Extensions En este procedimiento se define la red de Trusted Extensions mediante la agregaci n de hosts remotos a los que el sistema Trusted Extensions se puede conectar Aparece Labeled Zone Manager Para abrir esta interfaz gr fica de usuario consulte C mo crear zonas con etiquetas de forma interactiva 45 Debe estar con el rol de usuario root en la zona global En Labeled Zone Manager haga doble clic en la zona global Seleccione Add Multilevel Access to Remote Host Cap tulo 4 Configuraci n de Trusted Extensions 53 C mo configurar un servicio de nombres independiente para cada zona con etiquetas V ase tambi n Antes de empezar a Escriba la direcci n IP de otro sistema Trusted Extensions b Ejecute los comandos correspondientes en el otro sistema Trusted Extensions Haga clic en Cancel para volver a la lista de comandos de zonas En Labeled Zone Manager haga doble clic en una zona con etiquetas Seleccione Add Access to Remote Host a Escriba la direcci n IP de la zona con etiquetas id nticas en otro sistema Trusted Extensions b Ejecute los comandos correspondientes en la zona del otro a sist
19. Tarea Descripci n Para obtener instrucciones que funciona en la misma etiqueta como una zona existente Crear un conjunto de datos para alojar directorios y archivos en todas las etiquetas Crea y monta un conjunto de datos donde los archivos se puedan volver a etiquetar con una carga m nima C mo crear y compartir un conjunto de datos de varios niveles 69 Crear un servidor de Crea varios servidores de directorios ra z uno para cada C mo crear el servidor de directorio principal directorio ra z en cada etiqueta etiqueta O crea un servidor de directorio ra z de varios en Trusted Extensions 63 niveles Crear usuarios iniciales que pueden asumir roles Crea usuarios de confianza para administrar el sistema cuando asuman un rol C mo crear usuarios que puedan asumir roles en Trusted Extensions 58 Eliminar Trusted Extensions C mo eliminar Trusted Extensions del sistema 74 Elimina Trusted Extensions y todos los datos de confianza del sistema Tambi n prepara el sistema Oracle Solaris para ejecutar Trusted Extensions Antes de empezar C mo crear una segunda etiquetada secundaria Las zonas etiquetadas secundarias son tiles para aislar servicios en diferentes zonas y permiten que los servicios se ejecuten en la misma etiqueta Para obtener m s informaci n consulte Zonas etiquetadas primarias y secundarias 161 La zona primary debe ex
20. echo j cut d f3 if uid ge 100 then home echo j cut d f6 if home home then user echo j cut d f1 echo Updating home directory for user homedir export home user usermod md hostname homedir S scope user mp mount p grep homedir zfs dataset echo mp cut d f1 if n dataset then zfs set sharenfs on dataset f fi fi done Cap tulo 4 Configuraci n de Trusted Extensions 65 Resoluci n de los problemas de configuraci n de Trusted Extensions 2 En cada servidor NFS ejecute la secuencia de comandos anterior en la zona con etiquetas que presta servicios a clientes en esa etiqueta Resoluci n de los problemas de configuraci n de Trusted Extensions Un escritorio con una configuraci n incorrecta puede impedir el uso del sistema Y C mo mover los paneles de escritorio a la parte inferior de la pantalla Nota Si ha movido los paneles de escritorio a la parte superior de la pantalla la banda de confianza de Trusted Extensions los cubre Los paneles deben estar en la parte lateral o inferior del espacio de trabajo Un espacio de trabajo predeterminado tiene dos paneles de escritorio Antes de empezar Debe estar con el rol de usuario root para cambiar la ubicaci n de los paneles de escritorio del sistema 1 Si hay un panel de escritorio visible en la parte inferior de la pantalla realice una de las siguientes acciones m Utilice el bot
21. gt CLASSIFICATIONS lt Classification 1 PUBLIC Initial Compartment bits 10 Initial Markings bits NONE gt COMPARTMENTS AND MARKINGS USAGE ANALYSIS lt gt SENSITIVITY LABEL to COLOR MAPPING lt El administrador imprime una copia del an lisis sem ntico para el archivo y a continuaci n instala el archivo labeladm encodings tmp encodings label_encodings2 Cap tulo 4 Configuraci n de Trusted Extensions 41 C mo configurar una red CIPSO IPv6 en Trusted Extensions Pasos siguientes v A Antes de empezar 42 Errores m s frecuentes Por ltimo el administrador verifica que el archivo label_encodings sea el archivo de la compa a labeladm Labeling status disabled Latest log Label encodings file var tsol encodings label encodings file usr sbin chk_encodings a var tsol encodings label encodings file head 4 No errors found in var tsol encodings label encodings file gt VERSION MYCOMPANY LABEL ENCODINGS 3 0 10 10 2013 Debe reiniciar el sistema antes de configurar LDAP o de crear zonas con etiquetas C mo configurar una red CIPSO IPv6 en Trusted Extensions Para IPv6 Trusted Extensions utiliza la opci n de seguridad de IPv6 de etiquetas de arquitectura com n CALIPSO como el protocolo de etiquetado de seguridad No es necesario realizar ninguna configuraci n Si debe comunicarse con sistemas que ejecutan el protocolo CIPSO IPv6 obsoleto de Trusted
22. tncfg cipso_int_and_rst gt set aux_label cnf restricted tncfg cipso_int_and_rst gt exit A continuaci n el administrador asigna el rango de direcciones IP a la plantilla de seguridad mediante una longitud de prefijo tncfg t cipso_int_rstrct tncfg cipso_int_rstrct gt set host 192 168 132 0 24 Creaci n de un host con etiquetas para desarrolladores En este ejemplo el administrador de la seguridad crea una plantilla de seguridad cipso_sandbox Esta plantilla se asigna a los sistemas que utilizan los desarrolladores de software de confianza Las pruebas de desarrolladores no afectan a otros hosts con etiquetas porque la etiqueta SANDBOX est separada de las otras etiquetas de la red tncfg t cipso_sandbox tncfg cipso_sandbox gt set host_type cipso tncfg cipso_sandbox gt set doi 1 tncfg cipso_sandbox gt set min_sl SBX tncfg cipso_sandbox gt set max_sl SBX tncfg cipso_sandbox gt add host 196 168 129 102 tncfg cipso_sandbox gt add host 196 168 129 129 tncfg cipso_sandbox gt exit Los desarrolladores que utilizan los sistemas 196 168 129 102 y 196 168 129 129 pueden comunicarse entre s en la etiqueta SANDBOX Creaci n de una plantilla de seguridad para un host netif En este ejemplo el administrador de seguridad crea una plantilla de seguridad netif Esta plantilla se asigna a la interfaz de red etiquetada que contiene la direcci n IP 10 121 10 3 Con esta asignaci n el m dulo IP de Trusted Extensions agre
23. Aunque el desarrollador de programas puede manipular los conjuntos de privilegios en el c digo de origen si el administrador de la seguridad no asigna los privilegios necesarios al programa el programa fallar El desarrollador y el administrador de la seguridad deben cooperar cuando se crean programas de confianza El desarrollador que escribe un programa de confianza debe realizar lo siguiente Comprender cu ndo el programa requiere privilegios para realizar su trabajo Conocer y aplicar las t cnicas como el escalonamiento de privilegios para utilizar de un modo seguro los privilegios en los programas Tener en cuenta las consecuencias para la seguridad cuando asigna privilegios a un programa El programa no debe infringir la pol tica de seguridad Compilar el programa mediante las bibliotecas compartidas que est n enlazadas al programa desde un directorio de confianza Cap tulo 23 Gesti n de software en Trusted Extensions 313 Agregaci n de software a Trusted Extensions Para obtener informaci n adicional consulte la Developer s Guide to Oracle Solaris 11 Security Para ver ejemplos de c digos para Trusted Extensions consulte la Trusted Extensions Developers Guide Responsabilidades del administrador de la seguridad para los programas de confianza El administrador de la seguridad es el responsable de probar y evaluar el software nuevo Despu s de establecer que el software es de confianza el admin
24. Errores m s frecuentes Antes de empezar ejemplo 13 5 ejemplo 13 6 cd net machinel zone needtoknow root data Si el intento de acceder al conjunto de datos desde la etiqueta superior devuelve los mensajes de error not found O No such file or directory el administrador debe reiniciar el servicio del montador autom tico mediante la ejecuci n del comando svcadm restart autofs C mo permitir que los archivos se vuelvan a etiquetar desde una zona con etiquetas Este procedimiento es un requisito previo para que un usuario pueda volver a etiquetar archivos La zona que planea configurar debe estar detenida Debe estar con el rol de administrador de la seguridad en la zona global Abra Labeled Zone Manager usr sbin txzonemgr Configure la zona para activar la opci n de volver a etiquetar a Haga doble clic en la zona b En la lista seleccione Permit Relabeling Seleccione Boot para reiniciar la zona Haga clic en Cancel para volver a la lista de zonas Para conocer los requisitos del proceso y del usuario que permiten volver a etiquetar consulte la p gina del comando man setflabel 3TSOL Para saber c mo autorizar a un usuario a que vuelva a etiquetar archivos consulte C mo activar a un usuario para que cambie el nivel de seguridad de los datos 145 C mo permitir degradaciones nicamente de la zona internal En este ejemplo el administrador de seguridad utiliza el comando zonecfg para permitir la d
25. Esta pol tica tiene por objeto que la administraci n remota se realice por medio de otro sistema Trusted Extensions Por lo tanto al igual que en un sistema Oracle Solaris se debe configurar la administraci n remota Trusted Extensions agrega dos requisitos de configuraci n el rango de etiquetas necesario para acceder a la zona global y el m dulo pam_tsol_account M todos para administrar sistemas remotos en Trusted Extensions 148 En Trusted Extensions debe usar el protocolo shell seguro con la autenticaci n basada en host para acceder al sistema remoto y administrarlo La autenticaci n basada en host permite que una cuenta de usuario con nombre id ntico asuma un rol en el sistema Trusted Extensions remoto Cuando se utiliza la autenticaci n basada en host el cliente shell seguro env a el nombre de usuario original y el nombre de rol al sistema remoto es decir el servidor Con esta informaci n el servidor puede transferir suficiente contenido al m dulo pam_roles para permitir que se asuma un rol sin iniciar sesi n en el servidor con la cuenta de usuario Los siguientes m todos de administraci n remota son posibles en Trusted Extensions Administraci n desde un sistema Trusted Extensions para contar con la administraci n remota m s segura ambos sistemas asignan su igual a una plantilla de seguridad CIPSO Consulte el Ejemplo 12 1 Asignaci n del tipo de host CIPSO para la administraci n remota Ad
26. Jetc hosts file proxy host name IP address web service host name IP address Configure la zona Por ejemplo configure la zona public para que reconozca los paquetes que expl citamente tienen la etiqueta PUBLIC Para esta configuraci n la plantilla de seguridad se denomina webprox tncfg t webprox tncfg public gt set name webprox tncfg public gt set host_type cipso tncfg public gt set min_label public tncfg public gt set max_label public tncfg public gt add host mywebproxy oracle com host name associated with public zone tncfg public gt add host 10 1 2 3 16 IP address of public zone tncfg public gt exit Cap tulo 16 Gesti n de redes en Trusted Extensions 235 C mo crear un puerto de varios niveles para una zona ejemplo 16 21 ejemplo 16 22 Configure el puerto de varios niveles Por ejemplo el servicio proxy web podr a establecer una comunicaci n con la zona PUBLIC por medio de la interfaz 8080 tcp tncfg z public add mlp_shared 8080 tcp tncfg z public add mlp_private 8080 tcp Para agregar el puerto de varios niveles al n cleo inicie la zona zoneadm z zone name boot En la zona global agregue rutas para las nuevas direcciones Para agregar rutas consulte C mo agregar rutas predeterminadas 234 Configuraci n de un puerto de varios niveles con la interfaz gr fica de usuario txzonemgr Para configurar el servicio proxy web el administrador abre Labeled Zone Manager txzone
27. Por lo tanto estas bases de datos utilizan los servicios de nombres predeterminados files ldap en ese orden svccfg s name service switch listprop config config application config value_authorization astring solaris smf value name service switch config default astring files ldap config host astring files dns Configuraci n y administraci n de Trusted Extensions Julio de 2014 C mo depurar la conexi n de un cliente con el servidor LDAP config netgroup astring ldap Compruebe que el cliente est configurado correctamente en el servidor ldaplist l tnrhdb client IP address Compruebe que las interfaces para sus zonas con etiquetas est n configuradas correctamente en el servidor LDAP ldaplist l tnrhdb client zone IP address Verifique que puede establecer contacto con el servidor LDAP desde todas las zonas que se encuentran en ejecuci n ldapclient list NS_LDAP_SERVERS LDAP server address zlogin zone namel ping LDAP server address LDAP server address is alive zlogin zone name2 ping LDAP server address LDAP server address is alive Configure LDAP y reinicie el sistema a Para conocer el procedimiento consulte Conversi n de la zona global en un cliente LDAP en Trusted Extensions 86 b En cada zona con etiquetas vuelva a establecer la zona como cliente del servidor LDAP zlogin zone name1 ldapclient init a profileName profileName a domainName domain a proxyDN pr
28. and or documentation delivered to U S Government end users are commercial computer software pursuant to the applicable Federal Acquisition Regulation and agency specific supplemental regulations As such use duplication disclosure modification and adaptation of the programs including any operating system integrated software any programs installed on the hardware and or documentation shall be subject to license terms and license restrictions applicable to the programs No other rights are granted to the U S Government Este software o hardware se ha desarrollado para uso general en diversas aplicaciones de gesti n de la informaci n No se ha dise ado ni est destinado para utilizarse en aplicaciones de riesgo inherente incluidas las aplicaciones que pueden causar da os personales Si utiliza este software o hardware en aplicaciones de riesgo usted ser responsable de tomar todas las medidas apropiadas de prevenci n de fallos copia de seguridad redundancia o de cualquier otro tipo para garantizar la seguridad en el uso de este software o hardware Oracle Corporation y sus filiales declinan toda responsabilidad derivada de los da os causados por el uso de este software o hardware en aplicaciones de riesgo Oracle y Java son marcas comerciales registradas de Oracle y o sus filiales Todos los dem s nombres pueden ser marcas comerciales de sus respectivos propietarios Intel e Intel Xeon son marcas comerciales o marcas comerciales re
29. de la separaci n de etiquetas en el servidor X etc default login Reducir el n mero permitido P gina del comando man passwd 1 de intentos de introducci n de contrase a etc default kbd Desactivar la interrupci n del C mo desactivar una secuencia de interrupci n del sistema teclado de Protecci n de sistemas y dispositivos conectados en Oracle Solaris 11 2 124 Configuraci n y administraci n de Trusted Extensions Julio de 2014 C mo cambiar los valores predeterminados de seguridad en los archivos del sistema Archivo Tarea Para obtener m s informaci n Nota En los hosts que los administradores utilizan para realizar la depuraci n la configuraci n predeterminada para KEYBOARD _ ABORT permite el acceso al depurador del n cleo kadb P gina del comando man kadb 1M etc security policy conf Solicitar un algoritmo m s potente para las contrase as de usuario Eliminar un privilegio b sico de todos los usuarios de este host Restringir a los usuarios de este host a las autorizaciones de usuario de Solaris b sico P gina del comando man policy conf 4 etc default passwd Solicitar a los usuarios que cambien las contrase as con frecuencia Solicitar a los usuarios que creen contrase as que sean extremadamente diferentes Solicitar una contrase a de usuario m s larga Solicitar una contrase a que no se pueda encontrar en el diccionario P gina del
30. ejecute uno de los siguientes comandos para cada zona Cada zona puede compartir sus sistemas de archivos de cualquiera de estas maneras El uso compartido real tiene lugar cuando las zonas est n en estado ready o running Cap tulo 14 Gesti n y montaje de archivos en Trusted Extensions 187 C mo compartir sistemas de archivos de una zona con etiquetas ejemplo 14 1 m Sila zona no est en estado running y no desea que los usuarios inicien sesi n en el servidor en la etiqueta de la zona fije el estado de la zona en ready zoneadm z zone name ready m Sila zona no est en estado running y los usuarios tienen permiso para iniciar sesi n en el servidor en la etiqueta de la zona d inicio a la zona zoneadm z zone name boot m Sila zona ya est en ejecuci n rein ciela zoneadm z zone name reboot Muestre los sistemas de archivos que se comparten desde el sistema En el rol de usuario root en la zona global ejecute el siguiente comando zfs get all rpool Para obtener m s informaci n consulte Consulta de informaci n del sistema de archivos ZFS de Gesti n de sistemas de archivos ZFS en Oracle Solaris 11 2 Para permitir que el cliente monte el sistema de archivos compartido consulte C mo montar archivos en NFS en una zona con etiquetas 189 Uso compartido del sistema de archivos export share en la etiqueta PUBLIC Para las aplicaciones que se ejecutan en la etiqueta PUBLIC el administr
31. mero arbitrario de zonas etiquetadas secundarias La zona global sigue siendo una excepci n Es la nica zona que puede tener asignada la etiqueta ADMIN_LOW y por tanto no puede tener una zona secundaria Para crear una zona secundaria consulte C mo crear una segunda etiquetada secundaria 68 y la p gina del comando man zenity 1 Utilidades de administraci n de zonas en Trusted Extensions Algunas tareas de administraci n de la zona pueden realizarse desde la l nea de comandos Sin embargo la forma m s sencilla de administrar zonas es utilizar la secuencia de comandos de shell usr sbin txzonemgr que proporciona Trusted Extensions Esta secuencia de comandos proporciona un asistente basado en men para crear instalar inicializar e iniciar las zonas Para obtener detalles consulte las p ginas del comando man txzonemgr 1M y zenity 1 Gesti n de zonas El mapa de tareas siguiente describe las tareas de gesti n de zonas que son espec ficas de Trusted Extensions El mapa tambi n incluye enlaces a los procedimientos comunes que se realizan en Trusted Extensions de la misma manera que en un sistema Oracle Solaris TABLA 13 1 Mapa de tareas de gesti n de zonas Tarea Descripci n Para obtener instrucciones Ver todas las zonas En cualquier etiqueta se visualizan las zonas C mo visualizar las zonas que est n preparadas dominadas por la zona actual o en ejecuci n 163 162 Configuraci n y administr
32. n haga doble clic en la entrada de direcci n IP Si la zona tiene m s de una direcci n IP seleccione la entrada con la interfaz deseada Cuando se solicite escriba la direcci n IP del enrutador y haga clic en OK 234 Configuraci n y administraci n de Trusted Extensions Julio de 2014 C mo crear un puerto de varios niveles para una zona ejemplo 16 20 Antes de empezar Nota Para eliminar o modificar el enrutador predeterminado elimine la entrada cree la entrada de IP de nuevo y agregue el enrutador Si la zona s lo tiene una direcci n IP debe eliminar la instancia de IP para eliminar la entrada Uso del comando route para definir la ruta predeterminada de la zona global En este ejemplo el administrador utiliza el comando route para crear una ruta predeterminada para la zona global route add default 192 168 113 1 static C mo crear un puerto de varios niveles para una zona Puede agregar MLP privados y compartidos a las zonas con etiquetas y la zona global Este procedimiento se utiliza cuando una aplicaci n que se ejecuta en una zona con etiquetas necesita un puerto de varios niveles MLP para comunicarse con la zona En este procedimiento un proxy web se comunica con la zona Debe estar con el rol de usuario root en la zona global El sistema debe tener al menos dos direcciones IP y la zona con etiquetas debe estar detenida Agregue el host proxy y los servicios web host al archivo etc hosts
33. n de fase 1 single label multi_label ywire label in iked 1M Admite la negociaci n de asociaciones de seguridad con etiquetas a trav s de los puertos UDP de varios niveles 500 y 4500 en la zona global Adem s consulte la p gina del comando man ike config 4 ipadm 1M Agrega la interfaz all zones como un valor de propiedad permanente Para ver un ejemplo consulte C mo verificar que las interfaces de un sistema est n activas 243 ipseckey 1M Agrega las extensiones label outer label e implicit label Estas extensiones asocian las etiquetas de Trusted Extensions con el tr fico que se transporta dentro de una asociaci n de seguridad is system labeled Betermina si el sistema est configurado con Trusted Extensions ldaplist 1 Agrega bases de datos de red de Trusted Extensions en LDAP list devices 1 Agrega atributos como etiquetas que est n asociados con un dispositivo Agrega la opci n a para mostrar los atributos del dispositivo como las autorizaciones y las etiquetas Agrega la opci n d para mostrar los atributos predeterminados de un tipo de dispositivo asignado Agrega la opci n z para mostrar los dispositivos disponibles que pueden asignarse a una zona con etiquetas netstat 1M Agrega la opci n R para mostrar los atributos de seguridad ampliados para los sockets y las entradas de la tabla de enrutamiento Para ver un ejemplo consulte C mo resolver problemas por fallos de montaje en Trusted Extens
34. n de los dispositivos con el software Trusted Extensions 281 Interfaz gr fica de usuario Device Manager 283 m Aplicaci n de la seguridad de los dispositivos en Trusted Extensions 285 Dispositivos en Trusted Extensions referencia 286 Protecci n de los dispositivos con el software Trusted Extensions En un sistema Oracle Solaris los dispositivos se pueden proteger mediante la asignaci n y la autorizaci n De manera predeterminada los dispositivos se encuentran disponibles para los usuarios comunes sin necesidad de autorizaci n Un sistema configurado con la funci n Trusted Extensions utiliza los mecanismos de protecci n de dispositivos del SO Oracle Solaris Sin embargo de manera predeterminada Trusted Extensions requiere que los dispositivos se asignen y que el usuario est autorizado para usarlos Adem s los dispositivos se protegen mediante etiquetas Trusted Extensions proporciona una interfaz gr fica de usuario GUI Graphical User Interface para que los administradores puedan gestionar los dispositivos Es la misma interfaz que utilizan los usuarios para asignar los dispositivos Nota En Trusted Extensions los usuarios no pueden utilizar los comandos allocate y deallocate Los usuarios deben utilizar Device Manager Para obtener informaci n sobre la protecci n de dispositivos en Oracle Solaris consulte Cap tulo 4 Control de acceso a dispositivos de Protecci n de sistemas y
35. similitudes con la auditor a de Trusted Extensions 303 similitudes con Trusted Extensions 91 software administraci n de terceros 311 importaci n 311 solaris print admin autorizaci n 268 solaris print list autorizaci n 268 solaris print nobanner autorizaci n 268 solaris print unlabeled autorizaci n 268 Stop A activaci n 124 subida de nivel de etiquetas configuraci n de reglas para el confirmador de selecci n 114 supresi n zonas con etiquetas 74 T tareas adicionales de configuraci n de Trusted Extensions 67 tareas comunes en Trusted Extensions mapa de tareas 119 tareas y mapas de tareas configuraci n de impresi n con etiquetas mapa de tareas 269 configuraci n de IPsec con etiquetas mapa de tareas 237 configuraci n de la administraci n remota en Trusted Extensions mapa de tareas 149 configuraci n de LDAP en una red Trusted Extensions mapa de tareas 75 configuraci n de un servidor proxy LDAP en un sistema Trusted Extensions mapa de tareas 76 control de dispositivos en Trusted Extensions mapa de tareas 287 creaci n de zonas con etiquetas 43 etiquetado de hosts y redes tareas 215 gesti n de dispositivos en Trusted Extensions mapa de tareas 288 gesti n de impresi n en Trusted Extensions mapa de tareas 269 gesti n de usuarios y derechos 141 gesti n de zonas mapa de tareas 162 mapa de tareas de introducci n para administradores de Trusted E
36. tica de dispositivos determina qu programas requieren privilegio para la ejecuci n y protege a los usuarios entre otras tareas El administrador del sistema comparte y monta sistemas de archivos instala paquetes de software y crea usuarios entre otras tareas FIGURA 1 1 Administraci n de un sistema Trusted Extensions divisi n de tareas por rol Equipo de configuraci n inicial 1 Recopila informaci n 2 Toma decisiones relacionadas con la configuraci n 3 Instala el sistema operativo Oracle Solaris 4 Agrega el paquete de Trusted Extensions 5 Activa el servicio de Trusted Extensions 6 Controla e instala el archivo label_encodings 7 Se encarga del reinicio 8 Crea roles administrativos y usuarios para que asuman roles 9 Establece zonas con etiquetas y luego las redes y LDAP Administrador del sistema Ga Administrador lt a de la seguridad Dos AS Inicia sesi n y asume roles Configura y mantiene los sistemas Inicia sesi n y asume roles Configura la seguridad de la informaci n como las etiquetas como el montaje del directorio principal la instalaci n de software y la asignaci n de ID de usuario Configura la seguridad de los derechos como las contrase as de usuario y los privilegios en los comandos Cap tulo 1 Planificaci n de la seguridad para Trusted Extensions 27 Resultados de la activaci n de Trusted Extensions desde la perspectiva de un ad
37. tulo 16 Gesti n de redes en Trusted Extensions 239 C mo configurar un t nel en una red que no es de confianza Utilice encr_auth_algs en lugar de auth_algs en el archivo etc inet ipsecinit conf para gestionar la autenticaci n La autenticaci n ESP no abarca el encabezado IP y las opciones IP pero autenticar toda la informaci n despu s del encabezado ESP laddr enigma raddr partym ipsec encr_algs any encr_auth_algs any sa shared Nota Tambi n puede agregar etiquetas a los sistemas que est n protegidos mediante certificados Los certificados de claves p blicas se gestionan en la zona global en los sistemas Trusted Extensions Modifique los archivos ike config de manera similar cuando complete los procedimientos descriptos en Configuraci n de IKEv2 con certificados de claves p blicas de Protecci n de la red en Oracle Solaris 11 2 Y C mo configurar un t nel en una red que no es de confianza Este procedimiento configura un t nel IPsec en una red p blica entre dos sistemas de puerta de enlace VPN de Trusted Extensions El ejemplo que se utiliza en este procedimiento se basa en la configuraci n ilustrada en Descripci n de la topolog a de red para la protecci n de una VPN por parte de las tareas de IPsec de Protecci n de la red en Oracle Solaris 11 2 Supongamos que se realizan las siguientes modificaciones en la ilustraci n Las 10 subredes son redes de confianza de varios niveles La
38. 109 opci n de men Change Password 109 119 control Ver restricci n control de acceso discrecional DAC 95 control de acceso obligatorio MAC aplicaci n en la red 193 en Trusted Extensions 95 control de dispositivos en Trusted Extensions mapa de tareas 287 copia de seguridad de sistema anterior previo a la instalaci n 28 correo administraci n 257 implementaci n en Trusted Extensions 257 353 ndice varios niveles 257 cortar y pegar configuraci n de reglas para cambios de etiquetas 114 y etiquetas 112 creaci n autorizaciones para dispositivos 297 cliente LDAP 86 cuentas 56 cuentas durante la configuraci n o despu s 35 directorios de inicio 63 182 rol LDAP con roleadd 58 rol local con roleadd 56 roles 56 servidor de directorios de inicio 63 servidor proxy LDAP para clientes de Trusted Extensions 85 usuario local con userada 60 usuarios que puedan asumir roles 58 zonas 43 zonas con etiquetas 43 creaci n de zonas con etiquetas 43 cuadro de di logo Selection Manager descripci n 109 cuentas 91 91 Ver tambi n roles Ver tambi n usuarios creaci n 56 planificaci n 25 D DAC Ver control de acceso discrecional DAC daemon de cach de servicio de nombres Ver daemon nscd daemon nscd agregaci n a cada zona con etiquetas 54 datos reetiguetado eficaz 69 decisi n de configurar mediante la asunci n de un rol limitado o como root 35 de usar un archivo de codificaciones
39. 113 0 24 tncfg cipso gt remove host 192 168 113 100 25 tncfg cipso gt remove host 2001 a08 3903 200 0 56 tncfg cipso gt info max_label ADMIN_HIGH host 127 0 0 1 32 host 192 168 75 0 24 Despu s de eliminar los hosts el administrador confirma los cambios y sale de la plantilla de seguridad tncfg cipso gt commit tncfg cipso gt exit C mo agregar un rango de hosts a una plantilla de seguridad Para conocer los requisitos consulte C mo agregar un host a una plantilla de seguridad 221 Para asignar una plantilla de seguridad a una subred agregue la direcci n de subred a la plantilla En este ejemplo agrega dos subredes IPv4 a la plantilla cipso y a continuaci n visualiza la plantilla de seguridad tncfg t cipso tncfg cipso gt add host 192 168 75 0 tncfg cipso gt add host 192 168 113 0 tncfg cipso gt info host 192 168 75 0 24 host 192 168 113 0 24 tncfg cipso gt exit La longitud del prefijo de 24 indica que la direcci n que termina en 0 es una subred tncfg t cipso tncfg cipso gt add host 192 168 113 100 25 192 168 113 100 25 previously matched the admin_low template Cap tulo 16 Gesti n de redes en Trusted Extensions 227 C mo agregar un rango de hosts a una plantilla de seguridad ejemplo 16 13 ejemplo 16 14 Para asignar una plantilla de seguridad a un rango de direcciones especifique la direcci n IP y la longitud del prefijo En el siguiente ejemplo la longitud del pre
40. 177 resoluci n de problemas 190 sistemas de archivos 187 montaje de conjuntos de datos en Trusted Extensions 173 montajes de varios niveles versiones del protocolo NFS 184 montajes NFS acceso a directorios de nivel inferior 182 en zonas globales y con etiquetas 177 N NFS montaje de conjuntos de datos en Trusted Extensions 173 nombres especificaci n para zonas 45 nombres de sistemas de archivos 187 O opci n c secuencia de comandos txzonemgr 44 opci n de men Assume Role 118 opci n de men Change Password descripci n 109 uso para cambio de contrase a de usuario root 119 opci n de men Change Workspace Label descripci n 109 Oracle Directory Server Enterprise Edition Ver servidor LDAP P p ginas de car tula diferencia respecto de una p gina de ubicador 264 eliminaci n de etiquetas 278 t picas 263 p ginas de la car tula descripci n de con etiquetas 262 p ginas de ubicador Ver p ginas de la car tula p ginas del comando man referencia r pida para administradores de Trusted Extensions 331 p ginas del cuerpo descripci n de con etiquetas 264 etiqueta ADMIN_HIGHen 273 sin etiquetas 278 palabra clave IDLECMD cambio de valor predeterminado 137 palabra clave IDLETIME cambio de valor predeterminado 137 paneles movimiento a la parte inferior de la pantalla 66 paquetes funci n Trusted Extensions 36 paquetes de multidifusi n 195 paquetes de multidifusi n etiquetados
41. 217 Y C mo ver plantillas de seguridad Puede ver la lista de plantillas de seguridad y el contenido de cada plantilla Los ejemplos que se muestran en este procedimiento usan las plantillas de seguridad predeterminadas 1 Consulte las plantillas de seguridad disponibles tncfg list cipso admin_low adapt netif 2 Vea el contenido de la plantillas mostradas tncfg t cipso info name cipso host_type cipso doi 1 min_label ADMIN_LOW max_label ADMIN_HIGH host 127 0 0 1 32 La entrada 127 0 0 1 32 de la plantilla de seguridad cipso anterior identifica este sistema como un sistema con etiquetas Cuando un igual asigna este sistema a la plantilla de host remoto del igual con el host_type de cipso los dos sistemas pueden intercambiar paquetes con etiquetas tncfg t admin_low info name admin_low host_type unlabeled doi 1 def label ADMIN_LOW min_label ADMIN_LOW max_label ADMIN_HIGH host 0 0 0 0 0 216 Configuraci n y administraci n de Trusted Extensions Julio de 2014 C mo agregar hosts a la red conocida del sistema Antes de empezar 1 La entrada 0 0 0 0 0 de la plantilla de seguridad admin_low anterior permite que todos los hosts que no est n asignados expl citamente a una plantilla de seguridad puedan establecer contacto con este sistema Estos hosts se reconocen como hosts sin etiquetas La ventaja de la entrada 0 0 0 0 0 es que se pueden encontrar todos los hosts que este sistema requiere dura
42. 259 creaci n 58 reclamaci n de un dispositivo 293 revisi n de registros de auditor a 304 rol de usuario root agregaci n de secuencia de comandos device clean 295 roles acceso a aplicaci n de confianza 101 administraci n de auditor a 304 agregaci n de rol LDAP con roleada 58 agregaci n de rol local con roleada 56 asignaci n de derechos 133 asunci n 107 118 creaci n 108 creaci n de administrador de la seguridad 56 decisi n de si ARMOR 35 determinaci n del momento de creaci n 35 espacios de trabajo 107 salir del espacio de trabajo del rol 118 verificaci n del funcionamiento 61 roles administrativos Ver roles roles de ARMOR 35 56 S secuencia de comandos usr local scripts getmounts 164 secuencia de comandos usr sbin txzonemgr 44 102 162 163 secuencia de comandos getmounts 164 secuencia de comandos txzonemgr 163 opci n c 44 secuencia de comandos zenity 44 secuencias de comandos usr bin txzonemgr 163 usr sbin txzonemgr 102 162 getmounts 164 secuencias de comandos device clean agregaci n a dispositivos 295 requisitos 283 seguridad equipo de configuraci n inicial 33 pol tica de seguridad del sitio 315 publicaciones 319 selecci n registros de auditor a por etiqueta 304 servicio dpadm 79 servicio dsadm 79 servicio labeld activaci n 35 desactivaci n 74 servicios de nombres bases de datos exclusivas de Trusted Extensions 251 gesti n de LDAP
43. Administrar un sistema de manera remota Permite administrar los sistemas Trusted Extensions desde un sistema remoto sistema de escritorio Cap tulo 12 Administraci n remota en Trusted Extensions C mo cambiar la contrase a de root en un Trusted Extensions proporciona una interfaz gr fica de usuario para cambiar la contrase a 1 Asuma el rol de usuario root Para conocer los pasos consulte C mo entrar en la zona global en Trusted Extensions 118 2 Abra el men Trusted Path Para ello haga clic en el s mbolo de confianza en la banda de confianza 3 Seleccione Change Login Password Cap tulo 9 Tareas comunes en Trusted Extensions 119 C mo aplicar una nueva contrase a de usuario local en una zona con etiquetas Antes de empezar Errores m s frecuentes Si se crean contrase as independientes por zona el men puede indicar Change Workspace Password Cambie la contrase a y confirme el cambio C mo aplicar una nueva contrase a de usuario local en una zona con etiquetas Se deben reiniciar las zonas con etiquetas en los siguientes casos Uno o varios usuarios locales han cambiado sus contrase as m Todas las zonas utilizan una sola instancia del daemon de cach de servicio de nombres nsca m FEl sistema se administra con archivos no con LDAP Debe tener asignado el perfil de derechos de seguridad de la zona Para aplicar el cambio de contrase a reinicie las zonas
44. C mo modificar atributos de etiquetas de usuarios predeterminados v A Antes de empezar Tarea Descripci n Para obtener instrucciones Iniciar sesi n en modo a Se corrigen los archivos de inicializaci n de usuario C mo iniciar una sesi n en modo a prueba de prueba de fallos defectuosos fallos en Trusted Extensions 141 C mo modificar atributos de etiquetas de usuarios predeterminados Puede modificar los atributos de etiquetas de usuarios predeterminados durante la configuraci n del primer sistema Utilice el archivo de codificaciones modificado al instalar sistemas Trusted Extensions adicionales Atenci n Debe completar esta tarea antes de que los usuarios comunes accedan al sistema Debe estar con el rol de administrador de la seguridad en la zona global Para obtener detalles consulte C mo entrar en la zona global en Trusted Extensions 118 Revise la configuraci n predeterminada de los atributos de usuario en el archivo etc security tsol label_encodings Para conocer los valores predeterminados consulte la Tabla 1 2 Valores predeterminados de seguridad de Trusted Extensions para las cuentas de usuario en Planificaci n de la seguridad del usuario en Trusted Extensions 25 Edite una copia del archivo de codificaciones activo a Ubique el archivo activo labeladm encodings Label encodings file var tsol encodings label_encodings fSaG L b Edite una copia del archivo
45. En el archivo label_encodings el equivalente de texto de una etiqueta de acreditaci n no incluye dos puntos Uso del comando atohexlabel Cuando pasa una etiqueta v lida en formato hexadecimal el comando devuelve el argumento atohexlabel 0x0004 08 68 0x0004 08 68 Cuando pasa una etiqueta administrativa el comando devuelve el argumento atohexlabel admin_high ADMIN_HIGH atohexlabel admin_low ADMIN_LOW El mensaje de error atohexlabel parsing error found in lt string gt at position 0indica que el argumento lt string gt que pas a atohexlabel no es una etiqueta o acreditaci n v lidas Verifique que no haya errores de escritura y compruebe que la etiqueta exista en el archivo label_encodings que tiene instalado C mo obtener una etiqueta legible de su forma hexadecimal Este procedimiento proporciona un modo de reparar las etiquetas almacenadas en las bases de datos internas Para obtener m s informaci n consulte la p gina del comando man hextoalabel 1M Debe estar con el rol de administrador de la seguridad en la zona global Para obtener el equivalente de texto de la representaci n interna de una etiqueta realice una de las acciones siguientes Cap tulo 9 Tareas comunes en Trusted Extensions 123 C mo cambiar los valores predeterminados de seguridad en los archivos del sistema A Antes de empezar m Para obtener el equivalente de texto de una etiqueta de sensibilidad pase la forma hexade
46. En la Configuraci n inicial de Trusted Extensions 15 se describe c mo definir zonas y hosts al configurar la red Para conocer procedimientos adicionales consulte el Cap tulo 16 Gesti n de redes en Trusted Extensions Cap tulo 15 Redes de confianza 195 Acerca de la red de confianza 196 Trusted Extensions ampl a el archivo de configuraci n de IKE etc inet ike config Para obtener m s informaci n consulte Administraci n de IPsec con etiquetas 210 y la p gina del comando man ike config 4 Comandos de red en Trusted Extensions Trusted Extensions agrega los siguientes comandos para administrar las redes de confianza tncfg este comando crea modifica y muestra la configuraci n de la red de Trusted Extensions El comando tncfg t se utiliza para ver crear o modificar una plantilla de seguridad especificada El comando tncfg z se utiliza para ver o modificar las propiedades de red de una zona especificada Para obtener detalles consulte la p gina del comando man tncfg 1M tnchkdb este comando se utiliza para comprobar la precisi n de las bases de datos de la red de confianza El comando tnchkdb se llama cada vez que se cambia una plantilla de seguridad tnrhtp una asignaci n de plantilla de seguridad tnrhdb o la configuraci n de una zona tnzonecfg mediante el comando txzonemgr o tncfg Para obtener detalles consulte la p gina del comando man tnchkdb 1M m tnctl este comando puede
47. Extensions realice el siguiente procedimiento Para comunicarse con otros sistemas CALIPSO no realice este procedimiento Atenci n Un sistema que utiliza CALIPSO para el protocolo IPv6 no se puede comunicar con ning n sistema que use el protocolo CIPSO IPv6 TX obsoleto porque estos protocolos son incompatibles Las opciones CIPSO IPv6 obsoletas de Trusted Extensions no tienen un n mero de la Autoridad de n meros asignados de Internet LIANA para utilizar en el campo de tipo de opci n IPv6 de un paquete La entrada establecida en este procedimiento proporciona un n mero para utilizar en la red local Realice este procedimiento si debe comunicarse con sistemas que utilizan la opci n exclusiva pero obsoleta de etiqueta de seguridad de CIPSO IPv6 de Trusted Extensions Debe estar con el rol de usuario root en la zona global Escriba la siguiente entrada en el archivo etc system set ip ip6opt_ls 0x0a Si los mensajes de error durante el inicio indican que la configuraci n CIPSO IPv6 es incorrecta corrija la entrada Por ejemplo una entrada escrita de manera incorrecta origina el Configuraci n y administraci n de Trusted Extensions Julio de 2014 C mo configurar un dominio de interpretaci n diferente Pasos siguientes v Antes de empezar V ase tambi n Pasos siguientes siguiente mensaje sorry variable ip6opt_1d is not defined in the ip module Verify that the entry is spelled correctly Cor
48. Extensions con el que se est comunicando Nota Trusted Extensions instala un archivo label_encodings predeterminado Este archivo predeterminado es til para las demostraciones Sin embargo es posible que este archivo no sea una buena opci n para usted Si tiene previsto usar el archivo predeterminado puede omitir este procedimiento m Si est familiarizado con los archivos de codificaciones puede utilizar el siguiente procedimiento m Si no est familiarizado con los archivos de codificaciones consulte Trusted Extensions Label Administration para ver los requisitos los procedimientos y los ejemplos Atenci n Antes de continuar debe instalar correctamente las etiquetas o la configuraci n fallar Debe ser el administrador de la seguridad El administrador de la seguridad es el responsable de la edici n la comprobaci n y el mantenimiento del archivo label_encodings Si piensa editar el archivo label_encodings aseg rese de que el archivo se pueda escribir Para obtener m s informaci n consulte la p gina del comando man label _encodings 4 Para editar el archivo label_encodings debe tener el rol de usuario root Copie el archivo label_encodings en el disco Para copiar desde medios port tiles consulte C mo copiar archivos desde medios port tiles en Trusted Extensions 73 En una ventana de terminal compruebe la sintaxis del archivo a Ejecute el comando chk_encodings usr sbin chk_encod
49. Extensions crean trabajos de impresi n en la etiqueta de su sesi n Los trabajos de impresi n son aceptados solamente por servidores de impresi n que reconocen esa etiqueta La etiqueta debe estar en el rango de etiquetas del servidor de impresi n Los usuarios y los roles pueden ver los trabajos de impresi n que tengan la misma etiqueta que la sesi n En la zona global un rol puede ver los trabajos cuyas etiquetas est n controladas por la etiqueta de la zona Salida de impresi n con etiquetas Trusted Extensions imprime la informaci n de seguridad en las p ginas del cuerpo y en las p ginas de car tula y de ubicador La informaci n proviene del archivo etc security tsol label_encodings y del archivo usr lib cups filter tsol_separator ps Las etiquetas que tienen m s de 80 caracteres se imprimen truncadas en la parte superior e inferior de todas las p ginas El truncamiento se indica mediante una flecha gt Las etiquetas del encabezado y el pie de p gina se imprimen en forma vertical aun cuando las p ginas del cuerpo se imprimen en forma horizontal Para ver un ejemplo consulte la Figura 19 4 Etiqueta del trabajo impresa en modo vertical cuando la p gina del cuerpo se imprime en modo horizontal El texto las etiquetas y las advertencias que aparecen en los trabajos de impresi n se pueden configurar El texto tambi n se puede reemplazar con texto en otro idioma para su localizaci n El administrador de segurida
50. IPsec con etiquetas mapa de tareas 237 configuraci n de la administraci n remota en Trusted Extensions mapa de tareas 149 configuraci n de LDAP creaci n de cliente 86 para Trusted Extensions 76 servidores NES y 76 servidores Sun Ray y 76 configuraci n de LDAP en una red Trusted Extensions Network mapa de tareas 75 configuraci n de Trusted Extensions acceso remoto 147 agregaci n de bases de datos de red al servidor LDAP 83 bases de datos para LDAP 76 cambio del valor predeterminado del dominio de interpretaci n 43 configuraci n evaluada 19 divisi n de tareas 33 LDAP 76 lista de comprobaci n para el equipo de configuraci n inicial 323 mapas de tareas 29 29 procedimientos iniciales 39 reinicio para activar etiquetas 37 resoluci n de problemas 66 responsabilidades del equipo de configuraci n inicial 33 sistemas remotos 147 zonas con etiquetas 43 43 configuraci n de un servidor proxy LDAP en un sistema Trusted Extensions mapa de tareas 76 conjunto de etiquetas de seguridad plantillas de host remoto 199 conjuntos de datos Ver ZFS conjuntos de datos de varios niveles creaci n 69 descripci n general 180 contrase as almacenamiento 111 asignaci n 132 cambio de contrase a de usuario root 119 cambio de contrase as de usuario 109 cambio en zona con etiquetas 120 comprobar si la petici n de contrase a es de confianza 121 especificaci n al cambiar etiquetas 109 109
51. La configuraci n admin_low final es similar a la siguiente tncfg t admin_low name cipso host_type cipso doi 1 def label ADMIN_LOW min_label ADMIN_LOW max_label ADMIN_HIGH 192 168 128 0 24 Sun Ray client network host 0 0 0 0 32 For initial client contact Other addresses to be contacted at boot time La entrada 0 0 0 0 32 permite que solamente los clientes Sun Ray accedan al servidor Configuraci n de rutas y puertos de varios niveles Antes de empezar Las rutas est ticas permiten que los paquetes con etiquetas alcancen su destino mediante puertas de enlace con etiquetas y sin etiquetas Los puertos de varios niveles permiten que una aplicaci n utilice un nico punto de entrada para acceder a todas las zonas C mo agregar rutas predeterminadas Este procedimiento agrega una ruta predeterminada mediante la interfaz gr fica de usuario El ejemplo muestra c mo agregar una ruta predeterminada mediante la l nea de comandos Debe estar con el rol de administrador de la seguridad en la zona global Ha agregado cada red puerta de enlace y host de destino a una plantilla de seguridad Para obtener detalles consulte C mo agregar un host a una plantilla de seguridad 221 y C mo agregar un rango de hosts a una plantilla de seguridad 227 Utilice la interfaz gr fica de usuario txzonemgr para crear rutas predeterminadas txzonemgr Haga doble clic en la zona cuya ruta predeterminada desea definir y a continuaci
52. Obtiene la etiqueta de un archivo Obtiene el nombre de ruta de la zona Obtiene la etiqueta de un proceso Obtiene el rango de etiquetas de un usuario Obtiene el ID de zona de la etiqueta de la zona Obtiene la etiqueta de la zona del ID de zona Obtiene la etiqueta de la zona del nombre de la zona Muestra la ruta root de la zona que corresponde a la etiqueta especificada Acquiring a Sensitivity Label de Trusted Extensions Developer s Guide Obtiene el nombre de ruta root de la zona del ID de root de la zona Obtiene el nombre de ruta root de la zona a partir de la etiqueta de la zona 332 Configuraci n y administraci n de Trusted Extensions Julio de 2014 P ginas del comando man de Trusted Extensions en orden alfab tico getzonerootbyname 3TSOL hextoalabel 1M labeladm 1M labelclipping 3TSOL label _encodings 4 label_to_str 3TSOL label s 5 libtsnet 3LIB libtsol 3LIB m_label 3TSOL pam_tsol_account 5 plabel 1 remove_allocatable 1M Obtiene el nombre de ruta root de la zona del nombre de la zona Convierte una etiqueta de texto interno a su equivalente en lenguaje natural Para ver un ejemplo consulte C mo obtener una etiqueta legible de su forma hexadecimal 123 Activa y desactiva el servicio de etiquetas de Trusted Extensions y puede establecer el archivo label _encodings Convierte una etiqueta binaria y la recorta al ancho especificado Describe el a
53. Opciones limitadas en Trusted Extensions Zonas La zona global es una zona administrativa Solamente el usuario root o un rol pueden entrar en la zona global Por lo tanto las interfaces administrativas que est n disponibles para los usuarios comunes de Oracle Solaris no est n disponibles para los usuarios comunes de Trusted Extensions Las zonas no globales son las zonas con etiquetas Los usuarios trabajan en las zonas con etiquetas 330 Configuraci n y administraci n de Trusted Extensions Julio de 2014 vt AP NDICE D Lista de las p ginas del comando man de Trusted Extensions Trusted Extensions es una configuraci n del SO Oracle Solaris En este ap ndice se proporciona una descripci n de las p ginas del comando man que incluyen informaci n sobre Trusted Extensions m P ginas del comando man de Trusted Extensions en orden alfab tico 331 m P ginas del comando man de Oracle Solaris modificadas por Trusted Extensions 337 P ginas del comando man de Trusted Extensions en orden alfab tico Las siguientes p ginas del comando man s lo son relevantes en un sistema que est configurado con Trusted Extensions La descripci n incluye enlaces a ejemplos o explicaciones de estas funciones en el conjunto de documentos de Trusted Extensions P gina del comando man de Trusted Finalidad y enlaces a informaci n adicional Extensions add_allocatable 1M Permite que los dispositivos se asignen mediante
54. Para obtener m s informaci n consulte el Cap tulo 2 Configuraci n de impresoras mediante CUPS tareas de Configuraci n y gesti n de la impresi n en Oracle Solaris 11 2 Los siguientes enlaces hacen referencia a las tareas principales que gestionan la impresi n con etiquetas Configuraci n de impresi n con etiquetas 269 Reducci n de las restricciones de impresi n en Trusted Extensions 276 Configuraci n de impresi n con etiquetas El siguiente mapa de tareas describe los procedimientos de configuraci n comunes relativos a la impresi n con etiquetas TABLA 19 3 Mapa de tareas de configuraci n de impresi n con etiquetas Tarea Descripci n Para obtener instrucciones Configurar la impresi n desde la Se crea un servidor de impresi n de varios niveles en C mo configurar un servidor de impresi n de zona global la zona global varios niveles y sus impresoras 269 Configurar una impresora de red Comparte una impresora C mo configurar una impresora de red 271 Configurar la impresi n desde Crea un servidor de impresi n de una sola etiqueta C mo configurar una zona como un servidor de una zona con etiquetas para una zona etiquetada impresi n de un solo nivel 272 Configurar un cliente de Se conecta un host de Trusted Extensions con una C mo activar un cliente de Trusted Extensions impresi n de varios niveles impresora para que acceda a un impresora 273
55. Permite salir de la zona global C mo salir de la zona global en Trusted Extensions 118 Cap tulo 9 Tareas comunes en Trusted Extensions 117 C mo entrar en la zona global en Trusted Extensions Antes de empezar Antes de empezar 118 vy 1 C mo entrar en la zona global en Trusted Extensions Cuando asume un rol entra en la zona global en Trusted Extensions Es posible administrar todo el sistema solamente desde la zona global Para la resoluci n de problemas tambi n puede entrar en la zona global si inicia una sesi n en modo a prueba de fallos Para obtener detalles consulte C mo iniciar una sesi n en modo a prueba de fallos en Trusted Extensions 141 Se le asigna un rol administrativo Para obtener referencias consulte Creaci n de roles en Trusted Extensions 108 Haga clic en account name en la banda de confianza Seleccione un rol de la lista Para conocer la ubicaci n de las funciones del escritorio de Trusted Extensions consulte la Figura 6 1 Escritorio de varios niveles de Trusted Extensions Para obtener una explicaci n de estas funciones consulte el Cap tulo 4 Elementos de Trusted Extensions de Gu a del usuario de Trusted Extensions Cuando se solicite escriba la contrase a de rol Tras la autenticaci n el espacio de trabajo actual cambia al espacio de trabajo de rol C mo salir de la zona global en Trusted Extensions Debe encontrarse en la zon
56. ROM est protegida por Trusted Path Device Name cdrom 0 For Allocations From Trusted Path Allocatable By Authorized Users Authorizations com newco dev allocate cdvd local La asignaci n remota no est protegida por Trusted Path por lo tanto los usuarios remotos deben ser confiables En el paso final el administrador autorizar la asignaci n remota para dos roles nicamente Device Name cdrom 0 For Allocations From Non Trusted Path Allocatable By Authorized Users Authorizations com newco dev allocate cdvd remote Los siguientes comandos crean los perfiles de derechos Newco para estas autorizaciones y agregan las autorizaciones a los perfiles profiles S ldap Remote Allocator profiles Remote Allocator gt set desc Allocate Remote CDs and DVDs profiles Remote Allocator gt set help docs helps NewcoDevRemoteCDVD html profiles Remote Allocator gt add auths com newco dev allocate cdvd remote profiles Remote Allocator gt end profiles Remote Allocator gt exit profiles S ldap Local Only Allocator profiles Local Only Allocator gt set desc Allocate Local CDs and DVDs Cap tulo 21 Gesti n de dispositivos para Trusted Extensions 299 C mo agregar autorizaciones espec ficas del sitio a un dispositivo en Trusted Extensions Antes de empezar profiles Local Only Allocator gt set help docs helps NewcoDevLocalCDVD html profiles Local Only Allocator gt add auths com newco dev a
57. Trusted Extensions mapa de tareas 117 IPsec con etiquetas de Trusted Extensions 210 etiquetas en intercambios de confianza 210 etiquetas en modo t nel 212 extensiones de etiquetas 211 protecciones con extensiones de etiquetas 213 IPsec con etiquetas Ver IPsec IPv6 entrada en archivo etc system 42 resoluci n de problemas 42 L Labeled Zone Manager Ver secuencia de comandos txzonemgr LDAP bases de datos de Trusted Extensions 251 detenci n de servidor 254 detenci n de servidor proxy 254 gesti n del servicio de nombres 253 inicio de servidor 254 inicio de servidor proxy 254 planificaci n 24 resoluci n de problemas 247 servicio de nombres para Trusted Extensions 251 visualizaci n de entradas 253 357 ndice limitaci n hosts definidos en la red 229 listas de comprobaci n para el equipo de configuraci n inicial 323 localizaci n configuraci n de copias impresas con etiquetas 266 LOFS montaje de conjuntos de datos en Trusted Extensions 173 M MAC Ver control de acceso obligatorio MAC mecanismo de reserva en plantillas de seguridad 202 mecanismos de seguridad ampliaci n 108 Oracle Solaris 312 medios copia de archivos desde extra bles 73 men Trusted Extensions Assume Role 118 MLP Ver puertos de varios niveles MLP modificaci n archivo label_encodings 40 montaje archivos en bucle de retorno 165 conjunto de datos ZFS en zona con etiquetas 168 descripci n general
58. Use IKE to exchange security labels label_aware p1_xform auth_method preshared oakley group 5 auth_alg sha encr_alg 3des p2_pfs 2 The rule to communicate with euro vpn Label must be unique label califvpn eurovpn local_addr 192 168 13 213 remote_addr 192 168 116 16 multi_label wire label none PUBLIC p1_xform auth_method preshared oakley group 5 auth_alg shal encr_alg aes p2_pfs 5 Nota Tambi n puede agregar etiquetas a los sistemas que est n protegidos mediante certificados Modifique los archivos ike config de manera similar cuando complete los procedimientos descriptos en Configuraci n de IKEv2 con certificados de claves p blicas de Protecci n de la red en Oracle Solaris 11 2 Resoluci n de problemas de la red de confianza El siguiente mapa de tareas describe las tareas que ayudan a depurar la red de Trusted Extensions TABLA 16 2 Mapa de tareas de resoluci n de problemas de la red de confianza Tarea Descripci n Para obtener instrucciones Determinar por qu un sistema y un Se comprueba que las interfaces de un solo sistema host remoto no se pueden comunicar est n activas C mo verificar que las interfaces de un sistema est n activas 243 Se utilizan herramientas de depuraci n cuando un sistema y un host remoto no se pueden comunicar entre s C mo depurar la red de Trusted Extensions 244 Determinar por qu un cliente LDAP Se resu
59. a de una cuenta y la edici n de archivos del sistema Los roles se crean de la misma manera que en Oracle Solaris Los siguientes son los roles t picos de un sitio de Trusted Extensions m Rol de usuario root creado en la instalaci n de Oracle Solaris Rol de administrador de la seguridad creado por el equipo de configuraci n inicial durante o una vez finalizada la configuraci n inicial Rol de administrador del sistema creado por el equipo de configuraci n inicial durante o una vez finalizada la configuraci n inicial Cap tulo 8 Sobre los requisitos de seguridad en un sistema Trusted Extensions 107 Funciones de seguridad configurables 108 Creaci n de roles en Trusted Extensions Para administrar Trusted Extensions puede crear roles que dividan las funciones del sistema y de la seguridad El proceso de creaci n de roles en Trusted Extensions es id ntico al proceso de Oracle Solaris De manera predeterminada se asigna a los roles un rango de etiquetas administrativas entre ADMIN_HIGH y ADMIN_LOW m Para obtener una descripci n general de la creaci n de roles consulte Asignaci n de derechos a usuarios de Protecci n de los usuarios y los procesos en Oracle Solaris 11 2 m Para crear roles consulte Creaci n de roles y usuarios en Trusted Extensions 56 Asunci n de roles en Trusted Extensions En el escritorio de confianza puede asumir un rol asignado haciendo clic en su nombr
60. a una etiqueta nueva Descripci n de la transacci n Relaciones de etiquetas Relaciones de propietarios Autorizaci n requerida Copiar y pegar cortar y pegar o arrastrar y soltar archivos entre exploradores de archivos Misma etiqueta Bajar de nivel la informaci n Subir de nivel la informaci n Bajar de nivel la informaci n informaci n Subir de nivel la Mismo UID Mismo UID Mismo UID Diferentes UID Diferentes UID Ninguna solaris label file downgrade solaris label file upgrade solaris label file downgrade solaris abel fi Le Upgrade Se aplican reglas diferentes a las selecciones en una ventana que en un archivo La acci n de arrastrar y soltar selecciones siempre requiere que exista igualdad de etiquetas y propiedad La acci n de arrastrar y soltar entre ventanas es mediada por la aplicaci n Selection Manager no por el archivo sel_ config Las reglas para cambiar la etiqueta de selecciones se resumen en la siguiente tabla TABLA 8 2 Condiciones para mover selecciones a una etiqueta nueva Descripci n de la transacci n Relaciones de etiquetas Relaciones de propietarios Autorizaci n requerida Copiar y pegar o cortar y pegar selecciones entre ventanas Arrastrar y soltar las selecciones entre las ventanas Misma etiqueta Bajar de nivel la informaci n Subir de nivel la informaci n Bajar de nivel la inf
61. admiten las comunicaciones de red entre los sistemas Trusted Extensions y cualquiera de los siguientes tipos de host m Otros hosts que ejecutan Trusted Extensions Hosts que ejecutan sistemas operativos que no reconocen atributos de seguridad pero que admiten TCP IP como los sistemas Oracle Solaris otros sistemas UNIX sistemas Macintosh OS y Microsoft Windows Hosts que ejecutan otros sistemas operativos de confianza y que reconocen etiquetas CIPSO para paquetes IPv4 y etiquetas CALIPSO para paquetes IPv6 Como en el SO Oracle Solaris el servicio de nombres puede administrar las comunicaciones y los servicios de red de Trusted Extensions Trusted Extensions agrega las siguientes interfaces a las interfaces de red de Oracle Solaris m Trusted Extensions agrega comandos y proporciona una interfaz gr fica de usuario para administrar las redes de confianza Trusted Extensions tambi n agrega opciones a los comandos de red de Oracle Solaris Para obtener una descripci n de estos comandos consulte Comandos de red en Trusted Extensions 196 Las interfaces gestionan tres bases de datos de configuraci n de red de Trusted Extensions tnzonecfg tnrhdb y tnrhtp Para obtener detalles consulte Bases de datos de configuraci n de red en Trusted Extensions 197 Trusted Extensions agrega las bases de datos tnrhtp y tnrhdb a las propiedades del servicio SMF de cambio de servicio de nombres svc system name service switch a
62. al servidor de impresi n en la plantilla sin etiquetar pueden enviar trabajos de impresi n a la impresora de Oracle Solaris en esa etiqueta En el sistema que no tiene acceso a las impresoras asuma el rol de administrador del sistema Cambie la etiqueta del espacio de trabajo de rol por la etiqueta de la zona con etiquetas Para obtener detalles consulte C mo cambiar la etiqueta de un espacio de trabajo de Gu a del usuario de Trusted Extensions Agregue el acceso a la impresora que est conectada al servidor de impresi n con etiquetas asignadas de manera arbitraria lpadmin p printer name E v ipp print server IP address printers printer name on print server Env o de trabajos de impresi n p blicos a una impresora sin etiquetas Los archivos que se encuentran disponibles para el p blico en general se pueden imprimir en una impresora sin etiquetas En este ejemplo los responsables de marketing de una Cap tulo 19 Gesti n de impresi n con etiquetas 277 C mo permitir que usuarios y roles espec ficos omitan el etiquetado de la salida impresa Antes de empezar 278 1 organizaci n necesitan producir documentos que no tengan etiquetas impresas en la parte superior y en la parte inferior de las p ginas El administrador de la seguridad asigna una plantilla con el tipo de host sin etiquetas al servidor de impresi n Oracle Solaris La plantilla se describe en C mo configurar un t nel en una
63. ambas autorizaciones usermod A solaris print unlabeled solaris print nobanner username rolemod A solaris print unlabeled solaris print nobanner rolename Prepare la impresi n de la salida sin etiquetar Aseg rese de que la impresora sea local Configuraci n y administraci n de Trusted Extensions Julio de 2014 C mo permitir que usuarios y roles espec ficos omitan el etiquetado de la salida impresa Para el usuario eso significa que el usuario debe imprimir desde una zona etiquetada con un servidor de impresi n para esa zona Un rol puede imprimir desde la zona global o una zona etiquetada Para imprimir una salida sin etiquetar especifique las opciones que eliminan las etiquetas en la l nea de comandos Debe estar autorizado para imprimir una salida sin etiquetar m Para imprimir sin car tulas utilice la opci n job sheets none lp o job sheets none file m Para imprimir sin etiquetas en las p ginas del cuerpo utilice la opci n nolabel lp o nolabels file m Para imprimir sin etiquetas en la salida use ambas opciones lp o job sheets none o nolabels file Cap tulo 19 Gesti n de impresi n con etiquetas 279 280 Configuraci n y administraci n de Trusted Extensions Julio de 2014 CAP TULO 20 Acerca de los dispositivos en Trusted Extensions En este cap tulo se describen las protecciones para los dispositivos perif ricos en un sistema Trusted Extensions m Protecci
64. apocd ipServiceProtocol udp ou Services dc exampleco dc com objectClass ipService objectClass top cn apocd ipServicePort 38900 ipServiceProtocol udp ldaplist services name dn cn name ipServiceProtocol udp ou Services dc exampleco dc com Para visualizar el estado del servicio LDAP en el cliente escriba svcs xv network ldap client svc network ldap client default LDAP client State online since date See man M usr share man s 1M ldap_cachemgr See var svc log network ldap client default log Impact None Para iniciar y detener el cliente LDAP escriba svcadm enable network ldap client svcadm disable network ldap client Para iniciar y detener el servidor LDAP en la versi n 6 7 del software Oracle Directory Server Enterprise Edition escriba dsadm start export home ds instances your instance dsadm stop export home ds instances your instance Para iniciar y detener un servidor proxy LDAP en la versi n 6 7 del software Oracle Directory Server Enterprise Edition escriba dpadm start export home ds instances your instance Configuraci n y administraci n de Trusted Extensions Julio de 2014 Referencia r pida para el servicio de nombres LDAP en Trusted Extensions dpadm stop export home ds instances your instance Cap tulo 17 Sobre Trusted Extensions y LDAP 255 256 Configuraci n y administraci n de Trusted Extensions Julio de 2014 CAP TULO 18 Sobre correo de
65. archivo label_encodings puede usar el archivo predeterminado que suministra Oracle Oracle tambi n suministra otros archivos label_encodings que puede encontrar en el directorio etc security tsol Los archivos de Oracle son archivos de demostraci n Es posible que no sean adecuados para los sistemas de producci n Para personalizar un archivo para su sitio consulte Trusted Extensions Label Administration Para obtener instrucciones de edici n consulte C mo comprobar e instalar el archivo de codificaciones de etiquetas 40 Para instalar el archivo de codificaciones despu s de activar Trusted Extensions y antes de reiniciar consulte Activaci n de Trusted Extensions 36 A partir de la lista de etiquetas del archivo label_encodings realice una lista de las zonas con etiquetas que planea crear En el archivo label_encodings predeterminado las etiquetas son las siguientes y los nombres de las zonas pueden ser similares a los siguientes Nombre de etiqueta completo Nombre de zona propuesto PUBLIC public CONFIDENTIAL INTERNAL USE ONLY internal CONFIDENTIAL NEED TO KNOW needtoknow CONFIDENTIAL RESTRICTED restricted Configuraci n y administraci n de Trusted Extensions Julio de 2014 Instalaci n y activaci n de Trusted Extensions Nota El m todo de configuraci n autom tica crea las zonas public e internal 4 Decida cu ndo crear roles Es posible que la pol tica de seguridad de su sitio r
66. ceioccoconososininnn inr Nas EE NEE ENESESSE ETEEN SEEKS EE ERIE Ei 103 Selection Manager en Trusted Extensions ooocoooccocnnocnnonnncnonccnnccnncnnncnnnoso 103 Generador de etiquetas en Trusted Extensions ooococccoccnnccnnconnconnconncnnnoos 103 Herramientas de la l nea de comandos en Trusted Extensions oooccconcccnnoo 104 Archivos de configuraci n en Trusted Extensions coooccconocconccnnnnccnnnncnnnons 105 8 Sobre los requisitos de seguridad en un sistema Trusted A einkar npe o naese eke Ea ons E Oi ENSA AEE E PERESSO seke 107 Funciones de seguridad configurables oocoocccocncccnoccnnccnnononccnnccnncnnncnnnono 107 Aplicaci n de los requisitos de Seguridad oooccocccnccnnconoconocnnncnnncnnnnnnnnnoss 109 Reglas para cambiar el nivel de seguridad de los datos coooccconoccnnccnc 112 9 Tareas comunes en Trusted Extensions ooooccccccnnnnnnnncccnccnnnnnnnnnnno 117 Introducci n para administradores de Trusted Extensions en un sistema de TN 117 Realizaci n de tareas comunes en Trusted Extensions ccooocconccccnnccnnnncnnno 119 10 Acerca de usuarios derechos y roles en Trusted Extensions 127 Funciones de seguridad del usuario en Trusted Extensions coooccconoccnnonnnns 127 Responsabilidades del administrador para los usuarios occooocconoccnnnccnnnooos 128 Decisiones que deben tomarse antes de crear usuarios en Trusted Extensions 129 Atributos de seguridad
67. clientes en esa etiqueta Uso compartido y montaje de archivos en la zona global El montaje de archivos en la zona global es id ntico al montaje de archivos en Oracle Solaris sujeto a la pol tica MAC Los archivos que se comparten desde la zona global se comparten en la etiqueta del archivo Por lo tanto los sistemas de archivos de una zona global no se comparten de manera til con las zonas globales de otros sistemas Trusted Extensions ya que todos los archivos se comparten en la etiqueta ADMIN_LOW Los archivos que la zona global comparte de manera til con otros sistemas son conjuntos de datos de varios niveles Cap tulo 14 Gesti n y montaje de archivos en Trusted Extensions 177 Resultados del uso compartido y el montaje de sistemas de archivos en Trusted Extensions 178 Los archivos y directorios en un conjunto de datos de un solo nivel que se comparten mediante LOFS desde la zona global se comparten en ADMIN_LOW Por ejemplo los archivos etc passwd y etc shadow de la zona global se pueden montar mediante LOFS en las zonas con etiquetas del sistema Dado que los archivos son ADMIN_LOW son visibles y de s lo lectura en las zonas etiquetadas Los archivos y directorios en conjuntos de datos de varios niveles se comparten en la etiqueta del objeto La zona global tambi n puede compartir conjuntos de datos de varios niveles mediante NES Un cliente puede solicitar montar el conjunto de datos cuando el servicio NFS est conf
68. con etiquetas Para cada zona el montador autom tico autofs monta un archivo auto_home nombre_zona Por ejemplo a continuaci n se muestra la entrada para la zona global en el archivo auto_home_global auto home global fstype lofs export home amp Cuando se inicia una zona que permite montar zonas de nivel inferior sucede lo siguiente Los directorios de inicio de las zonas de nivel inferior se montan como de s lo lectura en zone zone name export home El mapa auto_home_zone name especifica la ruta zone como el directorio de origen para un nuevo montaje lofs en zone zone name home username Cap tulo 14 Gesti n y montaje de archivos en Trusted Extensions 183 Software Trusted Extensions y versiones del protocolo NFS Software Por ejemplo a continuaci n se muestra una entrada auto_home_public en un mapa auto_home_zona_nivel_superior que se genera a partir de una zona de nivel superior auto home public public zone IP address export home 8 La secuencia de comandos txzonemgr configura esta entrada PUBLIC en el archivo auto_master en la zona global auto_master net hosts nosuid nobrowse home auto_home nobrowse zone public home auto home public nobrowse Cuando se hace referencia a un directorio principal y el nombre no coincide con ninguna de las entradas del mapa auto_home_nombre_zona el mapa intenta asociar esta especificaci n de montaje en bucle de retorno El software crea el directorio pri
69. con etiquetas a las que pueden acceder los usuarios Utilice uno de los m todos siguientes m Utilice la interfaz gr fica de usuario txzonemgr txzonemgr En Labeled Zone Manager navegue hasta la zona con etiquetas y en la lista de comandos seleccione Halt y luego Boot m En una ventana de terminal de la zona global utilice los comandos de administraci n de zonas Puede optar por apagar o detener el sistema m El comando zlogin apaga la zona correctamente zZlogin labeled zone shutdown i 0 zoneadm z labeled zone boot m FE subcomando halt omite las secuencias de comandos de apagado zoneadm z labeled zone halt zoneadm z labeled zone boot Para actualizar autom ticamente las contrase as de usuario de las zonas con etiquetas debe configurar LDAP o un servicio de nombres por zona Tambi n puede configurar ambos 120 Configuraci n y administraci n de Trusted Extensions Julio de 2014 C mo recuperar el control del enfoque actual del escritorio Para configurar LDAP consulte el Cap tulo 5 Configuraci n de LDAP para Trusted Extensions La configuraci n de un servicio de nombres por zona requiere conocimientos avanzados sobre redes Para conocer el procedimiento consulte C mo configurar un servicio de nombres independiente para cada zona con etiquetas 54 Y C mo recuperar el control del enfoque actual del ejemplo 9 1 escritorio La combinaci n de teclas de aviso de segurida
70. con m s derechos El shell de perfil es el shell predeterminado de un rol de confianza Nombre gen rico de un equipo Despu s de la instalaci n a un sistema de una red generalmente se lo denomina host Un sistema con etiquetas es un sistema que est ejecutando un sistema operativo de varios niveles como Trusted Extensions o SELinux con MLS activado El sistema puede enviar y recibir paquetes de red que est n etiguetados con una opci n de seguridad de IP com n CIPSO en el encabezado del paquete Una colecci n de archivos y directorios que cuando se organiza en una jerarqu a l gica forma un conjunto de informaci n organizado y estructurado Los sistemas de archivos se pueden montar desde el sistema local o desde un sistema remoto Para un sistema Oracle Solaris en el que est configurado Trusted Extensions un sistema sin etiquetas es un sistema que no ejecuta un sistema operativo de varios niveles como Trusted Extensions o SELinux con MLS activado Un sistema sin etiquetas no env a paquetes con etiquetas Si el sistema Trusted Extensions que se est comunicando ha asignado una sola etiqueta al sistema sin etiquetas la comunicaci n de red entre el sistema Trusted Extensions y el sistema sin etiquetas se produce en esa etiqueta Al sistema sin etiquetas tambi n se lo denomina sistema de un solo nivel Un grupo de sistemas que est n conectados mediante hardware y software al que a veces se denomina red de rea local L
71. configurar un sistema Trusted Extensions para que sea el servidor proxy LDAP Creaci n de un servidor proxy LDAP Si un servidor LDAP ya existe en su sitio cree un servidor proxy en un sistema Trusted Extensions Debe haber rellenado el servidor LDAP a partir de un cliente que haya sido modificado para establecer el par metro enableShadowUpdate en TRUE Para conocer los requisitos consulte Creaci n de un cliente LDAP para el servidor LDAP 80 Adem s debe haber agregado las bases de datos que contengan la informaci n de Trusted Extensions al servidor LDAP desde un cliente en el que el par metro enableShadowUpdate est establecido en TRUE Para obtener detalles consulte Rellenado de Oracle Directory Server Enterprise Edition 83 Debe estar con el rol de usuario root en la zona global Cree un servidor proxy en un sistema en el que est configurado Trusted Extensions Nota Debe ejecutar dos comandos ldapclient Despu s de ejecutar el comando ldapclient init ejecute el comando ldapclient modify para establecer el par metro enableShadowUpdate en TRUE Los siguientes son comandos de ejemplo El comando ldapclient init define los valores de proxy ldapclient init a proxyDN cn proxyagent ou profile dc west dc example dc com Y a domainName west example com Y a profileName pit1 Y a proxyPassword test1234 192 168 0 1 System successfully configured El comando ldapclient mod activa la actualizaci n de shadow
72. de Internet Un n mero nico que identifica un sistema en red para que ste pueda comunicarse por medio de protocolos de Internet En IPv4 la direcci n est compuesta por cuatro n meros separados por puntos La mayor a de las veces cada parte de la direcci n IP es un n mero entre 0 y 225 Sin embargo el primer n mero debe ser menor que 224 y el ltimo n mero no puede ser 0 Las direcciones IP se dividen l gicamente en dos partes la red y el sistema de la red El n mero de red es similar a un c digo de rea de tel fono En relaci n con la red el n mero de sistema es similar a un n mero de tel fono Entre los dispositivos se incluyen impresoras equipos unidades de cinta unidades de CD ROM unidades de DVD dispositivos de audio y dispositivos pseudoterminales internos Los Glosario 343 dominio dominio dominio de interpretaci n DOI equipo de configuraci n inicial escritorio de varios niveles etiqueta etiqueta CIPSO etiqueta de sensibilidad etiqueta inicial etiqueta m nima dispositivos est n sujetos a la pol tica MAC de lectura y escritura en el mismo nivel El acceso a los dispositivos extra bles como las unidades de DVD est controlado por la asignaci n de dispositivos Parte de la jerarqu a de nombres de Internet Representa un grupo de sistemas de una red local que comparten los archivos administrativos En un sistema Oracle Solaris en el que est configurad
73. de Trusted Extensions Archivos de Trusted Extensions agrega dos privilegios net_mac_aware y net_mlp configuraci n Para obtener informaci n sobre el uso de net_mac_aware consulte Servidor NFS y configuraci n de cliente en Trusted Extensions 182 Trusted Extensions agrega autorizaciones a la base de datos auth_attr Trusted Extensions agrega archivos ejecutables a la base de datos exec_attr Trusted Extensions modifica los perfiles de derechos existentes en la base de datos prof_attr Tambi n agrega perfiles a la base de datos Trusted Extensions agrega campos a la base de datos policy conf Para obtener informaci n sobre los campos consulte Valores predeterminados del archivo policy conf en Trusted Extensions 130 Configuraci n y administraci n de Trusted Extensions Julio de 2014 Valores predeterminados de seguridad que brindan mayor protecci n en Trusted Extensions Directorios compartidos desde las zonas Trusted Extensions agrega tokens de auditor a eventos de auditor a clases de auditor a y opciones de pol tica de auditor a Para ver una lista consulte la Referencia de auditor a de Trusted Extensions 304 Trusted Extensions le permite compartir directorios desde las zonas con etiquetas Los directorios se comparten en la etiqueta de la zona mediante la creaci n de un archivo etc dfs dfstab desde la zona global Valores predeterminados de seguridad que brindan mayor protecci n e
74. de archivo Los logs de acceso rotan diariamente Los logs de errores rotan semanalmente La configuraci n de este procedimiento cumple con los siguientes requisitos Los logs de auditor a rotan diariamente Los archivos log anteriores a 3 meses caducan Todos los archivos log utilizan un m ximo de 20 000 MB de espacio de disco m Se conserva un m ximo de 100 archivos log y cada archivo tiene como m ximo 500 MB Los logs m s antiguos se suprimen si hay menos de 500 MB de espacio libre en el disco Se recopila informaci n adicional en los logs de errores Debe estar con el rol de usuario root en la zona global Configure los logs de acceso El LOG_TYPE para el acceso es ACCESS La sintaxis para la configuraci n de logs es la siguiente dsconf set log prop LOG_TYPE property value dsconf set log prop ACCESS max age 3M dsconf set log prop ACCESS max disk space size 20000M dsconf set log prop ACCESS max file count 100 dsconf set log prop ACCESS max size 500M dsconf set log prop ACCESS min free disk space 500M Configure los logs de auditor a Cap tulo 5 Configuraci n de LDAP para Trusted Extensions 81 Configuraci n de puerto de varios niveles para Oracle Directory Server Enterprise Edition Antes de empezar 1 82 dsconf set log prop AUDIT max age 3M dsconf set log prop AUDIT max disk space size 20000M dsconf set log prop AUDIT max file count 100 dsconf set log prop AUDIT max
75. de datos ZFS a una zona con etiquetas y compartirlo De manera predeterminada las zonas con etiquetas no tienen el privilegio que permite que un usuario autorizado vuelva a etiquetar un archivo Se debe modificar la configuraci n de zona para agregar el privilegio Se monta un conjunto de datos ZFS con permisos de lectura y escritura en una zona con etiquetas y se comparte la parte de s lo lectura del conjunto de datos con una zona superior C mo permitir que los archivos se vuelvan a etiquetar desde una zona con etiquetas 170 C mo compartir un conjunto de datos ZFS desde una zona con etiquetas 168 Configurar una nueva zona primaria Se crea una zona en una etiqueta que no se est utilizando actualmente para etiquetar una zona en este sistema Consulte C mo crear zonas con etiquetas de forma interactiva 45 Configurar una zona secundaria Crea una zona para aislar los servicios que no requieren un escritorio C mo crear una segunda etiquetada secundaria 68 Crear un puerto de varios niveles para una aplicaci n Los puertos de varios niveles son tiles para los programas que requieren un avance de varios niveles en una zona con etiquetas C mo crear un puerto de varios niveles para una zona 235 Ejemplo 16 22 Configuraci n de un puerto de varios niveles privado para NFSv3 mediante udp Resolver problemas de acceso y montaje NES Se depuran los problemas de acceso g
76. de red Siga el Paso 1 al Paso 6 de C mo configurar un servidor de impresi n de varios niveles y sus impresoras 269 para configurar la impresora de red Una vez que la impresora se comparte en el Paso 3 todos los sistemas de la red que pueden acceder a este servidor de impresi n pueden imprimir en esta impresora Pruebe la impresora de red Como root y usuario normal lleve a cabo los siguientes pasos desde los sistemas que usan este servidor de impresi n a Imprima archivos de texto y PostScript desde la l nea de comandos lp etc motd PostScriptTest ps lp HOME filel txt HOME PublicTest ps b Imprima archivos desde las aplicaciones como el correo Oracle OpenOffice Adobe Reader y su explorador c Verifique que las etiquetas de las p ginas de car tula las p ginas de ubicador y las p ginas del cuerpo se impriman correctamente Para evitar la salida con etiquetas consulte Reducci n de las restricciones de impresi n en Trusted Extensions 276 C mo configurar una zona como un servidor de impresi n de un solo nivel La zona no debe compartir una direcci n IP con la zona global Debe estar con el rol de administrador del sistema en la zona global Agregue un espacio de trabajo Para obtener detalles consulte C mo agregar un espacio de trabajo en una etiqueta m nima de Gu a del usuario de Trusted Extensions Cambie la etiqueta del espacio de trabajo nuevo por la etiqueta de la
77. debe ser capaz de crear un usuario y modificar las propiedades de usuario que requieren la autorizaci n solaris user manage como el shell de inicio de sesi n del usuario El rol de administrador del sistema no debe tener permiso para cambiar las propiedades de usuario que requieren la autorizaci n solaris account setpolicy a E rol de administrador de la seguridad debe ser capaz de cambiar las propiedades de usuario que requieren la autorizaci n solaris account setpolicy El administrador de la seguridad no debe tener permiso para crear un usuario o cambiar el shell de inicio de sesi n de un usuario C mo permitir que los usuarios inicien sesi n en una zona con etiquetas Cuando se reinicia el sistema la asociaci n entre los dispositivos y el almacenamiento subyacente se debe volver a establecer Debe haber creado al menos una zona con etiquetas Reinicie el sistema despu s de configurarlo Puede asumir el rol de usuario root Inicie sesi n y asuma el rol de usuario root Compruebe el estado del servicio de zonas svcs zones STATE STIME FMRI offline svc system zones default Reinicie el servicio svcadm restart svc system zones default Cierre sesi n Ahora los usuarios comunes pueden iniciar sesi n Su sesi n est en una zona con etiquetas 62 Configuraci n y administraci n de Trusted Extensions Julio de 2014 Creaci n de directorios principales centralizados en Trusted Extensions Creaci
78. del tiempo de inactividad del sistema En este ejemplo el administrador de la seguridad desea que los sistemas inactivos regresen a la pantalla de inicio de sesi n El valor predeterminado bloquea los sistemas inactivos Por lo tanto el rol de usuario root agrega el par IDLECMD keyword value al archivo etc security policy conf de la siguiente manera IDLECMD LOGOUT El administrador tambi n desea que los sistemas permanezcan inactivos durante un per odo m s corto antes de que se cierre la sesi n Por lo tanto el rol de usuario root agrega el par IDLETIME keyword value al archivo policy conf de la siguiente manera IDLETIME 10 As el sistema cierra la sesi n del usuario si el sistema permanece inactivo durante 10 minutos Tenga en cuenta que si el usuario de inicio de sesi n asume un rol los valores IDLECMD e IDLETIME del usuario est n vigentes para ese rol Cap tulo 11 Gesti n de usuarios derechos y roles en Trusted Extensions 137 C mo configurar los archivos de inicio para los usuarios en Trusted Extensions ejemplo 11 2 ejemplo 11 3 Antes de empezar Modificaci n del conjunto de privilegios b sico de cada usuario En este ejemplo el administrador de seguridad de una gran instalaci n de Sun Ray no quiere que los usuarios comunes vean los procesos de otros usuarios de Sun Ray Por lo tanto en todos los sistemas que est n configurados con Trusted Extensions el rol de usuario root elimina proc_info del
79. dentro del que pueden utilizar el sistema a Hay un rango de etiquetas dentro del que pueden utilizarse los roles para realizar tareas administrativas Los comandos de un perfil de derechos de Trusted Extensions tienen un atributo de etiqueta El comando se debe realizar dentro de un rango de etiquetas o en una etiqueta en particular m El software Trusted Extensions agrega privilegios y autorizaciones al conjunto de privilegios y autorizaciones definidos por Oracle Solaris Cap tulo 10 Acerca de usuarios derechos y roles en Trusted Extensions 127 Responsabilidades del administrador para los usuarios Responsabilidades del administrador para los usuarios 128 El rol de administrador del sistema crea las cuentas de usuarios El rol de administrador de la seguridad configura los aspectos de seguridad de una cuenta Para obtener detalles sobre la configuraci n de los usuarios y los roles consulte lo siguiente m Mapa de tareas para la configuraci n y gesti n de cuentas de usuario mediante el uso de la interfaz de l nea de comandos de Gesti n de las cuentas de usuario y los entornos de usuario en Oracle Solaris 11 2 Protecci n de los usuarios y los procesos en Oracle Solaris 11 2 Responsabilidades del administrador del sistema para los usuarios En Trusted Extensions el rol de administrador del sistema es responsable de determinar qui n puede acceder al sistema El administrador del sistema es res
80. dispositivos conectados en Oracle Solaris 11 2 Cap tulo 20 Acerca de los dispositivos en Trusted Extensions 281 Protecci n de los dispositivos con el software Trusted Extensions 282 En el sistema configurado con Trusted Extensions dos roles protegen los dispositivos m FEl rol de administrador del sistema controla el acceso a los dispositivos perif ricos El administrador del sistema permite que los dispositivos sean asignables Nadie puede usar los dispositivos establecidos como no asignables por el administrador del sistema Solamente los usuarios autorizados pueden asignar los dispositivos asignables E rol de administrador de la seguridad restringe las etiquetas en las que se puede acceder a un dispositivo y establece la pol tica de dispositivos El administrador de la seguridad decide qui n est autorizado a asignar un dispositivo Las siguientes son las principales funciones del control de los dispositivos con el software Trusted Extensions De manera predeterminada un usuario no autorizado en un sistema Trusted Extensions no puede asignar dispositivos como unidades de cinta o unidades de CD ROM Un usuario com n que cuente con la autorizaci n Allocate Device puede importar o exportar la informaci n de la etiqueta en la que el usuario asigna el dispositivo Los usuarios invocan Device Allocation Manager cuando inician sesi n directamente Para asignar un dispositivo de manera remota los usuarios de
81. en Trusted Extensions al igual que en Oracle Solaris A continuaci n se proporcionan algunos comandos tiles con referencias para obtener informaci n m s detallada m Para conocer las estrategias para resolver problemas de configuraci n de LDAP consulte Cap tulo 6 Resoluci n de problemas de LDAP de Trabajo con servicios de nombres y de directorio en Oracle Solaris 11 2 LDAP m Para resolver problemas de conexi n entre clientes y servidores LDAP que se ven afectados por las etiquetas consulte C mo depurar la conexi n de un cliente con el servidor LDAP 247 m Para resolver otros problemas de conexi n entre clientes y servidores LDAP consulte Cap tulo 6 Resoluci n de problemas de LDAP de Trabajo con servicios de nombres y de directorio en Oracle Solaris 11 2 LDAP m Para visualizar las entradas LDAP desde un cliente LDAP escriba Cap tulo 17 Sobre Trusted Extensions y LDAP 253 Referencia r pida para el servicio de nombres LDAP en Trusted Extensions 254 ldaplist l ldap_cachemgr g Para visualizar las entradas LDAP desde un servidor LDAP escriba ldap_cachemgr g idsconfig v Para visualizar los hosts que LDAP gestiona escriba ldaplist l hosts Long listing ldaplist hosts One line listing Para crear una lista con la informaci n del rbol de informaci n de directorios DIT Directory Information Tree en LDAP escriba ldaplist l services more dn cn
82. en la zona global La lista de zonas se muestra en Labeled Zone Manager Para abrir esta interfaz gr fica de usuario consulte C mo crear zonas con etiquetas de forma interactiva 45 Se debe detener la zona con etiquetas que desea configurar 52 Configuraci n y administraci n de Trusted Extensions Julio de 2014 C mo conectar un sistema Trusted Extensions con otros sistemas Trusted Extensions Pasos siguientes Antes de empezar En Labeled Zone Manager haga doble clic en la zona con etiquetas a la que desea agregar una interfaz virtual Haga doble clic en Configure Network Interfaces Aparece una lista de opciones de configuraci n Haga doble clic en Add a virtual interface VNIC Si el sistema tiene m s de una tarjeta VNIC se muestra m s de una opci n Seleccione la entrada con la interfaz deseada Asigne un nombre de host o asigne una direcci n IP y un recuento de prefijos Por ejemplo escriba 192 168 1 2 24 Si no anexa el recuento de prefijos se le solicitar una m scara de red La m scara de red equivalente para este ejemplo es 255 255 255 0 Para agregar un enrutador predeterminado haga doble clic en la entrada que acaba de agregar Cuando se solicite escriba la direcci n IP del enrutador y haga clic en OK Nota Para eliminar o modificar el enrutador predeterminado elimine la entrada y a continuaci n cree la VNIC de nuevo Haga clic en Cancel para volver a la lista de comandos de zonas
83. enlaces a procedimientos de usuario para el uso de dispositivos en Trusted Extensions TABLA 21 2 Mapa de tareas de uso de dispositivos en Trusted Extensions Tarea Para obtener instrucciones Asignar y desasignar un dispositivo C mo asignar un dispositivo en Trusted Extensions de Gu a del usuario de Trusted Extensions Utilizar medios port tiles para transferir C mo copiar archivos desde medios port tiles en Trusted Extensions 73 archivos C mo copiar archivos en medios port tiles en Trusted Extensions 72 Gesti n de dispositivos en Trusted Extensions El siguiente mapa de tareas describe los procedimientos que se deben llevar a cabo para proteger los dispositivos en el sitio TABLA 21 3 Mapa de tareas de gesti n de dispositivos en Trusted Extensions Tarea Descripci n Para obtener instrucciones Establecer o modificar la pol tica de Se modifican los privilegios necesarios para acceder dispositivos a un dispositivo Configuraci n de pol tica de dispositivos de Protecci n de sistemas y dispositivos conectados en Oracle Solaris 11 2 Autorizar a los usuarios a asignar un El rol de administrador de la seguridad asigna un dispositivo perfil de derechos al usuario con la autorizaci n Allocate Device C mo autorizar a usuarios para que asignen un dispositivo de Protecci n de sistemas y dispositivos conectados en Oracle Solaris LA El rol de ad
84. etiqueta m nima y un DOI En las entradas que no proporcionan atributos de seguridad se utilizan los atributos de la plantilla de seguridad de la puerta de enlace Comprobaciones de acreditaciones de Trusted Extensions El software Trusted Extensions determina la idoneidad de una ruta por cuestiones de seguridad El software efect a una serie de pruebas que se denominan comprobaciones de acreditaciones en el host de origen el host de destino y las puertas de enlace intermedias Nota En la explicaci n siguiente la comprobaci n de acreditaci n de un rango de etiquetas tambi n implica la comprobaci n de un conjunto de etiquetas auxiliares La comprobaci n de acreditaci n verifica el rango de etiquetas y la informaci n de etiquetas CALIPSO o CIPSO Los atributos de seguridad de una ruta se obtienen de la entrada de la tabla de enrutamiento o de la plantilla de seguridad de la puerta de enlace si la entrada no tiene atributos de seguridad En las comunicaciones entrantes el software de Trusted Extensions obtiene etiquetas de los mismos paquetes siempre que sea posible La obtenci n de etiquetas de los paquetes s lo es posible cuando los mensajes se env an desde hosts que admiten etiquetas Cuando una etiqueta no est disponible en el paquete se asigna una etiqueta predeterminada al mensaje desde la plantilla de seguridad Estas etiquetas se utilizan posteriormente en las comprobaciones de acreditaciones Trusted Extensions aplica
85. etiquetas host remoto host sin etiquetas MAC nombre de dominio nombre de host perfil de derechos plantilla de seguridad pol tica de seguridad Cuando un producto de software que ha demostrado que cumple con los criterios de una configuraci n evaluada se configura con valores que no cumplen con los criterios de seguridad el software se describe como fuera de la configuraci n evaluada Informaci n proporcionada por el gobierno GFI Government Furnished Information En este manual se refiere a un archivo label_encodings proporcionado por el gobierno de Estados Unidos Para utilizar la GFI con el software de Trusted Extensions debe agregar la secci n LOCAL DEFINITIONS espec fica de Oracle al final de la GFI Para obtener detalles consulte Cap tulo 5 Customizing the LOCAL DEFINITIONS Section de Trusted Extensions Label Administration Un sistema con etiquetas que forma parte de una red de confianza de sistemas con etiquetas n sistema distinto del sistema local Un host remoto puede ser un host sin etiquetas o un host con etiquetas Un sistema en red que env a paquetes de red sin etiquetas como un sistema que ejecuta el SO Oracle Solaris Consulte control de acceso obligatorio Identificaci n de un grupo de sistemas Un nombre de dominio est compuesto por una secuencia de nombres de componentes separados por puntos por ejemplo examplel town state country org Le dos de izq
86. extra bles la secuencia de comandos intenta expulsar el medio si el usuario no lo hace La secuencia de comandos coloca el dispositivo en estado de error de asignaci n si el medio no se expulsa Para obtener detalles sobre los requisitos consulte la p gina del comando man device _clean 5 Debe estar con el rol de usuario root en la zona global Copie la secuencia de comandos en el directorio etc security lib En el cuadro de di logo Device Properties especifique la ruta completa de la secuencia de comandos a Abra Device Manager b Haga clic en el bot n Administration c Seleccione el nombre del dispositivo y haga clic en el bot n Configure d En el campo Clean Program escriba la ruta completa para acceder a la secuencia de comandos 3 Guarde los cambios realizados Personalizaci n de autorizaciones para dispositivos en Trusted Extensions En el siguiente mapa de tareas se describen los procedimientos para cambiar las autorizaciones para dispositivos en el sitio TABLA 21 4 Mapa de tareas de personalizaci n de autorizaciones para dispositivos en Trusted Extensions Tarea Descripci n Para obtener instrucciones Crear nuevas autorizaciones para dispositivos Se crean autorizaciones espec ficas del sitio C mo crear nuevas autorizaciones para dispositivos 297 Agregar autorizaciones a un dispositivo Se agregan autorizaciones espec ficas del sitio a dispositivos seleccionados
87. f sica diferente de las dem s zonas con etiquetas Debido a que esta configuraci n se implementa con una sola instancia de IP la zona global controla las interfaces f sicas y gestiona los recursos globales como la tabla de enrutamiento Existe un cuarto tipo de configuraci n para una zona no global disponible en Oracle Solaris las instancias de IP exclusivas En esta configuraci n se asigna a una zona no global su propia instancia de IP y la zona gestiona sus propias interfaces f sicas Cada zona funciona como si fuera un sistema distinto Para obtener una descripci n consulte Interfaces de red de zona de Introducci n a Zonas de Oracle Solaris Si configura instancias de IP exclusivas en Trusted Extensions cada zona con etiquetas funciona como si fuera un sistema de un solo nivel distinto Las funciones de redes de varios niveles de Trusted Extensions se basan en las funciones de una pila de IP compartida En Configuraci n y administraci n de Trusted Extensions Julio de 2014 Zonas en Trusted Extensions esta gu a se asume que la red est controlada totalmente por la zona global Por lo tanto si el equipo de configuraci n inicial instal zonas con etiquetas con instancias de IP exclusivas debe proporcionar o consultar documentaci n espec fica del sitio Zonas y puertos de varios niveles De manera predeterminada las zonas no pueden enviar paquetes a ninguna otra zona ni recibir paquetes de ninguna otr
88. hacer que una regla IKE de fase 1 sea exclusiva La palabra clave label de IKE es distinta de las etiquetas de Trusted Extensions Cap tulo 7 Herramientas de administraci n de Trusted Extensions 105 106 Configuraci n y administraci n de Trusted Extensions Julio de 2014 vt CAP TULO 8 Sobre los requisitos de seguridad en un sistema Trusted Extensions En este cap tulo se describen las funciones de seguridad que pueden configurarse en un sistema con Trusted Extensions Funciones de seguridad configurables 107 m Aplicaci n de los requisitos de seguridad 109 Reglas para cambiar el nivel de seguridad de los datos 112 Funciones de seguridad configurables Trusted Extensions utiliza las mismas funciones de seguridad que proporciona Oracle Solaris y agrega otras funciones Por ejemplo el SO Oracle Solaris proporciona protecci n eeprom algoritmos de contrase a complejos y requisitos de contrase a protecci n del sistema mediante el bloqueo del usuario y protecci n frente a la interrupci n del teclado Trusted Extensions difiere de Oracle Solaris en que por lo general usted asume un rol limitado para administrar los sistemas Roles en Trusted Extensions En Trusted Extensions los roles son el medio convencional para administrar el sistema El superusuario es el rol root y es necesario para algunas tareas como la definici n de indicadores de auditor a la modificaci n de la contrase
89. impresas Las p ginas del cuerpo y las p ginas de la car tula y el ubicador obligatorios tienen etiquetas Adem s las p ginas de car tula y ubicador pueden incluir instrucciones de tratamiento El administrador del sistema se encarga de la administraci n b sica de las impresoras El rol de administrador de la seguridad se ocupa de la seguridad de las impresoras que incluye las etiquetas y el tratamiento del la impresi n con etiquetas Los administradores siguen los procedimientos de administraci n de impresoras b sicos de Oracle Solaris La configuraci n es necesaria para aplicar etiquetas limitar el rango de etiquetas de los trabajos de impresi n configurar las zonas con etiquetas para imprimir y flexibilizar restricciones de impresi n Trusted Extensions admite la impresi n de un solo nivel y de varios niveles De manera predeterminada un servidor de impresi n configurado en la zona global de un sistema Trusted Extensions puede imprimir toda la gama de las etiquetas es decir el servidor de impresi n tiene varios niveles Cualquier sistema o zona etiquetados que puedan acceder a ese servidor de impresi n tienen la capacidad de imprimir en la impresora conectada Una zona etiquetada admite la impresi n de un solo nivel La zona puede conectarse a la impresora a trav s de la zona global o se puede configurar como servidor de impresi n Cualquier zona en esa etiqueta que pueda acceder a la zona etiquetada y por lo tanto al s
90. la agregaci n del dispositivo a las bases de datos de asignaci n de dispositivos De manera predeterminada los dispositivos extra bles se pueden asignar Consulte C mo configurar un dispositivo mediante Device Manager en Trusted Extensions 289 atohexlabel 1M Convierte una etiqueta en lenguaje natural a su equivalente de texto interno Para ver un ejemplo consulte C mo obtener el equivalente hexadecimal de una etiqueta 122 Ap ndice D Lista de las p ginas del comando man de Trusted Extensions 331 P ginas del comando man de Trusted Extensions en orden alfab tico blcompare 3TSOL b1minmax 3TSOL chk_encodings 1M fgetlabel 2 getlabel 1 getlabel 2 getpathbylabel 3TSOL getplabel 3TSOL getuserrange 3TSOL getzoneidbylabel 3TSOL getzonelabelbyid 3TSOL getzonelabelbyname 3TSOL getzonepath 1 getzonerootbyid 3TSOL getzonerootbylabel 3TSOL Compara etiquetas binarias Determina el v nculo entre dos etiquetas Comprueba la sintaxis del archivo de codificaciones de etiqueta Para ver ejemplos consulte How to Debug a label_encodings File de Trusted Extensions Label Administration y Ejemplo 4 1 Comprobaci n de la sintaxis de label_encodings en la l nea de comandos Obtiene la etiqueta del archivo Muestra la etiqueta de los archivos o directorios seleccionados Para ver un ejemplo consulte C mo visualizar las etiquetas de los archivos montados 164
91. la etiqueta de un objeto o una selecci n Para obtener m s informaci n consulte Reglas para cambiar el nivel de seguridad de los datos 112 Generador de etiquetas en Trusted Extensions La interfaz gr fica de usuario del generador de etiquetas proporciona una acreditaci n o etiqueta v lida de su elecci n cuando un programa le solicita que asigne una etiqueta Por ejemplo un generador de etiquetas aparece durante el inicio de sesi n de escritorio consulte el Cap tulo 2 Inicio de sesi n en Trusted Extensions de Gu a del usuario de Trusted Extensions El generador de etiquetas tambi n aparece cuando cambia la etiqueta de un espacio de trabajo o cuando asigna una etiqueta a un usuario una zona o una interfaz de red Cap tulo 7 Herramientas de administraci n de Trusted Extensions 103 Herramientas de la l nea de comandos en Trusted Extensions El siguiente generador de etiquetas aparece cuando asigna un rango de etiquetas a un nuevo dispositivo DAA ATT tsoljds tstripe Changing workspace label on workspace Workspace 3 Classification Sensitivity O PUBLIC PUB O CONFIDENTIAL CNF O SANDBOX SBX Y MAX LABEL MAX e TRUSTED PATH T Revert TRUSTED PATH Help Cancel oK En el generador de etiquetas los nombres de los componentes en la columna Classification corresponden a la secci n CLASSIFICATIONS del archivo label_encodings Los nombres de los componentes de la column
92. la lista de comandos administrativos y archivos de configuraci n consulte el Ap ndice D Lista de las p ginas del comando man de Trusted Extensions El comando usr sbin txzonemgr es una herramienta de configuraci n de red y zona que ofrece dos modos Como una interfaz de la l nea de comandos el comando crea zonas con etiquetas Cuando se ejecuta con la opci n de comando c la interfaz de la l nea de comandos crea e inicia dos zonas con etiquetas La opci n d le preguntar si desea suprimir todas las zonas una por una Como interfaz gr fica de usuario la secuencia de comandos muestra un cuadro de di logo con el t tulo Labeled Zone Manager Esta interfaz gr fica de usuario lo guiar a trav s del proceso de creaci n e inicio de zonas con etiquetas La secuencia de comandos incluye la clonaci n de una zona para crear una instant nea Adem s la interfaz gr fica de usuario proporciona men s de configuraci n de LDAP servicio de nombres y redes La secuencia de comandos gestiona las direcciones IPv4 e IPv6 El comando txzonemgr ejecuta una secuencia de comandos zenity 1 El cuadro de di logo Labeled Zone Manager muestra s lo las opciones v lidas para el estado de configuraci n actual de una zona con etiquetas Por ejemplo si una zona ya tiene etiquetas la opci n de men Label no aparece 102 Configuraci n y administraci n de Trusted Extensions Julio de 2014 Device Manager Device Manager Un dispositi
93. ldapclient mod a enableShadowUpdate TRUE Y a adminDN cn admin ou profile dc west dc example dc com Y a adminPassword admin password System successfully configured Para obtener detalles consulte el Cap tulo 5 Configuraci n de clientes LDAP de Trabajo con servicios de nombres y de directorio en Oracle Solaris 11 2 LDAP Cap tulo 5 Configuraci n de LDAP para Trusted Extensions 85 Creaci n de un cliente LDAP de Trusted Extensions Errores m s frecuentes Verifique que las bases de datos de Trusted Extensions se puedan ver en el servidor proxy ldaplist l database Para conocer las estrategias para resolver problemas de configuraci n de LDAP consulte Cap tulo 6 Resoluci n de problemas de LDAP de Trabajo con servicios de nombres y de directorio en Oracle Solaris 11 2 LDAP Creaci n de un cliente LDAP de Trusted Extensions Antes de empezar El siguiente procedimiento crea un cliente LDAP para un servidor de directorios existente de Trusted Extensions Conversi n de la zona global en un cliente LDAP en Trusted Extensions Este procedimiento establece la configuraci n del servicio de nombres LDAP para la zona global en un cliente LDAP Utilice la secuencia de comandos txzonemgr Nota Si tiene previsto configurar un servidor de nombres en cada zona con etiquetas debe establecer la conexi n entre el cliente LDAP y cada zona con etiquetas Oracle Directory Server Enterprise Ed
94. logo Selection Manager 109 de procesos 99 de procesos de usuario 98 descripci n 95 descripci n general 95 determinaci n de equivalentes de texto 123 dominio 96 en copias impresas 261 en intercambios IPsec 210 especificaci n para zonas 45 extensiones para asociaciones de seguridad IKE 212 extensiones para asociaciones de seguridad IPsec 211 impresi n sin etiquetas de p ginas 278 opci n de men Change Workspace Label 109 planificaci n 20 predeterminadas en plantillas de host remoto 199 relaciones 96 reparaci n en bases de datos internas 123 resoluci n de problemas 123 visualizaci n de etiquetas de sistemas de archivos en zona con etiquetas 165 visualizaci n en hexadecimal 122 etiquetas administrativas 96 etiquetas bien formadas 97 etiquetas m ximas plantillas de host remoto 199 etiquetas m nimas plantillas de host remoto 199 evaluaci n de programas para la seguridad 312 exportaci n Ver uso compartido extensiones de etiquetas asociaciones de seguridad IPsec 211 negociaciones IKE 212 G gesti n Ver administraci n gesti n de dispositivos en Trusted Extensions mapa de tareas 288 gesti n de impresi n en Trusted Extensions mapa de tareas 269 gesti n de usuarios y derechos mapa de tareas 141 gesti n de zonas mapa de tareas 162 gestor de selecciones configuraci n de reglas para el confirmador de selecci n 114 configuraci n predeterminada 112 grupos precauciones para su
95. los hosts con etiquetas y sin etiquetas Estos atributos se utilizan para realizar lo siguiente m Para establecer el rango de etiquetas que puede utilizarse cuando un host se comunica con un host etiquetado remoto Para poder enviar un paquete a un host de destino la etiqueta del paquete debe estar dentro del rango de etiquetas asignado en la plantilla de seguridad del host de destino m Para establecer un rango de etiquetas para los paquetes que se reenv an mediante una puerta de enlace etiquetada o una sin etiquetar Puede especificarse el rango de etiquetas en la plantilla para un tipo de host sin etiquetas El rango de etiquetas activa el host para reenviar los paquetes que no est n necesariamente en la etiqueta del host pero se encuentran dentro de un rango de etiquetas especificado Cap tulo 15 Redes de confianza 201 Mecanismo de reserva de la red de confianza Etiquetas auxiliares en plantillas de seguridad El conjunto de etiquetas auxiliares define un m ximo de cuatro etiquetas discretas en que el host remoto puede aceptar enviar o reenviar paquetes Este atributo es opcional De manera predeterminada no hay ning n conjunto de etiquetas auxiliares definido Mecanismo de reserva de la red de confianza Es posible agregar una direcci n IP de un host a una plantilla de seguridad directamente o indirectamente La asignaci n directa agrega la direcci n IP de un host La asignaci n indirecta agrega un rango de direccion
96. los hosts cuyos sistemas de archivos deben montarse en la etiqueta PUBLIC mediante los sistemas Trusted Extensions tncfg t public tncfg public gt set host_type unlabeled tncfg public gt set doi 1 tncfg public gt set def_label public tncfg public gt set min_sl public tncfg public gt set max_sl public tncfg public gt exit 220 Configuraci n y administraci n de Trusted Extensions Julio de 2014 C mo agregar un host a una plantilla de seguridad v Antes de empezar El administrador de la seguridad luego agrega los hosts a la plantilla de seguridad Para obtener informaci n sobre la agregaci n consulte el Ejemplo 16 15 Creaci n de una subred sin etiquetas en la etiqueta PUBLIC Agregaci n de hosts a plantillas de seguridad Esta secci n contiene referencias o ejemplos sobre la agregaci n de hosts a plantillas de seguridad Para direcciones IP discontinuas consulte C mo agregar un host a una plantilla de seguridad 221 Para un rango de hosts consulte C mo agregar un rango de hosts a una plantilla de seguridad 227 Los ejemplos de esta secci n muestran las siguientes asignaciones de etiqueta de host remoto Una puerta de enlace remota de confianza gestiona el tr fico PUBLIC Consulte el Ejemplo 16 4 Creaci n de una puerta de enlace que gestiona paquetes en una sola etiqueta Los hosts remotos que no son de confianza act an como enrutadores de una sola etiqueta Ejemplo 16 5
97. los puertos de varios niveles MLP de una zona Cap tulo 16 Gesti n de redes en Trusted Extensions 245 C mo depurar la red de Trusted Extensions El comando tncfg z muestra un MLP por l nea tncfg z zone name info mlp private mlp_shared mlp_private lt port protocol that is specific to this zone only gt mlp_shared lt port protocol that the zone shares with other zones gt El comando tninfo m muestra los MLP privados en una l nea y los MLP compartidos en una segunda l nea Los MLP se separan con punto y coma tninfo m zone name private ports that are specific to this zone only shared ports that the zone shares with other zones Para obtener una visualizaci n gr fica de los MLP utilice el comando txzonemgr Haga doble clic en la zona y a continuaci n seleccione Configure Multilevel Ports 3 Corrija cualquier informaci n incorrecta a Para cambiar o comprobar la informaci n de seguridad de la red utilice los comandos administrativos de la red de confianza tncfg y txzonemgr Para verificar la sintaxis de las bases de datos utilice el comando tnchkdb Por ejemplo la siguiente salida muestra que el nombre de una plantilla internal_cipso no est definido tnchkdb checking etc security tsol tnrhtp checking etc security tsol tnrhdb tnchkdb unknown template name internal_cipso at line 49 tnchkdb unknown template name internal_cipso at line 50 tnchkdb unknown template name inte
98. los usuarios comunes El control de acceso obligatorio no permite que los usuarios escriban datos en los archivos con etiquetas de un nivel inferior al de la etiqueta del usuario Por lo tanto los usuarios comunes pueden leer un archivo con la etiqueta ADMIN_LOW pero no pueden modificarlo ADMIN_LOW se utiliza normalmente para proteger los archivos ejecutables que son p blicos y est n compartidos como los archivos de usr bin Archivo de codificaciones de etiqueta Todos los componentes de etiqueta de un sistema es decir las clasificaciones los compartimientos y las reglas asociadas se almacenan en un archivo ADMIN_HIGH el archivo label encodings El archivo original se encuentra en el directorio etc security tsol Una vez que se activa Trusted Extensions la ubicaci n del archivo se almacena como una propiedad del servicio labeld El administrador de la seguridad configura el archivo label_encodings para el sitio Un archivo de codificaciones de etiqueta contiene lo siguiente Definiciones de componente son las definiciones de clasificaciones compartimientos etiquetas y acreditaciones incluidas las reglas para las restricciones y las combinaciones necesarias Definiciones de rangos de acreditaci n es la especificaci n de las acreditaciones y las etiquetas m nimas que definen los conjuntos de etiquetas disponibles para todo el sistema y los usuarios comunes Especificaciones de impresi n informaci n de identificaci n y t
99. lt Stop gt Cuando el puntero permanece en el cuadro de di logo el usuario sabe que la petici n de contrase a es de confianza Si el puntero se mueve a la banda de confianza el usuario se da cuenta de que la petici n de contrase a no es de confianza por lo que debe ponerse en contacto con el administrador Cap tulo 9 Tareas comunes en Trusted Extensions 121 C mo obtener el equivalente hexadecimal de una etiqueta ejemplo 9 2 Antes de empezar Forzar el puntero hacia la banda de confianza En este ejemplo un usuario no est ejecutando ning n proceso de confianza pero no puede ver el puntero del mouse Para ubicar el puntero en el centro de la banda de confianza el usuario presiona simult neamente las teclas lt Meta gt y lt Stop gt C mo obtener el equivalente hexadecimal de una etiqueta Este procedimiento proporciona la representaci n hexadecimal interna de una etiqueta Esta representaci n se puede almacenar con seguridad en un directorio p blico Para obtener m s informaci n consulte la p gina del comando man atohexlabel 1M Debe estar con el rol de administrador de la seguridad en la zona global Para obtener detalles consulte C mo entrar en la zona global en Trusted Extensions 118 Para obtener el valor hexadecimal de una etiqueta realice una de las acciones siguientes m Para obtener el valor hexadecimal de una etiqueta de sensibilidad pase la etiqueta al comando atohexlabel CONF
100. man ipseckey 1M Bases de datos de configuraci n de red en Trusted Extensions Trusted Extensions carga tres bases de datos de configuraci n de red en el n cleo Estas bases de datos se utilizan en las comprobaciones de acreditaciones cuando se transmiten datos de un host a otro tnzonecfg esta base de datos local almacena atributos de la zona que est n relacionados con la seguridad El comando tncfg es la interfaz para acceder a esta base de datos y modificarla Los atributos de cada zona especifican la etiqueta de la zona y el acceso de dicha zona a los puertos de un solo nivel y de varios niveles Otro atributo gestiona las respuestas a los mensajes de control como ping Las etiquetas de las zonas se definen en el archivo label_encodings Para obtener m s informaci n consulte la p gina del comando man label encodings 4 Para ver una explicaci n sobre los puertos de varios niveles consulte Zonas y puertos de varios niveles 159 tnrhtp esta base de datos almacena plantillas que describen los atributos de seguridad de los hosts y las puertas de enlace El comando tncfg es la interfaz para acceder a esta base de datos y modificarla Los hosts y las puertas de enlace utilizan los atributos del host de destino y la puerta de enlace del pr ximo salto para aplicar el MAC al enviar tr fico Cuando el tr fico se Cap tulo 15 Redes de confianza 197 Atributos de seguridad de red en Trusted Extensions recibe los ho
101. manage x11 solaris account setpolicy lt lt Remove solaris account activate solaris admin idmap rules MA MA Phr Jel mR Tr Description Allocate Device Select All Clear All Help Cancel 5 Reset OK 3 Opcional Restrinja el rango de etiquetas en el dispositivo a Establezca la etiqueta m nima Haga clic en el bot n Min Label y seleccione una etiqueta m nima del generador de etiquetas Para obtener informaci n sobre el generador de etiquetas consulte Generador de etiquetas en Trusted Extensions 103 b Establezca la etiqueta m xima Haga clic en el bot n Max Label y seleccione una etiqueta m xima del generador de etiquetas 4 Especifique si el dispositivo se puede asignar localmente En el cuadro de di logo Device Configuration en For Allocations From Trusted Path seleccione una opci n de la lista Allocatable By De manera predeterminada la opci n Authorized Users est activada Por lo tanto el dispositivo es asignable y los usuarios deben estar autorizados m Para hacer que el dispositivo no sea asignable haga clic en No Users Cap tulo 21 Gesti n de dispositivos para Trusted Extensions 291 C mo configurar un dispositivo mediante Device Manager en Trusted Extensions 292 Si configura un b fer de trama u otro dispositivo que no deba ser asignable seleccione No Users Nota No puede configurar una impresora para la asignaci n m Para hacer que e
102. manera din mica que utilizan setuid y setgid y los programas con privilegios pueden cargarse nicamente desde directorios de confianza Como en Oracle Solaris se utiliza el comando crle para agregar directorios de bibliotecas compartidas de un programa con privilegios a la lista de directorios de confianza Para obtener detalles consulte la p gina del comando man crle 1 Evaluaci n de software para la seguridad Cuando se le asignan privilegios al software o cuando se lo ejecuta con un ID de grupo o de usuario alternativo se convierte en un software de confianza El software de confianza puede omitir aspectos de la pol tica de seguridad de Trusted Extensions Tenga en cuenta que puede convertir el software en confiable aunque podr a no ser de confianza El administrador de la seguridad debe esperar para otorgar privilegios al software hasta que se efect e un examen minucioso que demuestre que el software utiliza los privilegios de manera confiable En un sistema de confianza los programas se dividen en tres categor as Configuraci n y administraci n de Trusted Extensions Julio de 2014 Agregaci n de software a Trusted Extensions Programas que no requieren atributos de seguridad algunos programas se ejecutan en un solo nivel y no requieren privilegios Estos programas pueden instalarse en un directorio p blico como usr local Para obtener acceso asigne el programa como comandos en los perfiles de derechos de los usuarios
103. montaje autom tico en la zona de nivel superior Configuraci n y administraci n de Trusted Extensions Julio de 2014 C mo iniciar una sesi n en modo a prueba de fallos en Trusted Extensions Antes de empezar 1 2 higher level zone svcadm restart autofs Salvo que use montajes de NFS para los directorios de inicio el montador autom tico de la zona de nivel superior debe montar en bucle de retorno de zone lower level zone export home username a zone lower level zone home username C mo iniciar una sesi n en modo a prueba de fallos en Trusted Extensions En Trusted Extensions el inicio de sesi n en modo a prueba de fallos est protegido Si un usuario com n personaliz los archivos de inicializaci n del shell y ahora no puede iniciar sesi n puede utilizar el inicio de sesi n en modo a prueba de fallos para reparar los archivos del usuario Debe conocer la contrase a de usuario root Escriba su nombre de usuario en la pantalla de inicio de sesi n En la parte inferior de la pantalla seleccione Solaris Trusted Extensions Failsafe Session del men de escritorio Cuando se solicite escriba su contrase a Cuando se solicite una contrase a adicional escriba la contrase a de usuario root Ya puede depurar los archivos de inicializaci n del usuario Gesti n de usuarios y derechos En Trusted Extensions asume el rol de administrador de la seguridad para administrar usuarios autorizaciones dere
104. n consulte la p gina del comando man zoneadm 1M zoneadm z public install Configuraci n de las interfaces de red en Trusted Extensions El sistema Trusted Extensions no necesita una red para ejecutar un escritorio con una pantalla de mapa de bits con conexi n directa como un equipo port til o una estaci n de trabajo Cap tulo 4 Configuraci n de Trusted Extensions 49 C mo compartir una nica direcci n IP con todas las zonas Sin embargo se requiere una configuraci n de red para la comunicaci n con otros sistemas Mediante la interfaz gr fica de usuario txzonemgr puede configurar de forma sencilla las zonas con etiquetas y la zona global para la conexi n con otros sistemas Para obtener una descripci n de las opciones de configuraci n para las zonas con etiquetas consulte Acceso a zonas con etiquetas 23 En el siguiente mapa de tareas se describen las tareas de configuraci n de red y se incluyen enlaces a ellas TABLA 4 3 Mapa de tareas de configuraci n de las interfaces de red en Trusted Extensions Tarea Descripci n Para obtener instrucciones Configurar un sistema predeterminado para los usuarios comunes El sistema tiene una direcci n IP y utiliza una interfaz all zones para la comunicaci n entre las zonas con etiquetas y la zona global La misma direcci n IP se utiliza para la comunicaci n con sistemas remotos C mo compartir una nica direcci n IP con todas las zon
105. n de plantilla de seguridad Para el mensaje informativo consulte el Ejemplo 16 3 Reemplazo de la asignaci n de plantilla de seguridad de un host Vea la plantilla de seguridad modificada En el siguiente ejemplo se muestra la direcci n 192 168 1 2 que se agreg a la plantilla cipso tncfg cipso gt info host 192 168 1 2 32 La longitud del prefijo de 32 indica que la direcci n es exacta Confirme el cambio y salga de la plantilla de seguridad tncfg cipso gt commit tncfg cipso gt exit Para eliminar una entrada de host consulte el Ejemplo 16 12 Eliminaci n de varios hosts de una plantilla de seguridad Reemplazo de la asignaci n de plantilla de seguridad de un host En este ejemplo se muestra el mensaje informativo que aparece cuando se asigna una plantilla de seguridad a un host que ya tiene una asignaci n de plantilla 222 Configuraci n y administraci n de Trusted Extensions Julio de 2014 C mo agregar un host a una plantilla de seguridad ejemplo 16 4 ejemplo 16 5 tncfg t cipso tncfg cipso gt add host 192 168 1 2 192 168 1 2 previously matched the admin_low template tncfg cipso gt info host 192 168 1 2 32 tncfg cipso gt exit Creaci n de una puerta de enlace que gestiona paquetes en una sola etiqueta En el Ejemplo 16 1 Creaci n de una plantilla de seguridad para una puerta de enlace que gestiona paquetes en una sola etiqueta el administrador de la seguridad crea una p
106. nuevos sistemas Cuando un host adaptive est configurado para enviar paquetes a una interfaz de red etiquetada en un host netif la etiqueta predeterminada de la interfaz en ese host netif asigna la etiqueta adecuada para los paquetes entrantes Tipo de host netif destinado para los nombres de host de las interfaces que reciben paquetes en una interfaz de red espec fica de hosts adaptive Este tipo de host se asigna a las interfaces en sistemas Trusted Extensions La etiqueta predeterminada de la interfaz netif se aplica a los paquetes entrantes Atenci n La plantilla admin_low brinda un ejemplo para la creaci n de plantillas sin etiquetas con etiquetas espec ficas del sitio Mientras que la plantilla admin_low es necesaria para la instalaci n de Trusted Extensions es posible que los atributos de seguridad sean demasiado liberales para el funcionamiento normal del sistema Conserve las plantillas proporcionadas sin modificaciones para el mantenimiento del sistema y el soporte t cnico Etiqueta predeterminada en plantillas de seguridad Las plantillas para los tipos de host unlabeled y netif especifican una etiqueta predeterminada Esta etiqueta se utiliza para controlar las comunicaciones con los hosts cuyos sistemas operativos no reconocen etiquetas como los sistemas Oracle Solaris La etiqueta predeterminada que est asignada refleja el nivel de confianza adecuado para el host y los usuarios Configuraci n y administraci n de
107. p gina del cuerpo se imprime en modo horizontal occoooccnnoccnnnccnonoccnnnnnnnncnnnnicinnnonono 266 Device Manager abierto por un usuario ccooccconccnnnnccnnncnnnnccnnnicinnnnnns 284 Estructuras t picas de registros de auditor a en un sistema con etiquetas 305 10 Configuraci n y administraci n de Trusted Extensions Julio de 2014 Lista de tablas TABLA 1 1 TABLA 1 2 TABLA 4 1 TABLA 4 2 TABLA 4 3 TABLA 4 4 TABLA 4 5 TABLA 5 1 TABLA 5 2 TABLA 6 1 TABLA 7 1 TABLA 8 1 TABLA 8 2 TABLA 9 1 TABLA 9 2 TABLA 10 1 TABLA 10 2 TABLA 11 1 TABLA 11 2 TABLA 12 1 TABLA 13 1 TABLA 14 1 Plantillas de host predeterminadas en Trusted Extensions coooccccnoccnnoccono 21 Valores predeterminados de seguridad de Trusted Extensions para las cuent s de USUATIO coccion EA rias 25 Configuraci n de la zona global en Trusted Extensions occoooccconccnnnoo 39 Creaci n de zonas CON etiquetas oocoooccconnccnnoccnnnccnonoccnnocnnnnccnnnacnnnioos 44 Mapa de tareas de configuraci n de las interfaces de red en Trusted A E I REE O AE ATEA 50 Mapa de tareas de creaci n de roles y usuarios en Trusted Extensions 56 Mapa de tareas adicionales de configuraci n de Trusted Extensions 67 Mapa de tareas de configuraci n de LDAP en una red de Trusted Extensions ii A AA tdi 75 Mapa de tareas de configuraci n de un servidor proxy LDAP en un sistema Tr
108. para hacerlo Etiquetas en el software Trusted Extensions Las etiquetas y las acreditaciones son fundamentales para el control de acceso obligatorio MAC en Trusted Extensions Determinan qu usuarios pueden acceder a qu programas archivos y directorios Las etiquetas y las acreditaciones contienen un componente de clasificaci n y adem s puede que no contengan ning n componente de compartimiento o que contengan algunos El componente de clasificaci n indica un nivel jer rquico de seguridad por ejemplo de TOP SECRET a SECRET y PUBLIC El componente de compartimiento representa un grupo de usuarios que podr an necesitar acceso a un cuerpo com n de informaci n Algunos de los ejemplos de tipos de compartimientos m s comunes son los proyectos los departamentos o las ubicaciones f sicas Las etiquetas son legibles para los usuarios autorizados pero internamente se las manipula como n meros En el archivo label_encodings se definen los n meros y las versiones legibles correspondientes Trusted Extensions media en todas las transacciones relacionadas con la seguridad que se hayan intentado realizar El software compara las etiquetas de la entidad de acceso por lo general un proceso y la entidad a la que se accede normalmente un objeto del sistema de archivos Luego el software permite o no realizar la transacci n seg n qu etiqueta sea dominante Las etiquetas tambi n se utilizan para determinar el acceso a otros recursos d
109. para los sockets Trusted Extensions modifica los siguientes comandos de red de Oracle Solaris m F comando netstat rR muestra los atributos de seguridad en las entradas de la tabla de enrutamiento F comando netstat aR muestra los atributos de seguridad para sockets F comando route p con las opciones add o delete cambia las entradas de la tabla de enrutamiento Para obtener detalles consulte las p ginas del comando man netstat 1M y route 1M Cap tulo 15 Redes de confianza 209 Administraci n de IPsec con etiquetas Para cambiar las entradas de la tabla de enrutamiento Trusted Extensions proporciona las siguientes interfaces La interfaz gr fica de usuario txzonemgr se puede utilizar para asignar la ruta predeterminada de una interfaz El comando route p con la opci n add o delete se puede usar para cambiar las entradas de la tabla de enrutamiento Para ver ejemplos consulte C mo agregar rutas predeterminadas 234 Administraci n de IPsec con etiquetas 210 Los sistemas Trusted Extensions pueden proteger los paquetes de red con etiquetas mediante IPsec Los paquetes IPsec se pueden enviar con etiquetas expl citas o impl citas de Trusted Extensions Las etiquetas se env an expl citamente utilizando las opciones IP de CALIPSO o CIPSO Las etiquetas se env an impl citamente utilizando las asociaciones de seguridad SA IPsec etiquetadas Adem s los paquetes IPsec cifrados con diferentes etiq
110. personas presentes para activar y configurar Trusted Extensions Resoluci n de problemas de seguridad antes de instalar Trusted Extensions En cada sistema en el que se configurar Trusted Extensions deber tomar algunas decisiones respecto de la configuraci n Por ejemplo debe decidir si instalar la configuraci n predeterminada de Trusted Extensions o si personalizar la configuraci n Cap tulo 3 Agregaci n de la funci n Trusted Extensions a Oracle Solaris 33 Protecci n del hardware del sistema y toma de decisiones relacionadas con la seguridad antes de activar Trusted Extensions 34 Y Protecci n del hardware del sistema y toma de decisiones relacionadas con la seguridad antes de activar Trusted Extensions En cada sistema en el que se va a configura Trusted Extensions tome estas decisiones de configuraci n antes de activar el software Decida el grado de seguridad con el que se debe proteger el hardware del sistema En un sitio seguro este paso se realiza en cada sistema Oracle Solaris a Fn los sistemas SPARC seleccione un nivel de seguridad PROM y proporcione una contrase a m Fn los sistemas x86 proteja el BIOS y el men de GRUB Fn todos los sistemas proteja root con una contrase a Prepare el archivo label_encodings Si tiene un archivo label_encodings espec fico del sitio el archivo se debe comprobar e instalar antes de iniciar otras tareas de configuraci n Si su sitio no tiene un
111. pol tica de seguridad Si la pol tica de seguridad no se respeta y no se aplica los datos incluidos en el sistema en el que est configurado Trusted Extensions no estar n protegidos Es preciso establecer procedimientos para registrar cualquier problema y las medidas que se han tomado para resolver los incidentes Revise peri dicamente la pol tica de seguridad El equipo de seguridad debe llevar a cabo una revisi n peri dica de la pol tica de seguridad y de todos los incidentes que se produjeron desde la ltima revisi n Los ajustes en esta pol tica pueden ayudar a aumentar la seguridad Pol tica de seguridad del sitio y Trusted Extensions El administrador de la seguridad debe dise ar la red de Trusted Extensions en funci n de la pol tica de seguridad del sitio La pol tica de seguridad dicta las decisiones relacionadas con la configuraci n como las siguientes Cu ntas auditor as se realizan para todos los usuarios y para qu clases de eventos Cu ntas auditor as se realizan para los usuarios con roles y para qu clases de eventos C mo se gestionan archivan y revisan los datos de la auditor a Qu etiquetas se utilizan en el sistema y si las etiquetas ADMIN_LOW y ADMIN_HIGH estar n visibles para los usuarios comunes Qu acreditaciones de usuario se asignan a las personas Qu dispositivos si los hay se pueden asignar por qu usuarios comunes Qu rangos de etiqueta se definen para los sistemas las impresor
112. privilegios a un programa que falla debido a la falta de privilegios Como alternativa el administrador de la seguridad puede decidir asignar un UID o un GID efectivo para que el privilegio resulte innecesario Crear y asignar perfiles de derechos para el nuevo programa 314 Configuraci n y administraci n de Trusted Extensions Julio de 2014 vt AP NDICE A Pol tica de seguridad del sitio En este ap ndice se explican los problemas de la pol tica de seguridad del sitio y se sugieren sitios web y manuales de referencia para obtener m s informaci n Pol tica de seguridad del sitio y Trusted Extensions 316 Recomendaciones de seguridad inform tica 316 Recomendaciones de seguridad f sica 317 Recomendaciones de seguridad del personal 318 Infracciones de seguridad comunes 319 Referencias de seguridad adicionales 319 Creaci n y gesti n de una pol tica de seguridad Cada sitio de Trusted Extensions es nico y debe determinar su propia pol tica de seguridad Realice las siguientes tareas al crear y gestionar una pol tica de seguridad Establezca un equipo de seguridad El equipo de seguridad debe tener representaci n de la gerencia superior la gerencia de personal los administradores y la gerencia de sistemas inform ticos y la gerencia de utilidades El equipo debe revisar las pol ticas y los procedimientos de los administradores de Trusted Extensions y recomendar las
113. protect as La clasificaci n minimum protect as se define en el archivo label _encodings Por ejemplo si el usuario se encuentra en una sesi n Internal Use Only los trabajos de impresi n del usuario est n en esa etiqueta Si la clasificaci n minimum protect as en el archivo label_encodings es Public la etiqueta Internal Use Only se imprime en las p ginas del cuerpo Configuraci n y administraci n de Trusted Extensions Julio de 2014 Etiquetas impresoras e impresi n FIGURA 19 3 Etiqueta del trabajo impresa en la parte superior y en la parte inferior de una p gina del cuerpo INTERNAL USE ONLY INTERNAL USE ONLY Cuando las p ginas del cuerpo se imprimen en modo horizontal la etiqueta se imprime en modo vertical En la figura siguiente se ilustra una p gina del cuerpo impresa en modo horizontal cuya etiqueta Protect As se extiende m s all de los l mites de la p gina La etiqueta se trunca a 80 caracteres Cap tulo 19 Gesti n de impresi n con etiquetas 265 Etiquetas impresoras e impresi n FIGURA 19 4 Etiqueta del trabajo impresa en modo vertical cuando la p gina del cuerpo se imprime en modo horizontal K LMMM NNOO PQQQ RRSS Rail Hardware Installation o CE E 2 Rear Rail 3 GGGH IJKK LMMM NNO Archivo de configuraci n tsol_separator ps En la siguiente tabla se muestran los aspectos de la impresi n de confianza que el administrador de la seguridad puede cambiar m
114. que los nombres de usuario y los ID de usuario no se vuelvan a utilizar se evitan posibles confusiones respecto de lo siguiente m Las acciones que realiz cada usuario en el an lisis de los registros de auditor a m Losarchivos que posee cada usuario en la restauraci n de archivos Protecci n de la informaci n Como administrador tiene la responsabilidad de configurar y mantener correctamente la protecci n del control de acceso discrecional DAC y del control de acceso obligatorio MAC para los archivos cuya seguridad es cr tica Entre los archivos cr ticos se incluyen los siguientes Archivo shadow contiene contrase as cifradas Consulte la p gina del comando man shadow 4 Archivo auth_attr contiene autorizaciones personalizadas Consulte la p gina del comando man auth_attr 4 Archivo prof_attr contiene perfiles de derechos personalizados Consulte la p gina del comando man prof_attr 4 m Archivo exec_attr contiene comandos con atributos de seguridad que el sitio agreg a los perfiles de derechos Consulte la p gina del comando man exec_attr 4 m Pista de auditor a contiene los registros de auditor a que recopil el servicio de auditor a Consulte la p gina del comando man audit log 4 Protecci n mediante contrase a En los archivos locales la protecci n que evita la visualizaci n de las contrase as se realiza mediante DAC y la que evita su modificaci n mediante DAC y MAC Las contrase
115. que no se puede suprimir entre reinicios En ese directorio el administrador coloca los archivos que deben ser id nticos o muy similares en todos los sistemas Por ejemplo el administrador modifica el archivo policy conf y los archivos login y passwd predeterminados para este sitio Por lo tanto el administrador copia los siguientes archivos al directorio permanente mkdir export commonfiles cp etc security policy conf Y Configuraci n y administraci n de Trusted Extensions Julio de 2014 C mo copiar archivos desde medios port tiles en Trusted Extensions Antes de empezar cp etc default login Y cp etc default passwd Y export commonfiles El administrador inserta un CD en una unidad de CD ROM y la asigna allocate cdrom0 Despu s de transferir los archivos al CD el administrador coloca una etiqueta Trusted Path C mo copiar archivos desde medios port tiles en Trusted Extensions Es una pr ctica segura cambiar el nombre del archivo de Trusted Extensions original antes de reemplazar el archivo Al configurar un sistema el rol de usuario root copia los archivos administrativos y les cambia el nombre Para copiar archivos administrativos debe tener el rol de usuario root en la zona global Asigne el dispositivo adecuado allocate cdrom0 En un sistema de ventanas puede utilizar Device Manager Para obtener detalles consulte C mo asignar un dispositivo en Trusted Extensions de Gu a de
116. red que no es de confianza 240 La etiqueta arbitraria de la plantilla es PUBLIC La impresora pr nolabel1 est conectada a este servidor de impresi n Los trabajos de impresi n de los usuarios de la zona PUBLIC se imprimen en la impresora pr nolabel1 sin etiquetas Seg n la configuraci n de la impresora los trabajos pueden tener las p ginas de la car tula o no tenerlas Las p ginas de la car tula no contienen informaci n de seguridad C mo permitir que usuarios y roles espec ficos omitan el etiquetado de la salida impresa Para permitir que usuarios y roles impriman trabajos sin etiquetas se necesita la autorizaci n del administrador de seguridad y una acci n por parte del usuario o rol autorizado al enviar un trabajo de impresi n Debe estar con el rol de administrador de la seguridad en la zona global Asignar autorizaciones de impresi n a un usuario o rol m Para permitir que el usuario o el rol elimine etiquetas de las p ginas de car tula o ubicador asigne la autorizaci n solaris print nobanner usermod A solaris print nobanner username rolemod A solaris print nobanner rolename m Para permitir que el usuario o el rol elimine etiquetas de las p ginas del cuerpo asigne la autorizaci n solaris print unlabeled usermod A solaris print unlabeled username rolemod A solaris print unlabeled rolename m Para permitir que el usuario o el rol elimine todas las etiquetas de las copias de impresi n asigne
117. se agrega a la zona global ninguna zona con etiquetas puede agregar un puerto de varios niveles para el servicio ssh De manera similar si el puerto de varios niveles para el servicio ssh se agrega a una zona con etiquetas la zona global no se puede configurar con un puerto de varios niveles ssh Para ver un ejemplo consulte C mo crear un puerto de varios niveles para una zona 235 Zonas e ICMP en Trusted Extensions Las redes transmiten mensajes de difusi n y env an paquetes de ICMP a los sistemas de la red En un sistema de varios niveles estas transmisiones pueden colapsar el sistema en cada etiqueta De manera predeterminada la pol tica de red para las zonas con etiquetas requiere que los paquetes de ICMP se reciban nicamente en la etiqueta que coincide Procesos de la zona global y de las zonas con etiquetas En Trusted Extensions la pol tica de MAC se aplica a todos los procesos incluso los procesos de la zona global Los procesos de la zona global se ejecutan en la etiqueta ADMIN_HIGH Cuando se comparten los archivos de una zona global se comparten en la etiqueta ADMIN_LOW Por lo tanto dado que MAC impide que un proceso con una etiqueta superior modifique un objeto de nivel inferior generalmente la zona global no puede escribir en un sistema montado en NFS Sin embargo en un n mero limitado de los casos las acciones en una zona con etiquetas puede requerir que un proceso de la zona global modifique un archivo en dic
118. se encuentran en la planta baja Supervise y documente el acceso a los sistemas en los que est configurado Trusted Extensions Sujete el equipo inform tico a objetos grandes como mesas y escritorios para impedir robos Cuando fije un equipo a un objeto de madera aumente la solidez del objeto agregando placas de metal Ap ndice A Pol tica de seguridad del sitio 317 Recomendaciones de seguridad del personal Eval e la posibilidad de utilizar medios de almacenamiento extra bles para la informaci n confidencial Bloquee todos los medios extra bles cuando no se est n utilizando Almacene los archivos y las copias de seguridad del sistema en una ubicaci n segura separada de la ubicaci n de los sistemas Restrinja el acceso f sico a los medios de archivo y las copias de seguridad en la misma forma en que restringe el acceso a los sistemas Instale una alarma de alta temperatura en la instalaci n inform tica para indicar si la temperatura est fuera del rango de las especificaciones del fabricante Un rango sugerido es de 10 C a 32 C 50 F a 90 F Instale una alarma de agua en la instalaci n inform tica para que indique si hay agua en el piso en la cavidad del subsuelo y en el techo Instale una alarma de humo para indicar la presencia de fuego y un sistema de extinci n de fuego Instale una alarma de humedad para indicar si hay mucha o poca humedad Si las m quinas no lo tienen tenga en cuenta el aislamient
119. seguridad sin etiquetas de un sistema permite que los hosts con la direcci n espec fica 0 0 0 0 se comuniquen con el sistema Por ejemplo los clientes DHCP se contactan con el servidor DHCP como 0 0 0 0 antes de que el servidor les proporcione una direcci n IP Para crear una entrada tnrhdb en un servidor Sun Ray que presta servicios a clientes DHCP consulte el Ejemplo 16 19 Configuraci n de una direcci n inicial v lida para un servidor Sun Ray etiquetado Para crear una entrada tnrhdb para una aplicaci n que presta servicios a clientes DHCP consulte el Ejemplo 16 18 C mo hacer que la direcci n de host 0 0 0 0 32 sea una direcci n inicial v lida La red 0 0 0 0 admin_low es la entrada predeterminada en plantilla de host sin etiquetas admin_low Consulte C mo limitar los hosts que se pueden contactar en la red de confianza 229 para conocer los temas de seguridad que requieren el cambio de esta opci n predeterminada Para obtener m s informaci n sobre las longitudes de prefijos en las direcciones IPv4 e IPv6 consulte C mo decidir el formato de las direcciones IP para la red de Planificaci n de la implementaci n de red en Oracle Solaris 11 2 Acerca del enrutamiento en Trusted Extensions En Trusted Extensions las rutas que unen los hosts de diferentes redes deben preservar la seguridad en cada etapa de la transmisi n Trusted Extensions agrega atributos de seguridad Cap tulo 15 Redes de confi
120. sesi n en el servidor de directorio principal c En la zona de inicio de sesi n abra un terminal d En la ventana de terminal verifique que el directorio principal del usuario exista e Cree espacios de trabajo para cada zona en la que el usuario puede trabajar f En cada zona abra una ventana de terminal para verificar que el directorio principal del usuario exista Cap tulo 4 Configuraci n de Trusted Extensions 63 C mo permitir que los usuarios accedan a sus directorios principales remotos en cada etiqueta mediante el inicio de sesi n en cada servidor NFS Antes de empezar Pasos siguientes Cierre la sesi n del servidor de directorio principal C mo permitir que los usuarios accedan a sus directorios principales remotos en cada etiqueta mediante el inicio de sesi n en cada servidor NFS En este procedimiento se permite a los usuarios crear un directorio principal en cada etiqueta Para ello se les permite iniciar sesi n directamente en cada servidor de directorio principal Despu s de crear cada directorio principal en el servidor central los usuarios pueden acceder a sus directorios principales desde cualquier sistema Como alternativa usted como administrador puede crear un punto de montaje en cada servidor de directorio principal mediante la ejecuci n de una secuencia de comandos y la posterior modificaci n del montador autom tico Para obtener detalles sobre este m todo consulte C mo permiti
121. size 500M dsconf set log prop AUDIT min free disk space 500M dsconf set log prop AUDIT rotation interval 1d De manera predeterminada el intervalo de rotaci n de logs de auditor a es de una semana Configure los logs de errores En esta configuraci n puede especificar los datos adicionales que se van a recopilar en el log de errores dsconf set log prop ERROR max age 3M dsconf set log prop ERROR max disk space size 20000M dsconf set log prop ERROR max file count 30 dsconf set log prop ERROR max size 500M dsconf set log prop ERROR min free disk space 500M dsconf set log prop ERROR verbose enabled on Opcional Configure m s valores para los logs Tambi n puede configurar los siguientes valores de configuraci n para cada log dsconf set log prop LOG_TYPE rotation min file size undefined dsconf set log prop LOG_TYPE rotation time undefined Para obtener informaci n sobre el comando dsconf consulte la p gina del comando man dsconf 1M Configuraci n de puerto de varios niveles para Oracle Directory Server Enterprise Edition Para trabajar en Trusted Extensions el puerto de servidor del servidor LDAP debe estar configurado como un puerto de varios niveles MLP en la zona global Debe estar con el rol de usuario root en la zona global En una ventana de terminal inicie txzonemgr usr sbin txzonemgr Agregue un puerto de varios niveles para el protocolo TCP en la zona global El n mer
122. socket printer IP address m printer make and model La opci n E permite que las impresoras designadas acepten una cola de solicitudes de impresi n Tambi n activa las impresoras Para crear una impresora de red comparta la impresora lpadmin p printer name o printer is shared true Para evitar que la impresora sea utilizada por otros sistemas omita este paso Visualice los valores predeterminados de la impresora lpoptions p printer name Ajuste los valores predeterminados Por ejemplo puede imprimir a dos caras y dos hojas por p gina Sugerencia Puede utilizar la interfaz web de CUPS http localhost 631 para configurar la impresora Configure cada impresora conectada al servidor de impresi n con una p gina de car tula y ubicador etiquetada lpadmin p printer name o job sheets labeled 270 Configuraci n y administraci n de Trusted Extensions Julio de 2014 C mo configurar una impresora de red V ase tambi n Si el rango de etiquetas predeterminado que va de ADMIN_LOW a ADMIN_HIGH es aceptable para todas las impresoras significa que se complet la configuraci n de las etiquetas Configure la impresora en cada zona con etiquetas donde se permite la impresi n Utilice la direcci n IP all zones como servidor de impresi n para la zona global a Inicie sesi n como root en la consola de la zona etiquetada zlogin C labeled zone Agregue la impresora lpadmin p zone printer
123. suministrado por Oracle 34 decisiones que se deben tomar antes de activar Trusted Extensions 34 en funci n de la pol tica de seguridad del sitio 316 definiciones de componente archivo label_encodings 97 depuraci n Ver resoluci n de problemas derechos Ver perfiles de derechos desactivaci n Trusted Extensions 74 desasignaci n forzar 293 desasignaci n de dispositivos 73 Device Manager descripci n 283 herramienta administrativa 102 uso de los administradores 289 diferencias ampliaci n de interfaces de Oracle Solaris 328 entre la auditor a de Trusted Extensions y Oracle Solaris 303 entre Trusted Extensions y SO Oracle Solaris 92 interfaces administrativas en Trusted Extensions 327 opciones limitadas en Trusted Extensions 329 valores predeterminados en Trusted Extensions 329 direcci n comod n Ver mecanismo de reserva direcciones IP direcci n de host 0 0 0 0 203 mecanismo de reserva en redes de confianza 202 directorios acceso a nivel inferior 157 autorizar a un usuario o rol a cambiar etiquetas 145 montaje 187 para configuraci n de servicio de nombres 83 uso compartido 187 directorios de inicio acceso 157 creaci n 63 182 creaci n de servidor para 63 inicio de sesi n y obtenci n 64 65 dispositivos acceso 283 administraci n 287 administraci n con Device Manager 289 agregaci n de secuencia de comandos device clean 295 agregar autorizaciones personalizadas 300 354 Configuraci n
124. tanto los usuarios que trabajan en varias etiquetas no tienen un archivo mailrc en las etiquetas superiores a menos que copien o enlacen el archivo mailrc ubicado en el directorio de la etiqueta m nima a cada directorio superior Cap tulo 18 Sobre correo de varios niveles en Trusted Extensions 257 Funciones de correo de Trusted Extensions 258 El rol de administrador de la seguridad o el usuario individual pueden agregar el archivo Mailrc a copy_files oa link files Para obtener una descripci n de estos archivos consulte la p gina del comando man updatehome 1 Para obtener sugerencias de configuraci n consulte Archivos copy_files y link_ files 133 El lector de correo se puede ejecutar en cualquier etiqueta del sistema Es necesario realizar algunas tareas de configuraci n para conectar un cliente de correo al servidor Por ejemplo para utilizar Thunderbird para el correo de varios niveles es necesario que configure un cliente de correo de Thunderbird en cada etiqueta a fin de especificar el servidor de correo El servidor de correo puede ser el mismo o uno diferente para cada una de las etiquetas pero el servidor debe estar especificado El software Trusted Extensions comprueba las etiquetas del host y del usuario antes de enviar o reenviar correo m El software comprueba que el correo se encuentre dentro del rango de acreditaci n del host Las comprobaciones se describen en esta lista y en Comprobac
125. unidades de cinta y unidades de CD ROM Si su sitio agrega tipos de dispositivos asignables al sistema puede que los dispositivos agregados requieran secuencias de comandos Para ver las secuencias de comandos existentes vaya al directorio etc security lib Para obtener m s informaci n consulte Secuencias de comandos device clean de Protecci n de sistemas y dispositivos conectados en Oracle Solaris Bl Para el software Trusted Extensions las secuencias de comandos device clean deben cumplir ciertos requisitos Estos requisitos se describen en la p gina del comando man device clean 5 Interfaz gr fica de usuario Device Manager Los administradores usan Device Manager para administrar dispositivos asignables y no asignables Asimismo los usuarios comunes utilizan Device Manager para asignar y desasignar dispositivos Los usuarios deben tener la autorizaci n Allocate Device Cap tulo 20 Acerca de los dispositivos en Trusted Extensions 283 Interfaz gr fica de usuario Device Manager 284 La interfaz gr fica de usuario se denomina Device Manager Para iniciar esta interfaz gr fica de usuario se debe seleccionar Allocate Device en el men Trusted Path La siguiente figura muestra un Device Manager abierto por un usuario que puede asignar el dispositivo audio FIGURA 20 1 Device Manager abierto por un usuario Device Manager Devices Allocatable by gfaden gfaden Available gt Allocated x Device
126. up Seleccione la interfaz que coincide con su nombre de host De la lista de comandos seleccione Share with Shared IP Zones Todas las zonas pueden utilizar esta direcci n IP compartida para la comunicaci n con sistemas remotos en su etiqueta Haga clic en Cancel para volver a la lista de comandos de zonas Para configurar la red externa del sistema vaya a C mo conectar un sistema Trusted Extensions con otros sistemas Trusted Extensions 53 C mo agregar una instancia de IP para una zona con etiquetas Este procedimiento resulta necesario si utiliza una pila de IP compartida y direcciones por zona y desea conectar las zonas con etiquetas a zonas con etiquetas de otros sistemas de la red En este procedimiento se crea una instancia de IP es decir una direcci n por zona para una o varias zonas con etiquetas Las zonas con etiquetas utilizan su direcci n por zona para comunicarse con zonas con etiquetas id nticas en la red Debe estar con el rol de usuario root en la zona global La lista de zonas se muestra en Labeled Zone Manager Para abrir esta interfaz gr fica de usuario consulte C mo crear zonas con etiquetas de forma interactiva 45 Se debe detener la zona con etiquetas que desea configurar Cap tulo 4 Configuraci n de Trusted Extensions 51 C mo agregar una interfaz de red virtual a una zona con etiquetas Pasos siguientes Antes de empezar En Labeled Zone Manager haga doble clic en una zona co
127. utilizarse para actualizar la informaci n de la red de confianza en el n cleo tnctl tambi n es un servicio del sistema Cuando se reinicia con el comando svcadm restart network tnctl se refresca la cach del n cleo de las bases de datos de la red de confianza en el sistema local Para obtener detalles consulte la p gina del comando man tnctl 1M m tnd este daemon extrae la informaci n de tnrhdb y tnrhtp del directorio LDAP y los archivos locales El orden de b squeda est determinado por el servicio SMF name service switch En el momento del inicio el servicio svc network tnd inicia el daemon tnd Este servicio depende de svc network ldap client En una red LDAP el comando tnd tambi n se puede utilizar para la depuraci n y para la modificaci n del intervalo de sondeo Para obtener detalles consulte la p gina del comando man tnd 1M m tninfo este comando muestra los detalles del estado actual de la cach del n cleo de la red de confianza Es posible filtrar los resultados por zona plantilla de seguridad o nombre de host Para obtener detalles consulte la p gina del comando man tninfo 1M Trusted Extensions agrega opciones a los siguientes comandos de red de Oracle Solaris m ipadm la propiedad de direcci n all zones permite que la interfaz especificada est disponible para cada zona del sistema La zona adecuada para entregar los datos se encuentra determinada por la etiqueta que est asociada con los datos P
128. varias comprobaciones en los mensajes entrantes salientes y reenviados Comprobaciones de acreditaciones del origen Las siguientes comprobaciones de acreditaciones se realizan en el proceso o la zona de env o En todos los destinos el DOI de un paquete saliente debe coincidir con el DOI del host de destino El DOI tambi n debe coincidir con el DOI de todos los saltos de la ruta incluida la puerta de enlace del primer salto Cap tulo 15 Redes de confianza 205 Acerca del enrutamiento en Trusted Extensions 206 En todos los destinos la etiqueta del paquete saliente debe estar dentro del rango de etiquetas del pr ximo salto en la ruta es decir el primer salto Adem s la etiqueta debe estar incluida en los atributos de seguridad de la puerta de enlace del primer salto Cuando el host de destino es un host sin etiquetas debe cumplirse una de las siguientes condiciones m La etiqueta del host de env o debe coincidir con la etiqueta predeterminada del host de destino m F host de env o tiene el privilegio de establecer comunicaciones de etiqueta cruzada y la etiqueta del remitente domina la etiqueta predeterminada del destino m F host de env o tiene el privilegio de establecer comunicaciones de etiqueta cruzada y la etiqueta del remitente es ADMIN_LOW Es decir el remitente realiza el env o desde la zona global Nota Una comprobaci n del primer salto tiene lugar cuando se env a un mensaje por medio de
129. varios niveles en Trusted Extensions En este cap tulo se tratan la seguridad y los servicios de env o de correo de varios niveles de los sistemas que se configuran con Trusted Extensions m Servicio de correo de varios niveles 257 m Funciones de correo de Trusted Extensions 257 Servicio de correo de varios niveles Trusted Extensions proporciona correo de varios niveles para cualquier aplicaci n de correo Cuando los usuarios comunes inician su aplicaci n de correo la aplicaci n se abre en la etiqueta actual del usuario Si los usuarios operan en un sistema de varios niveles quiz s deseen enlazar o copiar sus archivos de inicializaci n de la aplicaci n de correo Para obtener detalles consulte C mo configurar los archivos de inicio para los usuarios en Trusted Extensions 138 Funciones de correo de Trusted Extensions En Trusted Extensions el rol de administrador del sistema configura y administra los servidores de correo seg n las instrucciones detalladas en Cap tulo 2 Administraci n de servicios de correo de Gesti n de servicios de sendmail en Oracle Solaris 11 2 Adem s el administrador de la seguridad determina c mo se deben configurar las funciones de correo de Trusted Extensions Los siguientes aspectos de la gesti n de correo son espec ficos de Trusted Extensions m F archivo de configuraci n local del usuario como mailrc est en la etiqueta m nima del usuario Por lo
130. y a continuaci n Create a Zone Siga las indicaciones La interfaz gr fica de usuario lo gu a a trav s de la creaci n de zonas Una vez que se crea y se inicia la zona puede volver a la zona global para crear m s zonas Estas zonas se crean a partir de una instant nea Creaci n de otra zona con etiquetas En este ejemplo el administrador crea una zona restringida a partir del archivo label_encodings predeterminado En primer lugar el administrador abre la secuencia de comandos txzonemgr en modo interactivo txzonemgr amp A continuaci n el administrador navega hasta la zona global y crea una zona con el nombre restricted Create a new zone restricted Luego el administrador aplica la etiqueta correcta Select label CNF RESTRICTED En la lista el administrador selecciona la opci n Clone y a continuaci n selecciona snapshot como plantilla para la nueva zona Una vez que la zona restricted est disponible el administrador hace clic en Boot para iniciar la segunda zona Para permitir el acceso a la zona restricted el administrador cambia el valor Default User Clearance del archivo label_encodings a CNF RESTRICTED Cap tulo 4 Configuraci n de Trusted Extensions 47 C mo asignar etiquetas a dos espacios de trabajo con zonas vy Antes de empezar C mo asignar etiquetas a dos espacios de trabajo con zonas Este procedimiento crea dos espacios de trabajo con etiquetas y abre una ventana c
131. y administraci n de Trusted Extensions Julio de 2014 ndice asignaci n 281 configuraci n de dispositivos 289 configuraci n rango de etiquetas para dispositivos no asignables 282 crear autorizaciones nuevas 297 en Trusted Extensions 281 impedimento de asignaci n remota de audio 295 pol tica de acceso 283 pol tica de configuraci n 283 protecci n 103 protecci n de no asignables 294 reclamaci n 293 resoluci n de problemas 293 uso 287 valores predeterminados de pol ticas 283 dispositivos de audio impedimento de asignaci n remota 295 dispositivos no asignables configuraci n del rango de etiquetas 282 protecci n 294 DOI plantillas de hosts remotos 199 dominio de etiquetas 96 dominio de interpretaci n DOI modificaci n 43 E edici n de archivos de sistema 124 elecci n Ver selecci n eliminaci n daemos nscd espec fico de zona 55 etiquetas en las copias impresas 276 eliminaci n de Trusted Extensions Ver desactivaci n enrutamiento 203 comandos en Trusted Extensions 209 comprobaciones de acreditaciones 205 conceptos 207 ejemplo de 208 tablas 205 207 uso del comando route 234 equipo de configuraci n inicial lista de comprobaci n para la configuraci n de Trusted Extensions 323 equipos port tiles planificaci n 24 equivalentes de etiquetas de texto determinaci n 123 escritorio de varios niveles remoto acceso 152 escritorios acceso de varios niveles remoto 152 c
132. y de los roles Programas que se ejecutan como root algunos programas se ejecutan con setuid 0 Se puede asignar a estos programas un UID efectivo de 0 en un perfil de derechos Luego el administrador de la seguridad asigna el perfil a un rol administrativo Sugerencia Si la aplicaci n puede utilizar los privilegios de manera confiable asigne los privilegios necesarios a la aplicaci n y no ejecute el programa como root Programas que requieren privilegios es posible que algunos programas requieran privilegios por motivos que no resultan evidentes Incluso cuando un programa no ejerza ninguna funci n que pudiera infringir la pol tica de seguridad del sistema dicho programa podr a realizar internamente una acci n que infringe la seguridad Por ejemplo es posible que el programa utilice un archivo log compartido o que lea desde dev kmem Para obtener informaci n relativa a la seguridad consulte la p gina del comando man mem 7D En algunas ocasiones una invalidaci n de la pol tica interna no es particularmente importante para el funcionamiento adecuado de la aplicaci n En cambio la invalidaci n proporciona una funci n conveniente para los usuarios Si la organizaci n tiene acceso al c digo de origen compruebe si pueden eliminar las operaciones que requieran invalidaciones de la pol tica sin que se afecte el rendimiento de la aplicaci n Responsabilidades del desarrollador cuando se crean programas de confianza
133. zona que ser servidor de impresi n para esa etiqueta Para obtener detalles consulte C mo cambiar la etiqueta de un espacio de trabajo de Gu a del usuario de Trusted Extensions 272 Configuraci n y administraci n de Trusted Extensions Julio de 2014 C mo activar un cliente de Trusted Extensions para que acceda a un impresora V ase tambi n Defina las caracter sticas de cada impresora conectada Siga el Paso 1 al Paso 6 de C mo configurar un servidor de impresi n de varios niveles y sus impresoras 269 para configurar la impresora de zona Las impresoras conectadas pueden imprimir trabajos nicamente en la etiqueta de la zona Pruebe la impresora Nota Por motivos de seguridad los archivos con una etiqueta administrativa ADMIN_HIGH oO ADMIN_LOW imprimen ADMIN_HIGH en el cuerpo de la copia impresa Las p ginas de la car tula y del ubicador tienen la etiqueta m xima y los compartimientos del archivo label_encodings Como usuario root y como usuario com n realice los siguientes pasos a Imprima archivos de texto y PostScript desde la l nea de comandos lp etc motd PostScriptTest ps lp HOME filel txt HOME PublicTest ps b Imprima archivos desde las aplicaciones como el correo Oracle OpenOffice Adobe Reader y su explorador c Verifique que las etiquetas de las p ginas de car tula las p ginas de ubicador y las p ginas del cuerpo se impriman correctamente Impedir la
134. 0 Device Label 13 2 cdrom rmdisk1 Add gt gt lt Rem Y lr Administration Help Cancel oK Los usuarios ven una lista vac a si no est n autorizados a asignar dispositivos Igualmente una lista vac a podr a indicar que los dispositivos asignables se encuentran asignados por otro usuario o est n en estado de error Si un usuario no puede ver un dispositivo en la lista de dispositivos disponibles debe ponerse en contacto con el administrador responsable La funci n Device Administration est disponible para los roles que tienen una o las dos autorizaciones necesarias para administrar dispositivos Las autorizaciones de administraci n son Configure Device Attributes y Revoke or Reclaim Device La siguiente figura muestra el cuadro de di logo Device Allocation Administration Configuraci n y administraci n de Trusted Extensions Julio de 2014 Aplicaci n de la seguridad de los dispositivos en Trusted Extensions J rr a SE rr Available mdisk1 Administration Help Device Manager Devices Allocatable by root root Allocated Device Device Label Tr a D cdrom0 ITIAL INTERN e a T Jr Device audio0 Add Owner gfaden Remove Reclairr Aplicaci n de la seguridad de los dispositivos en Trusted Extensions El administrador de la seguridad decide qui n puede asignar dispositivos y se asegura de que todos los usuarios autorizados
135. 0 0 0 0 de la plantilla admin_low y agrega la entrada de host 0 0 0 0 0 a la plantilla public sin etiquetas El sistema luego reconoce cualquier host que no est asignado espec ficamente a otra plantilla de seguridad como un sistema sin etiquetas con los atributos de seguridad de la plantilla de seguridad public tncfg t admin_low info tncfg admin_low gt remove host 0 0 0 0 Wildcard address tncfg admin_low gt exit tncfg t public tncfg public gt set host_type unlabeled tncfg public gt set doi 1 tncfg public gt set def_label public tncfg public gt set min_sl public tncfg public gt set max_sl public tncfg public gt add host 0 0 0 0 Wildcard address tncfg public gt exit Enumeraci n de sistemas que un sistema Trusted Extensions puede contactar durante el inicio En el siguiente ejemplo el administrador configura la red de confianza de un sistema Trusted Extensions con dos interfaces de red El sistema se comunica con otra red y con los enrutadores Los hosts remotos se asignan a una de estas tres plantillas cipso admin_low o public Se anotan los siguientes comandos tncfg t cipso tncfg admin_low gt add host 127 0 0 1 Loopback address tncfg admin_low gt add host 192 168 112 111 Interface 1 of this host tncfg admin_low gt add host 192 168 113 111 Interface 2 of this host tncfg admin_low gt add host 192 168 113 6 File server tncfg admin_low gt add host 192 168 112 255 Subnet broadcast address tncfg admin_lo
136. 1 LDAP 247 reclamaci n de un dispositivo 293 red 242 red de confianza 244 reparaci n de etiquetas en bases de datos internas 123 sistemas de archivos montados 190 verificar que la interfaz est activa 243 visualizaci n de conjunto de datos ZFS montado en una zona de nivel inferior 170 Resoluci n de problemas de la red de confianza mapa de tareas 242 responsabilidades del desarrollador 313 restablecimiento del control del enfoque del escritorio 121 restricci n acceso a archivos de nivel inferior 166 acceso a dispositivos 281 acceso a equipo basado en etiquetas 282 acceso a impresoras con etiquetas 260 260 261 261 acceso a la zona global 108 acceso remoto 147 montajes de archivos de nivel inferior 166 resultado de impresora Ver impresi n resultado de la impresi n Ver impresi n rol de administrador de la seguridad activaci n de las p ginas del cuerpo sin etiquetas de un sistema p blico 138 administraci n de la seguridad de las impresoras 259 administraci n de usuarios 141 aplicaci n de la seguridad 285 asignaci n de autorizaciones a usuarios 143 configuraci n de dispositivos 289 creaci n 56 creaci n de perfil de derechos de autorizaciones convenientes 143 protecci n de dispositivos no asignables 294 360 Configuraci n y administraci n de Trusted Extensions Julio de 2014 ndice rol de administrador del sistema administraci n de las impresoras
137. 195 paquetes de red 194 perfil de revisi n de auditor a revisi n de registros de auditor a 304 perfiles Ver perfiles de derechos 358 Configuraci n y administraci n de Trusted Extensions Julio de 2014 ndice perfiles de derechos asignaci n 133 autorizaciones convenientes 143 con autorizaciones de asignaci n de dispositivos 301 con la autorizaci n Allocate Device 301 con nuevas autorizaciones para dispositivos 298 permitir inicio de sesi n en zona con etiquetas 62 personalizaci n archivo label_encodings 97 autorizaciones para dispositivos 300 cuentas de usuario 135 impresi n sin etiquetas 276 personalizaci n de autorizaciones para dispositivos en Trusted Extensions mapa de tareas 296 Personalizaci n del entorno de usuario para la seguridad mapa de tareas 135 planificaci n 17 Ver tambi n uso de Trusted Extensions auditor a 25 configuraci n de equipo port til 24 creaci n de cuenta 25 estrategia de administraci n 19 estrategia de configuraci n de Trusted Extensions 26 etiquetas 20 hardware 20 red 21 servicio de nombres LDAP 24 Trusted Extensions 18 zonas 22 planificaci n del hardware 20 plantillas Ver plantillas de host remoto plantillas de host remoto agregaci n de sistemas a 221 227 asignaci n 221 asignaci n de comod n 0 0 0 0 0 230 creaci n 218 entrada para servidores Sun Ray 230 plantillas de seguridad Ver plantillas de host remoto pol tica de acceso
138. 253 LDAP 251 servidor de varios niveles planificaci n 24 servidor LDAP configuraci n de proxy para clientes de Trusted Extensions 84 configuraci n de un puerto de varios niveles 82 configuraci n del servicio de nombres 77 creaci n de proxy para clientes de Trusted Extensions 85 instalaci n en Trusted Extensions 77 protecci n de archivos log 81 recopilaci n de informaci n para 77 servidor proxy inicio y detenci n de LDAP 254 servidores NFS servidores LDAP y 76 sesi n en modo a prueba de fallos inicio de sesi n 141 sesiones modo a prueba de fallos 141 similitudes entre la auditor a de Trusted Extensions y Oracle Solaris 303 entre Trusted Extensions y SO Oracle Solaris 91 sistema de varios perif ricos banda de confianza 93 sistemas de archivos montaje en zonas globales y con etiquetas 177 montajes NFS 177 uso compartido 174 uso compartido en zonas globales y con etiquetas 177 sistemas remotos 361 ndice configuraci n para asunci n de rol 150 sistemas Sun Ray activaci n del contacto inicial entre el cliente y el servidor 233 direcci n 0 0 0 0 32 para contacto de cliente 230 impedir que los usuarios vean los procesos de los dem s 138 servidores LDAP y 76 sitio web para documentaci n 30 sistemas Xvnc que ejecutan Trusted Extensions acceso remoto a 149 152 SO Oracle Solaris diferencias con el Trusted Extensions 92 diferencias con la auditor a de Trusted Extensions 303
139. 81 Para obtener m s informaci n consulte Conjuntos de datos de varios niveles para volver a etiquetar archivos 180 Ninguna sustituci n de privilegios para la pol tica de lectura y escritura de MAC La pol tica MAC para la lectura y escritura de archivos no tiene sustituciones de privilegios Los conjuntos de datos de un solo nivel nicamente se pueden montar como lectura y escritura si la etiqueta de la zona es igual a la etiqueta del conjunto de datos Para montajes de s lo lectura la etiqueta de la zona debe dominar la etiqueta del conjunto de datos Para conjuntos de datos de varios niveles todos los archivos y directorios deben estar dominados por la propiedad mlslabel que se establece de forma predeterminada en ADMIN_HIGH Para conjuntos de datos de varios niveles la pol tica MAC se aplica en el nivel de archivo y directorio La aplicaci n de la pol tica MAC es invisible para todos los usuarios Los usuarios no pueden ver un objeto a menos que tengan acceso MAC al objeto A continuaci n se resumen las pol ticas de uso compartido y montaje de Trusted Extensions para conjuntos de datos de un solo nivel m Para que un sistema Trusted Extensions monte un sistema de archivos en otro sistema Trusted Extensions el servidor y el cliente deben tener plantillas de host remoto compatibles del tipo cipso m Para que un sistema Trusted Extensions monte un sistema de archivos desde un sistema que no es de confianza la etiq
140. 83 Los directorios principales se generan cuando se crean los usuarios Sin embargo los directorios principales se crean en la zona global del servidor de directorio principal En ese servidor los directorios est n montados con LOFS Los directorios principales se crean autom ticamente con el montador autom tico si se encuentran especificados como montajes LOFS Nota Cuando se suprime un usuario solamente se suprime el directorio principal del usuario en la zona global Los directorios principales del usuario en las zonas con etiquetas no se suprimen Usted debe encargarse de archivar y suprimir los directorios principales en las zonas con etiquetas Para conocer el procedimiento consulte C mo suprimir una cuenta de usuario de un sistema Trusted Extensions 146 Sin embargo el montador autom tico no puede crear directorios principales en servidores NFS remotos de manera autom tica Primero el usuario debe iniciar sesi n en el servidor NES o se requiere intervenci n administrativa Para crear directorios principales para los usuarios consulte C mo permitir que los usuarios accedan a sus directorios principales remotos en cada etiqueta mediante el inicio de sesi n en cada servidor NFS 64 Cambios en el montador autom tico en Trusted Extensions En Trusted Extensions cada una de las etiquetas requiere un montaje de directorio principal separado Se modific el comando automount a fin de gestionar los montajes autom ticos
141. AN Cuando los sistemas est n conectados en red se suelen necesitar uno o varios servidores Equipos que no est n conectados a una red o que no dependen de otros hosts En un sistema Oracle Solaris configurado con Trusted Extensions se asigna una etiqueta a cada zona Aunque la zona global est etiquetada zona con etiquetas generalmente se refiere a una zona no global a la que se le asigna una etiqueta Las zonas con etiquetas tienen dos caracter sticas diferentes de las zonas no globales en un sistema Oracle Solaris que no tiene etiquetas configuradas En primer lugar las zonas con etiquetas deben utilizar la misma agrupaci n de ID de usuario e ID de grupo En segundo lugar las zonas con etiquetas pueden compartir direcciones IP En Trusted Extensions una zona no global con etiquetas Generalmente una zona no global que contiene entornos operativos no nativos Consulte la p gina del comando man brands 5 348 Configuraci n y administraci n de Trusted Extensions Julio de 2014 ndice A acceso Ver acceso a equipos conjunto de datos ZFS montado en una zona de nivel inferior desde una zona de nivel superior 169 directorios de inicio 157 dispositivos 281 escritorio de varios niveles remoto 152 herramientas administrativas 117 impresoras 259 registros de auditor a por etiqueta 304 sistemas remotos 147 usuarios a zonas con etiquetas 62 zona global 118 acceso a equipos responsabilidades del administrador 111 r
142. Cap tulo 14 Gesti n y montaje de archivos en Trusted Extensions 179 Conjuntos de datos de varios niveles para volver a etiquetar archivos Conjuntos de datos de varios niveles para volver a etiquetar archivos 180 Un conjunto de datos ZFS de varios niveles contiene archivos y directorios en diferentes etiquetas Cada archivo y directorio se etiqueta individualmente y las etiquetas pueden cambiarse sin necesidad de mover o copiar los archivos Los archivos pueden volver a etiquetarse dentro del rango de etiquetas del conjunto de datos Para crear y compartir conjuntos de datos de varios niveles consulte C mo crear y compartir un conjunto de datos de varios niveles 69 Generalmente todos los archivos y directorios en un conjunto de datos tienen la misma etiqueta que la zona en la que se monta el conjunto de datos Esta etiqueta se registra autom ticamente en una propiedad ZFS denominada mlslabel cuando el conjunto de datos se monta por primera vez en la zona Estos conjuntos de datos son conjuntos de datos etiquetados de un solo nivel La propiedad mlslabel no se puede cambiar mientras el conjunto de datos est montado es decir la zona de montaje no puede cambiar la propiedad mlslabel Una vez que se define la propiedad mlslabel el conjunto de datos no se puede montar en modo de lectura y escritura en una zona a menos que la etiqueta de la zona coincida con la propiedad mlslabel del conjunto de datos Adem s un conjunto de datos n
143. Cap tulo 21 Gesti n de dispositivos para Trusted Extensions 301 302 Configuraci n y administraci n de Trusted Extensions Julio de 2014 e e CAP TULO 22 Trusted Extensions y la auditor a En este cap tulo se describen las adiciones a la auditor a que Trusted Extensions proporciona Auditor a en Trusted Extensions 303 Gesti n de auditor a por roles en Trusted Extensions 303 Referencia de auditor a de Trusted Extensions 304 Auditor a en Trusted Extensions En un sistema configurado con el software Trusted Extensions la configuraci n y la administraci n de la auditor a son similares a las de la auditor a en un sistema Oracle Solaris Sin embargo existen algunas diferencias a El software Trusted Extensions agrega al sistema clases eventos y tokens de auditor a y opciones de pol tica de auditor a m No se recomienda usar la auditor a por zona porque requiere una cuenta de usuario root en las zonas con etiquetas m Se utilizan dos roles el administrador del sistema y el administrador de la seguridad para configurar y administrar la auditor a en Trusted Extensions El administrador de la seguridad planifica qu se debe auditar y establece asignaciones evento clase espec ficas del sitio El administrador del sistema planifica los requisitos de espacio en el disco para los archivos de auditor a crea un servidor de administraci n de auditor a y revisa los logs de auditor a
144. Configuraci n de LDAP para Trusted Extensions 79 Creaci n de un cliente LDAP para el servidor LDAP vy Antes de empezar Creaci n de un cliente LDAP para el servidor LDAP Puede utilizar este cliente para rellenar su servidor LDAP para LDAP Debe realizar esta tarea antes rellenar el servidor LDAP Puede crear el cliente temporalmente en el servidor de directorios de Trusted Extensions y a continuaci n eliminar el cliente del servidor o bien puede crear un cliente independiente Debe estar con el rol de usuario root en la zona global Agregue el software Trusted Extensions a un sistema Puede utilizar el servidor LDAP de Trusted Extensions o agregar Trusted Extensions en un sistema diferente Para obtener instrucciones consulte Cap tulo 3 Agregaci n de la funci n Trusted Extensions a Oracle Solaris En el cliente configure LDAP en el servicio name service switch a Visualice la configuraci n actual svccfg s name service switch listprop config config application config value_authorization astring solaris smf value name service switch config default astring files ldap config host astring files dns config netgroup astring ldap config printer astring user files ldap b Cambie el valor predeterminado de la siguiente propiedad svccfg s name service switch setprop config host astring files ldap dns En la zona global ejecute el comando 1dapclient init En este ejemplo el cliente LDAP
145. Configuraci n y administraci n de Trusted Extensions Referencia E53980 Julio de 2014 ORACLE Copyright O 1992 2014 Oracle y o sus filiales Todos los derechos reservados Este software y la documentaci n relacionada est n sujetos a un contrato de licencia que incluye restricciones de uso y revelaci n y se encuentran protegidos por la legislaci n sobre la propiedad intelectual A menos que figure expl citamente en el contrato de licencia o est permitido por la ley no se podr utilizar copiar reproducir traducir emitir modificar conceder licencias transmitir distribuir exhibir representar publicar ni mostrar ninguna parte de ninguna forma por ning n medio Queda prohibida la ingenier a inversa desensamblaje o descompilaci n de este software excepto en la medida en que sean necesarios para conseguir interoperabilidad seg n lo especificado por la legislaci n aplicable La informaci n contenida en este documento puede someterse a modificaciones sin previo aviso y no se garantiza que se encuentre exenta de errores Si detecta alg n error le agradeceremos que nos lo comunique por escrito Si este software o la documentaci n relacionada se entrega al Gobierno de EE UU o a cualquier entidad que adquiera licencias en nombre del Gobierno de EE UU se aplicar la siguiente disposici n U S GOVERNMENT END USERS Oracle programs including any operating system integrated software any programs installed on the hardware
146. Configuraci n y administraci n de Trusted Extensions Julio de 2014 Copia de seguridad uso compartido y montaje de archivos con etiquetas el protocolo udp Para conocer el procedimiento consulte el Ejemplo 16 22 Configuraci n de un puerto de varios niveles privado para NFSv3 mediante udp Un sistema Trusted Extensions tambi n puede compartir sus conjuntos de datos de un solo nivel con hosts sin etiquetar Un sistema de archivos que se exporta a un host sin etiquetar es modificable si su etiqueta es igual a la etiqueta asignada al host remoto por el sistema de exportaci n Un sistema de archivos que se exporta a un host sin etiquetar se puede leer nicamente si su etiqueta est dominada por la etiqueta asignada al host remoto Para conjuntos de datos de varios niveles que la zona global comparte con clientes que ejecutan el servicio NFSv4 la pol tica MAC est en el nivel de granularidad de archivos y directorios individuales no en la etiqueta de todo el conjunto de datos La comunicaci n con los sistemas que ejecutan una versi n del software Trusted Solaris es posible s lo en una sola etiqueta La etiqueta asignada del sistema Trusted Solaris determina el acceso a conjuntos de datos de un solo nivel y de varios niveles El protocolo NFS que se utiliza es independiente del tipo de sistema de archivos local En realidad el protocolo depende del tipo de sistema operativo del equipo de uso compartido El tipo de sistema de a
147. Creaci n de un enrutador sin etiquetas para redirigir paquetes con etiquetas Los hosts remotos de confianza restringen el tr fico a un rango de etiquetas estrecho Consulte el Ejemplo 16 6 Creaci n de una puerta de enlace con un rango de etiquetas limitado m A los hosts remotos de confianza se les asigna un conjunto limitado de etiquetas Consulte el Ejemplo 16 7 Creaci n de hosts en etiquetas discretas a A los hosts remotos de confianza se les asignan etiquetas que est n separadas del resto de la red Consulte el Ejemplo 16 8 Creaci n de un host con etiquetas para desarrolladores E a n host netif de confianza etiqueta paquetes de sistemas adaptive Consulte el jemplo 16 9 Creaci n de una plantilla de seguridad para un host netif B E E n host adaptive no de confianza env a paquetes a un host netif Consulte el jemplo 16 10 Creaci n de plantillas de seguridad para hosts adaptables E c m na red homog nea de confianza agrega una direcci n de multidifusi n en una etiqueta spec fica Consulte el Ejemplo 16 11 Env o de mensajes de multidifusi n etiquetados m E G n host se elimina de una plantilla de seguridad Consulte el Ejemplo 16 12 Eliminaci n de varios hosts de una plantilla de seguridad Se asignan etiquetas a redes y hosts remotos que no son de confianza Consulte el Ejemplo 16 15 Creaci n de una subred sin etiquetas en la etiqueta PUBLIC
148. Data Storage Location Administration Port El valor predeterminado es admin Cree una contrase a como admin123 El valor predeterminado es cn Directory Manager Cree una contrase a como dirmgr89 El valor predeterminado es var Sun mps Esta ruta tambi n se utiliza posteriormente si se instala el software de proxy El valor predeterminado es el sistema local Si tiene previsto usar el servidor de directorios para proporcionar servicios de nombres LDAP est ndar a sistemas cliente utilice el valor predeterminado 389 Si tiene previsto utilizar el servidor de directorios para admitir una instalaci n posterior de un servidor proxy introduzca un puerto no est ndar como 10389 Incluya el componente de dominio como en dc example domain dc com Cree un dominio que corresponda al sufijo como en example domain com El valor predeterminado es root El valor predeterminado es root El valor predeterminado es Store configuration data on this server El valor predeterminado es Store user data and group data on this server El valor predeterminado es el puerto del servidor La convenci n sugerida para cambiar el valor predeterminado es multiplicar versi n_software por 1000 Para la versi n de software 5 2 esta convenci n da como resultado el puerto 5200 Y Instalaci n de Oracle Directory Server Enterprise Edition Los paquetes del servidor de directorios est n disponibles en Oracle web site http www oracle com
149. Debe estar con el rol de administrador del sistema en la zona global Detenga la zona cuya configuraci n desea cambiar zoneadm z zone name halt Configure la zona para impedir la visualizaci n de los archivos de nivel inferior Elimine el privilegio net_mac_aware de la zona zonecfg z zone name set limitpriv default net_mac_aware exit Reinicie la zona zoneadm z zone name boot C mo impedir que los usuarios vean los archivos de nivel inferior En este ejemplo el administrador de la seguridad impide que los usuarios de un sistema se confundan Por lo tanto los usuarios pueden ver nicamente los archivos de la etiqueta en la que est n trabajando Entonces el administrador de la seguridad impide la visualizaci n de todos los archivos de nivel inferior En este sistema los usuarios no pueden ver los archivos que se encuentran disponibles p blicamente a menos que est n trabajando en la etiqueta PUBLIC Adem s los usuarios s lo pueden montar archivos en NFS en la etiqueta de las zonas zoneadm z restricted halt zonecfg z restricted set limitpriv default net_mac_aware exit zoneadm z restricted boot zoneadm z needtoknow halt zonecfg z needtoknow set limitpriv default net_mac_aware exit zoneadm z needtoknow boot zoneadm z internal halt zonecfg z internal set limitpriv default net_mac_aware exit zoneadm z internal boot Dado que PUBLIC es la etiqueta m nima el admi
150. Extensions Cap tulo 11 Gesti n de usuarios derechos y roles en Trusted Extensions proporciona instrucciones sobre la gesti n de usuarios comunes de Trusted Extensions Cap tulo 12 Administraci n remota en Trusted Extensions proporciona instrucciones sobre la administraci n remota de Trusted Extensions Cap tulo 13 Gesti n de zonas en Trusted Extensions proporciona instrucciones sobre la gesti n de zonas etiquetadas Parte II Administraci n de Trusted Extensions 89 90 Cap tulo 14 Gesti n y montaje de archivos en Trusted Extensions proporciona instrucciones sobre la gesti n del montaje la realizaci n de copias de seguridad del sistema y otras tareas relacionadas con archivos en Trusted Extensions Cap tulo 15 Redes de confianza proporciona una descripci n general del enrutamiento y las bases de datos de red en Trusted Extensions Cap tulo 16 Gesti n de redes en Trusted Extensions proporciona instrucciones sobre la gesti n del enrutamiento y las bases de datos de red en Trusted Extensions Cap tulo 17 Sobre Trusted Extensions y LDAP describe cuestiones espec ficas del correo en Trusted Extensions Cap tulo 18 Sobre correo de varios niveles en Trusted Extensions describe cuestiones espec ficas del correo en Trusted Extensions Cap tulo 19 Gesti n de impresi n con etiquetas proporciona instrucciones sobre la gesti n de la impresi n en Trusted Extensions Cap tulo 20 Acerca de los d
151. Extensions La creaci n de zonas en Trusted Extensions es similar a la creaci n de zonas en Oracle Solaris Trusted Extensions proporciona la secuencia de comandos txzonemgr para guiarlo por el proceso La secuencia de comandos tiene varias opciones de l nea de comandos para automatizar la creaci n de zonas con etiquetas Para obtener m s informaci n consulte la p gina del comando man txzonemg r 1M Configuraci n y administraci n de Trusted Extensions Julio de 2014 Planificaci n de la seguridad en Trusted Extensions Acceso a zonas con etiquetas En un sistema configurado correctamente cada zona debe poder utilizar una direcci n de red para comunicarse con otras zonas que comparten la misma etiqueta Las siguientes configuraciones proporcionan a las zonas con etiquetas acceso a otras zonas con etiquetas Interfaz all zones se asigna una direcci n all zones En esta configuraci n predeterminada s lo se necesita una direcci n IP Cada zona global y con etiquetas se puede comunicar con zonas con etiquetas id nticas de sistemas remotos mediante esta direcci n compartida Un refinamiento de esta configuraci n consiste en crear una segunda instancia de IP para que la zona global utilice de manera exclusiva Esta segunda instancia no ser una direcci n all zones La instancia de IP no se podr utilizar para alojar un servicio de varios niveles ni para proporcionar una ruta a un subred privada Instancias de TP c
152. Extensions Julio de 2014 CAP TULO 12 Administraci n remota en Trusted Extensions En este cap tulo se describe c mo configurar un sistema Trusted Extensions para administrarlo de manera remota y c mo realizar las tareas de inicio de sesi n y administraci n Administraci n remota en Trusted Extensions 147 a M todos para administrar sistemas remotos en Trusted Extensions 148 Configuraci n y administraci n de sistemas remotos en Trusted Extensions 149 Nota Los m todos de configuraci n que requieren los sistemas remotos y sin perif ricos no cumplen con los criterios de una configuraci n evaluada Para obtener m s informaci n consulte Comprensi n de la pol tica de seguridad del sitio 19 Administraci n remota en Trusted Extensions La administraci n remota presenta un riesgo considerable para la seguridad en particular en el caso de los usuarios de sistemas que no son de confianza De manera predeterminada Trusted Extensions no permite la administraci n remota desde ning n sistema Hasta que se configura la red se asigna la plantilla de seguridad admin_low a todos los hosts remotos es decir se los reconoce como hosts sin etiquetas Hasta que se configuran las zonas con etiquetas la nica zona disponible es la zona global En Trusted Extensions la zona global es la zona administrativa S lo un rol puede acceder a ella En concreto una cuenta debe tener un rango de et
153. IDENTIAL INTERNAL USE ONLY 0x0004 08 48 La cadena no distingue may sculas de min sculas pero los espacios en blanco deben ser exactos Por ejemplo las siguientes cadenas entre comillas devuelven una etiqueta hexadecimal m CONFIDENTIAL INTERNAL USE ONLY m cnf Internal m confidential internal Las siguientes cadenas entre comillas devuelven un error de an lisis m confidential internal m confidential internal m Para obtener el valor hexadecimal de una acreditaci n utilice la opci n c atohexlabel c CONFIDENTIAL NEED TO KNOW 0x0004 08 68 122 Configuraci n y administraci n de Trusted Extensions Julio de 2014 C mo obtener una etiqueta legible de su forma hexadecimal ejemplo 9 3 Errores m s frecuentes Antes de empezar Nota Las etiquetas de sensibilidad y de acreditaci n en lenguaje natural se forman seg n las reglas del archivo label_encodings Cada tipo de etiqueta utiliza reglas de una secci n independiente de este archivo Cuando la etiqueta de sensibilidad y la etiqueta de acreditaci n expresan el mismo nivel de sensibilidad subyacente ambas tienen una forma hexadecimal id ntica Sin embargo las etiquetas pueden tener diferentes formas en lenguaje natural Las interfaces del sistema que aceptan etiquetas en lenguaje natural como entrada esperan un tipo de etiqueta Si las cadenas de texto de los tipos de etiquetas difieren estas cadenas de texto no se pueden intercambiar
154. IPsec e IKE utilizan esta etiqueta interna Configuraci n y administraci n de Trusted Extensions Julio de 2014 Administraci n de IPsec con etiquetas De manera predeterminada la etiqueta interna es igual a la etiqueta de seguridad de la aplicaci n Normalmente las aplicaciones en ambos extremos tienen la misma etiqueta Sin embargo para las comunicaciones MLP o exentas de MAC esta condici n puede no ser cierta Los valores de configuraci n IPsec pueden definir c mo se transmite la etiqueta interna en la red es decir pueden definir la etiqueta de transferencia Los valores de configuraci n IPsec no pueden definir el valor de la etiqueta interna Etiqueta de transferencia la etiqueta de los datos del mensaje cifrados despu s de aplicar los encabezados AH o ESP de IPsec Seg n los archivos de configuraci n de IKE e IPsec la etiqueta de transferencia puede ser diferente de la etiqueta interna Etiqueta de gesti n de claves todas las negociaciones IKE entre dos nodos se controlan en una nica etiqueta independientemente de la etiqueta de los mensajes de la aplicaci n que activan las negociaciones La etiqueta de las negociaciones IKE se define en el archivo etc inet ike config seg n la regla IKE Extensiones de etiquetas para asociaciones de seguridad IPsec Las extensiones de etiquetas de IPsec se utilizan en los sistemas Trusted Extensions para asociar una etiqueta con el tr fico que se transmite dentro de una as
155. MPPANEL tmp panel default setup entries sed s lt string gt top lt Y string gt lt string gt bottom lt Y string gt SETUPPANEL gt TMPPANEL cp TMPPANEL SETUPPANEL svcadm restart gconf cache 3 Cierre la sesi n del sistema y vuelva a iniciar sesi n Si tiene m s de un panel de escritorio los paneles se apilan en la parte inferior de la pantalla Tareas adicionales de configuraci n de Trusted Extensions Las siguientes tareas pueden ser tiles para configurar un sistema Trusted Extensions seg n sus necesidades La tarea final permite eliminar la funci n Trusted Extensions de un sistema Oracle Solaris TABLA 4 5 Mapa de tareas adicionales de configuraci n de Trusted Extensions Tarea Descripci n Para obtener instrucciones Informar a los usuarios sobre la seguridad del sitio Muestra un mensaje de seguridad durante el inicio de sesi n C mo insertar un mensaje de seguridad en archivos de banner de Directrices de seguridad de Oracle Solaris 11 C mo insertar un mensaje de seguridad en la pantalla de inicio de sesi n del escritorio de Directrices de seguridad de Oracle Solaris 11 Crear una zona etiquetada que contiene un servicio Crea una zona secundaria en la misma etiqueta que la zona C mo crear una segunda etiquetada primaria secundaria 68 Cap tulo 4 Configuraci n de Trusted Extensions 67 C mo crear una segunda etiquetada secundaria
156. OLsetWorkstationOwner 3XTSOL Establece la propiedad de la estaci n de trabajo 336 Configuraci n y administraci n de Trusted Extensions Julio de 2014 P ginas del comando man de Oracle Solaris modificadas por Trusted Extensions P ginas del comando man de Oracle Solaris modificadas por Trusted Extensions Trusted Extensions agrega informaci n a las siguientes p ginas del comando man de Oracle Solaris P gina del comando man de Oracle Solaris allocate 1 auditconfig 1M auditreduce 1M auth_attr 4 automount 1M deallocate 1 device _clean 5 Modificaci n de Trusted Extensions y enlaces a informaci n adicional Agrega opciones para admitir la asignaci n de un dispositivo en una zona y la limpieza del dispositivo en un entorno de ventanas En Trusted Extensions los usuarios comunes no utilizan este comando Para conocer los procedimientos de usuario consulte C mo asignar un dispositivo en Trusted Extensions de Gu a del usuario de Trusted Extensions Agrega la pol tica de ventanas las clases de auditor a los eventos de auditor a y los tokens de auditor a para la informaci n con etiquetas Agrega la opci n l para seleccionar los registros de auditor a por etiqueta Para ver ejemplos consulte Selecci n de eventos de auditor a que se mostrar n de Gesti n de auditor a en Oracle Solaris 11 2 Agrega autorizaciones de etiqueta Agrega la capacidad para mo
157. OW es una clasificaci n superior a INTERNAL Hay tres compartimientos Eng Mkt y Fin TABLA 6 1 Ejemplos de relaciones de etiquetas Etiqueta 1 Relaci n Etiqueta 2 NEED_TO_KNOW Eng Mkt domina estrictamente INTERNAL Eng Mkt NEED_TO_KNOW Eng Mkt domina estrictamente NEED_TO_KNOW Eng NEED_TO_KNOW Eng Mkt domina estrictamente INTERNAL Eng NEED_TO_KNOW Eng Mkt domina de igual modo NEED_TO_KNOW Eng Mkt NEED_TO_KNOW Eng Mkt est separada de NEED_TO_KNOW Eng Fin NEED_TO_KNOW Eng Mkt est separada de NEED_TO_KNOW Fin NEED_TO_KNOW Eng Mkt est separada de INTERNAL Eng Mkt Fin Etiquetas administrativas Trusted Extensions proporciona dos etiquetas administrativas especiales que se utilizan como etiquetas o acreditaciones ADMIN_HIGH y ADMIN_LOW Estas etiquetas se utilizan para proteger los recursos del sistema y no est n dise adas para los usuarios comunes sino para los administradores Configuraci n y administraci n de Trusted Extensions Julio de 2014 Conceptos b sicos de Trusted Extensions ADMIN_HIGH es la etiqueta m xima ADMIN_HIGH domina el resto de las etiquetas del sistema y se utiliza para evitar la lectura de los datos del sistema como las bases de datos de administraci n O las pistas de auditor a Debe estar en la zona global para leer los datos con la etiqueta ADMIN_HIGH ADMIN_LOW es la etiqueta m nima ADMIN_LOW est dominada por el resto de las etiquetas de un sistema incluidas las etiquetas de
158. Path y desde afuera de Trusted Path En el siguiente ejemplo la pol tica de seguridad del sitio requiere la restricci n de la asignaci n remota de CD ROM y DVD El administrador de seguridad crea la 298 Configuraci n y administraci n de Trusted Extensions Julio de 2014 C mo crear nuevas autorizaciones para dispositivos autorizaci n com newco dev allocate cdvd local Esta autorizaci n corresponde a las unidades de CD ROM y DVD que se asignan con Trusted Path La autorizaci n com newco dev allocate cdvd remote corresponde a los pocos usuarios que tienen permiso para asignar una unidad de CD ROM o DVD fuera de Trusted Path El administrador de seguridad crea los archivos de ayuda agrega las autorizaciones de dispositivos a la base de datos auth_attr agrega las autorizaciones a los dispositivos y luego aplica las autorizaciones en los perfiles de derechos El rol root asigna los perfiles a los usuarios que tienen permiso para asignar dispositivos Los siguientes comandos agregan las autorizaciones de dispositivos a la base de datos auth_attr auths add S ldap t Allocate Local DVD or CD h docs helps NewcoDevAllocateCDVDLocal html Y com newco dev allocate cdvd local auths add S ldap t Allocate Remote DVD or CD h docs helps NewcoDevAllocateCDVDRemote html com newco dev allocate cdvd remote A continuaci n se muestra la asignaci n de Device Manager La asignaci n local de la unidad de CD
159. PropAttributes 3XTSOL XTSOLgetPropLabel 3XTSOL XTSOLgetPropUID 3XTSOL XTSOLgetResAttributes 3XTSOL Para ver una comparaci n con el comando tncfg consulte C mo resolver problemas por fallos de montaje en Trusted Extensions 190 Presenta Trusted Extensions Gestiona zonas con etiquetas e interfaces de red Las opciones de la l nea de comandos permiten la creaci n autom tica de dos zonas Este comando acepta un archivo de configuraci n como entrada y permite la supresi n de zonas txzonemgr es una secuencia de comandos zenity 1 Consulte Creaci n de zonas con etiquetas 43 and Resoluci n de problemas de la red de confianza 242 Es el archivo de configuraci n de la extensi n del servidor X de Trusted Extensions Obtiene el tipo de host de la informaci n de red de Trusted Extensions Permite crear una interfaz gr fica de usuario del generador de etiquetas Para obtener m s informaci n consulte tgnome selectlabel Utility de Trusted Extensions Developer s Guide Actualiza los archivos de enlace y la copia del directorio principal para la etiqueta actual Consulte C mo configurar los archivos de inicio para los usuarios en Trusted Extensions 138 Obtiene los atributos de etiqueta de un cliente X Obtiene los atributos de etiqueta de una propiedad de una ventana Obtiene la etiqueta de una propiedad de una ventana Obtiene el UID de una propiedad de una ventana O
160. Sun Ray etiquetado En este ejemplo el administrador de la seguridad configura un servidor Sun Ray para aceptar las solicitudes de conexi n inicial de clientes potenciales El servidor utiliza una topolog a privada y los valores predeterminados del servidor Sun Ray utadm a net0 Luego el administrador configura la red de confianza del servidor Se anotan las entradas del servidor y el cliente tncfg t cipso info name cipso host_type cipso doi 1 min_label ADMIN_LOW max_label ADMIN_HIGH host 127 0 0 1 32 host 192 168 128 1 32 Sun Ray server address host 192 168 128 0 24 Sun Ray client network Other addresses to be contacted at boot time tncfg t admin_low info name cipso host_type cipso doi 1 def label ADMIN_LOW min_label ADMIN_LOW max_label ADMIN_HIGH host 192 168 128 0 24 Sun Ray client network host 0 0 0 0 0 Wildcard address Other addresses to be contacted at boot time Una vez que esta fase de prueba finaliza correctamente el administrador bloquea la configuraci n Para ello elimina la direcci n comod n predeterminada 0 0 0 0 0 confirma el cambio y a continuaci n agrega la direcci n espec fica tncfg t admin_low info tncfg admin_low gt remove host 0 0 0 0 tncfg admin_low gt commit Cap tulo 16 Gesti n de redes en Trusted Extensions 233 Configuraci n de rutas y puertos de varios niveles tncfg admin_low gt add host 0 0 0 0 32 For initial client contact tncfg admin_low gt exit
161. Trusted Extensions Julio de 2014 Atributos de seguridad de red en Trusted Extensions Debido a que las comunicaciones con los hosts sin etiquetas se limitan esencialmente a la etiqueta predeterminada estos hosts tambi n se denominan hosts de una sola etiqueta Una raz n t cnica para llamar a estos hosts de una sola etiqueta es que estos hosts no tienen etiquetas admin_high ni admin_low Dominio de interpretaci n en plantillas de seguridad Las organizaciones que utilizan el mismo dominio de interpretaci n DOTI deben acordar entre s para interpretar la informaci n de la etiqueta y otros atributos de seguridad de la misma manera Cuando Trusted Extensions realiza una comparaci n de etiquetas se efect a una comprobaci n para determinar si el DOI es igual Un sistema Trusted Extensions aplica la pol tica de etiquetas en un valor DOI Todas las zonas de un sistema Trusted Extensions deben operar en el mismo DOI Un sistema Trusted Extensions no proporciona el tratamiento de excepciones en los paquetes que se recibieron de un sistema que utiliza un DOI diferente Si su sitio utiliza un valor DOI diferente del valor predeterminado debe utilizar este valor en cada plantilla de seguridad como se describe en C mo configurar un dominio de interpretaci n diferente 43 Rango de etiquetas en plantillas de seguridad Los atributos de la etiqueta m nima y la etiqueta m xima se utilizan para establecer el rango de etiquetas para
162. XXXXX passwd password successfully changed for secadmin Asigne una contrase a de seis caracteres alfanum ricos como m nimo Al igual que todas las contrase as la contrase a del rol de administrador de la seguridad debe ser dif cil de adivinar a fin de reducir la posibilidad de que un adversario obtenga acceso no autorizado al intentar adivinar la contrase a Utilice el rol de administrador de la seguridad como gu a al crear otros roles Entre los posibles roles se incluyen los siguientes Rol de administrador perfil de derechos System Administrator Rol de operador perfil de derechos Operator Cap tulo 4 Configuraci n de Trusted Extensions 57 C mo crear un rol de administrador del sistema ejemplo 4 4 Pasos siguientes vy Antes de empezar Creaci n del rol de administrador de la seguridad en LDAP Despu s de configurar el primer sistema con un rol de administrador de la seguridad local el administrador crea el rol de administrador de la seguridad en el repositorio LDAP En este caso el rol de administrador de la seguridad definido en LDAP puede administrar los clientes LDAP roleadd c Site Security Officer d server1 rpool pooll BayArea secadmin u 111 K profiles Information Security User Security S ldap K lock_after_retries no K audit_flags cusa no secadmin El administrador proporciona una contrase a inicial para el rol passwd r ldap secadmin New Password XXXXXXXX Re ent
163. _files resulta til cuando el archivo de inicio debe ser id ntico en cualquier etiqueta que se invoque Se prefiere enlazar por ejemplo cuando una impresora se utiliza para todos los trabajos de impresi n con etiquetas Para ver archivos de ejemplo consulte C mo configurar los archivos de inicio para los usuarios en Trusted Extensions 138 La lista siguiente enumera algunos archivos de inicio que quiz s quiera que los usuarios puedan enlazar o copiar en etiquetas superiores acrorc Cshrc mime_types aliases emacs Newsrc bashrc login Signature bashrc user mailrc soffice Configuraci n y administraci n de Trusted Extensions Julio de 2014 CAP TULO 11 Gesti n de usuarios derechos y roles en Trusted Extensions En este cap tulo se explican los procedimientos de Trusted Extensions para configurar y gestionar usuarios cuentas de usuario y perfiles de derechos Gesti n de usuarios y derechos 141 Personalizaci n del entorno de usuario para la seguridad 135 Personalizaci n del entorno de usuario para la seguridad En el siguiente mapa de tareas se describen las tareas comunes que puede llevar a cabo para personalizar un sistema para todos los usuarios o una cuenta de usuario individual Muchas de estas tareas se llevan a cabo antes de que los usuarios comunes puedan iniciar sesi n TABLA 11 1 Mapa de tareas de personalizaci n del entorno de usuario para la seguridad Tarea Desc
164. _public gt commit tncfg adapt_public gt exit tncfg t adiuo_192 168_20 tncfg adapt public gt set host_type adapt tncfg adapt_public gt set doi 1 tncfg adapt_public gt set min_label iuo tncfg adapt_public gt set max_label iuo tncfg adapt_public gt add host 192 168 20 0 tncfg adapt_public gt commit tncfg adapt_public gt exit Env o de mensajes de multidifusi n etiquetados En este ejemplo en una LAN homog nea con etiquetas el administrador de la seguridad elige una direcci n de multidifusi n disponible por medio de la cual enviar paquetes en la etiqueta PUBLIC tncfg t cipso public tncfg cipso public gt add host 224 4 4 4 tncfg cipso public gt exit Eliminaci n de varios hosts de una plantilla de seguridad En este ejemplo el administrador de la seguridad elimina varios hosts de la plantilla de seguridad cipso El administrador utiliza el subcomando info para mostrar los hosts luego escribe remove y copia y pega cuatro entradas host tncfg t cipso info name cipso host_type cipso doi 1 min_label ADMIN_LOW Configuraci n y administraci n de Trusted Extensions Julio de 2014 C mo agregar un rango de hosts a una plantilla de seguridad v Antes de empezar max_label ADMIN_HIGH host 127 0 0 1 32 host 192 168 1 2 32 host 192 168 113 0 24 host 192 168 113 100 25 host 2001 a08 3903 200 0 56 tncfg t cipso tncfg cipso gt remove host 192 168 1 2 32 tncfg cipso gt remove host 192 168
165. a Sensitivity corresponden a la secci n WORDS ubicada en la secci n SENSITIVITY del archivo label_encodings Los desarrolladores pueden crear generadores de etiquetas para sus aplicaciones mediante el comando tgnome selectlabel Escriba tgnome selectlabel h para ver la ayuda en pantalla Asimismo consulte el Cap tulo 6 Label Builder GUT de Trusted Extensions Developer s Guide Herramientas de la l nea de comandos en Trusted Extensions 104 Los comandos exclusivos de Trusted Extensions y los comandos modificados por Trusted Extensions se incluyen en el Manual de referencia de Oracle Solaris El comando man busca todos los comandos Para obtener una descripci n de los comandos enlaces a ejemplos en el conjunto de documentos de Trusted Extensions y un enlace a las p ginas del comando man consulte el Ap ndice D Lista de las p ginas del comando man de Trusted Extensions Configuraci n y administraci n de Trusted Extensions Julio de 2014 Archivos de configuraci n en Trusted Extensions Archivos de configuraci n en Trusted Extensions El archivo etc inet ike config se ampl a en Trusted Extensions para incluir informaci n de etiquetas La p gina del comando man ike conf ig 4 describe el par metro global label_aware y tres par metros de transformaci n de fase 1 single label multi_label y wire label Nota El archivo de configuraci n de IKE contiene una palabra clave label que se utiliza para
166. a a fin de que pueda incluirse en un rango No obstante no es necesario que una acreditaci n est bien formada Imagine por ejemplo que un archivo label_encodings proh be todas las combinaciones de los compartimientos Eng Mkt y Fin de una etiqueta INTERNAL Eng Mkt Fin ser a una acreditaci n v lida pero no una etiqueta v lida Como acreditaci n esta combinaci n permitir a al usuario acceder a los archivos con las etiquetas INTERNAL Eng INTERNAL Mkt e INTERNAL Fin Rango de etiquetas de cuenta Cuando se asigna una acreditaci n y una etiqueta m nima a un usuario se definen los l mites superiores e inferiores del rango de etiquetas de cuenta en que puede operar el usuario La siguiente ecuaci n describe el rango de etiquetas de cuenta utilizando lt para indicar dominada por o igual a minimum label lt permitted label lt clearance De este modo el usuario puede operar en cualquier etiqueta que la acreditaci n domine siempre que esa etiqueta domine la etiqueta m nima Cuando no se define expresamente la acreditaci n o la etiqueta m nima del usuario se aplican los valores predeterminados que est n definidos en el archivo label_encodings Se puede asignar una acreditaci n y una etiqueta m nima a los usuarios para permitirles operar en m s de una etiqueta o en una sola etiqueta Cuando la acreditaci n y la etiqueta m nima del usuario son iguales el usuario s lo puede operar en una etiqueta Rango de se
167. a coincide con la etiqueta de la zona y tiene acceso de lectura a los archivos y los directorios que domina La pol tica MAC se aplica en el nivel de archivos y directorios individuales Resultados del uso compartido y el montaje de sistemas de archivos en Trusted Extensions En Trusted Extensions los archivos compartidos pueden facilitar la administraci n y ofrecen eficacia y velocidad MAC siempre est en vigor Compartir conjuntos de datos de un solo nivel desde una zona etiquetada mediante NFS Al igual que en Oracle Solaris los directorios compartidos facilitan la administraci n Por ejemplo puede instalar las p ginas del comando man para Oracle Solaris en un sistema y compartir el directorio de la p gina del comando man con otros sistemas Compartir conjuntos de datos de varios niveles desde la zona global mediante LOFS los conjuntos de datos montados mediante LOFS ofrecen eficacia y velocidad al mover archivos de una etiqueta a otra Los archivos se mueven dentro del conjunto de datos de modo que no se utilizan operaciones de E S Compartir conjuntos de datos de varios niveles desde la zona global mediante NFS un servidor NFS puede compartir con muchos clientes un conjunto de datos que contiene archivos en muchas etiquetas Esta configuraci n facilita la administraci n y proporciona una sola ubicaci n para la distribuci n de archivos No es necesario tener un servidor en una etiqueta determinada para ofrecer servicio a los
168. a configuraci n del montador autom tico en cada servidor v Antes de empezar C mo permitir que los usuarios accedan a sus directorios principales remotos mediante la configuraci n del montador autom tico en cada servidor En este procedimiento se ejecuta una secuencia de comandos que crea un punto de montaje para los directorios principales en cada servidor NFS A continuaci n se modifica la entrada auto_home en la etiqueta del servidor para agregar el punto de montaje Luego los usuarios pueden iniciar sesi n Los servidores de directorio principal para su dominio de Trusted Extensions deben estar configurados como clientes LDAP Las cuentas de usuario se crearon en el servidor LDAP mediante el comando useradd con la opci n S ldap Debe tener el rol root Escriba una secuencia de comandos que cree un punto de montaje de directorio principal para cada usuario La secuencia de comandos de ejemplo parte de los siguientes supuestos m FEl servidor LDAP es un servidor diferente del servidor de directorio principal NFS Los sistemas cliente tambi n son sistemas diferentes m Ia entrada hostname especifica la direcci n IP externa de la zona es decir el servidor de directorio principal NFS para su etiqueta La secuencia de comandos se ejecutar en el servidor NFS en la zona que presta servicios a clientes en esa etiqueta bin sh hostname hostname scope ldap for j in getent passwd tr _ do uid
169. a copia impresa Las p ginas de la car tula y del ubicador tienen la etiqueta m xima y los compartimientos del archivo label _encodings En cada cliente pruebe que la impresi n funcione para todas las cuentas que pueden acceder a la zona global y para todas las cuentas que pueden acceder a las zonas etiquetadas a Imprima archivos de texto y PostScript desde la l nea de comandos lp etc motd PostScriptTest ps lp HOME filel txt HOME PublicTest ps b Imprima archivos desde las aplicaciones como el correo Oracle OpenOffice Adobe Reader y su explorador Cap tulo 19 Gesti n de impresi n con etiquetas 275 Reducci n de las restricciones de impresi n en Trusted Extensions c Verifique que las etiquetas de las p ginas de car tula las p ginas de ubicador y las p ginas del cuerpo se impriman correctamente Reducci n de las restricciones de impresi n en Trusted Extensions Las siguientes tareas son opcionales Reducen la seguridad de la impresi n que proporciona Trusted Extensions TABLA 19 4 Tarea Descripci n Mapa de tareas de reducci n de las restricciones de impresi n en Trusted Extensions Para obtener instrucciones Configurar una impresora para que no etiquete el resultado Impide que la informaci n de seguridad se imprima en copias impresas desde la zona global C mo eliminar p ginas de car tula y de ubicador 276 Configurar las impresoras en una sola etiqueta sin r
170. a de la siguiente manera lt X_colormap xid 0x08c00005 xcreator uid srv gt Token xcursor El token xcursor contiene informaci n sobre el uso de cursores incluidos el identificador del servidor X y el ID de usuario del creador Con praudit el token xcursor se muestra de la siguiente manera X cursor 0x0f400006 srv Token xfont El token xfont contiene informaci n sobre el uso de fuentes incluidos el identificador del servidor X y el ID de usuario del creador Cap tulo 22 Trusted Extensions y la auditor a 307 Referencia de auditor a de Trusted Extensions 308 Con praudit el token xfont se muestra de la siguiente manera lt X_font xid 0x08c00001 xcreator uid srv gt Token xgc El token xgc contiene informaci n sobre el contexto gr fico de una ventana X Con praudit el token xgc se muestra de la siguiente manera Xgraphic context 0x002f2ca0 srv lt X_graphic_context xid 0x30002804 xcreator uid srv gt Token xpixmap El token xpixmap contiene informaci n sobre el uso de mapas de p xeles incluidos el identificador del servidor X y el ID de usuario del creador Con praudit x el token xpixmap se muestra de la siguiente manera lt X_pixmap xid 0x2f002004 xcreator uid srv gt Token xproperty El token xproperty contiene informaci n sobre varias propiedades de una ventana como el identificador del servidor X el ID de usuario del creador y un identificador de tomo Con praud
171. a de los archivos que desea montar Verifique que el sistema de archivos que desea montar est compartido A menos que est utilizando el montador autom tico debe tener asignado el perfil de derechos de gesti n de sistemas de archivos Para el montaje desde servidores de nivel inferior la zona de este cliente debe estar configurada con el privilegio net_mac_aware Cap tulo 14 Gesti n y montaje de archivos en Trusted Extensions 189 C mo resolver problemas por fallos de montaje en Trusted Extensions Antes de empezar Para montar archivos en NFS en una zona con etiquetas aplique los procedimientos siguientes La mayor a de los procedimientos requieren la creaci n de un espacio de trabajo en una etiqueta determinada Para crear un espacio de trabajo consulte C mo agregar un espacio de trabajo en una etiqueta m nima de Gu a del usuario de Trusted Extensions m Monte los archivos din micamente En la zona con etiquetas utilice el comando mount m Monte los archivos cuando se inicie la zona m Monte los directorios principales en sistemas que se administran con los archivos a Cree y rellene un archivo export home auto_home_nombre de zona con etiqueta inferior b Edite el archivo etc auto_home_nombre de zona con etiqueta inferior a fin de que se ale al archivo que reci n se rellen c Modifique el archivo etc auto_home_nombre de zona con etiqueta inferior en cada zona de nivel superior a fin de
172. a etiquetada 23 Para obtener detalles sobre los paquetes y las zonas consulte el Cap tulo 9 Acerca de la instalaci n autom tica y los paquetes de un sistema Oracle Solaris 11 2 con zonas instaladas de Creaci n y uso de zonas de Oracle Solaris En un sitio de Trusted Extensions el administrador del sistema trabaja junto con el administrador de la seguridad para instalar el software El administrador de la seguridad eval a si las adiciones de software cumplen la pol tica de seguridad Cuando el software requiere que los privilegios o las autorizaciones se efect en correctamente el rol de administrador de la seguridad asigna un perfil de derechos adecuado a los usuarios del software La importaci n de software desde medios extra bles requiere autorizaci n Una cuenta con la autorizaci n Allocate Device puede importar o exportar datos desde medios extra bles Los datos pueden incluir c digo ejecutable Un usuario com n s lo puede importar datos en una etiqueta dentro de la acreditaci n del usuario El rol de administrador del sistema es responsable de agregar los programas que apruebe el administrador de la seguridad Cap tulo 23 Gesti n de software en Trusted Extensions 311 Agregaci n de software a Trusted Extensions 312 Mecanismos de seguridad para el software Oracle Solaris Trusted Extensions utiliza los mismos mecanismos de seguridad que Oracle Solaris Entre los mecanismos se incluyen los sig
173. a global Seleccione un espacio de trabajo de usuario en el panel del escritorio ubicado en la parte inferior de la pantalla O bien haga clic en el nombre del rol en la banda de confianza y a continuaci n seleccione su nombre de usuario El espacio de trabajo actual cambia a un espacio de trabajo de usuario Todas las ventanas que cree posteriormente en este espacio de trabajo se crear n en la etiqueta del usuario Las ventanas creadas en el espacio de trabajo de rol siguen admitiendo procesos en la etiqueta del rol Los procesos iniciados en esas ventanas se ejecutan en la zona global con privilegios administrativos Para obtener m s informaci n consulte Trabajo en un sistema con etiquetas de Gu a del usuario de Trusted Extensions Configuraci n y administraci n de Trusted Extensions Julio de 2014 Realizaci n de tareas comunes en Trusted Extensions Realizaci n de tareas comunes en Trusted Extensions En el siguiente mapa de tareas se describen los procedimientos administrativos comunes en Trusted Extensions TABLA 9 2 Realizaci n de tareas administrativas comunes en Trusted Extensions mapa de tareas Tarea Descripci n Para obtener instrucciones Cambiar la contrase a de root Se especifica una contrase a nueva para el rol de usuario root C mo cambiar la contrase a de root en un sistema de escritorio 119 Reflejar un cambio de contrase a en una zona con etiquetas
174. a la configuraci n de Trusted Extensions 324 c Opcional Ejecute el comando labeladm encodings encodings file para instalar el archivo de codificaciones d Reinicie el equipo Opcional Personalice la zona global Consulte Configuraci n de la zona global en Trusted Extensions 39 a Siutiliza un dominio de interpretaci n distinto de 1 defina el dominio de interpretaci n en el archivo etc system y en cada plantilla de seguridad b Verifique e instale el archivo label_encodings de su sitio c Reinicie el equipo Agregue zonas con etiquetas Consulte Creaci n de zonas con etiquetas 43 a Configure dos zonas con etiquetas autom ticamente b Configure sus zonas con etiquetas manualmente c Cree un espacio de trabajo con etiquetas Configurar el servicio de nombres LDAP Consulte el Cap tulo 5 Configuraci n de LDAP para Trusted Extensions Cree un servidor proxy para Trusted Extensions o un servidor LDAP para Trusted Extensions El servicio de nombres de archivos no necesita ninguna configuraci n Configure las interfaces y las rutas para la zona global y las zonas con etiquetas Consulte Configuraci n de las interfaces de red en Trusted Extensions 49 Configure la red Consulte Etiquetado de hosts y redes 215 m Identifique los hosts de una sola etiqueta y los hosts de rango limitado m Determine las etiquetas que se aplicar n a los datos entrantes de hosts sin etiquetas m P
175. a ventana de terminal y consulte el servidor LDAP ldapclient list El resultado es similar al siguiente NS_LDAP_FILE _VERSION 2 0 NS_LDAP_BINDDN cn proxyagent ou profile dc domain name NS_LDAP_BIND_TIME number b Corrija los errores Si se produce un error vuelva a realizar del Paso 2 al Paso 4 Por ejemplo el siguiente error puede indicar que el sistema no tiene una entrada en el servidor LDAP LDAP ERROR 91 Can t connect to the LDAP server Failed to find defaultSearchBase for domain domain name Para corregir este error debe revisar el servidor LDAP Configuraci n y administraci n de Trusted Extensions Julio de 2014 PARTE Il Administraci n de Trusted Extensions En los cap tulos incluidos en esta parte se describe c mo administrar Trusted Extensions Cap tulo 6 Conceptos de la administraci n de Trusted Extensions presenta la funci n Trusted Extensions Cap tulo 7 Herramientas de administraci n de Trusted Extensions describe los programas administrativos que son espec ficos de Trusted Extensions Cap tulo 8 Sobre los requisitos de seguridad en un sistema Trusted Extensions describe los requisitos de seguridad fijos y configurables en Trusted Extensions Cap tulo 9 Tareas comunes en Trusted Extensions presenta la administraci n de Trusted Extensions Cap tulo 10 Acerca de usuarios derechos y roles en Trusted Extensions presenta el control de acceso basado en roles RBAC en Trusted
176. a zona Los puertos de varios niveles activan servicios concretos en un puerto para aceptar solicitudes dentro de un rango de etiquetas o de un conjunto de etiquetas Estos servicios con privilegios pueden responder en la etiqueta de la solicitud Por ejemplo quiz s desee crear un puerto de explorador web con privilegios que pueda recibir todas las etiquetas pero cuyas respuestas est n restringidas por etiqueta De manera predeterminada las zonas con etiquetas no tienen puertos de varios niveles El rango o el conjunto de etiquetas que restringe los paquetes que el puerto de varios niveles puede aceptar se basan en la direcci n IP de la zona Se asigna una plantilla de seguridad a la direcci n IP mediante la comunicaci n de los sistemas Trusted Extensions El rango o el conjunto de etiquetas de la plantilla de seguridad restringe los paquetes que el puerto de varios niveles puede aceptar Las restricciones en los puertos de varios niveles para las configuraciones de direcciones IP diferentes son las siguientes Fn los sistemas en que la zona global tiene una direcci n IP y cada zona con etiquetas tiene una sola direcci n IP se puede agregar un puerto de varios niveles para un servicio en particular a cada zona Por ejemplo el sistema podr a configurarse para que el servicio ssh mediante el puerto TCP 22 sea un puerto de varios niveles en la zona global y en cada zona con etiquetas a En una configuraci n t pica a la zona global s
177. a zona con etiquetas 187 Zonas etiquetadas primarias y secundarias La primera zona que crea en una etiqueta espec fica es una zona etiquetada primaria Su etiqueta es nica No puede crear ninguna otra zona primaria en esa etiqueta Una zona secundaria es una zona en la etiqueta de una zona primaria Con una zona secundaria puede aislar servicios en diferentes zonas en la misma etiqueta Esos servicios pueden compartir recursos de red como servidores de nombres impresoras y bases de datos sin el uso de un privilegio Puede tener varias zonas secundarias en la misma etiqueta Cap tulo 13 Gesti n de zonas en Trusted Extensions 161 Utilidades de administraci n de zonas en Trusted Extensions Espec ficamente las zonas secundarias difieren de las zonas primarias en los siguientes aspectos No es necesario que las asignaciones de etiquetas de las zonas secundarias sean nicas Las zonas secundarias deben utilizar funciones de red IP exclusivas Esta restricci n garantiza que un paquete etiquetado llegue a la zona correcta Las zonas secundarias no tienen paquetes GNOME instalados Las zonas secundarias no son visibles en el escritorio de confianza GNOME Ias zonas secundarias no pueden ser la zona de destino para el comando setlabel Si hay varias zonas en la misma etiqueta la zona de destino no se puede resolver mediante el comando Para cualquier etiqueta puede haber como m ximo una zona etiquetada primaria y un n
178. aci n de Trusted Extensions Julio de 2014 C mo visualizar las zonas que est n preparadas o en ejecuci n Tarea Descripci n Para obtener instrucciones Ver directorios montados Permitir que los usuarios comunes vean un archivo etc En cualquier etiqueta se visualizan los directorios dominados por la etiqueta actual Se monta en bucle de retorno un directorio o archivo de la zona global que no es visible de manera predeterminada en una zona con etiquetas C mo visualizar las etiquetas de los archivos montados 164 C mo montar en bucle de retorno un archivo que no suele estar visible en una zona con etiquetas 165 Impedir que los usuarios comunes visualicen un directorio principal de nivel inferior desde una etiqueta de nivel superior De manera predeterminada los directorios de nivel inferior son visibles desde las zonas de nivel superior Cuando desactiva el montaje de una zona de nivel inferior puede desactivar todos los montajes de las zonas de nivel inferior C mo desactivar el montaje de archivos de nivel inferior 166 Crear un conjunto de datos de varios niveles para cambiar las etiquetas de los archivos Permite el reetiquetado de archivos en un conjunto de datos ZFS no se necesitan privilegios C mo crear y compartir un conjunto de datos de varios niveles 69 Configurar una zona para permitir el cambio de las etiquetas en los archivos Anexar un conjunto
179. aci n de usuario predeterminada en el archivo label_encodings Despu s de crear las zonas etiquetadas los usuarios comunes pueden utilizar el sistema configurado pero estos usuarios no pueden acceder a otros sistemas Para aislar a n m s los servicios que se ejecutan en la misma etiqueta puede crear zonas secundarias Para obtener m s informaci n consulte Zonas etiquetadas primarias y secundarias 161 a En Trusted Extensions el transporte local para conectar con el servidor X es los sockets de dominio UNIX De manera predeterminada el servidor X no recibe conexiones TCP De manera predeterminada las zonas no globales no se pueden comunicar con hosts que no son de confianza Debe especificar las m scaras de red o las direcciones IP expl citas del host remoto a las que puede acceder cada zona Zonas de Trusted Extensions y Oracle Solaris Zones Las zonas de Trusted Extensions es decir las zonas con etiquetas son una marca de Oracle Solaris Zones Las zonas con etiquetas se usan principalmente para separar datos En Trusted Extensions los usuarios comunes no pueden iniciar sesi n de manera remota en una zona con etiquetas excepto una zona con etiquetas iguales en otro sistemas de confianza Los administradores autorizados pueden acceder a una zona con etiquetas desde la zona global Para obtener m s informaci n sobre las marcas de zonas consulte la p gina del comando man brands 5 Creaci n de zonas en Trusted
180. aci n remota En este ejemplo el administrador utiliza un sistema Trusted Extensions para configurar un host Trusted Extensions remoto Para ello el administrador utiliza el comando tncfg en cada sistema con el fin de definir el tipo de host del sistema equivalente remote system tncfg t cipso add host 192 168 1 12 Client host client host tncfg t cipso add host 192 168 1 22 Remote system Para permitir que un administrador configure el host Trusted Extensions remoto desde un sistema sin etiquetas el administrador deja la opci n allow_unlabeled en el archivo pam d other del host remoto C mo configurar un sistema Trusted Extensions con Xvnc para el acceso remoto La tecnolog a de inform tica en red virtual VNC conecta un cliente a un servidor remoto y luego muestra el escritorio del servidor remoto en una ventana en el cliente Xvnc es la versi n UNIX de VNC que se basa en un servidor X est ndar En Trusted Extensions un cliente de cualquier plataforma puede conectarse a un servidor Xvnc que ejecuta Trusted Extensions iniciar sesi n en el servidor Xvnc y luego visualizar un escritorio de varios niveles y trabajar en l Para obtener m s informaci n consulte las p ginas del comando man Xvnc 1 y vncconfig l Debe tener instalado y configurado Trusted Extensions en este sistema que se utilizar como servidor Xvnc La zona global de este sistema tiene una direcci n IP fija es decir no utiliza el perfil de con
181. activo cp var tsol encodings label_encodings fSaG L tmp tmp encodings pfedit tmp tmp encodings Reemplace el archivo de codificaciones de etiqueta del sistema y reinicie el sistema labeladm encodings tmp tmp encodings usr sbin reboot Repita el procedimiento en cada sistema Trusted Extensions 136 Configuraci n y administraci n de Trusted Extensions Julio de 2014 C mo modificar los valores predeterminados de policy conf Antes de empezar ejemplo 11 1 Atenci n El contenido del archivo de codificaciones de etiqueta activo debe ser el mismo en todos los sistemas C mo modificar los valores predeterminados de policy conf La modificaci n de los valores predeterminados de policy conf en Trusted Extensions es id ntica a la modificaci n de cualquier archivo del sistema relacionado con la seguridad en Oracle Solaris Utilice este procedimiento para cambiar los valores predeterminados para todos los usuarios de un sistema Debe estar con el rol de usuario root en la zona global Para obtener detalles consulte C mo entrar en la zona global en Trusted Extensions 118 Revise los valores predeterminados en el archivo etc security policy conf Para conocer las palabras clave de Trusted Extensions consulte la Tabla 10 1 Valores predeterminados de seguridad de Trusted Extensions en el archivo policy conf Modifique la configuraci n pfedit etc security policy conf Cambio de la configuraci n
182. ada puede montar mediante NFS un conjunto de datos de varios niveles desde otro sistema Trusted Extensions Los archivos montados mediante NFS no se pueden volver a etiquetar y la etiqueta de los archivos no se puede determinar con el comando getlabel Sin embargo la pol tica MAC funciona correctamente Los archivos montados que est n en la misma etiqueta que la zona se pueden ver y modificar Los archivos de nivel inferior se pueden ver Pol ticas de Trusted Extensions para sistemas de archivos montados 174 Aunque Trusted Extensions admite los mismos sistemas de archivos y comandos de gesti n de sistemas de archivos que Oracle Solaris los sistemas de archivos montados en Trusted Extensions est n sujetos a las pol ticas de control de acceso obligatorio MAC para ver y modificar los datos etiquetados Las pol ticas de montaje y las pol ticas de lectura y escritura aplican las pol ticas MAC para el etiquetado Configuraci n y administraci n de Trusted Extensions Julio de 2014 Pol ticas de Trusted Extensions para sistemas de archivos montados Pol tica de Trusted Extensions para conjuntos de datos de un solo nivel Para conjuntos de datos de un solo nivel la pol tica de montaje impide los montajes NFS o LOFS que posiblemente violen MAC Por ejemplo la etiqueta de una zona debe dominar todas las etiquetas de su sistema de archivos montado y solamente los sistemas de archivos con etiquetas iguales pueden montarse con permis
183. adas y tiene claves p blicas compartidas En el servidor shell seguro flexibilice la pol tica ssh para permitir que root inicie sesi n de manera remota pfedit etc ssh sshd_config Permit remote login by root PermitRootLogin yes Un paso posterior limita el inicio de sesi n de root a un sistema y un usuario concretos Nota Dado que el administrador asumir el rol de usuario root no necesita hacer menos estricta la pol tica de inicio de sesi n que impide que root inicie sesi n de manera remota En el servidor shell seguro reinicie el servicio ssh svcadm restart ssh En el servidor shell seguro en el directorio ra z root especifique el host y el usuario para la autenticaci n basada en host cd pfedit shosts client host username 150 Configuraci n y administraci n de Trusted Extensions Julio de 2014 C mo activar la administraci n remota de un sistema Trusted Extensions remoto El archivo shosts permite que username en el sistema client host asuma el rol de usuario root en el servidor cuando se comparte una clave p blica privada 5 Enel servidor shell seguro flexibilice las dos pol ticas PAM a Copie etc pam d other en etc pam d other orig cp etc pam d other etc pam d other orig Modifique la entrada pam_roles para permitir el acceso remoto mediante roles pfedit etc pam d other Default definition for Account management Used when service name is not explicitly m
184. ador del sistema permite alos usuarios leer la documentaci n del sistema de archivos export reference de la zona public En primer lugar el administrador cambia la etiqueta del espacio de trabajo a public y abre una ventana de terminal En la ventana el administrador define propiedades share seleccionadas en el sistema de archivos reference El siguiente comando se ajust con fines de visualizaci n zfs set share name reference path reference prot nfs setuid off exec off devices off rdonly on rpool wdocs1 A continuaci n el administrador comparte el sistema de archivos zfs set sharenfs on rpool reference El administrador deja el espacio de trabajo public y vuelve al espacio de trabajo de Trusted Path Dado que los usuarios no tienen permiso para iniciar sesi n en este sistema de archivos el administrador establece la zona en el estado ready para compartir el sistema de archivos 188 Configuraci n y administraci n de Trusted Extensions Julio de 2014 C mo montar archivos en NFS en una zona con etiquetas Antes de empezar zoneadm z public ready Los usuarios pueden acceder al sistema de archivos compartido una vez que se monta en los sistemas de los usuarios C mo montar archivos en NFS en una zona con etiquetas En Trusted Extensions las zonas con etiquetas gestionan el montaje de los archivos en su zona Los sistemas de archivos de hosts con etiquetas y sin etiquetas se pueden montar en un sistema Trust
185. ambios de color de espacios de trabajo 118 inicio de sesi n en modo a prueba de fallos 141 movimiento de paneles a la parte inferior de la pantalla 66 uso de Vino para compartir 154 espacio de trabajo de rol zona global 107 espacios de trabajo cambios de color 118 colores que se alan la etiqueta de 99 zona global 107 estado de error de asignaci n correcci n 293 estructura de gesti n de servicios SMF dpadm 79 dsadm 79 etiqueta ADMIN_HIGH acreditaci n de rol 58 archivos montados mediante NFS en la zona global 175 conjuntos de datos de varios niveles y 176 dispositivos y 282 etiqueta administrativa superior 96 etiquetas de p ginas del cuerpo y 273 mlslabel y 179 procesos de zona global y zonas 160 roles y 108 sin localizaci n 20 etiqueta ADMIN_LOW limitaciones de los montajes de sistemas sin etiquetar 178 montaje de archivos y 177 etiqueta de seguridad de la aplicaci n 210 etiqueta de transferencia 211 etiqueta interna 210 etiquetado activaci n de etiquetas 37 zonas 45 etiquetado de hosts y redes tareas 215 etiquetas 91 355 ndice Ver tambi n rangos de etiquetas acreditaci n en modo t nel 212 archivo TrustedExtensionsPolicy 109 autorizar a un usuario o rol a cambiar etiquetas de datos 145 bajada y subida de nivel 114 bien formadas 97 componente de clasificaci n 96 componente de compartimiento 96 configuraci n de reglas para cambios de etiqueta 114 cuadro de di
186. ampliadas por Trusted Extensions etiquetas o rangos de etiquetas a los dispositivos las zonas los usuarios o los roles La utilidad tgnome selectlabel permite personalizar un generador de etiquetas Consulte tgnome selectlabel Utility de Trusted Extensions Developer s Guide Selection Manager Se invoca esta aplicaci n cuando un usuario o un rol autorizados intentan aumentar o disminuir el nivel de la informaci n Men Trusted Path Este men gestiona las interacciones con la base de computaci n de confianza TCB Por ejemplo este men tiene una opci n de men Change Login Workspace Password En Trusted GNOME para acceder al men Trusted Path debe hacer clic en el s mbolo de confianza que se encuentra a la izquierda de la banda de confianza Comandos Trusted Extensions proporciona comandos para obtener etiquetas administrativos y realizar otras tareas Para ver una lista de los comandos consulte Herramientas de la l nea de comandos en Trusted Extensions 104 Interfaces de Oracle Solaris ampliadas por Trusted Extensions 328 Trusted Extensions ampl a los archivos de configuraci n los comandos y las interfaces gr ficas de usuario existentes de Oracle Solaris Comandos Trusted Extensions agrega opciones a comandos seleccionados de administrativos Oracle Solaris Para obtener una lista de todas las interfaces de Trusted Extensions consulte el Ap ndice D Lista de las p ginas del comando man
187. ando no se instala el binario xauth El siguiente comando carga el binario pkg install pkg x11 session xauth Configuraci n y administraci n de Trusted Extensions Julio de 2014 CAP TULO 13 Gesti n de zonas en Trusted Extensions En este cap tulo se describe c mo funcionan las zonas no globales o con etiquetas en un sistema Trusted Extensions Tambi n se incluyen procedimientos que son exclusivos de las zonas con etiquetas Zonas en Trusted Extensions 157 Procesos de la zona global y de las zonas con etiquetas 160 Zonas etiquetadas primarias y secundarias 161 m Utilidades de administraci n de zonas en Trusted Extensions 162 Gesti n de zonas 162 Zonas en Trusted Extensions El sistema Trusted Extensions bien configurado consta de una zona global que es la instancia del sistema operativo y una o m s zonas no globales con etiquetas Durante la configuraci n Trusted Extensions anexa una etiqueta a cada zona lo que crea zonas etiquetadas Las etiquetas proceden del archivo label_encodings Puede crear una o varias zonas para cada etiqueta pero esto no es obligatorio Es posible tener m s etiquetas que zonas con etiquetas en un sistema En un sistema Trusted Extensions la zona global es nicamente una zona administrativa Las zonas con etiquetas son para los usuarios comunes Los usuarios pueden trabajar en una zona cuya etiqueta se encuentre dentro del rango de acr
188. anismo de reserva y la direcci n de host de Trusted EXTENSIONS second enana de aria tetona 202 Mapa de tareas de configuraci n de IPsec con etiquetas ooccconocccncoco 238 Mapa de tareas de resoluci n de problemas de la red de confianza 242 Diferencias entre CUPS y LP oooocccoccnnconcconoconocnnacononnnnnnornnaccncnononono 260 Valores configurables en el archivo tsol_separator pS ooccooccoccnoconncoso 267 Mapa de tareas de configuraci n de impresi n con etiquetas oo mc 269 Mapa de tareas de reducci n de las restricciones de impresi n en Trusted US E an a EE TE E E a a aa a 276 Mapa de tareas de control de dispositivos en Trusted Extensions 287 Mapa de tareas de uso de dispositivos en Trusted Extensions o 288 Mapa de tareas de gesti n de dispositivos en Trusted Extensions 288 Mapa de tareas de personalizaci n de autorizaciones para dispositivos en Trusted Extensis titi iia iii dde 296 Tokens de auditor a de Trusted Extensions oooccooccconocnnnocnnnnccnnnacnnnnns 306 Configuraci n y administraci n de Trusted Extensions Julio de 2014 Uso de esta documentaci n Descripci n general describe c mo activar configurar y mantener la funci n de Trusted Extensions de Oracle Solaris en uno o varios sistemas Destinatarios administradores del sistema de redes y sistemas con etiquetas Conocimiento requerido etiquetas de segurida
189. anza 203 Acerca del enrutamiento en Trusted Extensions 204 ampliados a los protocolos de enrutamiento en el SO Oracle Solaris A diferencia de Oracle Solaris Trusted Extensions no admite el enrutamiento din mico Para obtener detalles sobre la especificaci n del enrutamiento est tico consulte la opci n p de la p gina del comando man route 1M Paquetes de ruta de enrutadores y puertas de enlace Aqu se utilizan los t rminos puerta de enlace y enrutador de manera intercambiable En las comunicaciones entre dos hosts de la misma subred las comprobaciones de acreditaciones se realizan en los puntos finales s lo porque no participan enrutadores Las comprobaciones de los rangos de etiquetas se llevan a cabo en el origen Si el host de recepci n ejecuta el software Trusted Extensions las comprobaciones de los rangos de etiquetas tambi n se efect an en el destino Cuando los hosts de origen y de destino se encuentran en subredes diferentes el paquete se env a desde el host de origen hasta una puerta de enlace El rango de etiquetas del destino y la puerta de enlace del primer salto se comprueban en el origen cuando una ruta est seleccionada La puerta de enlace env a el paquete a la red en que est conectado el host de destino Es posible que un paquete atraviese varias puertas de enlace antes de llegar al destino Nota La puerta de enlace etiquetada que se espera que reenv e paquetes de hosts adaptive deb
190. ap config host astring files dns ldap config netgroup astring ldap config printer astring user files ldap Las bases de datos de Trusted Extensions utilizan la configuraci n predeterminada files ldap y por lo tanto no se muestran 2 Para crear un cliente LDAP ejecute el comando txzonemgr sin ninguna opci n txzonemgr amp a Haga doble clic en la zona global b Seleccione Create LDAP Client c Responda a las siguientes peticiones de datos y haga clic en OK despu s de cada respuesta Enter Domain Name Type the domain name Enter Hostname of LDAP Server Type the name of the server Enter IP Address of LDAP Server servername Type the IP address Enter LDAP Proxy Password Type the password to the server Confirm LDAP Proxy Password Retype the password to the server Enter LDAP Profile Name Type the profile name d Confirme o cancele los valores mostrados Proceed to create LDAP Client Al confirmar la secuencia de comandos txzonemgr ejecuta el comando ldapclient init 3 Complete la configuraci n de cliente mediante la activaci n de las actualizaciones de shadow Cap tulo 5 Configuraci n de LDAP para Trusted Extensions 87 Conversi n de la zona global en un cliente LDAP en Trusted Extensions 88 ldapclient v mod a enableShadowUpdate TRUE Y gt a adminDN cn admin ou profile dc domain de suffix System successfully configured 4 Verifique que la informaci n del servidor es correcta a Abra un
191. ara obtener detalles consulte la p gina del comando man i padm 1M Configuraci n y administraci n de Trusted Extensions Julio de 2014 Acerca de la red de confianza netstat la opci n R ampl a el uso de netstat de Oracle Solaris para mostrar informaci n espec fica de Trusted Extensions como los atributos de seguridad para sockets de varios niveles y las entradas de la tabla de enrutamiento Los atributos de seguridad ampliados incluyen la etiqueta del igual y establecen si el socket es espec fico para una zona o si est disponible para varias zonas Para obtener detalles consulte la p gina del comando man netstat 1M route la opci n secattr ampl a el uso de route de Oracle Solaris para mostrar los atributos de seguridad de la ruta El valor de la opci n tiene el siguiente formato min_sl label max_sl label doi integer cipso La palabra clave cipso es opcional y se establece de manera predeterminada Para obtener detalles consulte la p gina del comando man route 1M snoop como en Oracle Solaris puede utilizarse la opci n v de este comando para mostrar los encabezados IP de manera detallada En Trusted Extensions los encabezados contienen informaci n de la etiqueta ipseckey en Trusted Extensions las siguientes extensiones est n disponibles para los paquetes de etiquetas protegidos por IPsec label label outer label label e implicit label label Para obtener detalles consulte la p gina del comando
192. archivos se vuelvan a etiquetar desde una zona con etiquetas 170 Atenci n El cambio del nivel de seguridad de los datos es una operaci n privilegiada Esta tarea la deben realizar nicamente los usuarios de confianza Debe estar con el rol de administrador de la seguridad en la zona global Asigne el perfil de derechos de gesti n de etiquetas de objetos para los usuarios y roles adecuados Para ver el procedimiento paso a paso consulte Asignaci n de derechos a usuarios de Protecci n de los usuarios y los procesos en Oracle Solaris 11 2 C mo permitir que un usuario actualice pero no degrade la etiqueta de un archivo El perfil de derechos de gesti n de etiquetas de objetos permite que los usuarios actualicen y degraden etiquetas En este ejemplo el administrador permite que un usuario de confianza actualice los datos pero no los degrade El administrador crea un perfil de derechos basado en el perfil de gesti n de etiquetas de objetos y elimina las autorizaciones Downgrade File Label y Downgrade DragNDrop or CutPaste Info en el nuevo perfil profiles p Object Label Management profiles Object Label Management gt set name 0bject Upgrade profiles Object Upgrade gt info auths profiles Object Upgrade gt remove auths solaris label file downgrade solaris label win downgrade Cap tulo 11 Gesti n de usuarios derechos y roles en Trusted Extensions 145 C mo suprimir una cuenta de usuario de un si
193. aris 11 2 y la secci n de instalaci n de las Notas de la versi n Las funciones de Trusted Extensions se pueden agregar a esas recomendaciones Fn los siguientes sistemas se requiere una memoria mayor al m nimo sugerido m Sistemas en los que se ejecuta en m s de una etiqueta de sensibilidad m Sistemas utilizados por usuarios que pueden asumir un rol administrativo m Fn los siguientes sistemas se necesitar m s espacio en el disco Sistemas donde se almacenan archivos en m s de una etiqueta m Sistemas cuyos usuarios pueden asumir un rol administrativo Planificaci n de la red de confianza Para obtener ayuda para planificar el hardware de red consulte Planificaci n de la implementaci n de red en Oracle Solaris 11 2 El software de Trusted Extensions reconoce cuatro tipos de host Cada tipo de host tiene una plantilla de seguridad predeterminada como se muestra en la Tabla 1 1 Plantillas de host predeterminadas en Trusted Extensions TABLA 1 1 Plantillas de host predeterminadas en Trusted Extensions Tipo de host Nombre de la Finalidad plantilla unlabeled admin_low Identifica los host que no son de confianza que pueden comunicarse con Jammi a zona global Estos hosts env an paquetes que no incluyen etiquetas Para obtener m s informaci n consulte sistema sin etiquetas dentifica los hosts o las redes que env an paquetes CIPSO Los cipso cipso paquetes CIPSO tienen etiquetas n
194. artici n de escritorio Adem s de los pasos anteriores flexibilizan la pol tica de Trusted Extensions al permitir la extensi n XTEST pfedit usr X11 lib X11 xserver TrustedExtensionsPolicy 154 Configuraci n y administraci n de Trusted Extensions Julio de 2014 C mo realizar las tareas de inicio de sesi n y administraci n en un sistema Trusted Extensions remoto Antes de empezar usr X11 lib X11 xserver TrustedExtensionsPolicy file Htextension XTEST extension XTEST C mo realizar las tareas de inicio de sesi n y administraci n en un sistema Trusted Extensions remoto Este procedimiento permite utilizar la l nea de comandos y la interfaz gr fica de usuario txzonemgr para administrar un sistema Trusted Extensions remoto El usuario el rol y la asignaci n de rol se definen de manera id ntica en los sistemas locales y remotos como se describe en C mo activar la administraci n remota de un sistema Trusted Extensions remoto 150 En el sistema de escritorio active la visualizaci n de los procesos del sistema remoto desktop xhost remote sys Aseg rese de ser el usuario que est nombrado de la misma manera en ambos sistemas Desde una ventana de terminal inicie sesi n en el sistema remoto Utilice el comando ssh para iniciar sesi n desktop ssh X 1l identical username remote sys Password XXXXXXXX remote sys La opci n X permite la visualizaci n de las interfaces gr ficas de us
195. as 269 Configure los dispositivos Consulte Control de dispositivos en Trusted Extensions 287 i Asigne el perfil de gesti n de dispositivos o el perfil de administrador del sistema a un rol ii Para poder utilizar los dispositivos realice una de las siguientes acciones Por sistema permita la asignaci n de los dispositivos Asigne la autorizaci n Allocate Device a los usuarios y roles seleccionados Configure las funciones de Oracle Solaris Configure las opciones de auditor a m Configure los valores de seguridad del sistema m Permita que determinados clientes LDAP administren LDAP Configure los usuarios en LDAP m Configure los roles de red en LDAP Monte y comparta sistemas de archivos Consulte el Cap tulo 14 Gesti n y montaje de archivos en Trusted Extensions Ap ndice B Lista de comprobaci n de configuraci n de Trusted Extensions 325 326 Configuraci n y administraci n de Trusted Extensions Julio de 2014 e e AP NDICE C Referencia r pida a la administraci n de Trusted Extensions Las interfaces de Trusted Extensions ampl an el SO Oracle Solaris En este ap ndice se proporciona una referencia r pida sobre las diferencias Para obtener una lista detallada de las interfaces incluidas las rutinas de biblioteca y las llamadas del sistema consulte el Ap ndice D Lista de las p ginas del comando man de Trusted Extensions Interfaces administrativas en Trusted Extensions Tru
196. as 50 Agregar una direcci n IP a la zona global El sistema tiene m s de una direcci n IP y utiliza la direcci n IP exclusiva de la zona global para acceder a una subred privada Las zonas con etiquetas no pueden acceder a esta subred C mo compartir una nica direcci n IP con todas las zonas 50 Asignar una direcci n IP a cada zona donde las zonas comparten la pila de IP El sistema tiene m s de una direcci n IP En el caso m s sencillo las zonas comparten una interfaz f sica C mo agregar una instancia de IP para una zona con etiquetas 51 Agregar una interfaz all zones a la instancia de IP por zona Asignar una direcci n IP a cada zona donde la pila de IP es exclusiva El sistema puede ofrecer a sus zonas con etiquetas servicios con privilegios que est n protegidos contra ataques remotos Se asigna una direcci n IP a cada zona incluida la zona global Se crea una tarjeta de interfaz de red virtual VNIC para cada zona con etiquetas C mo agregar una instancia de IP para una zona con etiquetas 51 C mo agregar una interfaz de red virtual a una zona con etiquetas 52 Conectar las zonas con zonas remotas Esta tarea configura las interfaces de red de las zonas con etiquetas y la zona global para acceder a sistemas remotos en la misma etiqueta C mo conectar un sistema Trusted Extensions con otros sistemas Trusted Extensions 53 Ejecutar un daemon nscd indepen
197. as de las Cap tulo 8 Sobre los requisitos de seguridad en un sistema Trusted Extensions 111 Reglas para cambiar el nivel de seguridad de los datos cuentas locales se conservan en el archivo etc shadow que solamente puede leer el usuario root Para obtener m s informaci n consulte la p gina del comando man shadow 4 Pr cticas de administraci n de grupo El rol de administrador del sistema necesita comprobar en el sistema local y en la red que todos los grupos tengan un nico ID de grupo GID Group ID Cuando se suprime del sistema un grupo local el rol de administrador del sistema debe garantizar que m Todos los objetos con el GID del grupo eliminado se deben suprimir o asignar a otro grupo m A todos los usuarios que tienen el grupo suprimido como grupo principal se les asigne otro grupo principal Pr cticas de supresi n de usuarios Cuando se suprime una cuenta del sistema el rol de administrador del sistema y el rol de administrador de la seguridad deben realizar las siguientes acciones m Suprimir los directorios principales de la cuenta en cada zona m Suprimir cualquier proceso o trabajo que pertenezca a la cuenta eliminada m Suprimir cualquier objeto que pertenezca a la cuenta o asignar la propiedad a otro usuario m Suprimir cualquier trabajo de at o batch planificado en nombre del usuario Para obtener detalles consulte las p ginas del comando man at 1 y crontab 1 m Nunca vuelva a usar el
198. as y otros dispositivos Si Trusted Extensions se utiliza en una configuraci n evaluada o no Recomendaciones de seguridad inform tica 316 Considere la siguiente lista de directrices cuando desarrolle una pol tica de seguridad para el sitio Asigne la etiqueta m xima de un sistema con Trusted Extensions para que no sea mayor que el nivel de m xima seguridad del trabajo que se est realizando en el sitio Registre de forma manual los cierres los fallos de energ a y los reinicios del sistema en un log del sitio Configuraci n y administraci n de Trusted Extensions Julio de 2014 Recomendaciones de seguridad f sica Documente el da o en el sistema de archivos y analice todos los archivos afectados para verificar posibles infracciones de la pol tica de seguridad Restrinja los manuales de funcionamiento y la documentaci n del administrador a aquellas personas que realmente tengan la necesidad de acceder a dicha informaci n Informe y documente el comportamiento inusual o inesperado de cualquier software Trusted Extensions y determine la causa Si es posible asigne al menos dos personas para administrar los sistemas en los que est configurado Trusted Extensions Asigne a una persona la autorizaci n de administrador de la seguridad para tomar las decisiones relacionadas con la seguridad Asigne a la otra persona la autorizaci n de administrador del sistema para realizar las tareas de gesti n del sistema Establez
199. ben tener acceso a la zona global En general solamente los roles tienen acceso a la zona global FEl administrador de seguridad puede restringir el rango de etiquetas de cada dispositivo Los usuarios comunes est n limitados a acceder a los dispositivos cuyo rango de etiquetas incluya las etiquetas en las que a los usuarios se les permite trabajar El rango de etiquetas predeterminado de un dispositivo es de ADMIN_LOW a ADMIN_HIGH Los rangos de etiquetas se pueden restringir tanto para los dispositivos que son asignables como para los que no son asignables Entre los dispositivos que no son asignables se encuentran los b feres de trama y las impresoras Rangos de etiquetas de dispositivos Para evitar que los usuarios copien informaci n confidencial cada dispositivo asignable tiene un rango de etiquetas Para utilizar un dispositivo asignable el usuario debe encontrarse operando en una etiqueta que est dentro del rango de etiquetas del dispositivo Si no fuera as se deniega la asignaci n La etiqueta actual del usuario se aplica a los datos que se importan o exportan mientras se asigna el dispositivo al usuario La etiqueta de los datos exportados se muestra cuando el dispositivo se desasigna El usuario debe colocar una etiqueta en el medio que contiene los datos exportados de manera f sica Efectos del rango de etiquetas en un dispositivo Para restringir el acceso de inicio de sesi n directo por medio de la consola el admi
200. biar PageLabel Consulte tambi n Specifying the Protect As Classification de Trusted Extensions Label Administration Cambie la definici n PageLabel para especificar otro valor O bien escriba una cadena que elija O bien no imprima nada Igual que para cambiar PageLabel Reemplace en Protect_Text1 y Protect_Text2 con cadenas de texto Impresi n PostScript de la informaci n de seguridad La impresi n con etiquetas en Trusted Extensions se basa en las funciones de impresi n de Oracle Solaris Al igual que en el SO Oracle Solaris la job sheets gestiona la creaci n de p ginas de car tula Para implementar el etiquetado un filtro convierte el trabajo de impresi n en un archivo PostScript A continuaci n el archivo PostScript se manipula para que se inserten etiquetas en las p ginas del cuerpo y se creen las p ginas de la car tula y del ubicador Nota CUPS evita la modificaci n de los archivos PostScript Por lo tanto un programador capacitado de PostScript no puede crear un archivo PostScript que modifica las etiquetas en la copia impresa Cap tulo 19 Gesti n de impresi n con etiquetas 267 Etiquetas impresoras e impresi n 268 Interfaces de impresi n de Trusted Extensions referencia Trusted Extensions agrega las siguientes autorizaciones de impresi n para implementar la pol tica de seguridad de Trusted Extensions Estas autorizaciones se comprueban en el serv
201. btiene todos los atributos de etiqueta de una ventana o un mapa de p xeles Ap ndice D Lista de las p ginas del comando man de Trusted Extensions 335 P ginas del comando man de Trusted Extensions en orden alfab tico XTSOLgetResLabel 3XTSOL Obtiene la etiqueta de una ventana un mapa de p xeles o un mapa de colores XTSOLgetResUID 3XTSOL Obtiene el UID de una ventana o un mapa de p xeles XTSOLgetSSHeight 3XTSOL Obtiene la altura de la banda de la pantalla XTSOLgetWorkstationO0wner 3XTSOL Obtiene la propiedad de la estaci n de trabajo XTSOLIsWindowTrusted 3XTSOL Determina si un cliente de confianza cre la ventana XTSOLMakeTPWindow 3XTSOL Convierte esta ventana en una ventana Trusted Path XTSOLsetPolyInstInfo 3XTSOL Establece la informaci n para la creaci n de varias instancias XTSOLsetPropLabel 3XTSOL Establece la etiqueta de una propiedad de la ventana XTSOLsetPropUID 3XTSOL Establece el UID de una propiedad de una ventana XTSOLsetResLabel 3XTSOL Establece la etiqueta de una ventana o un mapa de p xeles XTSOLsetResUuID 3XTSOL Establece el UID de una ventana un mapa de p xeles o un mapa de colores XTSOLsetSessionHI 3XTSOL Establece la etiqueta de sensibilidad alta de sesi n para el servidor de la ventana XTSOLsetSessionLO 3XTSOL Establece la etiqueta de sensibilidad baja de sesi n para el servidor de la ventana XTSOLsetSSHeight 3XTSOL Establece la altura de la banda de la pantalla XTS
202. ca una rutina de copia de seguridad regular Asigne autorizaciones s lo a los usuarios que las necesiten y que sepa que las usar n adecuadamente As gneles privilegios s lo para los programas que necesitan para realizar su trabajo y s lo una vez que se hayan examinado los programas y se haya comprobado que se les puede confiar el uso del privilegio Revise los privilegios en los programas de Trusted Extensions existentes como gu a para el establecimiento de privilegios en programas nuevos Revise y analice la informaci n de auditor a con regularidad Investigue los eventos irregulares para determinar la causa del evento Minimice el n mero de identificadores de administraci n Minimice el n mero de programas de setuid y setgid Utilice autorizaciones privilegios y roles para ejecutar el programa y para evitar el uso indebido Aseg rese de que un administrador verifique con regularidad que los usuarios comunes tengan un shell de inicio de sesi n v lido Aseg rese de que un administrador verifique con regularidad que los usuarios comunes tengan valores de ID de usuario v lidos en lugar de valores de ID de administraci n del sistema Recomendaciones de seguridad f sica Considere la siguiente lista de directrices cuando desarrolle una pol tica de seguridad para el sitio Restrinja el acceso a los sistemas en los que est configurado Trusted Extensions Las ubicaciones m s seguras generalmente son cuartos interiores que no
203. cados en las plantillas de seguridad Tipo de host define si los paquetes tienen etiquetas de seguridad CALIPSO o CIPSO o no tienen ning n tipo de etiqueta Etiqueta predeterminada define el nivel de confianza del host sin etiquetas En esta etiqueta el host o la puerta de enlace de recepci n de Trusted Extensions leen los paquetes que se env an mediante un host sin etiquetas El atributo de la etiqueta predeterminada es espec fico del tipo de host unlabeled Para obtener detalles consulte Etiqueta predeterminada en plantillas de seguridad 200 DOI es un entero positivo distinto de cero que identifica el dominio de interpretaci n El DOI se utiliza para indicar qu conjunto de codificaciones de etiqueta se aplica a una comunicaci n o entidad de red Las etiquetas con DOI diferentes est n separadas incluso si son id nticas en todo lo dem s En los hosts unlabeled el DOI se aplica a la etiqueta predeterminada En Trusted Extensions el valor predeterminado es 1 Etiqueta m nima define el nivel m s bajo del rango de acreditaci n de etiquetas Los hosts y las puertas de enlace del pr ximo salto no reciben paquetes que est n por debajo de la etiqueta m nima que est especificada en la plantilla correspondiente Etiqueta m xima define el nivel m s alto del rango de acreditaci n de etiquetas Los hosts y las puertas de enlace del pr ximo salto no reciben paquetes que est n por encima de la etiqueta m xima que
204. camente Las etiquetas como UNCLASSIFIED o PUBLIC pueden indicar informaci n p blica Para aplicar la restricci n estos sitios agregan la interfaz de red de la puerta de enlace que est conectada con la red externa a una plantilla de una sola etiqueta Para obtener m s detalles sobre TCP IP y el enrutamiento consulte lo siguiente m D nde encontrar m s informaci n acerca de la administraci n de redes en Oracle Solaris de Configuraci n y administraci n de componentes de red en Oracle Solaris 11 2 P gina del comando man netcfg 1M Selecci n de los enrutadores en Trusted Extensions Los hosts de Trusted Extensions ofrecen el mayor grado de confianza para los enrutadores Es posible que otros tipos de enrutadores no reconozcan los atributos de seguridad de Trusted Extensions Sin ninguna acci n administrativa se pueden enrutar los paquetes mediante enrutadores que no proporcionen protecci n de seguridad del MAC Los enrutadores etiquetados descartan los paquetes cuando no encuentran el tipo correcto de informaci n en la secci n de opciones IP del paquete Por ejemplo un enrutador etiquetado descarta un paquete si no encuentra una opci n etiquetada en las opciones IP cuando la Cap tulo 15 Redes de confianza 207 Administraci n del enrutamiento en Trusted Extensions 208 opci n es necesaria o cuando el DOI de las opciones IP no es coherente con la acreditaci n del destino Es posible configurar
205. causa de un error de configuraci n puede que no se detecten los intentos de infracci n de la seguridad del sistema o que el administrador no logre detectar al usuario que intent infringir la seguridad Los administradores deben analizar las pistas de auditor a con regularidad para verificar que no haya infracciones de la seguridad Tareas de auditor a en Trusted Extensions Los procedimientos para configurar y gestionar la auditor a en Trusted Extensions s lo difieren levemente de los procedimientos de Oracle Solaris En Trusted Extensions la configuraci n de la auditor a se realiza en la zona global Dado que no se configura la auditor a por zona las acciones del usuario se auditan de la misma manera en la zona global y en las zonas con etiquetas La etiqueta de cada evento auditado se incluye en el registro de auditor a a FEl administrador de la seguridad puede seleccionar pol ticas de auditor a que son espec ficas de Trusted Extensions windata_down y windata_up m Al revisar los registros de auditor a el administrador del sistema puede seleccionar los registros de auditor a por etiqueta Para obtener m s informaci n consulte la p gina del comando man auditreduce 1M Referencia de auditor a de Trusted Extensions El software Trusted Extensions agrega a Oracle Solaris clases eventos y tokens de auditor a y opciones de pol tica de auditor a Varios comandos de auditor a se ampl an para manejar 304 Configu
206. chivo label_encodings predeterminado la salida de muestra de la zona restricted es la siguiente usr local scripts getmounts CONFIDENTIAL RESTRICTED dev CONFIDENTIAL RESTRICTED kernel ADMIN_LOW lib ADMIN_LOW opt ADMIN_LOW platform ADMIN_LOW sbin ADMIN_LOW usr ADMIN_LOW var tsol doors ADMIN_LOW zone needtoknow export home CONFIDENTIAL NEED TO KNOW zone internal export home CONFIDENTIAL INTERNAL USE ONLY proc CONFIDENTIAL RESTRICTED system contract CONFIDENTIAL RESTRICTED etc svc volatile CONFIDENTIAL RESTRICTED etc mnttab CONFIDENTIAL RESTRICTED dev fd CONFIDENTIAL RESTRICTED tmp CONFIDENTIAL RESTRICTED var run CONFIDENTIAL RESTRICTED zone public export home PUBLIC home jdoe CONFIDENTIAL RESTRICTED C mo montar en bucle de retorno un archivo que no suele estar visible en una zona con etiquetas Este procedimiento activa a un usuario en una zona con etiquetas especificada para que vea los archivos que no se exportaron desde la zona global de manera predeterminada Cap tulo 13 Gesti n de zonas en Trusted Extensions 165 C mo desactivar el montaje de archivos de nivel inferior Antes de empezar ejemplo 13 2 Debe estar con el rol de administrador del sistema en la zona global Detenga la zona cuya configuraci n desea cambiar zoneadm z zone name halt Monte en bucle de retorno un archivo o directorio Por ejemplo permita que los usua
207. chos y roles El siguiente mapa de tareas describe las tareas comunes que debe realizar para los usuarios que operan en un entorno con etiquetas TABLA 11 2 Mapa de tareas de gesti n de usuarios y derechos Tarea Descripci n Para obtener instrucciones Modificar el rango de etiquetas Se modifican las etiquetas en las que el usuario C mo modificar el rango de etiquetas de un de un usuario puede trabajar Es posible que las modificaciones usuario 142 restrinjan o ampl en el rango que el archivo label _ encodings permite Cap tulo 11 Gesti n de usuarios derechos y roles en Trusted Extensions 141 C mo modificar el rango de etiquetas de un usuario Tarea Descripci n Para obtener instrucciones Crear un perfil de derechos para Existen varias autorizaciones que pueden ser tiles C mo crear perfiles de derechos para las autorizaciones convenientes para los usuarios comunes Se crea un perfil para los autorizaciones convenientes 143 usuarios que cumplen los requisitos para tener estas autorizaciones Modificar el conjunto de Se elimina un privilegio del conjunto de privilegios C mo restringir el conjunto de privilegios de privilegios predeterminado del predeterminado del usuario un usuario 144 usuario Impedir el bloqueo de cuentas Los usuarios que pueden asumir un rol deben tener C mo impedir el bloqueo de cuentas de los para usuarios concretos el bloqueo de cuenta desactivado usuar
208. ci n de Trusted Extensions Julio de 2014 CAP TULO 4 Configuraci n de Trusted Extensions En este cap tulo se explica c mo configurar Trusted Extensions en un sistema con un monitor Para un funcionamiento correcto el software Trusted Extensions requiere la configuraci n de etiquetas y zonas Tambi n puede configurar comunicaciones de red roles y usuarios que pueden asumir roles Configuraci n de la zona global en Trusted Extensions 39 Creaci n de zonas con etiquetas 43 Creaci n de roles y usuarios en Trusted Extensions 56 Creaci n de directorios principales centralizados en Trusted Extensions 63 Resoluci n de los problemas de configuraci n de Trusted Extensions 66 Tareas adicionales de configuraci n de Trusted Extensions 67 Para otras tareas de configuraci n consulte la Administraci n de Trusted Extensions 89 Configuraci n de la zona global en Trusted Extensions Para personalizar la configuraci n de Trusted Extensions realice los procedimientos descritos en el siguiente mapa de tareas Para instalar la configuraci n predeterminada vaya a Creaci n de zonas con etiquetas 43 TABLA 4 1 Configuraci n de la zona global en Trusted Extensions Tarea Descripci n Para obtener instrucciones Proteger el hardware Se protege el hardware mediante la solicitud de una contrase a para cambiar la configuraci n del hardware C
209. cimal de la etiqueta hextoalabel 0x0004 08 68 CONFIDENTIAL NEED TO KNOW m Para obtener el equivalente de texto de una acreditaci n utilice la opci n c hextoalabel c 0x0004 08 68 CONFIDENTIAL NEED TO KNOW C mo cambiar los valores predeterminados de seguridad en los archivos del sistema Los archivos de los directorios etc security y etc default contienen valores de seguridad Para obtener m s informaci n consulte Cap tulo 3 Control de acceso a sistemas de Protecci n de sistemas y dispositivos conectados en Oracle Solaris 11 2 Atenci n Reduzca los valores predeterminados de seguridad del sistema nicamente si la pol tica de seguridad del sitio lo permite Debe estar en la zona global y tener asignada la autorizaci n solaris admin edit filename De manera predeterminada el rol root tiene esta autorizaci n O Edite el archivo del sistema La siguiente tabla muestra los archivos de seguridad y los valores de seguridad que es posible cambiar en los archivos Los dos primeros archivos son exclusivos de Trusted Extensions Archivo Tarea Para obtener m s informaci n sel_config en usr share Especificar c mo se comporta el P gina del comando man sel_config 4 gnome sistema cuando la informaci n se mueve a una etiqueta diferente TrustedExtensionsPolicy en Modificar la aplicaci n de la P gina del comando man TrustedExtensionsPolicy 4 usr lib xorg pol tica de seguridad SUN_TSOL
210. cionar un equilibrio entre la coherencia con la pol tica de seguridad del sitio y la comodidad para los usuarios que trabajan en el sistema Trusted Extensions cuenta con la certificaci n que acredita que cumple con el acuerdo de reconocimiento de criterios comunes CCRA con un nivel de seguridad EAL4 en los siguientes perfiles de protecci n m Gesti n avanzada m Identificaci n y autenticaci n extendidas Seguridad con etiquetas m Virtualizaci n Para obtener m s informaci n consulte el sitio web de Common Criteria http www commoncriteriaportal org Planificaci n de qui n configurar Trusted Extensions El rol root o el rol de administrador del sistema es el responsable de activar Trusted Extensions Puede crear roles para dividir las responsabilidades administrativas entre varias reas funcionales a El administrador de la seguridad es el responsable de las tareas relacionadas con la seguridad como la creaci n y asignaci n de etiquetas de sensibilidad la configuraci n de auditor as y el establecimiento de directivas de contrase a E administrador del sistema es el responsable de los aspectos no relacionados con la seguridad de la configuraci n el mantenimiento y la administraci n general m Se pueden configurar roles m s limitados Por ejemplo un operador podr a ser el responsable de la copia de seguridad de los archivos Como parte de la estrategia de administraci n tendr que decidir lo si
211. comando man passwd 1 Cap tulo 9 Tareas comunes en Trusted Extensions 125 126 Configuraci n y administraci n de Trusted Extensions Julio de 2014 CAP TULO 10 Acerca de usuarios derechos y roles en Trusted Extensions En este cap tulo se explican las decisiones fundamentales que debe tomar antes de crear usuarios comunes y se proporciona informaci n b sica adicional para administrar las cuentas de usuario En el cap tulo se supone que el equipo de configuraci n inicial ya configur los roles y un n mero determinado de cuentas de usuario Estos usuarios pueden asumir los roles que se utilizan para configurar y administrar Trusted Extensions Para obtener detalles consulte Creaci n de roles y usuarios en Trusted Extensions 56 Funciones de seguridad del usuario en Trusted Extensions 127 Responsabilidades del administrador para los usuarios 128 a Decisiones que deben tomarse antes de crear usuarios en Trusted Extensions 129 m Atributos de seguridad del usuario predeterminados en Trusted Extensions 130 a Atributos de usuario que pueden configurarse en Trusted Extensions 131 a Atributos de seguridad que deben asignarse a los usuarios 131 Funciones de seguridad del usuario en Trusted Extensions El software Trusted Extensions agrega las siguientes funciones de seguridad a usuarios roles o perfiles de derechos a Los usuarios tienen un rango de etiquetas
212. con iguales sin etiquetas Se siguen las reglas habituales de Trusted Extensions para la inclusi n de las opciones IP etiquetadas en los paquetes transmitidos wire_label etiqueta hace que el daemon in iked cree asociaciones de seguridad con etiquetas donde la etiqueta de transferencia se defini en etiqueta independientemente del valor de la etiqueta interna El daemon in iked lleva a cabo negociaciones de gesti n de claves en la etiqueta especificada Se siguen las reglas habituales de Trusted Extensions para la inclusi n de opciones IP etiquetadas en los paquetes transmitidos label wire_label none genera un comportamiento similar a label wire_label excepto que las opciones IP etiquetadas se suprimen en los paquetes IKE transmitidos y los paquetes de datos en la asociaci n de seguridad Para obtener m s informaci n consulte la p gina del comando man ike config 4 Etiquetas y acreditaci n en IPsec en modo t nel Cuando los paquetes de datos de la aplicaci n est n protegidos por IPsec en modo t nel los paquetes contienen varios encabezados IP Encabezado de Encabezado de Encabezado El encabezado IP del protocolo IKE contiene el mismo par de direcci n de origen y de destino que el encabezado IP externo del paquete de datos de la aplicaci n Configuraci n y administraci n de Trusted Extensions Julio de 2014 Administraci n de IPsec con etiquetas Protocolo de gesti n de claves IKE Encabezado de Encabeza
213. conjunto b sico de privilegios La configuraci n PRIV_DEFAULT del archivo etc policy conf no tiene comentarios y se modifica de la siguiente manera PRIV_DEFAULT basic proc_info Asignaci n de las autorizaciones relacionadas con la impresi n a todos los usuarios de un sistema En este ejemplo la seguridad del sitio permite que un equipo de quiosco p blico imprima sin etiquetas En el quiosco p blico el rol root modifica el valor para AUTHS_GRANTED en el archivo etc security policy conf La pr xima vez que inicie los trabajos de impresi n de todos los usuarios de este quiosco se imprimen sin las etiquetas de las p ginas AUTHS_GRANTED solaris print unlabeled A continuaci n el administrador decide quitar las p ginas de la car tula y del ubicador para ahorrar papel El administrador modifica la entrada policy conf AUTHS_GRANTED solaris print unlabeled solaris print nobanner Despu s de reiniciar el quiosco p blico se quitan todas las etiquetas de los trabajos de impresi n y no cuentan con car tulas ni p ginas de ubicador C mo configurar los archivos de inicio para los usuarios en Trusted Extensions Los usuarios pueden introducir los archivos copy_files y link_files en el directorio principal en la etiqueta que corresponde a la etiqueta de sensibilidad m nima Los usuarios tambi n pueden modificar los archivos copy_files y link_files que ya existen en la etiqueta m nima de los usuarios Este procedimiento sirv
214. contrase as peri dicamente Las opciones de caducidad de las contrase as limitan el per odo durante el que un intruso capaz de adivinar o robar la contrase a puede acceder al sistema Adem s al establecer que transcurra un per odo m nimo antes de poder cambiar la contrase a se impide que el usuario reemplace inmediatamente la contrase a nueva por la contrase a anterior Para obtener m s informaci n consulte la p gina del comando man passwd 1 Nota Las contrase as de los usuarios que pueden asumir roles no deben estar sujetas a ninguna limitaci n por caducidad Asignaci n de roles No es obligatorio que los usuarios tengan roles Se puede asignar m s de un rol a un usuario si esto coincide con la pol tica de seguridad del sitio Asignaci n de autorizaciones Como en el SO Oracle Solaris al asignar autorizaciones a un usuario se agregan esas autorizaciones a las existentes Para obtener escalabilidad agregue las autorizaciones a un perfil de derechos y luego asigne el perfil al usuario Configuraci n y administraci n de Trusted Extensions Julio de 2014 Atributos de seguridad que deben asignarse a los usuarios Asignaci n de perfiles de derechos Como en el SO Oracle Solaris el orden de los perfiles de derechos es importante Con la excepci n de las autorizaciones el mecanismo de perfiles utiliza el valor de la primera instancia de un atributo de seguridad asignado Para obtener m s informaci n cons
215. control de acceso discrecional DAC 91 92 control de acceso obligatorio MAC 92 dispositivos 283 pol tica de seguridad auditor a 309 formaci n de los usuarios 109 usuarios y dispositivos 285 pol tica de seguridad del sitio comprensi n 19 decisiones de la configuraci n de Trusted Extensions 316 infracciones comunes 319 recomendaciones 316 recomendaciones de acceso f sico 317 recomendaciones para el personal 318 tareas implicadas 315 prevenci n Ver protecci n privilegio net_mac_aware 166 privilegio proc_info eliminaci n del conjunto b sico 138 privilegios al ejecutar comandos 118 cambio de valores predeterminados para usuarios 133 eliminaci n de proc_info del conjunto b sico 138 motivos no evidentes para el requerimiento 313 restricci n de usuarios 144 procedimientos Ver tareas y mapas de tareas procesos etiquetas de 99 etiquetas de procesos de usuario 98 impedir que los usuarios vean los procesos de los dem s 138 programas Ver aplicaciones programas de confianza 312 agregaci n 313 definidos 312 propiedad mlslabel etiqueta ADMIN_HIGH y 179 protecci n de archivos de etiquetas inferiores para que no se acceda a ellos 166 dispositivos 103 281 dispositivos de asignaci n remota 295 dispositivos no asignables 294 hosts con etiquetas contra el acceso por hosts arbitrarios 229 informaci n con etiquetas 99 proteger 359 ndice sistemas de archivos con nombres no propieta
216. d La secuencia de comandos usr sbin txzonemgr proporciona una interfaz gr fica de usuario sencilla para gestionar las zonas con etiquetas La secuencia de comandos tambi n proporciona opciones de men para las opciones de redes La secuencia de comandos txzonemgr es ejecutada por el usuario root en la zona global La pol tica de seguridad que establece que dos administradores o roles deben crear y autenticar un usuario Un administrador o rol es responsable de la creaci n del usuario y el directorio principal del usuario y de otras tareas b sicas de administraci n El otro administrador o rol es responsable de los atributos de seguridad del usuario como la contrase a y el rango de etiquetas Una base de datos de red distribuida que contiene informaci n clave sobre todos los sistemas de una red para que stos se puedan comunicar entre s Sin este servicio cada sistema debe mantener su propia copia de la informaci n del sistema en los archivos etc locales Glosario 347 shell de perfil shell de perfil sistema sistema con etiquetas sistema de archivos sistema sin etiquetas sistemas conectados en red sistemas no conectados en red zona con etiquetas zona con marca Un shell especial que reconoce atributos de seguridad como privilegios autorizaciones y UID y GID especiales Un shell de perfil generalmente limita a los usuarios a menos comandos pero puede permitir que estos comandos se ejecuten
217. d puede configurar lo siguiente Localizar o personalizar el texto de las p ginas de car tula y de ubicador Especificar etiquetas alternativas que se vayan a imprimir en las p ginas del cuerpo o en los diversos campos de las p ginas de car tula y de ubicador m Cambiar u omitir cualquiera de los textos o las etiquetas Los usuarios que son dirigidos a una impresora sin etiquetas pueden imprimir la salida sin etiquetas Los usuarios en una zona etiquetada con su propio servidor de impresi n pueden Cap tulo 19 Gesti n de impresi n con etiquetas 261 Etiquetas impresoras e impresi n imprimir la salida sin etiquetas si se les asigna la autorizaci n solaris print unlabeled Los roles se pueden configurar para imprimir la salida sin etiquetas en una impresora local controlada por un servidor de impresi n de Trusted Extensions Para obtener ayuda consulte Reducci n de las restricciones de impresi n en Trusted Extensions 276 P ginas de car tula y de ubicador con etiquetas Las siguientes figuras muestran la p gina de car tula predeterminada y las variaciones de la p gina de ubicador predeterminada Las llamadas identifican las distintas secciones Para obtener una explicaci n del origen del texto en estas secciones consulte el Cap tulo 4 Labeling Printer Output de Trusted Extensions Label Administration Tenga en cuenta que la p gina de ubicador utiliza una l nea exterior diferente 262 Conf
218. d se puede utilizar para interrumpir un arrastre del puntero o del teclado que provenga de una aplicaci n que no sea de confianza Esta combinaci n de teclas tambi n puede utilizarse para verificar si un arrastre del puntero o del teclado proviene de una aplicaci n de confianza En un sistema de varios perif ricos que se ha suplantado para que se muestre m s de una banda de confianza esta combinaci n de teclas dirige el puntero hacia la banda de confianza autorizada Para recuperar el control de un teclado de Sun utilice la siguiente combinaci n de teclas Presione las teclas simult neamente para recuperar el control del enfoque actual del escritorio En el teclado de Sun el rombo es la tecla Meta lt Meta gt lt Stop gt Si el arrastre como un puntero no es de confianza el puntero se mueve hacia la banda Si el puntero es de confianza no se pasa a la banda de confianza Si no utiliza un teclado de Sun use la siguiente combinaci n de teclas lt Alt gt lt Break gt Presione las teclas simult neamente para recuperar el control del enfoque del escritorio actual de su equipo port til Comprobar si la petici n de contrase a es de confianza En un sistema x86 que se usa con un teclado de Sun se le solicita una contrase a al usuario Se arrastra el puntero y se lo ubica en el cuadro de di logo de contrase a Para comprobar si el indicador es de confianza el usuario presiona simult neamente las teclas lt Meta gt y
219. d y requisitos de seguridad del sitio Biblioteca de documentaci n del producto En la biblioteca de documentaci n que se encuentra en http www oracle com pls topic lookup ctx E56339 se incluye informaci n de ltima hora y problemas conocidos para este producto Acceso a My Oracle Support Los clientes de Oracle disponen de asistencia a trav s de Internet en el portal My Oracle Support Para obtener m s informaci n visite http www oracle com pls topic lookup ctx acc rid info o si tiene alguna discapacidad auditiva visite http www oracle com pls topic lookup ctx acc rid trs Comentarios Env enos comentarios acerca de esta documentaci n mediante http www oracle com goto docfeedback Uso de esta documentaci n 13 14 Configuraci n y administraci n de Trusted Extensions Julio de 2014 PARTE Configuraci n inicial de Trusted Extensions En los cap tulos incluidos en esta parte se describe c mo preparar los sistemas Oracle Solaris para ejecutar Trusted Extensions Los cap tulos tratan la instalaci n y activaci n de Trusted Extensions y las tareas de configuraci n inicial Cap tulo 1 Planificaci n de la seguridad para Trusted Extensions describe los temas de seguridad que debe tener en cuenta al configurar Trusted Extensions en uno o varios sistemas Oracle Solaris Cap tulo 2 Gu a b sica de configuraci n de Trusted Extensions proporciona mapas de tareas para diversas configuraciones de T
220. dar pero que no admiten opciones etiquetadas Trusted Extensions proporciona la plantilla denominada admin_low para este tipo de host Se asigna este tipo de host a los hosts que ejecutan el SO Oracle Solaris u otros sistemas operativos sin etiquetas Este host tipo proporciona una etiqueta predeterminada para aplicarla a las comunicaciones con el host sin etiquetar Adem s se puede especificar un rango de etiquetas o un conjunto de etiquetas discretas para permitir el env o de paquetes a una puerta de enlace sin etiquetas para el posterior reenv o Tipo de host adaptive destinado a subredes de hosts sin etiquetar pero que env an paquetes a una interfaz de red espec fica en un sistema etiquetado El sistema etiquetado aplica su etiqueta predeterminada de interfaz de red a los paquetes entrantes Este tipo de host se asigna a los hosts que ejecutan SO Oracle Solaris u otros sistemas operativos sin etiquetar que se espera que env en datos a un sistema etiquetado Este tipo de host no proporciona una etiqueta predeterminada La etiqueta de comunicaci n se deriva de la interfaz de red etiquetada del sistema receptor Este tipo de host se asigna a sistemas de nodo final no puertas de enlace El tipo de host adaptive proporciona flexibilidad para planificar y escalar una red de confianza Los administradores pueden ampliar la red con nuevos sistemas sin etiquetar sin necesidad de conocer de forma anticipada la etiqueta predeterminada de los
221. de abrir la interfaz gr fica de usuario agregue la cuenta root local a la lista de control de acceso del servidor X Ejecute este comando como el usuario que inici sesi n en el servidor X o xhost si localuser root Para obtener m s informaci n consulte las p ginas del comando man xhost 1 y Xsecurity 5 Active X Display Manager Control Protocol Modifique el archivo de configuraci n personalizado de GNOME Display Manager gdm En el archivo etc gdm custom conf escriba Enable true en el encabezado xdmcp Ixdmcp Enable true Inserte la siguiente l nea en el archivo etc gdm Xsession cerca de la l nea 27 Sugerencia Guarde una copia del archivo Xsession original antes de realizar el cambio DISPLAY unix echo DISPLAY sed e s ffff cut d f2 Los archivos del Paso 2 y el Paso 3 est n marcados con el atributo de paquetes preserve true Para obtener informaci n sobre el efecto que tiene este atributo en los archivos modificados durante las actualizaciones y correcciones de paquetes consulte la p gina de comando man pkg 5 Cap tulo 12 Administraci n remota en Trusted Extensions 153 C mo configurar un sistema Trusted Extensions con Xvnc para el acceso remoto ejemplo 12 2 Active el servicio del servidor Xvnc svcadm enable xvnc inetd Cierre todas las sesiones GNOME activas en este servidor svcadm restart gdm Espere aproximadamente un minuto para que se reinicie el administrado
222. de impresi n de Oracle Solaris 277 gesti n 259 internacionalizaci n de salida con etiquetas 266 localizaci n de salida con etiquetas 266 PostScript 267 prevenci n de etiquetas en la salida 276 sin car tulas ni ubicadores 143 sin etiquetas de p ginas 143 278 trabajos p blicos de un servidor de impresi n de Oracle Solaris 277 uso de un servidor de impresi n de Oracle Solaris 277 y archivo label_encodings 97 impresi n con etiquetas eliminaci n de etiqueta 143 p ginas de la car tula 262 p ginas del cuerpo 264 sin p gina de car tula 143 impresi n de varios niveles acceso mediante cliente de impresi n 273 configuraci n 269 271 impresi n sin etiquetas configuraci n 276 impresiones Ver impresi n impresoras configuraci n de rango de etiquetas 282 informaci n de seguridad en copias impresas 261 planificaci n para Trusted Extensions 28 inform tica en red virtual VNC Ver sistemas Xvnc que ejecutan Trusted Extensions inicio de sesi n en un servidor de directorio de inicio 64 65 mediante el comando ssh 155 por roles 107 remoto 150 instalaci n archivo label_encodings 37 40 Oracle Directory Server Enterprise Edition 76 SO Oracle Solaris para Trusted Extensions 33 interfaces agregaci n a plantilla de seguridad 221 227 verificar que est n activas 243 internacionalizaci n Ver localizaci n interrupci n del teclado activaci n 124 introducci n para administradores de
223. de puerto y protocolo Por ejemplo el MLP del servidor X para el escritorio de varios niveles se especifica mediante 6000 6003 y TCP Un conjunto de etiquetas de sensibilidad que est n aprobadas para una clase de usuarios o recursos Un conjunto de etiquetas v lidas Consulte tambi n rango de acreditaci n del sistema y rango de acreditaci n de usuario El conjunto de todas las etiquetas posibles en las que un usuario com n puede trabajar en el sistema El administrador de la seguridad del sitio especifica el rango en el archivo label_encodings Las reglas para etiquetas con formato correcto que definen el rango de acreditaci n del sistema tambi n est n restringidas por los valores de la secci n ACCREDITATION RANGE del archivo el l mite superior el l mite inferior la combinaci n de restricciones y otras restricciones El conjunto de etiquetas v lidas creadas seg n las reglas que define el administrador de la seguridad en el archivo label_encodings m s las dos etiquetas administrativas que se utilizan en todos los sistemas en los que est configurado Trusted Extensions Las etiquetas administrativas son ADMIN_LOW y ADMIN_HIGH Un conjunto de etiquetas de sensibilidad que se asignan a comandos zonas y dispositivos asignables El rango se especifica designando una etiqueta m xima y una etiqueta m nima Para los comandos las etiquetas m nima y m xima limitan las etiquetas en las que se puede ejecutar el comando A los hosts re
224. de roles en Oracle Solaris TABLA 4 4 Mapa de tareas de creaci n de roles y usuarios en Trusted Extensions Tarea Descripci n Para obtener instrucciones Instalar los roles de ARMOR Crea siete roles definidos por el est ndar ARMOR y los asigna Primer ejemplo en Creaci n de roles de Protecci n de los usuarios y los procesos en Oracle Solaris 11 2 Crear un rol de administrador de la seguridad Se crea un rol para gestionar las tareas relacionadas con la seguridad C mo crear el rol de administrador de la seguridad en Trusted Extensions 56 Crear un rol de administrador del sistema Se crea un rol para gestionar las tareas de administraci n del sistema que no est n relacionadas con la seguridad C mo crear un rol de administrador del sistema 58 Crear usuarios para que asuman roles administrativos Se crean uno o varios usuarios que pueden asumir roles C mo crear usuarios que puedan asumir roles en Trusted Extensions 58 Verificar que los roles puedan realizar sus tareas Se prueban los roles C mo verificar que los roles de Trusted Extensions funcionan 61 Permitir que los usuarios inicien sesi n en una zona con etiquetas Se inicia el servicio zones para que los usuarios comunes puedan iniciar sesi n C mo permitir que los usuarios inicien sesi n en una zona con etiquetas 62 Y C mo crear el rol de administrador de la
225. de seguridad que deben asignarse a los usuarios 132 Atributo de Ubicaci n de valor Condici n de Efecto de la asignaci n usuario predeterminado la acci n Etiquetas Archivo label Opcional El usuario tiene un rango de acreditaci n o etiqueta encodings predeterminado que es diferente Privilegios Archivo policy conf Opcional El usuario tiene un conjunto de privilegios diferente Uso de la Archivo policy conf Opcional El usuario tiene una configuraci n diferente para cuenta cuando el equipo est inactivo Auditor a N cleo Opcional El usuario no se audita de la misma forma que los valores predeterminados del sistema Asignaci n de atributos de seguridad a los usuarios en Trusted Extensions El administrador de la seguridad asigna atributos de seguridad a los usuarios una vez que se crean las cuentas de usuario Si estableci los valores predeterminados correctos el siguiente paso consiste en asignar los atributos de seguridad nicamente a los usuarios que necesiten excepciones a los valores predeterminados Al asignar atributos de seguridad a los usuarios tenga en cuenta la siguiente informaci n Asignaci n de contrase as El administrador del sistema puede asignar contrase as a cuentas de usuario durante la creaci n de cuentas Despu s de esta asignaci n inicial el administrador de la seguridad o el usuario pueden cambiar la contrase a Como en Oracle Solaris se puede exigir a los usuarios que cambien sus
226. de token Descripci n Token label 307 Token xatom 307 Token xcolormap 307 Token xcursor 307 Token xfont 307 Token xgc 308 Token xpixmap 308 Token xproperty 308 Token xselect 308 Token xwindow 309 Etiqueta de sensibilidad Identificaci n de los tomos de las ventanas X Informaci n sobre el color de las ventanas X Informaci n sobre los cursores de las ventanas X Informaci n sobre las fuentes de las ventanas X Informaci n sobre el contexto gr fico de las ventanas X Informaci n sobre los mapas de p xeles de las ventanas X Informaci n sobre las propiedades de las ventanas X Informaci n sobre los datos de las ventanas X Informaci n sobre las ventanas X Configuraci n y administraci n de Trusted Extensions Julio de 2014 Referencia de auditor a de Trusted Extensions Token label El token label contiene una etiqueta de sensibilidad Con el comando praudit x el token label se muestra de la siguiente manera lt sensitivity label gt ADMIN_LOW lt sensitivity label gt Token xatom El token xatom identifica un tomo X Con praudit el token xatom se muestra de la siguiente manera X atom DT_SAVE MODE Token xcolormap El token xcolormap contiene informaci n sobre el uso de mapas de colores incluidos el identificador del servidor X y el ID de usuario del creador Con praudit el token xcolormap se muestr
227. del usuario predeterminados en Trusted Extensions 130 Atributos de usuario que pueden configurarse en Trusted Extensions 131 Atributos de seguridad que deben asignarse a los usuarios ooccccnoccnnoncnnno 131 11 Gesti n de usuarios derechos y roles en Trusted Extensions 135 4 Configuraci n y administraci n de Trusted Extensions Julio de 2014 Contenido Personalizaci n del entorno de usuario para la seguridad occoooccccnnccnncccnno 135 Gesti n de usuarios y derechos oooconoconoconoconocnnonnnnnnnnnocnnnrnnononoconocnnins 141 12 Administraci n remota en Trusted Extensions ooooocococonononoconannnoo 147 Administraci n remota en Trusted Extensions ooccoooccccnoccnnornnnnccnnnncnononnns 147 M todos para administrar sistemas remotos en Trusted Extensions 148 Configuraci n y administraci n de sistemas remotos en Trusted Extensions 149 13 Gesti n de zonas en Trusted Extensions o o ooooococonoconononononnncncnnnns 157 Zonas en Trusted Extensions oooccoooccnnoccnnnccnnnnccnnocnnnnccnnnncnonccnnnnccnnornnnn 157 Procesos de la zona global y de las zonas con etiquetas ooocccnocccnnccnnncccno 160 Zonas etiquetadas primarias y secundarias ooccoccnnccnnconncnnncnnncnnncnnncnnnnnnos 161 Utilidades de administraci n de zonas en Trusted Extensions coooccccoccnnnccc 162 GESTI N de ZONAS meso ririonsc iii ii dt 162 14 Gesti n y mon
228. diente por zona En un entorno en el que cada subred tiene su propio servidor de nombres esta tarea configura un daemon nscd por zona C mo configurar un servicio de nombres independiente para cada zona con etiquetas 54 Y C mo compartir una nica direcci n IP con todas las zonas Este procedimiento permite a cada zona del sistema utilizar una direcci n IP la direcci n IP de la zona global para acceder a otros hosts o zonas con etiquetas id nticas sta es la configuraci n predeterminada Debe completar este procedimiento si ha configurado las interfaces de red de forma diferente y desea restablecer el sistema a la configuraci n de red predeterminada Antes de empezar Debe estar con el rol de usuario root en la zona global 50 Configuraci n y administraci n de Trusted Extensions Julio de 2014 C mo agregar una instancia de IP para una zona con etiquetas Pasos siguientes Antes de empezar Ejecute el comando txzonemgr sin ninguna opci n txzonemgr La lista de zonas se muestra en Labeled Zone Manager Para obtener informaci n sobre esta interfaz gr fica de usuario consulte C mo crear zonas con etiquetas de forma interactiva 45 Haga doble clic en la zona global Haga doble clic en Configure Network Interfaces Aparece una lista de interfaces Busque una interfaz en la lista con las siguientes caracter sticas m Tipo de phys m Direcci n IP de su nombre de host m Estado de
229. do IP exterior de UDP Trusted Extensions utiliza las direcciones del encabezado IP interno para las comprobaciones de acreditaciones de la etiqueta interna Trusted Extensions realiza comprobaciones de las etiquetas de transferencia y de gesti n de claves mediante las direcciones del encabezado IP externo Para obtener informaci n sobre las comprobaciones de acreditaciones consulte Comprobaciones de acreditaciones de Trusted Extensions 205 Protecciones de confidencialidad e integridad con extensiones de etiquetas La siguiente tabla explica c mo las protecciones de confidencialidad e integridad de IPsec se aplican a la etiqueta de seguridad con distintas configuraciones de extensiones de etiquetas Asociaci n de seguridad Confidencialidad Integridad Sin extensiones de etiquetas La etiqueta es visible en la opci n IP etiquetada La etiqueta de mensaje en la opci n IP etiquetada es cubierta por AH no por ESP Consulte la nota Con extensiones de etiquetas Una opci n IP etiquetada es visible pero representa la etiqueta de transferencia que puede ser diferente de la etiqueta de mensaje interna Integridad de etiqueta cubierta de manera impl cita por la existencia de una asociaci n de seguridad espec fica de la etiqueta La opci n IP etiquetada en la transferencia es cubierta por AH Consulte la nota Con extensiones de etiquetas y opci n IP etiquetada suprimida Etiqueta de mensaje no visibl
230. do tninfoo la interfaz gr fica de usuario txzonemgr m Visualice una definici n de la plantilla El comando tninfo t muestra las etiquetas en formato de cadena o hexadecimal tninfo t template name template template name host_type one of cipso or UNLABELED doi 1 min_sl minimum label hex minimum hex label max_sl maximum label hex maximum hex label m Visualice una plantilla y los hosts asignados a ella El comando tncfg t muestra las etiquetas en formato de cadena y enumera los hosts asignados tncfg t template info name lt template name gt host_type lt one of cipso or unlabeled gt doi 1 min_label lt minimum label gt max_label lt maximum label gt host 127 0 0 1 32 Localhost host 192 168 1 2 32 LDAP server host 192 168 1 22 32 Gateway to LDAP server host 192 168 113 0 24 Additional network host 192 168 113 100 25 Additional network host 2001 a08 3903 200 0 56 Additional network m Visualice la direcci n IP y la plantilla de seguridad asignada para un host espec fico El comando tninfo h muestra la direcci n IP del host especificado y el nombre de la plantilla de seguridad asignada tninfo h hostname IP Address IP address Template template name El comando tncfg get host muestra el nombre de la plantilla de seguridad que define el host especificado tncfg get host hostname IP address prefix template name m Visualice
231. dor del sistema pueden verificar estos valores S lo el rol de usuario root puede editar archivos Compruebe que los hosts que no pueden comunicarse est n utilizando el mismo servicio de nombres a En cada sistema compruebe los valores de las bases de datos de Trusted Extensions en el servicio SMF name service switch svccfg s name service switch listprop config config value authorization astring solaris smf value name service switch config default astring ldap config tnrhtp astring files ldap config tnrhdb astring files ldap b Si los valores son diferentes en los distintos hosts corrija los valores de los hosts en conflicto svccfg s name service switch setprop config tnrhtp files ldap svccfg s name service switch setprop config tnrhdb files ldap c A continuaci n reinicie el daemon de servicio de nombres en esos hosts svcadm restart name service switch Verifique que cada host est definido correctamente Para ello visualice los atributos de seguridad de los hosts de origen de destino y de puerta de enlace en la transmisi n Utilice la l nea de comandos para comprobar que la informaci n de la red es correcta Verifique que la asignaci n en cada host coincide con la asignaci n en los otros hosts de la red En 244 Configuraci n y administraci n de Trusted Extensions Julio de 2014 C mo depurar la red de Trusted Extensions funci n de la vista deseada utilice el comando tncfg el coman
232. e Integridad de etiqueta cubierta de manera impl cita por la existencia de una asociaci n de seguridad espec fica de la etiqueta Nota No puede utilizar las protecciones de integridad AH de IPSec para proteger la opci n TP etiquetada si los enrutadores que reconocen etiquetas pueden filtrar o agregar la opci n IP etiquetada a medida que el mensaje viaja a trav s de la red Cualquier modificaci n realizada a la IP etiquetada invalidar el mensaje y har que se descarte un paquete protegido por AH en el destino Cap tulo 15 Redes de confianza 213 214 Configuraci n y administraci n de Trusted Extensions Julio de 2014 CAP TULO 16 Gesti n de redes en Trusted Extensions En este cap tulo se proporcionan detalles y procedimientos de implementaci n para proteger las redes de Trusted Extensions ma Etiquetado de hosts y redes 215 Configuraci n de rutas y puertos de varios niveles 234 Configuraci n de IPsec con etiquetas 237 Resoluci n de problemas de la red de confianza 242 Etiquetado de hosts y redes Un sistema Trusted Extensions puede establecer contacto con otros hosts s lo despu s de que el sistema ha definido los atributos de seguridad de esos hosts Debido a que los hosts remotos pueden tener atributos de seguridad similares Trusted Extensions proporciona plantillas de seguridad a las que es posible agregar hosts C mo determinar si necesita plantilla
233. e Not Required E Required E solaris smf manage font solaris device allocate solaris smf manage dbus Add gt gt solaris smf manage x11 solaris account setpolicy lt lt Remove solaris account activate solaris admin idmap rules MA MA Phr Jel mR Tr Description Allocate Device Select All Clear All Help Cancel 5 Reset I OK Para crear y utilizar autorizaciones para dispositivos espec ficas del sitio consulte Personalizaci n de autorizaciones para dispositivos en Trusted Extensions 296 Para guardar los cambios haga clic en OK C mo revocar o reclamar un dispositivo en Trusted Extensions Si un dispositivo no aparece en Device Manager es posible ya est asignado o que tenga un estado de error de asignaci n El administrador del sistema puede recuperar el dispositivo para su uso Debe estar con el rol de administrador del sistema en la zona global Este rol cuenta con la autorizaci n solaris device revoke En el men Trusted Path seleccione Allocate Device Cap tulo 21 Gesti n de dispositivos para Trusted Extensions 293 C mo proteger los dispositivos no asignables en Trusted Extensions En la siguiente figura el dispositivo de audio ya est asignado a un usuario C Device Manager Devices Allocatable by gfaden gfaden Available 7 Allocated Device k Device Label k 2 cdrom0 gt audio0 CONFIDENTIAL INTERNA rmdisk1 lt lt Rem
234. e NFS debe ser de confianza El privilegio net_mac_aware debe estar especificado en el archivo de configuraci n de zona que se utiliza durante la configuraci n inicial de zona Por lo tanto el usuario que tenga permiso para ver todos los directorios principales de nivel inferior tambi n debe tener el privilegio net_mac_aware en cada zona excepto en la zona m s inferior Para ver un ejemplo consulte C mo montar archivos en NFS en una zona con etiquetas 189 Creaci n de directorios principales en Trusted Extensions Los directorios principales son un caso especial en Trusted Extensions Debe asegurarse de que se creen los directorios principales en cada zona que los usuarios pueden utilizar Adem s deben crearse los puntos de montaje del directorio principal en las zonas del sistema del usuario m Para que los directorios principales montados en NFS funcionen correctamente se debe usar la ubicaci n convencional de los directorios export home Configuraci n y administraci n de Trusted Extensions Julio de 2014 Servidor NFS y configuraci n de cliente en Trusted Extensions Nota La secuencia de comandos txzonemgr asume que los directorios principales se monten como export home a En Trusted Extensions se cambi el montador autom tico para manejar los directorios principales en cada zona es decir en cada etiqueta Para obtener detalles consulte Cambios en el montador autom tico en Trusted Extensions 1
235. e Solaris en el que est configurado Trusted Extensions una etiqueta puede dominar a otra etiqueta ser igual a otra etiqueta o estar separada de otra etiqueta Por ejemplo la etiqueta Top Secret domina a la etiqueta Secret Para dos sistemas con el mismo dominio de interpretaci n DOI la etiqueta Top Secret en un sistema es igual a la etiqueta Top Secret en el otro sistema Un rol es como un usuario con la excepci n de que un rol no puede iniciar sesi n Generalmente un rol se utiliza para asignar capacidades administrativas Los roles se limitan a un conjunto determinado de comandos y autorizaciones Consulte rol administrativo Un rol que ofrece las autorizaciones los comandos con privilegios y el atributo de seguridad Trusted Path necesarios para permitir que el rol lleve a cabo tareas administrativas Los roles tienen un subconjunto de capacidades root de Oracle Solaris por ejemplo realizan tareas de copia de seguridad o auditor a Consulte rol administrativo En un sistema Oracle Solaris en el que est configurado Trusted Extensions la ruta de confianza es una manera confiable y segura de interactuar con el sistema La ruta de confianza se utiliza para asegurarse de que las funciones administrativas no se puedan ver afectadas Las funciones de usuario que se deben proteger como cambiar una contrase a tambi n usan la ruta de confianza Cuando la ruta de confianza est activa en el escritorio aparece un indicador de segurida
236. e clic en la l nea Private interfaces y agrega el puerto protocolo Private interfaces 111 tcp 111 udp 8080 tcp Un mensaje emergente indica que los puertos de varios niveles de la zona global estar n activos la pr xima vez que se inicie la zona ejemplo 16 23 Visualizaci n de puertos de varios niveles en un sistema En este ejemplo se configura un sistema con varias zonas con etiquetas Todas las zonas comparten la misma direcci n IP Algunas zonas tambi n se configuran con direcciones espec ficas de las zonas En esta configuraci n el puerto TCP para navegar por la web puerto 8080 es un puerto de varios niveles en una interfaz compartida en la zona public El administrador tambi n configur telnet puerto TCP 23 para que sea un puerto de varios niveles en la zona public Dado que estos dos puertos de varios niveles est n en una interfaz compartida ninguna otra zona ni siquiera la zona global puede recibir paquetes de la interfaz compartida en los puertos 8080 y 23 Adem s el puerto TCP para ssh puerto 22 es un puerto de varios niveles por zona en la zona public El servicio de la zona public ssh puede recibir cualquier paquete en su direcci n espec fica de la zona dentro del rango de etiquetas de la etiqueta El siguiente comando muestra los puertos de varios niveles para la zona public tninfo m public private 22 tcp shared 23 tcp 8080 tcp El siguiente comando muestra los puertos de varios niveles para la z
237. e configurar su interfaz entrante con una plantilla de tipo de host netif Para obtener definiciones de los tipos de host adaptive y netif consulte Tipo de host y nombre de plantilla en plantillas de seguridad 199 Conocimientos b sicos del enrutamiento En las puertas de enlace de Trusted Extensions las comprobaciones de los rangos de etiquetas se llevan a cabo en algunos casos Un sistema Trusted Extensions que enruta un paquete entre dos hosts sin etiquetas compara la etiqueta predeterminada del host de origen con la etiqueta predeterminada del host de destino Cuando los hosts sin etiquetas comparten una etiqueta predeterminada se enruta el paquete Cada puerta de enlace mantiene una lista de rutas con todos los destinos El enrutamiento est ndar de Oracle Solaris incluye opciones para optimizar la ruta Trusted Extensions proporciona software adicional para comprobar los requisitos de seguridad que se aplican a las opciones de ruta Se omiten las opciones de Oracle Solaris que no cumplen los requisitos de seguridad Configuraci n y administraci n de Trusted Extensions Julio de 2014 Acerca del enrutamiento en Trusted Extensions Entradas de la tabla de enrutamiento en Trusted Extensions Las entradas de la tabla de enrutamiento de Trusted Extensions pueden incorporar atributos de seguridad Los atributos de seguridad pueden incluir una palabra clave cipso Los atributos de seguridad deben incluir una etiqueta m xima una
238. e de usuario en la banda de confianza para las opciones de rol Despu s de confirmar la contrase a del rol el espacio de trabajo actual cambia a un espacio de trabajo de rol Los espacios de trabajo de rol est n en la zona global y tienen el atributo de ruta de confianza Los espacios de trabajo de rol son espacios de trabajo administrativos Interfaces de Trusted Extensions para configurar las funciones de seguridad En Trusted Extensions puede ampliar las funciones de seguridad existentes Adem s Trusted Extensions proporciona funciones de seguridad exclusivas Ampliaci n de las funciones de seguridad de Oracle Solaris mediante Trusted Extensions Los siguientes mecanismos de seguridad que proporciona Oracle Solaris pueden ampliarse en Trusted Extensions al igual que en Oracle Solaris Clases de auditor a la agregaci n de clases de auditor a se describe en el Cap tulo 3 Gesti n del servicio de auditor a de Gesti n de auditor a en Oracle Solaris 11 2 Nota Los proveedores que desean agregar eventos de auditor a necesitan ponerse en contacto con un representante de Oracle Solaris para reservar n meros de evento y obtener acceso a las interfaces de auditor a Configuraci n y administraci n de Trusted Extensions Julio de 2014 Aplicaci n de los requisitos de seguridad Roles y perfiles de derechos la agregaci n de roles y perfiles de derechos se describe en el Cap tulo 3 Asignaci n de de
239. e etiquetas aprobado Este rango de etiquetas limita la informaci n a la que pueden acceder los usuarios y los roles Trusted Extensions muestra el s mbolo de Trusted Path un emblema inconfundible y a prueba de falsificaciones que aparece a la izquierda de la banda de confianza En Trusted GNOME la banda se muestra en la parte superior de la pantalla El s mbolo de Trusted Path les indica a los Cap tulo 6 Conceptos de la administraci n de Trusted Extensions 93 Conceptos b sicos de Trusted Extensions usuarios que est n utilizando partes del sistema relacionadas con la seguridad Si este s mbolo no aparece cuando el usuario est ejecutando una aplicaci n de confianza debe comprobarse inmediatamente la autenticidad de esa versi n de la aplicaci n Si la banda de confianza no aparece el escritorio no es de confianza Para ver un ejemplo de la visualizaci n del escritorio consulte la Figura 6 1 Escritorio de varios niveles de Trusted Extensions FIGURA 6 1 Escritorio de varios niveles de Trusted Extensions S mbolo de Etiqueta de rea Banda de etiqueta Banda de confianza de trabajo de ventana confianza Men Trusted Path Path lt root IDENTIAL INTERN hange Login Password Change Workspace Label aos ars E textfileinfo txt gedit Query Window Label file Edit View Search Jools Documents Help O Help AL INTERNAL USE ONLY a GE 5ADexX RgCaRX Home New Open Save Print Undo py Paste find Replace Ble Ed
240. e le asigna una direcci n IP y las zonas con etiquetas comparten una segunda direcci n IP con la zona global Cuando se agrega un puerto de varios niveles a una interfaz compartida el paquete de servicio se enruta hacia la zona con etiquetas donde se define el puerto de varios niveles El paquete se acepta nicamente si el rango de etiquetas de la plantilla de host remoto para la zona con etiquetas incluye la etiqueta del paquete Si el rango es ADMIN_LOW a ADMIN_HIGH se aceptan todos los paquetes Si el rango fuera menor se descartar an los paquetes que no est n dentro del rango En la mayor a de los casos una zona puede definir un puerto determinado para que act e como puerto de varios niveles en una interfaz compartida En la situaci n anterior donde el puerto ssh est configurado como puerto de varios niveles compartido en una zona no global ninguna otra zona puede recibir conexiones ssh en la direcci n compartida Sin embargo la zona global podr a definir el puerto ssh como puerto de varios niveles privado para la recepci n de conexiones en su direcci n espec fica de la zona a En la configuraci n predeterminada en donde la zona global y las zonas con etiquetas comparten una direcci n IP se puede agregar un puerto de varios niveles para el servicio Cap tulo 13 Gesti n de zonas en Trusted Extensions 159 Procesos de la zona global y de las zonas con etiquetas ssh en una zona Si el puerto de varios niveles para ssh
241. e para que el rol de administrador automatice la configuraci n del sitio Debe estar con el rol de administrador del sistema en la zona global Para obtener detalles consulte C mo entrar en la zona global en Trusted Extensions 118 Cree dos archivos de inicio de Trusted Extensions Agregar los archivos copy_files y link_files a la lista de archivos de inicio cd etc skel touch copy_files link_files 138 Configuraci n y administraci n de Trusted Extensions Julio de 2014 C mo configurar los archivos de inicio para los usuarios en Trusted Extensions ejemplo 11 4 Personalice el archivo copy_files a En un editor escriba el nombre completo de la ruta del archivo copy_files pfedit etc skel copy_files b Escriba en copy_files uno por l nea los archivos que se copiar n en el directorio principal del usuario en todas las etiquetas Consulte Archivos copy_files y link_files 133 para obtener ideas Para ver archivos de muestra consulte el Ejemplo 11 4 Personalizaci n de los archivos de inicio para los usuarios Personalice el archivo link_files a En un editor escriba el nombre completo de la ruta de link_files pfedit etc skel link_files b Escriba en link_files uno por l nea los archivos que se enlazar n con el directorio principal del usuario en todas las etiquetas Personalice los otros archivos de inicio para sus usuarios m Para ver una explicaci n de lo
242. e sistemas de archivos de un solo nivel 179 Las zonas en Trusted Extensions est n incorporadas en el producto Oracle Solaris Zones Para obtener referencia consulte Introducci n a Zonas de Oracle Solaris Zonas y direcciones IP en Trusted Extensions El equipo de configuraci n inicial asign direcciones IP a la zona global y a las zonas con etiquetas Consideraron tres tipos de configuraciones como se describe en Acceso a zonas con etiquetas 23 y que se resumen de la siguiente manera m F sistema tiene una direcci n IP para la zona global y todas las zonas con etiquetas Esta configuraci n predeterminada es til para los sistemas que utilizan software DHCP para obtener su direcci n IP m E sistema tiene una direcci n IP para la zona global y otra direcci n IP que comparten todas las zonas incluida la zona global Cualquier zona puede tener una combinaci n de una direcci n exclusiva y una direcci n compartida Esta configuraci n es til para los sistemas en red en que los usuarios comunes iniciar n sesi n Tambi n se puede utilizar para una impresora o un servidor NFS Esta configuraci n conserva las direcciones IP a E sistema tiene una direcci n IP para la zona global y cada zona con etiquetas tiene una direcci n IP exclusiva Esta configuraci n sirve para proporcionar acceso a redes f sicas separadas de sistemas de un solo nivel Normalmente cada zona tiene una direcci n IP en una red
243. e sitio y las medidas que se utilizan para proteger la informaci n del acceso no autorizado Glosario 345 privilegio privilegio proceso puerto de varios niveles MLP rango de acreditaci n rango de acreditaci n de usuario rango de acreditaci n del sistema rango de etiquetas red abierta Facultades que se otorgan a un proceso que est ejecutando un comando El conjunto completo de privilegios describe todas las capacidades del sistema desde las b sicas hasta las administrativas Los privilegios que se omiten en la pol tica de seguridad como definir el reloj en un sistema pueden ser concedidos por el administrador de la seguridad del sitio Una acci n que ejecuta un comando en nombre del usuario que invoca el comando Un proceso recibe una cantidad de atributos de seguridad del usuario incluidos el ID de usuario UID el ID de grupo GID la lista de grupo adicional y el ID de auditor a del usuario AUTD Los atributos de seguridad recibidos por un proceso incluyen cualquier privilegio que est disponible para el comando que se est ejecutando y la etiqueta de sensibilidad del espacio de trabajo actual En un sistema Oracle Solaris en el que est configurado Trusted Extensions un MLP se utiliza para proporcionar un servicio de varios niveles en una zona De manera predeterminada el servidor X es un servicio de varios niveles que se define en la zona global Un MLP se especifica mediante n mero
244. e varios niveles tncfg z global add mlp_private 2049 tcp tncfg z global add mlp_private 111 udp tncfg z global add mlp_private 111 tcp b Reinicie el servicio NFS Configuraci n y administraci n de Trusted Extensions Julio de 2014 C mo crear y compartir un conjunto de datos de varios niveles ejemplo 4 7 Pasos siguientes svcadm restart nfs server c Comparta el conjunto de datos de varios niveles share multi Los conjuntos de datos de varios niveles montados mediante NFS permiten la escritura de archivos en la misma etiqueta que la zona de montaje y la lectura de archivos de nivel inferior La etiqueta de los archivos montados no se puede ver de forma confiable ni definir Para obtener m s informaci n consulte Montaje de conjuntos de datos de varios niveles desde otro sistema 181 Creaci n de un conjunto de datos de varios niveles con una etiqueta superior por debajo de ADMIN_HIGH En este ejemplo el administrador crea un conjunto de datos de varios niveles con un l mite superior o etiqueta superior que es inferior al valor predeterminado ADMIN_HIGH En la creaci n de conjuntos de datos el administrador especifica el l mite de la etiqueta superior en la propiedad mslabel Este l mite superior impide que los procesos de la zona global creen archivos o directorios en el conjunto de datos de varios niveles S lo los procesos de zonas etiquetadas pueden crear directorios y archivos en el conju
245. ean dichos directorios Consulte tambi n archivo copy_files Archivo en el que se definen la etiqueta de sensibilidad completa los rangos de acreditaci n la vista de las etiquetas la visibilidad predeterminada de las etiquetas las acreditaciones de usuario predeterminadas y otros aspectos de las etiquetas Glosario 341 asignaci n asignaci n asignaci n de dispositivos atributo de seguridad autorizaci n banda de confianza base de datos tnrhdb base de datos tnrhtp bases de datos de la red de confianza bits de permiso clasificaci n cliente compartimiento Un mecanismo mediante el que se controla el acceso a un dispositivo Consulte asignaci n de dispositivos Un mecanismo para impedir el acceso a la informaci n almacenada en un dispositivo asignable a todos menos al usuario que asigna el dispositivo Nadie excepto el usuario que asign el dispositivo puede acceder a la informaci n relacionada con el dispositivo hasta que se anula la asignaci n de ste Para que un usuario pueda asignar un dispositivo el administrador de la seguridad le debe haber otorgado la autorizaci n de asignaci n de dispositivos Un atributo que se utiliza para aplicar la pol tica de seguridad de Trusted Extensions Diversos conjuntos de atributos de seguridad se asignan a un proceso usuario zona host dispositivo asignable y otros objetos Un derecho otorgado a un usuario o un rol para realizar una acc
246. ec en modo de t nel de Protecci n de la red en Oracle Solaris 11 2 Utilice IKE para la gesti n de claves como se describe en el siguiente paso Agregue etiquetas a las negociaciones IKE Siga el procedimiento descripto en C mo configurar IKEv2 con claves compartidas previamente de Protecci n de la red en Oracle Solaris 11 2 y luego modifique el archivo ike config de la siguiente manera a Agregue las palabras clave label_aware multi_label y wire_label none PUBLIC al archivo etc inet ike config del sistema euro vpn El archivo resultante tiene el siguiente aspecto Se resaltan las adiciones de etiquetas ike config file on euro vpn 192 168 116 16 Global parameters Use IKE to exchange security labels label_aware Defaults that individual rules can override p1_xform auth_method preshared oakley group 5 auth_alg sha encr_alg 3des p2_pfs 2 The rule to communicate with calif vpn Label must be unique label eurovpn califvpn local_addr 192 168 116 16 remote_addr 192 168 13 213 multi_label wire_label none PUBLIC p1_xform auth_method preshared oakley group 5 auth_alg shal encr_alg aes p2_pfs 5 Agregue las mismas palabras clave al archivo ike config del sistema calif vpn Cap tulo 16 Gesti n de redes en Trusted Extensions 241 Resoluci n de problemas de la red de confianza ike config file on calif vpn 192 168 13 213 Global Parameters
247. ed Extensions con etiquetas El sistema debe tener una ruta al servidor de archivos en la etiqueta de la zona de montaje m Para montar los archivos como de lectura y escritura desde un host de una sola etiqueta la etiqueta asignada del host remoto debe coincidir con la etiqueta de la zona de montaje Se permiten dos configuraciones de host remoto m Se asigna al host remoto que no es de confianza la misma etiqueta que la zona de montaje m El host remoto de confianza es un servidor de varios niveles que incluye la etiqueta de la zona de montaje Los sistemas de archivos que se montan mediante una zona de nivel superior son de s lo lectura Fn Trusted Extensions el archivo de configuraci n auto_home se personaliza por zona El archivo se denomina seg n el nombre de la zona Por ejemplo un sistema con una zona global y una zona public tiene dos archivos auto_home auto_home_global y auto _home_ public Trusted Extensions utiliza las mismas interfaces de montaje que Oracle Solaris De manera predeterminada los sistemas de archivos se montan en el inicio m Para montar los sistemas de archivos de manera din mica utilice el comando mount en la zona con etiquetas m Para montar los directorios principales autom ticamente utilice los archivos auto_home_nombre de zona m Para montar otros directorios autom ticamente use los mapas de montaje autom tico est ndares Debe estar en el sistema cliente en la zona de la etiquet
248. ed Extensions garantiza que esta asignaci n expl cita sustituya la asignaci n anterior como se explic en Mecanismo de reserva de la red de confianza 202 Manejo de una direcci n IP mal escrita en una plantilla de seguridad Una entrada mal escrita genera un mensaje informativo En la siguiente agregaci n de host se omite 200 de la direcci n tncfg t cipso 228 Configuraci n y administraci n de Trusted Extensions Julio de 2014 C mo limitar los hosts que se pueden contactar en la red de confianza ejemplo 16 15 tncfg cipso gt add host 2001 a08 3903 0 56 Invalid host 2001 a08 3903 0 56 Creaci n de una subred sin etiquetas en la etiqueta PUBLIC En el Ejemplo 16 2 Creaci n de una plantilla de seguridad sin etiquetas en la etiqueta PUBLIC el administrador de la seguridad crea una plantilla de seguridad que asigna la etiqueta PUBLIC a un host que no es de confianza En este ejemplo el administrador de la seguridad asigna una subred a la etiqueta PUBLIC Los usuarios del sistema de asignaci n pueden montar sistemas de archivos desde hosts de esta subred en una zona PUBLIC tncfg t public tncfg public gt add host 10 10 0 0 16 tncfg public gt exit Se puede acceder a la subred de inmediato en la etiqueta PUBLIC Limitaci n de los hosts que pueden acceder a la red de confianza En esta secci n puede proteger la red limitando los hosts que pueden acceder a la red C mo limitar los host
249. ed Extensions y Oracle Solaris El servidor debe incluir bases de datos de red de Trusted Extensions y los clientes de Trusted Extensions deben conectarse al servidor mediante un puerto de varios niveles El administrador de la seguridad especifica el puerto de varios niveles durante la configuraci n del sistema Por lo general este puerto de varios niveles est configurado en la zona global para la zona global Por lo tanto una zona etiquetada no tiene acceso de escritura al directorio LDAP En cambio las zonas etiquetadas env an solicitudes de lectura mediante el servicio de proxy de varios niveles que se est ejecutando en el sistema o en otro sistema de confianza en la red Trusted Extensions tambi n admite una configuraci n LDAP de un servidor de directorio por etiqueta Este tipo de configuraci n es necesaria cuando los usuarios tienen credenciales diferentes por etiqueta Trusted Extensions agrega dos bases de datos de red de confianza al servidor LDAP tnrhdb y tnrhtp m Para obtener informaci n sobre el uso del servicio de nombres LDAP en Oracle Solaris consulte Trabajo con servicios de nombres y de directorio en Oracle Solaris 11 2 LDAP Cap tulo 17 Sobre Trusted Extensions y LDAP 251 Uso del servicio de nombres LDAP en Trusted Extensions La configuraci n del servidor LDAP para Trusted Extensions se describe en el Cap tulo 5 Configuraci n de LDAP para Trusted Extensions Los sistemas Trusted Extensions pu
250. eden ser clientes de un servidor LDAP de Oracle Solaris mediante un proxy configurado con Trusted Extensions La configuraci n de clientes del servidor LDAP de Trusted Extensions se describe en Creaci n de un cliente LDAP de Trusted Extensions 86 Sistemas Trusted Extensions gestionados de manera local Si un servicio de nombres distribuido no se usa en un sitio los administradores deben garantizar que la informaci n de configuraci n para los usuarios los sistemas y las redes sea id ntica en todos los sistemas Si se realiza un cambio en un sistema dicho cambio debe aplicarse en todos los sistemas En un sistema Trusted Extensions gestionado localmente la informaci n de configuraci n se conserva en los archivos en lo directorios etc etc security y etc security tsol y mediante las propiedades de configuraci n en el servicio SMF name service switch Bases de datos LDAP de Trusted Extensions Trusted Extensions ampl a el esquema del servidor LDAP para acomodar las bases de datos tnrhdb y tnrhtp Trusted Extensions define dos atributos nuevos ipTnetNumber y ipTnetTemplateName y dos clases de objeto nuevas ipTnetTemplate y ipTnetHost Los atributos se definen de la siguiente manera ipTnetNumber 1 3 6 1 1 1 1 34 NAME ipTnetNumber DESC Trusted network host or subnet address EQUALITY caseExactlIA5Match SYNTAX 1 3 6 1 4 1 1466 115 121 1 26 SINGLE VALUE ipTnetTemplateName 1 3 6 1 1 1 1 35 NAME i
251. eden asignar un dispositivo pueden acceder a la unidad de CD ROM Para asignar la unidad para su uso se requiere autorizaci n Por lo tanto para leer y escribir en un CD ROM en Trusted Extensions los usuarios necesitan la autorizaci n Allocate Device m solaris label file downgrade autoriza a un usuario a disminuir el nivel de seguridad de un archivo m solaris label file upgrade autoriza a un usuario a aumentar el nivel de seguridad de un archivo m solaris label win downgrade autoriza a un usuario a seleccionar informaci n de un archivo de nivel superior y colocarla en un archivo de nivel inferior m solaris label win noview autoriza a un usuario a mover informaci n sin ver la informaci n que se mueve m solaris label win upgrade autoriza a un usuario a seleccionar informaci n de un archivo de nivel inferior y colocarla en un archivo de nivel superior m solaris login remote autoriza a un usuario a iniciar sesi n de manera remota solaris print nobanner autoriza a un usuario a que haga copias impresas sin la p gina de car tula solaris print unlabeled autoriza a un usuario a que haga copias impresas que no muestren etiquetas solaris system shutdown autoriza a un usuario a apagar el sistema y cerrar una zona Asigne el perfil de derechos a un usuario o a un rol Cap tulo 11 Gesti n de usuarios derechos y roles en Trusted Extensions 143 C mo restringir el conjunto de privilegios de un usuario
252. ediante la modificaci n del archivo usr lib cups filter tsol_separator ps 266 Configuraci n y administraci n de Trusted Extensions Julio de 2014 Etiquetas impresoras e impresi n TABLA 19 2 Valores configurables en el archivo tsol_separator ps Salida Valor predeterminado Definici n Para efectuar cambios PRINTER BANNERS CHANNELS Etiqueta en la parte Caveats Job_Caveats Channels Job_Channels HeadLabel Job_Protect def superior de las p ginas de car tula y de ubicador Etiqueta en la parte PageLabel Job Protect def superior de las p ginas del cuerpo Texto y etiqueta de la instrucci n de clasificaci n Protect as Protect Job Protect def Protect_Text1 def Protect_Text2 def Caveats Job Caveats Channels Job_Channels Consulte la descripci n Page Label Compara la etiqueta del trabajo con la clasificaci n minimum protect as classification en el archivo label_encodings Imprime la clasificaci n m s dominante Contiene compartimientos si la etiqueta del trabajo de impresi n tiene compartimientos Consulte la descripci n Page Label Texto que aparecer encima de la etiqueta Texto que aparecer debajo de la etiqueta Consulte Specifying Printer Banners de Trusted Extensions Label Administration Consulte Specifying Channels de Trusted Extensions Label Administration Igual que para cam
253. editaci n del usuario En un sistema Trusted Extensions todas las zonas tienen una marca etiquetado y todos los directorios y archivos modificables en una zona con etiquetas est n en la etiqueta de la zona De manera predeterminada el usuario puede visualizar los archivos que est n en una zona de una etiqueta inferior a la etiqueta actual del usuario Esta configuraci n permite a los usuarios ver sus directorios principales en las etiquetas inferiores a la etiqueta del espacio de trabajo actual Aunque los usuarios pueden ver los archivos en una etiqueta inferior no pueden modificarlos Los usuarios pueden modificar solamente los archivos de un proceso que tenga la misma etiqueta que el archivo Cada zona es un sistema de archivos ZFS independiente Cada zona tiene una direcci n IP y atributos de seguridad asociados Las zonas pueden configurarse con puertos de varios niveles Cap tulo 13 Gesti n de zonas en Trusted Extensions 157 Zonas en Trusted Extensions 158 MLP Multilevel Ports Asimismo las zonas se pueden configurar con una pol tica para la difusi n del protocolo de mensajes de control de Internet ICMP Internet Control Message Protocol como ping Para obtener informaci n sobre c mo compartir directorios desde una zona etiquetada y c mo montar directorios desde zonas etiquetadas de manera remota consulte el Cap tulo 14 Gesti n y montaje de archivos en Trusted Extensions y Propiedad mlslabel y montaje d
254. educir las opciones que est n disponibles en Oracle Solaris Por ejemplo en Trusted Extensions todas las zonas son zonas con etiquetas A diferencia de Oracle Solaris las zonas con etiquetas deben utilizar la misma agrupaci n de ID de usuario e ID de grupo Asimismo en Trusted Extensions las zonas con etiquetas pueden compartir una direcci n IP m Trusted Extensions ofrece un versi n de varios niveles del escritorio de Oracle Solaris Solaris Trusted Extensions GNOME El nombre puede abreviarse como Trusted GNOME m Trusted Extensions proporciona interfaces gr ficas de usuario GUI e interfaces de la l nea de comandos CLI adicionales Por ejemplo Trusted Extensions proporciona la interfaz gr fica de usuario Device Manager para administrar dispositivos Adem s la interfaz Configuraci n y administraci n de Trusted Extensions Julio de 2014 Conceptos b sicos de Trusted Extensions de l nea de comandos updatehonme se utiliza para colocar los archivos de inicio en los directorios de inicio de los usuarios en cada etiqueta a Fn un entorno de ventanas Trusted Extensions proporciona interfaces gr ficas de usuario para la administraci n Por ejemplo Labeled Zone Manager se utiliza para administrar las zonas con etiquetas adem s del comando zonecfg Trusted Extensions limita lo que pueden visualizar los usuarios Por ejemplo el usuario que no puede asignar un dispositivo tampoco puede visualizarlo Trusted Exten
255. egradaci n de informaci n no la actualizaci n de la zona CNF INTERNAL USE ONLY zone zonecfg z internal set limitpriv default file_downgrade_sl C mo evitar las disminuciones de nivel desde la zona internal En este ejemplo el administrador de la seguridad impide la disminuci n del nivel de los archivos CNF INTERNAL USE ONLY en un sistema que anteriormente se utilizaba para disminuir el nivel de los archivos 170 Configuraci n y administraci n de Trusted Extensions Julio de 2014 C mo permitir que los archivos se vuelvan a etiquetar desde una zona con etiquetas El administrador utiliza Labeled Zone Manager para detener la zona internal y a continuaci n selecciona Deny Relabeling en el men de la zona internal Cap tulo 13 Gesti n de zonas en Trusted Extensions 171 172 Configuraci n y administraci n de Trusted Extensions Julio de 2014 CAP TULO 14 Gesti n y montaje de archivos en Trusted Extensions En este cap tulo se explica la pol tica de Trusted Extensions al compartir y montar archivos y el efecto de esta pol tica en los montajes ZFS de conjuntos de datos de varios niveles y los montajes LOFS y NFS de conjuntos de datos ZFS de un solo nivel Adem s se explica c mo realizar copias de seguridad de los archivos y c mo restaurarlos Posibilidades de montaje en Trusted Extensions 173 Pol ticas de Trusted Extensions para sistemas de archivos montados 174 Resultados d
256. eguridad Debe estar en la zona global en un rol que pueda modificar la seguridad de la red Por ejemplo los roles que tienen asignados los perfiles de derechos de seguridad de la informaci n o seguridad de la red pueden modificar los valores de seguridad El rol de administrador de la seguridad incluye estos perfiles de derechos Nota Por razones de compatibilidad no modifique ni suprima las plantillas de seguridad predeterminadas Puede copiar y modificar estas plantillas Adem s puede agregar y eliminar hosts asignados a estas plantillas Para obtener un ejemplo consulte C mo limitar los hosts que se pueden contactar en la red de confianza 229 218 Configuraci n y administraci n de Trusted Extensions Julio de 2014 C mo crear plantillas de seguridad Opcional Determine la versi n hexadecimal de cualquier etiqueta que no sea ADMIN_HIGH Ni ADMIN_LOW Para las etiquetas como CONFIDENTIAL puede utilizar la cadena de etiqueta o el valor hexadecimal como valor de etiqueta El comando tncfg acepta ambos formatos atohexlabel confidential internal use only 0x0004 08 48 Para obtener m s informaci n consulte C mo obtener el equivalente hexadecimal de una etiqueta 122 Cree una plantilla de seguridad El comando tncfg t proporciona tres maneras de crear plantillas nuevas m Cree una plantilla de seguridad desde el principio Utilice el comando tncfg en modo interactivo El subcomando info muestra
257. el file upgrade Estas autorizaciones est n en el perfil de derechos de gesti n de etiquetas de objetos Analiza las cadenas en lenguaje natural para una etiqueta Gestiona las bases de datos de la red de confianza Una alternativa para la interfaz gr fica de usuario de txzonmgr para gestionar la red de confianza El subcomando list muestra las caracter sticas de seguridad de las interfaces de red tncfg proporciona informaci n m s completa que el comando tninfo Para ver varios ejemplos consulte el Cap tulo 16 Gesti n de redes en Trusted Extensions Configura los par metros de red de Trusted Extensions Tambi n puede utilizar el comando tncfo Si desea ver un ejemplo consulte el Ejemplo 12 1 Asignaci n del tipo de host CIPSO para la administraci n remota Ejecuta el daemon de la red de confianza cuando est activado el servicio de nombres LDAP Muestra la informaci n y las estad sticas de red de Trusted Extensions en el nivel del n cleo C mo depurar la red de Trusted Extensions 244 Tambi n puede utilizar el comando tncfg y la interfaz gr fica de usuario txzonemgr Configuraci n y administraci n de Trusted Extensions Julio de 2014 P ginas del comando man de Trusted Extensions en orden alfab tico trusted extensions 5 txzonemgr 1M TrustedExtensionsPolicy 4 tsol_getrhtype 3TSOL Utilidad tgnome selectlabel updatehome 1 XTSOLgetClientAttributes 3XTSOL XTSOLget
258. el sistema como dispositivos asignables redes b feres de trama y otros sistemas Cap tulo 6 Conceptos de la administraci n de Trusted Extensions 95 Conceptos b sicos de Trusted Extensions 96 Relaciones de dominio entre etiquetas Se dice que la etiqueta de una entidad domina otra etiqueta si se cumplen las dos condiciones siguientes El componente de clasificaci n de la etiqueta de la primera entidad es mayor o igual que la clasificaci n de la segunda entidad El administrador de la seguridad asigna n meros a las clasificaciones en el archivo label_encodings El software compara estos n meros para determinar el dominio El conjunto de compartimientos de la primera entidad incluye todos los compartimientos de la segunda entidad Se dice que dos etiquetas son iguales si tienen la misma clasificaci n y el mismo conjunto de compartimientos Si las etiquetas son iguales se dominan entre s y se permite el acceso Si una etiqueta tiene una clasificaci n superior o tiene la misma clasificaci n y los compartimientos son un superconjunto de los compartimientos de la segunda etiqueta o si se cumplen ambas condiciones se dice que la primera etiqueta domina estrictamente la segunda etiqueta Se dice que dos etiquetas est n separadas o no son comparables si ninguna de ellas domina la otra La siguiente tabla presenta algunos ejemplos sobre comparaciones de etiquetas con relaci n al dominio En el ejemplo NEED_TO_KN
259. el uso compartido y el montaje de sistemas de archivos en Trusted Extensions 177 Conjuntos de datos de varios niveles para volver a etiquetar archivos 180 Servidor NFS y configuraci n de cliente en Trusted Extensions 182 Software Trusted Extensions y versiones del protocolo NFS 184 Copia de seguridad uso compartido y montaje de archivos con etiquetas 185 Posibilidades de montaje en Trusted Extensions Trusted Extensions puede montar dos tipos de conjuntos de datos de ZFS Un conjunto de datos etiquetado de un solo nivel tiene la misma etiqueta que la zona en la cual residen o se montan los datos Todos los archivos y directorios en un conjunto de datos de un solo nivel est n en la misma etiqueta Estos conjuntos de datos son los t picos de Trusted Extensions Un conjunto de datos de varios niveles puede contener archivos y directorios en distintas etiquetas Un conjunto de datos de este tipo es eficaz para prestar servicio a los clientes NFS en muchas etiquetas distintas y puede optimizar el proceso de reetiquetado de archivos Los siguientes montajes posibles en Trusted Extensions Montajes ZFS los conjuntos de datos de varios niveles creados por el administrador se pueden montar mediante ZFS en la zona global Un conjunto de datos montado mediante ZFS se puede montar mediante LOFS en zonas etiquetadas del mismo sistema Cap tulo 14 Gesti n y montaje de archivos en Trusted Extensions 173 Po
260. eleccione Allocate Device Aparece Device Manager Cap tulo 21 Gesti n de dispositivos para Trusted Extensions 289 C mo configurar un dispositivo mediante Device Manager en Trusted Extensions QA AE TT Device Manager Devices Allocatable by root root Available Allocated i A i A Device Device Label A cdrom0 E rmdisk1 Add gt gt lt lt Remove Es IMA v v Administration Device audio0 Owner Label Add Jl Remove Reclaim Revoke Properties Help Cancel OK 2 Vea las configuraciones de seguridad predeterminadas Haga clic en Administration y a continuaci n resalte el dispositivo La siguiente figura muestra un dispositivo de audio que el rol de usuario root est visualizando 290 Configuraci n y administraci n de Trusted Extensions Julio de 2014 C mo configurar un dispositivo mediante Device Manager en Trusted Extensions y _ _ AR PT gt Device Properties audio0 Details Name audio0 Type audio Min Label admin_low Max Label admin_high Clean Program etc security lib audio_clean Device Map dev audio dev audioct dev sound 0 dev sound Octl Allocation Allocation from 8 Trusted Path Non Trusted Path Allocatable by Authorized Users Authorizations solaris device allocate Not Required Ei solaris smf manage font sola e allocate solaris smf manage dbus Add gt gt solaris smf
261. elven los problemas de p rdida de conexi n no puede acceder al servidor LDAP entre un servidor LDAP y un cliente C mo depurar la conexi n de un cliente con el servidor LDAP 247 242 Configuraci n y administraci n de Trusted Extensions Julio de 2014 C mo verificar que las interfaces de un sistema est n activas Y C mo verificar que las interfaces de un sistema est n activas Antes de empezar Utilice este procedimiento si el sistema no se comunica con otros hosts seg n lo esperado Debe estar en la zona global en un rol que pueda verificar los valores de atributos de la red El rol de administrador de la seguridad y el rol de administrador del sistema pueden verificar estos valores Verifique que la interfaz de la red del sistema est activa Puede utilizar la interfaz gr fica de usuario Labeled Zone Manager o el comando ipadm para visualizar las interfaces del sistema Abra Labeled Zone Manager y a continuaci n haga doble clic en la zona de inter s txzonemgr Seleccione Configure Network Interfaces y verifique que el valor de la columna Status para la zona sea Up O bien utilice el comando ipadm show addr ipadm show addr ADDROBJ TYPE STATE ADDR 100 v4 static ok 127 0 0 1 8 net0 _a dhcp down 10 131 132 133 23 net0 0 _a dhcp down 10 131 132 175 23 Las interfaces net0 deben tener el valor ok Para obtener m s informaci n sobre el comando ipadm consulte la p gina del coma
262. ema Trusted Extensions Cap tulo 15 Redes de confianza a Etiquetado de hosts y redes 215 C mo configurar un servicio de nombres independiente para cada zona con etiquetas Este procedimiento permite configurar un daemon de servicio de nombres independiente nscd en cada zona con etiquetas Esta configuraci n admite entornos donde cada zona est conectada a una subred que se ejecuta en la etiqueta de la zona y la subred tiene su propio servidor de nombres para esa etiqueta En una zona etiquetada si tiene la intenci n de instalar paquetes que requieren una cuenta de usuario en esa etiqueta puede configurar un servicio de nombres independiente por zona Para obtener informaci n general consulte Aplicaciones restringidas a una zona etiquetada 23 and Decisiones que deben tomarse antes de crear usuarios en Trusted Extensions 129 Aparece Labeled Zone Manager Para abrir esta interfaz gr fica de usuario consulte C mo crear zonas con etiquetas de forma interactiva 45 Debe estar con el rol de usuario root en la zona global En Labeled Zone Manager seleccione Configure per zone name service y haga clic en OK Nota Esta opci n est dise ada que ser utilizada una vez durante configuraci n inicial del sistema 54 Configuraci n y administraci n de Trusted Extensions Julio de 2014 C mo configurar un servicio de nombres independiente para cada zona con etiquetas ejemplo 4 3 Pasos siguiente
263. enerales para los montajes y quiz s para las zonas C mo resolver problemas por fallos de montaje en Trusted Extensions 190 Eliminar una zona con etiquetas Se elimina por completo una zona con etiquetas del sistema C mo eliminar una zona no global de Creaci n y uso de zonas de Oracle Solaris en ejecuci n Antes de empezar C mo visualizar las zonas que est n preparadas o Debe estar con el rol de administrador del sistema en la zona global 1 En un sistema de ventanas ejecute el comando txzonemgr amp Cap tulo 13 Gesti n de zonas en Trusted Extensions 163 C mo visualizar las etiquetas de los archivos montados Antes de empezar 164 1 Los nombres de las zonas su estado y sus etiquetas se muestran en una interfaz gr fica de usuario Tambi n puede utilizar el comando zoneadm list v zoneadm list v ID NAME STATUS PATH BRAND IP 0 global running ipkg shared 5 internal running zone internal labeled shared 6 public running zone public labeled shared La salida no muestra las etiquetas de las zonas C mo visualizar las etiquetas de los archivos montados Este procedimiento crea una secuencia de comandos de shell que muestra los sistemas de archivos montados de la zona actual Cuando la secuencia de comandos se ejecuta desde la zona global muestra las etiquetas de todos los sistemas de archivos montados en cada zona Debe estar con el rol de admini
264. entioned for account management aces Haccount requisite pam_roles so 1 Enable remote role assumption account requisite pam_roles so 1 allow_remote Esta pol tica permite que username en el sistema client host asuma un rol en el servidor Modifique la entrada pam_tsol_account para permitir que los hosts sin etiquetar se pongan en contacto con el sistema remoto de Trusted Extensions pfedit etc pam d other Default definition for Account management Used when service name is not explicitly mentioned for account management Eds account requisite pam_roles so 1 Enable remote role assumption account requisite pam_roles so 1 allow remote account required pam_unix_account so 1 account required pam_tsol_account so 1 Enable unlabeled access to TX system account required pam_tsol_account so 1 allow_unlabeled 6 Pruebe la configuraci n a Abra un nuevo terminal en el sistema remoto En client host en una ventana de username asuma el rol de usuario root en el sistema remoto ssh l root remote system Cap tulo 12 Administraci n remota en Trusted Extensions 151 C mo configurar un sistema Trusted Extensions con Xvnc para el acceso remoto ejemplo 12 1 Antes de empezar Despu s de comprobar que la configuraci n funciona active Trusted Extensions en el sistema remoto y reinicie el sistema svcadm enable s labeld usr sbin reboot Asignaci n del tipo de host CIPSO para la administr
265. epci n es un sistema sin etiquetar ADMIN_LOW No puede montar un conjunto de datos de varios niveles Cuando un conjunto de datos de varios niveles se crea con una etiqueta que es inferior a ADMIN_HIGH el conjunto de datos se puede montar en la zona global de otro sistema Trusted Extensions Sin embargo los archivos s lo se pueden ver en la zona global no se pueden modificar Cuando un NFS de zona con etiquetas monta un conjunto de datos de varios niveles desde una zona global de un sistema diferente se aplican algunas restricciones Se aplican algunas restricciones a los conjuntos de datos de varios niveles montados mediante NFS a Un cliente NFS de Trusted Extensions puede ver las etiquetas correctas solamente para los archivos modificables El comando getlabel informa incorrectamente la etiqueta de los archivos de nivel inferior y la confunde con la etiqueta del cliente La pol tica MAC est en vigor de modo que los archivos siguen siendo de s lo lectura y los archivos de nivel superior no son visibles F servidor NES ignora los posibles privilegios del cliente Debido a estas restricciones se prefiere utilizar LOFS para clientes de zonas con etiquetas que reciben servicios desde su propia zona global NFS funciona para estos clientes pero stos est n sujetos a las restricciones Para conocer el procedimiento de montaje LOFS consulte C mo crear y compartir un conjunto de datos de varios niveles 69 Cap tulo 14 Gesti
266. equiera que usted administre Trusted Extensions mediante la asunci n de un rol Si es as debe crear estos roles en una fase temprana del proceso de configuraci n Puede crear sus propios roles puede instalar el paquete armor de siete roles o puede crear roles adem s de los roles de ARMOR Para obtener una descripci n de los roles de ARMOR consulte la descripci n de ARMOR standard Si no es necesario que configure el sistema mediante el uso de roles puede decidir configurar el sistema con el rol de usuario root Este m todo de configuraci n es menos seguro El rol de usuario root puede realizar todas las tareas del sistema mientras que otros roles normalmente realizan un conjunto m s limitado de tareas Por lo tanto la configuraci n est m s controlada cuando se realiza mediante los roles que usted crea 5 Decida otras cuestiones de seguridad para cada sistema y para la red Por ejemplo se recomienda considerar los siguientes temas de seguridad Determinar qu dispositivos se pueden conectar al sistema y asignar para su uso m Identificar a qu impresoras de qu etiquetas se puede acceder desde el sistema m Identificar los sistemas que tienen un rango de etiquetas limitado como un sistema de puerta de enlace o un quiosco p blico m Identificar qu sistemas con etiquetas se pueden comunicar con determinados sistemas sin etiquetas Instalaci n y activaci n de Trusted Extensions En el SO Oracle Solaris el servic
267. er new Password XXXXXXXX passwd password successfully changed for secadmin Para asignar el rol local a un usuario local consulte C mo crear usuarios que puedan asumir roles en Trusted Extensions 58 C mo crear un rol de administrador del sistema Debe estar con el rol de usuario root en la zona global Asigne el perfil de derechos de administrador del sistema al rol roleadd c Local System Administrator m u 111 K audit_flags cusa no K profiles System Administrator K lock_after_retries no sysadmin Proporcione una contrase a inicial para el rol passwd r files sysadmin New Password XXXXXXXX Re enter new Password XXXXXXXX passwd password successfully changed for sysadmin C mo crear usuarios que puedan asumir roles en Trusted Extensions Si la pol tica de seguridad del sitio lo permite puede elegir crear un usuario que pueda asumir m s de un rol administrativo 58 Configuraci n y administraci n de Trusted Extensions Julio de 2014 C mo crear usuarios que puedan asumir roles en Trusted Extensions Antes de empezar Para una creaci n segura de los usuarios el rol de administrador del sistema crea el usuario y asigna la contrase a inicial y el rol de administrador de la seguridad asigna los atributos relacionados con la seguridad por ejemplo un rol Debe estar con el rol de usuario root en la zona global O bien si se aplica la separaci n de tareas los usuarios que pueden asumi
268. erminado Nota Las variables IDLECMD e IDLETIME se aplican a la sesi n del usuario de inicio de sesi n Si el usuario de inicio de sesi n asume un rol los valores IDLECMD e IDLETIME del usuario est n vigentes para ese rol El administrador del sistema puede configurar una plantilla de usuario est ndar que defina los valores predeterminados del sistema adecuados para cada usuario Por ejemplo de manera predeterminada el shell inicial de cada usuario es un shell bash El administrador del sistema puede configurar una plantilla que proporcione un shell pfbash a cada usuario Formaci n de un equipo de instalaci n para Trusted Extensions A continuaci n se describen las estrategias de configuraci n de la estrategia m s segura a la menos segura Un equipo de dos personas configura el software El proceso de configuraci n es auditado Dos personas est n en el equipo cuando se activa el software En una fase temprana del proceso de configuraci n este equipo crea roles administrativos y usuarios de confianza que pueden asumir dichos roles El equipo tambi n configura la auditor a para auditar los eventos ejecutados por los roles Una vez se asignan los roles a los usuarios y se reinicia el equipo los usuarios inician sesi n y asumen un rol administrativo El software aplica la divisi n de tareas por rol La pista de auditor a proporciona un registro del proceso de configuraci n Para ver una ilustraci n de un proceso de con
269. ersonalice las plantillas de seguridad Asigne hosts individuales a las plantillas de seguridad m Asigne subredes a las plantillas de seguridad Realice otras tareas de configuraci n a Configure las conexiones de red para LDAP m Asigne el servidor LDAP o el servidor proxy al tipo de host cipso en todas plantillas de seguridad m Asigne los clientes LDAP al tipo de host cipso en todas plantillas de seguridad m Convierta el sistema local en un cliente del servidor LDAP b Configure los usuarios locales y los roles de administraci n locales Consulte Creaci n de roles y usuarios en Trusted Extensions 56 m Cree el rol de administrador de la seguridad m Cree un usuario local que pueda asumir el rol de administrador de la seguridad m Cree otros roles y posiblemente otros usuarios locales para que asuman estos roles c Cree directorios principales en cada etiqueta a la que puede acceder el usuario Consulte Creaci n de directorios principales centralizados en Trusted Extensions 63 Configuraci n y administraci n de Trusted Extensions Julio de 2014 Lista de comprobaci n para la configuraci n de Trusted Extensions m Cree directorios principales en un servidor NES m Cree directorios principales ZFS locales que se puedan cifrar m Opcional Evite que los usuarios lean los directorios principales de nivel inferior Configure las opciones de impresi n Consulte Configuraci n de impresi n con etiquet
270. ervidor de impresi n tiene la capacidad de imprimir en la impresora conectada La impresi n de un solo nivel tambi n es Cap tulo 19 Gesti n de impresi n con etiquetas 259 Etiquetas impresoras e impresi n posible mediante el servidor de impresi n en un sistema sin etiquetar que tiene asignada una etiqueta arbitraria Estos trabajos de impresi n se imprimen sin una etiqueta Diferencias entre la impresi n de Trusted Extensions en Oracle Solaris 10 y Oracle Solaris 11 El protocolo de impresi n predeterminado para Oracle Solaris 10 es el servicio de impresi n LP El valor predeterminado para Oracle Solaris 11 es el sistema com n de impresi n de Unix CUPS Para ver una gu a completa de CUPS en Oracle Solaris consulte Configuraci n y gesti n de la impresi n en Oracle Solaris 11 2 En la siguiente tabla se muestran las diferencias principales entre los protocolos de impresi n CUPS y LP TABLA 19 1 Diferencias entre CUPS y LP rea de diferencia CUPS LP N mero de puerto IANA 631 515 Caras de impresi n Una cara Dos caras Impresi n en cascada Acceso a impresoras de red Trabajos de impresi n remotos Agregar una impresora remota a un cliente Activar y aceptar el servidor de impresi n Protecci n PostScript Activaci n de p ginas de car tula Desactivar las p ginas de car tula y de ubicador lp d printer filel file2 Orientaci n de la etiqueta en las p ginas de trabaj
271. es IP que incluye el host Para asociar un determinado host el software de la red de confianza busca primero la direcci n IP espec fica Si la b squeda no encuentra una entrada espec fica para el host busca el prefijo m s extenso de bits coincidentes Puede asignar indirectamente un host a una plantilla de seguridad cuando la direcci n IP del host est comprendida dentro del prefijo m s extenso de bits coincidentes de una direcci n IP que tiene una longitud de prefijo fija En IPv4 puede realizar una asignaci n indirecta mediante la subred Cuando se realiza una asignaci n indirecta con 1 2 3 4 octetos de cero 0 final el software calcula una longitud de prefijo de 24 16 8 O respectivamente Para ver ejemplos consulte la Tabla 15 1 Entradas del mecanismo de reserva y la direcci n de host de Trusted Extensions Tambi n puede determinar una longitud de prefijo fija si agrega una barra diagonal seguida del n mero de bits fijos Las direcciones de red IPv4 pueden tener una longitud de prefijo entre 1 y 32 Las direcciones de red IPv6 pueden tener una longitud de prefijo entre 1 y 128 La siguiente tabla proporciona ejemplos de direcciones de host y de reserva Si una direcci n del conjunto de direcciones de reserva est asignada de manera directa el mecanismo de reserva no se utiliza para esa direcci n TABLA 15 1 Entradas del mecanismo de reserva y la direcci n de host de Trusted Extensions
272. esi n deben haber sido configuradas y compartidas Para obtener detalles consulte lo siguiente C mo configurar un servidor de impresi n de varios niveles y sus impresoras 269 C mo configurar una zona como un servidor de impresi n de un solo nivel 272 a C mo asignar una etiqueta a un servidor de impresi n sin etiquetas 277 Debe estar con el rol de administrador del sistema en la zona global Verifique que puede hacer ping a la impresora ping printer IP address Si este comando falla hay un problema de conexi n de red Corrija el problema de conexi n y luego regrese a este procedimiento Para obtener ayuda consulte Resoluci n de problemas de la red de confianza 242 Complete uno o m s procedimientos que permiten que los sistemas accedan a la impresora m Configure la zona global en un sistema que no sea servidor de impresi n y use la zona global de otro sistema para acceder a las impresoras a En el sistema que no tiene acceso a las impresoras asuma el rol de administrador del sistema b Agregue el acceso a la impresora que est conectada al servidor de impresi n remoto de Trusted Extensions lpadmin p printer name E v ipp print server IP address printers printer name on server Configure una zona con etiquetas a fin de usar su zona global para acceder a una impresora a Cambie la etiqueta del espacio de trabajo de rol por la etiqueta de la zona con etiquetas Para obtener d
273. est en el dominio example domain com La direcci n IP del servidor es 192 168 5 5 ldapclient init a domainName example domain com a profileName default gt a proxyDN cn proxyagent ou profile dc example domain dc com Y gt a proxyDN cn proxyPassword NS1jecc423aad0 192 168 5 5 System successfully configured Establezca el par metro enableShadowUpdate del servidor en TRUE ldapclient v mod a enableShadowUpdate TRUE Y gt a adminDN cn admin ou profile dc example domain dc com System successfully configured 80 Configuraci n y administraci n de Trusted Extensions Julio de 2014 Configuraci n de los logs para Oracle Directory Server Enterprise Edition Antes de empezar 1 Para obtener informaci n sobre el par metro enableShadowUpdate consulte Conmutador enableShadowUpdate de Trabajo con servicios de nombres y de directorio en Oracle Solaris 11 2 LDAP y la p gina del comando man ldapclient 1M Configuraci n de los logs para Oracle Directory Server Enterprise Edition Mediante este procedimiento se configuran tres tipos de logs logs de acceso logs de auditor a y logs de errores Los siguientes valores predeterminados no se modifican Todos los logs se activan y almacenan en el buffer Los logs se colocan en el directorio export home ds instances your instance logs LOG_TYPE adecuado Los eventos se registran en el nivel de log 256 Los logs est n protegidos por 600 permisos
274. est especificada en la plantilla correspondiente Conjunto de etiquetas auxiliares es opcional Especifica un conjunto discreto de etiquetas de seguridad para una plantilla de seguridad Adem s su rango de acreditaci n determinado por la etiqueta m xima y la etiqueta m nima los hosts que se agregan a una plantilla con un conjunto de etiquetas auxiliares pueden enviar y recibir paquetes que coincidan con cualquiera de las etiquetas del conjunto El n mero m ximo de etiquetas auxiliares que se puede especificar es cuatro Tipo de host y nombre de plantilla en plantillas de seguridad Trusted Extensions admite cuatro tipos de hosts en las bases de datos de red de confianza y proporciona cuatro plantillas predeterminadas Tipo de host cipso destinado a los hosts que ejecutan sistemas operativos de confianza Este tipo de host admite etiquetas CALIPSO y CIPSO Para IPv6 el protocolo CALIPSO se utiliza para especificar las etiquetas de seguridad que se transfieren en el campo de opciones IP Para IPv4 se utiliza el protocolo CIPSO Las etiquetas en encabezados CALIPSO y CISCO se derivan autom ticamente de la etiqueta de los datos La etiqueta derivada se utiliza para realizar comprobaciones de seguridad en el nivel IP y para etiquetar los paquetes de red Cap tulo 15 Redes de confianza 199 Atributos de seguridad de red en Trusted Extensions 200 Tipo de host unlabeled destinado a los hosts que usan protocolos de red est n
275. este mapa de tareas si tiene un servidor Oracle Directory Server Enterprise Edition existente que se ejecuta en un sistema Oracle Solaris TABLA 5 2 Mapa de tareas de configuraci n de un servidor proxy LDAP en un sistema Trusted Extensions Tarea Descripci n Para obtener instrucciones Agregar bases de datos de Trusted Extensions al servidor Las bases de datos de red de Trusted Extensions tnrhdb y tnrhtp se deben agregar al servidor LDAP Rellenado de Oracle Directory Server Enterprise Edition 83 Configurar un servidor proxy LDAP Convierta un sistema Trusted Extensions en el servidor proxy de los dem s sistemas Trusted Extensions Los otros sistemas utilizan este servidor proxy para acceder al servidor LDAP Creaci n de un servidor proxy LDAP 85 Configurar el servidor proxy para que tenga un puerto de varios niveles para LDAP Active el servidor proxy de Trusted Extensions para que se pueda comunicar con el servidor LDAP en etiquetas espec ficas Configuraci n de puerto de varios niveles para Oracle Directory Server Enterprise Edition 82 Configurar todos los dem s sistemas Trusted Extensions como clientes del servidor proxy LDAP Al configurar Trusted Extensions en otro sistema convierta el sistema en un cliente del servidor proxy LDAP Conversi n de la zona global en un cliente LDAP en Trusted Extensions 86 Configuraci n de Oracle Directory Server Enterpr
276. estricci n 282 acreditaciones descripci n general de las etiquetas 95 activaci n dominio de interpretaci n diferente de 1 43 funci n de Trusted Extensions 35 interrupci n del teclado 124 red CIPSO IPv6 42 servicio dpadm 79 servicio dsadm 79 servicio labeld 35 activaci n de Trusted Extensions usr sbin labeladm 101 etiqueta ADMIN_LOW etiqueta m nima 97 protecci n de archivos administrativos 111 administraci n archivos copia de seguridad con etiquetas 186 restauraci n con etiquetas 186 archivos de inicio para los usuarios 138 archivos de sistema 124 asignaci n de autorizaciones para dispositivos 300 asignaci n de dispositivos 300 auditor a en Trusted Extensions 303 autorizaciones convenientes para usuarios 143 autorizaciones para dispositivos 297 bloqueo de cuentas 144 cambio de etiquetas de informaci n 145 conjuntos de datos de varios niveles 177 correo 257 de la zona global 118 dispositivos 287 288 impresi n 269 impresi n con etiquetas 259 impresi n sin etiquetas 276 IPsec con etiquetas 237 LDAP 251 plantillas de host remoto 218 plantillas de seguridad 221 227 privilegios de usuario 144 puertos de varios niveles 237 red de confianza 215 referencia r pida para administradores 327 remota 147 rutas con atributos de seguridad 234 sistemas de archivos descripci n general 174 montaje 189 resoluci n de problemas 190 software de terceros 311 uso compartido de si
277. esultado con etiquetas Permite que los usuarios impriman una etiqueta espec fica Los trabajos de impresi n no se marcan con etiquetas C mo asignar una etiqueta a un servidor de impresi n sin etiquetas 277 Eliminar las etiquetas visibles de las p ginas del cuerpo Imprime en un servidor de impresi n sin etiquetar Asigna autorizaciones de impresi n que suprimen el etiquetado C mo asignar una etiqueta a un servidor de impresi n sin etiquetas 277 C mo permitir que usuarios y roles espec ficos omitan el etiquetado de la salida impresa 278 Suprimir las p ginas de la car tula y del ubicador Elimina las p ginas de car tula y de ubicador lo cual elimina la informaci n de seguridad adicional en esas p ginas C mo eliminar p ginas de car tula y de ubicador 276 Asignar autorizaciones de impresi n Autoriza que usuarios y roles espec ficos impriman los trabajos de impresi n sin etiquetas C mo permitir que usuarios y roles espec ficos omitan el etiquetado de la salida impresa 278 Y C mo eliminar p ginas de car tula y de ubicador La impresoras que tienen la opci n job sheets definida en none no imprimen p ginas de car tula o ubicador Antes de empezar Debe estar con el rol de administrador de la seguridad en la zona global O En la etiqueta adecuada configure la impresora sin p ginas de car tula o ubicador lpadmin p print server IP addres
278. etalles consulte C mo cambiar la etiqueta de un espacio de trabajo de Gu a del usuario de Trusted Extensions 274 Configuraci n y administraci n de Trusted Extensions Julio de 2014 C mo activar un cliente de Trusted Extensions para que acceda a un impresora b Agregue el acceso a la impresora lpadmin p printer name E v ipp print server IP address printers printer name on print server m Configure una zona con etiquetas a fin de usar la zona con etiquetas de otro sistema para acceder a una impresora Las etiquetas de las zonas deben ser id nticas a En el sistema que no tiene acceso a las impresoras asuma el rol de administrador del sistema b Cambie la etiqueta del espacio de trabajo de rol por la etiqueta de la zona con etiquetas c Agregue el acceso a la impresora que est conectada al servidor de impresi n de la zona con etiquetas remota lpadmin p printer name E v ipp zone print server IP address printers printer name on zone print server m Configure una zona etiquetada para utilizar un servidor de impresi n sin etiquetar para imprimir la salida sin ninguna informaci n de seguridad Para obtener instrucciones consulte C mo asignar una etiqueta a un servidor de impresi n sin etiquetas 277 Pruebe las impresoras Nota Por motivos de seguridad los archivos con una etiqueta administrativa ADMIN_HIGH oO ADMIN_LOW imprimen ADMIN_HIGH en las p ginas del cuerpo de l
279. etif netif Identifica los hosts que reciben paquetes en una interfaz de red espec fica de hosts adaptive adaptive adapt Identifica los hosts o las redes que no tienen etiquetas pero env an paquetes sin etiquetas a una interfaz espec fica en un host netif Si otras redes pueden acceder a su red debe especificar hosts y dominios disponibles Tambi n debe identificar qu hosts de Trusted Extensions actuar n como puertas de enlace Debe identificar la etiqueta rango de acreditaci n para estas puertas de enlace y la etiqueta de sensibilidad en la que se podr n ver los datos de otros hosts El etiquetado de hosts puertas de enlace y redes se explica en el Cap tulo 16 Gesti n de redes en Trusted Extensions La asignaci n de etiquetas a sistemas remotos se realiza despu s de la configuraci n inicial Cap tulo 1 Planificaci n de la seguridad para Trusted Extensions 21 Planificaci n de la seguridad en Trusted Extensions 22 Planificaci n de zonas etiquetadas en Trusted Extensions El software Trusted Extensions se agrega a Oracle Solaris en la zona global A continuaci n debe configurar las zonas no globales con etiquetas Puede crear una o varias zonas etiquetadas para cada etiqueta nica aunque no es necesario crear una zona para cada etiqueta en el archivo label_encodings Una secuencia de comandos proporcionada permite crear dos zonas con etiquetas f cilmente para la etiqueta de usuario predeterminada y la acredit
280. figuraci n de red autom tico como se describe en la p gina del comando man netcfg 1M Este sistema reconoce los clientes VNC por nombre de host o por direcci n IP En concreto la plantilla de seguridad admin_low identifica de forma expl cita o mediante un comod n los sistemas que pueden ser clientes VNC de este servidor Para obtener m s informaci n sobre c mo configurar la conexi n de manera segura consulte C mo limitar los hosts que se pueden contactar en la red de confianza 229 152 Configuraci n y administraci n de Trusted Extensions Julio de 2014 C mo configurar un sistema Trusted Extensions con Xvnc para el acceso remoto Si actualmente ejecuta una sesi n GNOME en la consola del futuro servidor Xvnc de Trusted Extensions no tiene activado el uso compartido del escritorio Tiene el rol de usuario root en la zona global del futuro servidor Xvnc de Trusted Extensions Cargue o actualice el software Xvnc pkg search vnc set VNC client based on the TigerVNC open source release that displays a session over RFB protocol from a VNC server pkg desktop remote desktop tigervnceversion set X Window System server based on X Org Foundation open source release and TigerVNC open source release that displays over RFB protocol to a VNC client pkg x11 server xvncEversion Una opci n es el software de servidor Tiger VNC X11 VNC pkg install server xvnc pkg install remote desktop tigervnc Nota Si no pue
281. figuraci n seguro consulte la Figura 1 1 Administraci n de un sistema Trusted Extensions divisi n de tareas por rol Una persona activa y configura el software asumiendo el rol adecuado El proceso de configuraci n es auditado En una fase temprana del proceso de configuraci n el rol de usuario root crea roles adicionales El rol de usuario root tambi n configura la auditor a para auditar los eventos ejecutados por los roles Una vez asignados estos roles adicionales al usuario inicial y reiniciado el equipo el usuario inicia sesi n y asume el rol adecuado para la tarea actual La pista de auditor a proporciona un registro del proceso de configuraci n Configuraci n y administraci n de Trusted Extensions Julio de 2014 Planificaci n de la seguridad en Trusted Extensions Una persona asume el rol de usuario root para activar y configurar el software El proceso de configuraci n no es auditado Mediante esta estrategia no se conserva ning n registro del proceso de configuraci n El equipo de configuraci n inicial cambia el rol root a un usuario No se conserva ning n registro en el software del nombre del usuario que act a como root Esta configuraci n puede ser necesaria para la administraci n remota de un sistema sin perif ricos En la figura siguiente se muestra la divisi n de tareas por rol El administrador de la seguridad configura la auditor a protege los sistemas de archivos establece la pol
282. fijo 25 abarca direcciones IPv4 contiguas de 192 168 113 0 a 192 168 113 127 La direcci n incluye 192 168 113 100 tncfg t cipso tncfg cipso gt add host 192 168 113 100 25 tncfg cipso gt exit En el siguiente ejemplo la longitud del prefijo 56 abarca direcciones IPv6 contiguas de 2001 a08 3903 200 0 a 2001 a08 3903 2ff ffff ffff ffff ffff La direcci n incluye 2001 a08 3903 201 20e cff fe08 58c tncfg t cipso tncfg cipso gt add host 2001 a08 3903 200 0 56 tncfg cipso gt info host 2001 a08 3903 200 0 56 tncfg cipso gt exit Si agrega un host que se agreg anteriormente a otra plantilla se le notificar que est sustituyendo la asignaci n de plantilla de seguridad Para el mensaje informativo consulte el Ejemplo 16 13 Reemplazo de la plantilla de seguridad para un rango de hosts Una entrada mal escrita tambi n genera un mensaje informativo como se muestra en el Ejemplo 16 14 Manejo de una direcci n IP mal escrita en una plantilla de seguridad Reemplazo de la plantilla de seguridad para un rango de hosts En este ejemplo se muestra el mensaje informativo que aparece cuando se asigna una plantilla de seguridad a un rango de hosts que ya tiene una asignaci n de plantilla tncfg t cipso tncfg cipso gt add host 192 168 113 100 32 192 168 113 100 32 previously matched the admin_low template tncfg cipso gt info host 192 168 113 100 32 tncfg cipso gt exit El mecanismo de reserva de Trust
283. ga la etiqueta predeterminada PUBLIC atodos los paquetes entrantes que provienen de un host adaptive tncfg t netif_public tncfg netif_public gt set host_type netif tncfg netif_public gt set doi 1 tncfg netif public gt set def_label PUBLIC tncfg netif public gt add host 10 121 10 3 tncfg netif_public gt commit tncfg netif_public gt exit Cap tulo 16 Gesti n de redes en Trusted Extensions 225 C mo agregar un host a una plantilla de seguridad ejemplo 16 10 ejemplo 16 11 ejemplo 16 12 226 Creaci n de plantillas de seguridad para hosts adaptables En este ejemplo el administrador de seguridad planifica con anticipaci n El administrador crea diferentes subredes para una red que contiene informaci n p blica y una red que contiene informaci n interna Luego el administrador define dos hosts adaptive A los sistemas de la subred p blica se les asigna la etiqueta PUBLIC A los sistemas de la red interna se les asigna la etiqueta IUO Dado que esta red se planifica con anticipaci n cada red contiene y transmite informaci n en una determinada etiqueta Otra ventaja es que la red es f cil de depurar cuando los paquetes no se entregan en la interfaz esperada tncfg t adpub_192_168_10 tncfg adapt_ public gt set host_type adapt tncfg adapt_public gt set doi 1 tncfg adapt_public gt set min_label public tncfg adapt_public gt set max_label public tncfg adapt_public gt add host 192 168 10 0 tncfg adapt
284. gistradas de Intel Corporation Todas las marcas comerciales de SPARC se utilizan con licencia y son marcas comerciales o marcas comerciales registradas de SPARC International Inc AMD Opteron el logotipo de AMD y el logotipo de AMD Opteron son marcas comerciales o marcas comerciales registradas de Advanced Micro Devices UNIX es una marca comercial registrada de The Open Group Este software o hardware y la documentaci n pueden ofrecer acceso a contenidos productos o servicios de terceros o informaci n sobre los mismos Ni Oracle Corporation ni sus filiales ser n responsables de ofrecer cualquier tipo de garant a sobre el contenido los productos o los servicios de terceros y renuncian expl citamente a ello Oracle Corporation y sus filiales no se har n responsables de las p rdidas los costos o los da os en los que se incurra como consecuencia del acceso o el uso de contenidos productos o servicios de terceros Contenido Uso de esta documentaci n ococcncnononononononononononononononononononononononeneneneneness 13 I Configuraci n inicial de Trusted Extensions oooooooococcccccnnnonononicocnnnnnnonnnns 15 1 Planificaci n de la seguridad para Trusted Extensions 17 Novedades de Trusted Extensions en Oracle Solaris 11 2 ooooncconoccnnncccnnccnnn 17 Planificaci n de la seguridad en Trusted Extensions cccoooccconcconnccnnnccnnnonnns 18 Resultados de la activaci n de Trusted Extension
285. guiente m Qu usuario manejar cada responsabilidad administrativa Cap tulo 1 Planificaci n de la seguridad para Trusted Extensions 19 Planificaci n de la seguridad en Trusted Extensions 20 m Qu usuarios no administrativos podr n ejecutar aplicaciones de confianza es decir qu usuarios tendr n permiso para ignorar la pol tica de seguridad cuando sea necesario m Qu usuarios tendr n acceso a determinados grupos de datos Dise o de una estrategia de etiqueta Para la planificaci n de etiquetas es necesario establecer una jerarqu a de niveles de sensibilidad y categorizar la informaci n del sistema El archivo label_encodings contiene este tipo de informaci n para el sitio Puede utilizar uno de los archivos label_encodings que se suministran con el software Trusted Extensions Tambi n podr a modificar uno de los archivos suministrados o crear un nuevo archivo label_encodings espec fico para su sitio El archivo debe incluir las extensiones locales espec ficas de Oracle al menos la secci n COLOR NAMES La planificaci n de etiquetas tambi n implica la planificaci n de la configuraci n de etiquetas Despu s de activar el servicio Trusted Extensions tendr que decidir si el sistema debe permitir inicios de sesi n en varias etiquetas o si el sistema se puede configurar con una etiqueta de usuario solamente Por ejemplo un servidor LDAP es un buen candidato para tener una zona con etiquetas Para la admini
286. h to helpfile html authorization name Agregue las autorizaciones nuevas a los perfiles de derechos adecuados profiles rights profile profiles rights profile gt add auths authorization name Asigne los perfiles a usuarios y roles usermod P rights profile username rolemod P rights profile rolename Utilice las autorizaciones para restringir el acceso a dispositivos seleccionados Agregue las autorizaciones nuevas a la lista de autorizaciones requeridas en Device Manager Para conocer el procedimiento consulte C mo agregar autorizaciones espec ficas del sitio a un dispositivo en Trusted Extensions 300 Creaci n de autorizaciones para dispositivos espec ficas En este ejemplo un administrador de seguridad de NewCo necesita establecer autorizaciones espec ficas de dispositivos para la compa a En primer lugar el administrador crea los siguientes archivos de ayuda Newco html Cap tulo 21 Gesti n de dispositivos para Trusted Extensions 297 C mo crear nuevas autorizaciones para dispositivos ejemplo 21 3 NewcoDevAllocateCDVD html NewcoDevAllocateUSB html A continuaci n el administrador crea un archivo de ayuda de plantilla a partir del cual se copian y modifican los dem s archivos de ayuda lt HTML gt Copyright 2012 Newco All rights reserved NewcoDevAllocateCDVD html gt lt HEAD gt lt TITLE gt Newco Allocate CD or DVD Authorization lt TITLE gt lt HEAD gt
287. ha zona Un proceso de zona global puede montar un sistema de archivos remoto con permisos de lectura y escritura en las siguientes condiciones a El sistema de montaje debe tener una zona en la etiqueta id ntica como el sistema de archivos remoto a El sistema debe montar el sistema de archivos remoto en la ruta de la zona que tiene etiquetas id nticas El sistema no debe montar el sistema de archivos remoto en la ruta root de la zona de la zona que tiene etiquetas id nticas Tenga en cuenta una zona que est denominada como public en la etiqueta PUBLIC La ruta de la zona es zone public Todos los directorios de la ruta de la zona se encuentran en la etiqueta PUBLIC por ejemplo zone public dev zone public etc zone public home username 160 Configuraci n y administraci n de Trusted Extensions Julio de 2014 Zonas etiquetadas primarias y secundarias zone public root zone public usr De los directorios de la ruta de la zona solamente los archivos que se encuentran en zone public root son visibles desde la zona public A los dem s directorios y archivos en la etiqueta PUBLIC se puede acceder solamente desde la zona global La ruta zone public root es la ruta ra z de la zona Desde la perspectiva del administrador de la zona public la ruta root de la zona se ve como 7 De manera similar el administrador de la zona public no puede acceder a un directorio principal del usuario en la ruta de la zona direc
288. hin the company may see this file Time remaining to complete 1 36 Help Cancel OK De manera predeterminada el gestor de selecciones aparece cuando se transfieren datos a una etiqueta diferente Si una selecci n requiere varias decisiones de transferencia el mecanismo de respuesta autom tico proporciona un modo de responder una sola vez a todas las transferencias Para obtener m s informaci n consulte la p gina del comando man sel_config 4 y la secci n siguiente Archivo sel_config El archivo usr share gnome sel_config se comprueba para determinar el comportamiento del gestor de selecciones cuando una operaci n sube o baja de nivel una etiqueta El archivo sel_config define lo siguiente m Qu tipos de selecciones obtienen respuestas autom ticas Qu tipos de operaciones pueden confirmarse autom ticamente Configuraci n y administraci n de Trusted Extensions Julio de 2014 Reglas para cambiar el nivel de seguridad de los datos m Sise muestra un cuadro de di logo Selection Manager Cap tulo 8 Sobre los requisitos de seguridad en un sistema Trusted Extensions 115 116 Configuraci n y administraci n de Trusted Extensions Julio de 2014 CAP TULO 9 Tareas comunes en Trusted Extensions En este cap tulo se presenta la administraci n de los sistemas de Trusted Extensions y se incluyen tareas que se realizan com nmente en estos sistemas Introducci n para administradores de Trusted Exte
289. i n de Trusted Extensions implica m s que cargar archivos ejecutables especificar los datos del sitio y definir variables de configuraci n Es preciso tener un nivel considerable de conocimientos previos El software Trusted Extensions proporciona un entorno con etiquetas que se basa en dos funciones de Oracle Solaris Las capacidades que en la mayor a de los entornos UNIX se asignan a root son gestionadas por varios roles administrativos a La capacidad de ignorar la pol tica de seguridad se puede asignar a usuarios y aplicaciones espec ficos En Trusted Extensions el acceso a los datos se controla mediante marcas de seguridad especiales Estas marcas se denominan etiquetas Las etiquetas se asignan a usuarios procesos Configuraci n y administraci n de Trusted Extensions Julio de 2014 Planificaci n de la seguridad en Trusted Extensions y objetos como archivos de datos y directorios Estas etiquetas proporcionan control de acceso obligatorio MAC Mandatory Access Control adem s permisos UNIX o control de acceso discrecional DAC Discretionary Access Control Comprensi n de la pol tica de seguridad del sitio Trusted Extensions le permite integrar eficazmente la pol tica de seguridad del sitio con SO Oracle Solaris Por lo tanto debe comprender muy bien el alcance de su pol tica y la manera en que el software Trusted Extensions puede implementar dicha pol tica Una configuraci n bien planificada debe propor
290. i n de ese objeto debe estar protegida En funci n del modo en que el administrador de la seguridad ha configurado el usuario el usuario puede ver la etiqueta de sensibilidad o ninguna etiqueta Las etiquetas se definen en el archivo label_encodings Opci n de seguridad de IP com n CIPSO Common IP Security Option CIPSO es la etiqueta est ndar que implementa Trusted Extensions Una etiqueta de seguridad que se asigna a un objeto o un proceso La etiqueta se usa para limitar el acceso seg n el nivel de seguridad de los datos incluidos La etiqueta m nima asignada a un usuario o un rol y la etiqueta del espacio de trabajo inicial del usuario La etiqueta inicial es la etiqueta de nivel m s bajo en la que puede trabajar un usuario o un rol El l mite inferior de etiqueta de sensibilidad de un usuario y el l mite inferior de etiqueta de sensibilidad del sistema La etiqueta m nima establecida por el administrador de la seguridad durante la especificaci n de atributo de seguridad de usuario es la etiqueta de sensibilidad del primer espacio de trabajo del usuario en el primer inicio de sesi n La etiqueta de sensibilidad especificada en el campo de etiqueta m nima por el administrador de la seguridad en el archivo label_encodings establece el l mite inferior para el sistema 344 Configuraci n y administraci n de Trusted Extensions Julio de 2014 pol tica de seguridad fuera de la configuraci n evaluada GFI host con
291. i n de seguridad para el tr fico saliente incluye la etiqueta de sensibilidad interna como parte de la asociaci n La etiqueta de seguridad del tr fico entrante est definida por la etiqueta de seguridad de la asociaci n de seguridad del paquete recibido Cap tulo 15 Redes de confianza 211 Administraci n de IPsec con etiquetas 212 Extensiones de etiquetas para IKE IKE en los sistemas Trusted Extensions admite la negociaci n de etiquetas para las asociaciones de seguridad con iguales que reconocen etiquetas Para controlar este mecanismo puede usar las siguientes palabras clave en el archivo etc inet ike config label_aware permite el uso del daemon in iked de las interfaces de etiquetas de Trusted Extensions y la negociaci n de etiquetas con iguales single_label indica que el igual no admite la negociaci n de etiquetas para las asociaciones de seguridad multi_label indica que el igual admite la negociaci n de etiquetas para las asociaciones de seguridad IKE crea una nueva asociaci n de seguridad para cada etiqueta adicional que IKE detecta en el tr fico entre dos nodos wire_label inner hace que el daemon in iked cree asociaciones de seguridad con etiquetas donde la etiqueta de transferencia es igual a la etiqueta interna La etiqueta de gesti n de claves es ADMIN_LOW cuando el daemon negocia con iguales cipso La etiqueta de gesti n de claves es la etiqueta predeterminada del igual cuando el daemon negocia
292. i n que de lo contrario no estar a permitida por la pol tica de seguridad Las autorizaciones se conceden en los perfiles de derechos Determinados comandos requieren que el usuario cuente con ciertas autorizaciones para una ejecuci n correcta Una regi n que no se pude suplantar En Trusted GNOME la banda se ubica en la parte superior La banda proporciona informaci n visual sobre el estado del sistema de ventanas un indicador de ruta de confianza y una etiqueta de sensibilidad de ventana Cuando las etiquetas de sensibilidad se configuran para que un usuario no las pueda ver la banda de confianza se reduce a un icono que muestra s lo el indicador de ruta de confianza La base de datos del host remoto de la red de confianza Esta base de datos asigna un conjunto de caracter sticas de etiquetas a un host remoto La base de datos est disponible como un archivo en etc security tsol tnrhdb La plantilla de host remoto de la red de confianza Esta base de datos define el conjunto de caracter sticas de etiquetas que se pueden asignar a un host remoto La base de datos est disponible como un archivo en etc security tsol tnrhtp tnrhtp la plantilla de host remoto de la red de confianza y tnrhadb la base de datos del host remoto de la red de confianza definen con qu host remoto se puede comunicar un sistema Trusted Extensions Un tipo de control de acceso discrecional en el que el propietario especifica un conjunto de bits para i
293. idor de impresi n Por lo tanto los usuarios remotos como los usuarios de zonas etiquetadas no pueden aprobar la comprobaci n de autorizaci n solaris print admin activa un rol para administrar la impresi n solaris print list activa un rol para ver trabajos de impresi n que no pertenecen al rol solaris print nobanner activa un rol para imprimir trabajos sin p ginas de car tula ni de ubicador de la zona global m solaris print unlabeled activa un rol para imprimir trabajos de impresi n sin etiquetas de p ginas de la zona global Los siguientes comandos de usuario se ampl an a fin de cumplir con la pol tica de seguridad de Trusted Extensions cancel el emisor de llamada debe ser igual a la etiqueta del trabajo de impresi n para cancelar un trabajo Los usuarios normales solamente pueden cancelar sus propios trabajos m lp la opci n o nolabel que imprime p ginas del cuerpo sin etiquetas requiere la autorizaci n solaris print unlabeled La opci n o job sheets none que imprime el trabajo sin una p gina de car tula ni de ubicador requiere la autorizaci n solaris print nobanner m lpstat el emisor de llamada debe ser igual a la etiqueta del trabajo de impresi n para obtener el estado de un trabajo Los usuarios normales solamente pueden ver sus propios trabajos de impresi n Los siguientes comandos administrativos se ampl an a fin de cumplir con la pol tica de seguridad de Trusted Extensions Al igua
294. ificaci n El software Trusted Extensions est en proceso de evaluaci n para obtener la certificaci n seg n los criterios comunes v2 3 agosto de 2005 una normativa ISO con el nivel de seguridad EAL 4 respecto de numerosos perfiles de protecci n Consulte conjunto de etiquetas de seguridad Especifica un conjunto discreto de etiquetas de seguridad para una entrada de la base de datos tnrhtp Los hosts que se asignan a una plantilla con un conjunto de etiquetas de seguridad pueden enviar y recibir paquetes que coincidan con cualquiera de las etiquetas del conjunto de etiquetas El tipo de acceso que es otorgado o denegado por el propietario de un archivo o un directorio seg n el criterio del propietario Trusted Extensions proporciona dos tipos de control de acceso discrecional DAC listas de control de acceso ACL y bits de permiso de UNIX Control de acceso que se basa en la comparaci n de la etiqueta de sensibilidad de un archivo directorio o dispositivo con la etiqueta de sensibilidad del proceso que est intentando acceder a l La regla de MAC lectura en el mismo nivel y en sentido descendente se aplica cuando un proceso de una etiqueta intenta leer un archivo de una etiqueta inferior La regla MAC escritura en el mismo nivel y lectura en sentido descendente se aplica cuando un proceso de una etiqueta intenta escribir en un directorio de otra etiqueta Consulte control de acceso discrecional Direcci n de protocolo
295. ificaci n para 129 precauciones de seguridad 112 precauciones de supresi n 112 rango de sesi n 98 restablecimiento del control del enfoque del escritorio 121 uso de dispositivos 287 uso del archivo copy_files 138 uso del archivo link_files 138 usuarios comunes Ver usuarios V verificaci n archivo label_encodings 40 de que la interfaz est activa 243 funcionamiento de roles 61 Vino uso compartido de escritorios 154 visualizaci n Ver acceso 364 estado de cada zona 163 etiquetas de sistemas de archivos en zona con etiquetas 165 volver a etiquetar informaci n 145 ZFS agregaci n de conjunto de datos a zona con etiquetas 168 conjuntos de datos de varios niveles 69 173 m todo de creaci n de zonas r pido 22 montaje de conjuntos de datos en Trusted Extensions 173 montaje de lectura y escritura de conjunto de datos en zona con etiquetas 168 visualizaci n de conjunto de datos montado en s lo lectura desde una zona de nivel superior 169 zona global diferencia de las zonas con etiquetas 157 entrar 118 salir 118 zonas administraci n 162 agregaci n de daemon nscd a cada zona con etiquetas 54 creaci n de MLP 235 creaci n de MLP para NFSv3 236 creaci n de secundarias 68 decisi n de m todo de creaci n 22 eliminaci n del daemon nscd de las zonas con etiquetas 55 en Trusted Extensions 157 especificaci n de etiquetas 45 especificaci n de no
296. iguraci n y administraci n de Trusted Extensions Julio de 2014 Etiquetas impresoras e impresi n FIGURA 19 1 P gina de car tula t pica de un trabajo de impresi n con etiquetas ar de trabajo N mero 85598 85598 de trabajo Clasificaci n i This output must be protected as Protect as y compartimientos de etiquetas de sensibilidad unless manually reviewed and downgraded Clasificaci n Protect as User remroot 192 168 128 3 Job test 360 Descripci n de mktg minutes odt trabajo Printed at Mon Apr 2 09 53 18 2012 Instrucciones de gesti n de Printer queue test PRINTER BANNERS DISTRIBUTE ONLY TO MARKETING EMPLOYEES HANDLE VIA CHANNELS ONLY Instrucciones de gesti n de CHANNELS Identificador de tipo de p gina JOB START 85598 85598 Etiqueta de trabajo Cap tulo 19 Gesti n de impresi n con etiquetas 263 Etiquetas impresoras e impresi n 264 FIGURA 19 2 Diferencias en una p gina de ubicador Color y ancho de l nea DISTRIBUTE ONLY TO MARKETING EMPLOYEES diferentes HANDLE VIA CHANNELS ONLY Identificador de p gina P ginas del cuerpo con etiquetas De manera predeterminada la clasificaci n Protect as se imprime en la parte superior y en la parte inferior de cada p gina del cuerpo La clasificaci n Protect as es la clasificaci n dominante cuando la clasificaci n de la etiqueta del trabajo se compara con la clasificaci n minimum
297. igurado para utilizar puertos de varios niveles La solicitud funcionar correctamente cuando la etiqueta del cliente se encuentre dentro del rango de etiquetas especificado en la plantilla cipso para la interfaz de red que gestiona la solicitud de montaje NFS del cliente Espec ficamente el comportamiento de las zonas globales y los archivos montados es el siguiente a Fn la zona global en clientes de Trusted Extensions todo lo que hay en el recurso compartido se puede leer y los clientes pueden escribir en ADMIN_HIGH al igual que los procesos de la zona global y local Cuando el cliente es una zona etiquetada los archivos montados son de lectura y escritura cuando la etiqueta de la zona coincide con la etiqueta del archivo compartido Cuando el cliente es un sistema sin etiquetar los archivos montados son de lectura y escritura cuando la etiqueta asignada del cliente coincide con la etiqueta del archivo compartido Los clientes en la etiqueta ADMIN_LOW no pueden montar el conjunto de datos m Para compartir conjuntos de datos de varios niveles con zonas etiquetadas en el mismo sistema la zona global puede utilizar LOFS Para obtener m s informaci n sobre la visualizaci n y el reetiguetado de archivos en un montaje NES consulte Montaje de conjuntos de datos de varios niveles desde otro sistema 181 Uso compartido y montaje de archivos en una zona etiquetada Una zona etiquetada puede compartir sus archivos con o
298. iliza las interfaces de Oracle Solaris y Trusted Extensions Para obtener informaci n sobre las interfaces de la l nea de comandos de Oracle Solaris consulte Protecci n de dispositivos referencia de Protecci n de sistemas y dispositivos conectados en Oracle Solaris 11 2 Los administradores que no tienen acceso a Device Allocation Manager pueden administrar los dispositivos asignables mediante la l nea de comandos Los comandos allocate y deallocate tienen opciones administrativas Para ver ejemplos consulte C mo asignar de manera forzada un dispositivo de Protecci n de sistemas y dispositivos conectados en Oracle Solaris 11 2 y C mo desasignar de manera forzada un dispositivo de Protecci n de sistemas y dispositivos conectados en Oracle Solaris 11 2 Para conocer las interfaces de la l nea de comandos de Trusted Extensions consulte las p ginas del comando man add_allocatable 1M y remove_allocatable 1M 286 Configuraci n y administraci n de Trusted Extensions Julio de 2014 CAP TULO 21 Gesti n de dispositivos para Trusted Extensions En este cap tulo se describe c mo administrar y utilizar dispositivos en un sistema configurado con Trusted Extensions Control de dispositivos en Trusted Extensions 287 Mapa de tareas de uso de dispositivos en Trusted Extensions 287 Gesti n de dispositivos en Trusted Extensions 288 Personalizaci n de autorizac
299. ings full pathname of label encodings file 40 Configuraci n y administraci n de Trusted Extensions Julio de 2014 C mo comprobar e instalar el archivo de codificaciones de etiquetas A ejemplo 4 1 b Lea el resultado y realice una de las siguientes acciones m Corrija los errores Si el comando informa errores stos se deben corregir antes de continuar Para obtener ayuda consulte el Cap tulo 3 Creating a Label Encodings File de Trusted Extensions Label Administration m Convierta el archivo en el archivo label_encodings activo labeladm encodings full pathname of label encodings file Atenci n Para poder continuar su archivo label_encodings debe aprobar la prueba de comprobaci n de codificaciones Comprobaci n de la sintaxis de label_encodings en la l nea de comandos En este ejemplo el administrador prueba varios archivos label_encodings mediante la l nea de comandos usr sbin chk_encodings tmp encodings label_encodings1 No errors found in tmp encodings label_encodings1 usr sbin chk_encodings tmp encodings label_encodings2 No errors found in tmp encodings label_encodings2 Cuando la administraci n decide utilizar el archivo label_encodings el administrador ejecuta un an lisis sem ntico del archivo usr sbin chk_encodings a tmp encodings label_encodings2 No errors found in tmp encodings label_encodings2 gt VERSION MYCOMPANY LABEL ENCODINGS 3 0 10 10 2013
300. io Trusted Extensions svc system labeld default est desactivado de manera predeterminada El servicio labeld anexa etiquetas a puntos finales de comunicaci n Por ejemplo se etiqueta lo siguiente m Todas las zonas y los directorios y archivos de cada zona m Todas las comunicaciones de red Todos los procesos incluidos los procesos de ventana Cap tulo 3 Agregaci n de la funci n Trusted Extensions a Oracle Solaris 35 Agregaci n de paquetes de Trusted Extensions a un sistema Oracle Solaris Antes de empezar Antes de empezar 36 v 1 v 1 Agregaci n de paquetes de Trusted Extensions a un sistema Oracle Solaris Debe tener asignado el perfil de derechos de instalaci n de software Despu s de iniciar sesi n como usuario inicial asuma el rol de usuario root en una ventana de terminal su Enter Password XXXXXXXX Descargue e instale los paquetes de Trusted Extensions m Para los sistemas que ejecutan un escritorio de varios niveles instale el siguiente paquete pkg install system trusted trusted extensions m Para un sistema sin perif ricos o un servidor que no requiere un escritorio de varios niveles instale los paquetes siguientes pkg install system trusted pkg install system trusted trusted global zone Para instalar configuraciones regionales de confianza especifique el nombre corto de la configuraci n regional Por ejemplo el siguiente comando instala la co
301. iones de acreditaciones de Trusted Extensions 205 m FEl software comprueba que el correo se encuentre entre la autorizaci n de la cuenta y la etiqueta m nima m Jos usuarios pueden leer el correo electr nico que se recibe dentro del rango de acreditaci n Durante una sesi n los usuarios pueden leer el correo solamente en su etiqueta actual Para ponerse en contacto con un usuario com n mediante correo electr nico un rol administrativo debe enviar un correo desde un espacio de trabajo que se encuentre en una etiqueta que el usuario pueda leer Por lo general la etiqueta predeterminada del usuario es una buena opci n Configuraci n y administraci n de Trusted Extensions Julio de 2014 CAP TULO 19 Gesti n de impresi n con etiquetas En este cap tulo se describe c mo utilizar Trusted Extensions para configurar la impresi n con etiquetas Adem s se explica c mo configurar los trabajos de impresi n de Trusted Extensions sin opciones de etiquetas m Etiquetas impresoras e impresi n 259 Configuraci n de impresi n con etiquetas 269 Reducci n de las restricciones de impresi n en Trusted Extensions 276 Etiquetas impresoras e impresi n Trusted Extensions usa etiquetas para controlar el acceso a las impresoras Las etiquetas se usan para controlar el acceso a las impresoras y a la informaci n sobre los trabajos de impresi n en cola El software tambi n etiqueta las copias
302. iones para dispositivos en Trusted Extensions 296 Control de dispositivos en Trusted Extensions El siguiente mapa de tareas incluye enlaces a mapas de tareas para administradores y usuarios para el control de dispositivos perif ricos TABLA 21 1 Mapa de tareas de control de dispositivos en Trusted Extensions Tarea Descripci n Para obtener instrucciones Usar dispositivos Permite usar un dispositivo como rol o como usuario com n Mapa de tareas de uso de dispositivos en Trusted Extensions 287 Administrar dispositivos Personalizar autorizaciones para dispositivos Permite configurar dispositivos para los usuarios comunes El rol de administrador de seguridad crea nuevas autorizaciones de dispositivos las agrega al dispositivo las ubica en un perfil de derechos y asigna ese perfil al usuario Gesti n de dispositivos en Trusted Extensions 288 Personalizaci n de autorizaciones para dispositivos en Trusted Extensions 296 Mapa de tareas de uso de dispositivos en Trusted Extensions En Trusted Extensions todos los roles est n autorizados a asignar dispositivos Al igual que los usuarios los roles deben usar Device Manager El comando allocate de Oracle Solaris no Cap tulo 21 Gesti n de dispositivos para Trusted Extensions 287 Gesti n de dispositivos en Trusted Extensions funciona en Trusted Extensions El siguiente mapa de tareas contiene
303. ions 190 pf_key 7P Agrega etiquetas a las asociaciones de seguridad SA IPsec Configuraci n y administraci n de Trusted Extensions Julio de 2014 P ginas del comando man de Oracle Solaris modificadas por Trusted Extensions privileges 5 prof_attr 4 route 1M setpflags 2 Agrega privilegios de Trusted Extensions como PRIV_FILE DOWNGRADE SL Agrega perfiles de derechos como el de gesti n de etiquetas de objetos Agrega la opci n secattr para agregar atributos de seguridad ampliados a una ruta Agregar la opci n secattr para mostrar los atributos de seguridad de la ruta cipso doi max_sl y min_sl Para ver un ejemplo consulte C mo resolver problemas por fallos de montaje en Trusted Extensions 190 Establece el indicador por proceso NET_MAC_AWARE setsockopt 3SOCKEEstablece la opci n SO_MAC_EXEMPT setsockopt 3XNET Establece el control de acceso obligatorio SO_MAC_EXEMPT en el socket socket h 3HEAD tar 1 tar h 3HEAD Admite la opci n SO_MAC_EXEMPT para iguales sin etiquetas Agrega la opci n T para archivar y extraer los archivos y directorios que tengan etiquetas Consulte C mo realizar copias de seguridad de los archivos en Trusted Extensions 186 y C mo restaurar archivos en Trusted Extensions 186 Agrega los tipos de atributos que se utilizan en los archivos tar con etiquetas ucred_getlabel 3C Agrega la obtenci n del valor de etiqueta en una credencial de usuario
304. ios 144 Permitir que un usuario vuelva a Se autoriza a un usuario a reducir o aumentar el C mo activar a un usuario para que cambie el etiquetar datos nivel de la informaci n nivel de seguridad de los datos 145 Eliminar a un usuario del Se elimina por completo a un usuario y sus procesos C mo suprimir una cuenta de usuario de un sistema sistema Trusted Extensions 146 Y C mo modificar el rango de etiquetas de un usuario Puede que desee ampliar el rango de etiquetas de un usuario para proporcionarle acceso de lectura a una aplicaci n administrativa Por ejemplo un usuario que puede iniciar sesi n en la zona global puede ver una lista de los sistemas que se ejecutan en una determinada etiqueta El usuario puede ver el contenido pero no puede modificarlo Como alternativa es posible que desee restringir el rango de etiquetas del usuario Por ejemplo un usuario invitado puede estar limitado a una etiqueta Antes de empezar Debe estar con el rol de administrador de la seguridad en la zona global O Realice una de las siguientes acciones m Para ampliar el rango de etiquetas del usuario asigne una acreditaci n superior usermod K min_label INTERNAL K clearance ADMIN_HIGH jdoe Tambi n puede ampliar el rango de etiquetas del usuario disminuyendo la etiqueta m nima usermod K min_label PUBLIC K clearance INTERNAL jdoe Para obtener m s informaci n consulte las p ginas del comando man usermod 1M y user_att
305. ipo de host de la plantilla determina el protocolo que se utiliza para las comunicaciones de red Consulte Tipo de host y nombre de plantilla en plantillas de seguridad 199 Un conjunto de atributos de seguridad que se aplican a cada tipo de host Para obtener m s detalles consulte Atributos de seguridad de red en Trusted Extensions 198 Atributos de seguridad de red en Trusted Extensions 198 Un sistema Trusted Extensions se instala con un conjunto predeterminado de plantillas de seguridad que se utilizan para definir las propiedades de etiquetas de los hosts remotos En Trusted Extensions se asignan atributos de seguridad a los hosts con etiquetas y sin etiquetas de la red mediante una plantilla de seguridad Los hosts que no tienen una plantilla de seguridad asignada no pueden comunicarse con los hosts que est n configurados con Trusted Extensions Las plantillas se almacenan de manera local Los hosts se pueden agregar a una plantilla de seguridad seg n la direcci n IP o como parte de un rango de direcciones IP Para obtener una explicaci n m s detallada consulte Mecanismo de reserva de la red de confianza 202 Configuraci n y administraci n de Trusted Extensions Julio de 2014 Atributos de seguridad de red en Trusted Extensions Cada tipo de host tiene su propio conjunto de atributos de seguridad adicionales tanto necesarios como opcionales Los siguientes atributos de seguridad est n especifi
306. iquetas entre ADMIN_LOW y ADMIN_HIGH para acceder a la zona global En este estado inicial los sistemas Trusted Extensions permanecen protegidos frente a los ataques remotos mediante varios mecanismos Entre los mecanismos se incluyen los valores netservices la pol tica ssh predeterminada la pol tica de inicio de sesi n predeterminada y la pol tica PAM predeterminada a Fn la instalaci n ning n servicio remoto excepto el shell seguro tiene permiso para escuchar en la red Cap tulo 12 Administraci n remota en Trusted Extensions 147 M todos para administrar sistemas remotos en Trusted Extensions Sin embargo el servicio ssh no se puede utilizar para el inicio de sesi n remoto mediante root o un rol debido a las pol ticas ssh de inicio de sesi n y PAM La cuenta de usuario root no se puede utilizar para los inicios de sesi n remotos porque root es un rol Los roles no pueden iniciar sesi n de acuerdo con PAM Incluso si root se modifica a una cuenta de usuario las pol ticas ssh y de inicio de sesi n predeterminadas impiden los inicios de sesi n remotos por parte del usuario root Dos valores predeterminados de PAM impiden los inicios de sesi n remotos El m dulo pam_roles rechaza los inicios de sesi n locales y remotos desde las cuentas de tipo role Un m dulo PAM de Trusted Extensions pam_tsol_account rechaza los inicios de sesi n remotos en la zona global a menos que se utilice el protocolo CIPSO
307. ir el rol de administrador de la seguridad Para obtener detalles consulte las p ginas del comando man useradd 1M y atohexlabel 1M Este usuario tendr un rango de etiquetas m s amplio que el rango de etiquetas predeterminado Entonces el rol de usuario root determina el formato hexadecimal de la etiqueta m nima y la etiqueta de acreditaci n del usuario atohexlabel public 0x0002 08 08 atohexlabel c confidential restricted 0x0004 08 78 Luego el rol de usuario root consulta la Tabla 1 2 Valores predeterminados de seguridad de Trusted Extensions para las cuentas de usuario y crea el usuario El administrador coloca el directorio de inicio del usuario en export home1 en lugar del directorio predeterminado export home useradd c Local user for Security Admin d export homel jandoe K audit_flags l0 ex no K idletime 8 K idlecmd lock K lock_after_retries no Y K min_label 0x0002 08 08 K clearance 0x0004 08 78 jandoe A continuaci n el rol de usuario root proporciona una contrase a inicial passwd r files jandoe Configuraci n y administraci n de Trusted Extensions Julio de 2014 C mo verificar que los roles de Trusted Extensions funcionan Antes de empezar New Password XXXXXXXX Re enter new Password XXXXXXXX passwd password successfully changed for jandoe Por ltimo el rol de usuario root agrega el rol de administrador de la seguridad a la definici n del usuario El
308. ise Edition en un sistema Trusted Extensions El servicio de nombres LDAP es el servicio de nombres admitido para Trusted Extensions Si en su sitio a n no se ejecuta el servicio de nombres LDAP configure Oracle Directory Server Enterprise Edition servidor de directorios en un sistema en el que est configurado Trusted Extensions Si en su sitio ya se est ejecuta un servidor LDAP debe agregar las bases de datos de Trusted Extensions al servidor Para acceder al servidor de directorios debe configurar un proxy LDAP en un sistema Trusted Extensions Nota Si no utiliza este servidor LDAP como un servidor NFS o como un servidor para clientes Sun Ray no es necesario que instale zonas con etiquetas en este servidor 76 Configuraci n y administraci n de Trusted Extensions Julio de 2014 Recopilaci n de informaci n para el servidor LDAP Y Recopilaci n de informaci n para el servidor LDAP O Determine los valores para los siguientes elementos Los elementos se muestran en el orden en que aparecen en el asistente de instalaci n del sistema Petici n de datos del asistente de Acci n o informaci n instalaci n Oracle Directory Server Enterprise Edition version Administrator User ID Administrator Password Directory Manager DN Directory Manager Password Directory Server Root Server Identifier Server Port Suffix Administration Domain System User System Group Data Storage Location
309. ispositivos en Trusted Extensions describe las extensiones que Trusted Extensions proporciona para la protecci n de dispositivos en Oracle Solaris Cap tulo 21 Gesti n de dispositivos para Trusted Extensions proporciona instrucciones sobre la gesti n de dispositivos mediante Device Manager Cap tulo 22 Trusted Extensions y la auditor a proporciona informaci n espec fica de Trusted Extensions sobre la auditor a Cap tulo 23 Gesti n de software en Trusted Extensions describe c mo administrar aplicaciones en un sistema Trusted Extensions Configuraci n y administraci n de Trusted Extensions Julio de 2014 vt CAP TULO 6 Conceptos de la administraci n de Trusted Extensions Este cap tulo brinda una introducci n a la administraci n de sistemas configurados con la funci n Trusted Extensions a Trusted Extensions y el SO Oracle Solaris 91 m Conceptos b sicos de Trusted Extensions 93 Trusted Extensions y el SO Oracle Solaris El software Trusted Extensions agrega etiquetas a un sistema que ejecuta el SO Oracle Solaris Las etiquetas implementan el control de acceso obligatorio MAC Mandatory Access Control El MAC junto con el control de acceso discrecional DAC Discretionary Access Control protege los sujetos procesos y objetos datos del sistema El software Trusted Extensions proporciona interfaces para gestionar la configuraci n la asignaci n y la pol tica de etiquetas Simi
310. istema est listo para usarse Tiene dos espacios de trabajo de usuario y un espacio de trabajo de rol En esta configuraci n las zonas con etiquetas utilizan la misma direcci n IP que la zona global para comunicarse con otros sistemas Pueden hacerlo porque de forma predeterminada comparten la direcci n IP como una interfaz all zones Pasos siguientes Si planea que el sistema Trusted Extensions se comunique con otros sistemas vaya a Configuraci n de las interfaces de red en Trusted Extensions 49 Y C mo crear zonas con etiquetas mediante el comando zonecfg Si no est en un escritorio debe crear zonas con etiquetas mediante comandos de zona comunes Si est en un escritorio tambi n puede utilizar este m todo La opci n t especifica la marca de la zona y la etiqueta se debe definir de forma expl cita Para obtener m s informaci n consulte la p gina del comando man brands 5 1 Ejecute el comando zonecfg para crear una zona con etiquetas Para obtener m s informaci n consulte la p gina del comando man zonecfg 1M En este ejemplo se crea una zona cuyo nombre es public zonecfg t SYStsoldef z public 2 Establezca la etiqueta con el comando tncfg Para obtener m s informaci n consulte la p gina del comando man tncfg 1M En este ejemplo se etiqueta la zona public con la etiqueta public tncfg z public set label PUBLIC 3 Instale la zona con el comando zoneadm Para obtener m s informaci
311. istir La zona secundaria debe tener una direcci n IP exclusiva y no puede requerir un escritorio Debe estar con el rol de usuario root en la zona global Cree una zona secundaria Puede utilizar la l nea de comandos o la interfaz gr fica de usuario de la zona etiquetada txzonemgr m Use la l nea de comandos tncfg z secondary label service primary no tncfg z secondary label service label public m Use txzonemgr txzonemgr amp Navegue hasta la opci n para crear una zona nueva y siga las indicaciones Nota La m scara de red se debe introducir con un prefijo Por ejemplo el equivalente de prefijo de la m scara de red 255 255 254 0 es 23 68 Configuraci n y administraci n de Trusted Extensions Julio de 2014 C mo crear y compartir un conjunto de datos de varios niveles ejemplo 4 6 Antes de empezar Verifique que la zona sea una zona secundaria tncfg z zone info primary primary no Creaci n de una zona para secuencias de comandos p blicos En este ejemplo el administrador a sla una zona p blica que est dise ada para ejecutar secuencias de comandos y trabajos por lotes tncfg z public scripts primary no tncfg z public scripts label public C mo crear y compartir un conjunto de datos de varios niveles Los conjuntos de datos de varios niveles son contenedores tiles al degradar o actualizar informaci n Para obtener m s informaci n consulte Conjuntos de datos de vari
312. istrador de la seguridad configura los perfiles de derechos y otros atributos relevantes para la seguridad del programa Entre las responsabilidades del administrador de la seguridad se incluyen las siguientes Le Asegurarse de que el programador y el proceso de distribuci n del programa sean de confianza A partir de una de las siguientes fuentes determinar qu privilegios requiere el programa m Preguntar al programador Buscar en el c digo de origen los privilegios que el programa prev utilizar m Buscar en el c digo de origen las autorizaciones que el programa requiere de los usuarios m Usar las opciones de depuraci n para el comando ppriv a fin de buscar la utilizaci n del privilegio Para ver ejemplos consulte la p gina del comando man ppriv 1 Tambi n puede utilizar dtrace para evaluar el uso de privilegios y autorizaciones Examinar el c digo de origen para asegurarse de que se comporte de manera confiable con relaci n a los privilegios que el programa necesita para operar Si el programa no puede utilizar los privilegios de manera confiable y usted puede modificar el c digo de origen del programa modifique el c digo Un consultor de seguridad o un desarrollador que tenga conocimientos sobre la seguridad puede modificar el c digo Las modificaciones pueden incluir la separaci n de privilegios o la comprobaci n de autorizaciones La asignaci n de privilegios debe realizarse manualmente Se pueden asignar
313. it el token xproperty se muestra de la siguiente manera X_property 0x000075d5 root _ MOTIF_DEFAULT_BINDINGS Token xselect El token xselect contiene los datos que se mueven entre las ventanas Estos datos son una secuencia de bytes sin una estructura interna asumida ni una cadena de propiedades Con praudit el token xselect se muestra de la siguiente manera X selection entryfield halogen Configuraci n y administraci n de Trusted Extensions Julio de 2014 Referencia de auditor a de Trusted Extensions Token xwindow El token xwindow identifica el servidor X y el ID de usuario del creador Con praudit el token xwindow se muestra de la siguiente manera lt X_window xid 0x07400001 xcreator uid srv gt Opciones de pol tica de auditor a de Trusted Extensions Trusted Extensions agrega dos opciones de pol ticas de auditor a de ventanas a las opciones de pol ticas de auditor a existentes auditconfig 1spolicy windata_down Include downgraded window information in audit records windata_up Include upgraded window information in audit records Extensiones realizadas en comandos de auditor a de Trusted Extensions Los comandos auditconfig auditreduce y auditrecord se extendieron a fin de manejar la informaci n de Trusted Extensions El comando auditconfig incluye las pol ticas de auditor a de Trusted Extensions Para obtener detalles consulte la p gina del comando man auditconfig 1M El comando a
314. it Yiew Jerminal Jabs Help texto txt plabel This is a PUBLIC file This file does not contain CONFIDENTIAL INTERNAL USE ONLY confidential information thought lt root gt 34 D CONFIDENTIAL INTERNAL US Privilege Limit Set for Labeled Zone Terminal a ato abla mo File Edit View Terminal Tabs Help CAITMACE poriv 3072 csh flags lt none gt E basic I basic P basic L basic contract_event contract_identity co ile chown_self file dac_execute file dac_read file d e downgrade sl file owner file _setid file upgrade_sl ipc owner net bindmlp net icmpaccess net mac aware n r proc audit proc chroot proc lock memory proc owner acct sys admin sys audit sys mount sys nfs sys resou rmap win_config win_dac_read win_dac write win _devic win mac write win selection thought lt EEE PA Fri Mar 27 10 41 AM a m Home jm P it Set textfilleinfo txt gedit 1 ES conos de ventanas Paneles La mayor parte del software relacionado con la seguridad es decir la base de computaci n de confianza TCB Trusted Computing Base se ejecuta en la zona global Los usuarios comunes no pueden entrar en la zona global ni visualizar sus recursos Los usuarios est n sujetos al software TCB por ejemplo al cambiar las contrase as El s mbolo de Trusted Path se muestra cuando el usuario interact a con la TCB 94 Configuraci n y administraci n de Trusted Extensions Julio de 2014 Conceptos b sicos de Trusted Exte
315. ition es decir el servidor LDAP debe existir El servidor se debe rellenar con las bases de datos de Trusted Extensions y este sistema cliente debe poder establecer contacto con el servidor Por lo tanto el servidor LDAP debe tener asignada una plantilla de seguridad para este cliente No se necesita una asignaci n espec fica una asignaci n comod n es suficiente Debe estar con el rol de usuario root en la zona global Si utiliza DNS agregue dns a la configuraci n name service switch El archivo de cambio de servicio de nombres est ndar para LDAP es demasiado restrictivo para Trusted Extensions a Visualice la configuraci n actual svccfg s name service switch listprop config 86 Configuraci n y administraci n de Trusted Extensions Julio de 2014 Conversi n de la zona global en un cliente LDAP en Trusted Extensions config application config value authorization astring solaris smf value name service switch config default astring files ldap config netgroup astring ldap config printer astring user files ldap b Agregue dns a la propiedad host y refresque el servicio svccfg s name service switch setprop config host astring files dns ldap svccfg s name service switch default refresh c Verifique la nueva configuraci n svccfg s name service switch listprop config config application config value_authorization astring solaris smf value name service switch config default astring files ld
316. itivo Las autorizaciones Allocate Device y Revoke or Reclaim Device son adecuadas para los roles administrativos 300 Configuraci n y administraci n de Trusted Extensions Julio de 2014 C mo asignar autorizaciones para dispositivos Antes de empezar Debe estar con el rol de administrador de la seguridad en la zona global Si los perfiles existentes no son adecuados el administrador de la seguridad puede crear un perfil nuevo Para ver un ejemplo consulte C mo crear perfiles de derechos para autorizaciones convenientes 143 Asigne al usuario un perfil de derechos que cuente con la autorizaci n Allocate Device Para ver el procedimiento paso a paso consulte Asignaci n de derechos a usuarios de Protecci n de los usuarios y los procesos en Oracle Solaris 11 2 Los siguientes perfiles de derechos activan un rol para que asigne dispositivos m Todas las autorizaciones Gesti n de dispositivos m Copia de seguridad de medios m Gesti n de etiquetas de objetos Instalaci n de software Los siguientes perfiles de derechos activan un rol para que revoque o reclame dispositivos m Todas las autorizaciones Gesti n de dispositivos Los siguientes perfiles de derechos activan un rol para que cree o configure dispositivos m Todas las autorizaciones Seguridad de dispositivos El Ejemplo 21 2 Creaci n de autorizaciones para dispositivos espec ficas muestra c mo asignar las autorizaciones
317. ivo etc hosts Asigne la plantilla admin_Low a cada host sin etiquetas con el que se debe establecer contacto durante el inicio Incluya cada host sin etiquetas con el que se debe establecer contacto durante el inicio a Incluya cada enrutador on link que no ejecute Trusted Extensions mediante el cual se debe comunicar este sistema Elimine la asignaci n 0 0 0 0 0 Agregue hosts a la plantilla cipso Agregue cada host con etiquetas con el que se debe establecer contacto durante el inicio a Incluya cada enrutador on link que ejecute Trusted Extensions mediante el cual se debe comunicar este sistema Aseg rese de que todas las interfaces de red est n asignadas a la plantilla Incluya las direcciones de difusi n m Incluya los rangos de hosts con etiquetas con los que se debe establecer contacto durante el inicio Consulte el Ejemplo 16 17 Enumeraci n de sistemas que un sistema Trusted Extensions puede contactar durante el inicio para ver una base de datos de ejemplo 230 Configuraci n y administraci n de Trusted Extensions Julio de 2014 C mo limitar los hosts que se pueden contactar en la red de confianza ejemplo 16 16 ejemplo 16 17 Compruebe que las asignaciones de hosts permitan que el sistema se inicie Cambio de la etiqueta de la direcci n IP 0 0 0 0 0 En este ejemplo el administrador crea un sistema de puerta de enlace p blica El administrador elimina la entrada de host 0
318. ixmap 308 token de auditor a xproperty 308 token de auditor a xselect 308 token de auditor a xwindow 309 tokens de auditor a de Trusted Extensions lista de 306 token label 307 token xatom 307 token xcolormap 307 token xcursor 307 token xfont 307 token xgc 308 token xpixmap 308 token xproperty 308 token xselect 308 token xwindow 309 traducci n Ver localizaci n Trusted Extensions 17 Ver tambi n planificaci n de Trusted Extensions acceso remoto a la pantalla 154 activaci n 35 agregaci n 36 agregaci n a Oracle Solaris 35 decisiones que se deben tomar antes de activar 34 desactivaci n 74 diferencias con el SO Oracle Solaris 92 diferencias con la auditor a de Oracle Solaris 303 diferencias desde la perspectiva de un administrador de Oracle Solaris 28 estrategia de configuraci n de dos roles 27 nuevas funciones de esta versi n 17 planificaci n de estrategia de configuraci n 26 planificaci n de red 21 planificaci n del hardware 20 planificaci n para 18 preparaci n para 33 protecciones IPsec 210 redes 193 referencia r pida de p ginas del comando man 331 referencia r pida para administraci n 327 requisitos de memoria 21 resultados antes de la configuraci n 28 similitudes con la auditor a de Oracle Solaris 303 similitudes con SO Oracle Solaris 91 Trusted Extensions configuraci n procedimientos iniciales 39 Trusted Path Device Manager 283 U UID de root necesari
319. junto de datos a la zona como un sistema de archivos zonecfg z labeled zone name zonecfg labeled zone name gt add fs zonecfg labeled zone name dataset gt set dir subdir zonecfg labeled zone name dataset gt set special datasetdir subdir zonecfg labeled zone name dataset gt set type zfs zonecfg labeled zone name dataset gt end zonecfg labeled zone name gt exit Si se agrega el conjunto de datos como un sistema de archivos el conjunto de datos se monta en data en la zona Este paso garantiza que el conjunto de datos no se monte antes de que se inicie la zona 168 Configuraci n y administraci n de Trusted Extensions Julio de 2014 C mo compartir un conjunto de datos ZFS desde una zona con etiquetas ejemplo 13 4 Inicie la zona con etiquetas zoneadm z labeled zone name boot Cuando se inicia la zona se monta el conjunto de datos autom ticamente como punto de montaje de lectura y escritura en la zona labeled zone name con la etiqueta de la zona labeled zone name Uso compartido y montaje de un conjunto de datos ZFS desde zonas con etiquetas En este ejemplo el administrador agrega un conjunto de datos de ZFS a la zona needtoknow y luego lo comparte El conjunto de datos zone data se encuentra asignado al punto de montaje mnt Los usuarios de la zona restricted pueden ver el conjunto de datos En primer lugar el administrador detiene la zona zoneadm z needtoknow halt Dado que el con
320. junto de datos se encuentra asignado a un punto de montaje diferente el administrador elimina la asignaci n anterior y a continuaci n establece el nuevo punto de montaje zfs set zoned off zone data zfs set mountpoint legacy zone data Luego el administrador comparte el conjunto de datos zfs set sharenfs on zone data A continuaci n en la interfaz interactiva zonecfg el administrador agrega expl citamente el conjunto de datos a la zona needtoknow zonecfg z needtoknow zonecfg needtoknow gt add fs zonecfg needtoknow dataset gt set dir data zonecfg needtoknow dataset gt set special zone data zonecfg needtoknow dataset gt set type zfs zonecfg needtoknow dataset gt end zonecfg needtoknow gt exit E E H H H Luego el administrador inicia la zona needtoknow zoneadm z needtoknow boot Finalmente se podr acceder al conjunto de datos Los usuarios de la zona restricted que domina la zona needtoknow pueden ver el conjunto de datos montado Para ello deben cambiar al directorio data Deben usar la ruta completa para acceder al conjunto de datos montado desde la perspectiva de la zona global En este ejemplo machinel es el nombre de host del sistema que incluye la zona con etiquetas El administrador asign este nombre de host a una direcci n IP no compartida Cap tulo 13 Gesti n de zonas en Trusted Extensions 169 C mo permitir que los archivos se vuelvan a etiquetar desde una zona con etiquetas
321. l ticas de Trusted Extensions para sistemas de archivos montados Los conjuntos de datos de un solo nivel tambi n pueden ser creados y montados mediante ZFS por administradores en zonas etiquetadas Montajes LOFS como se mencion en el p rrafo anterior la zona global puede montar mediante LOFS un conjunto de datos de un solo nivel en una zona etiquetada La etiqueta del montaje es ADMIN_LOW por lo tanto todos los archivos montados son de s lo lectura en la zona etiquetada La zona global tambi n puede montar mediante LOFS un conjunto de datos de varios niveles en una zona etiquetada Los archivos montados que tienen la misma etiqueta que la zona se pueden modificar Con los permisos adecuados los archivos se pueden volver a etiquetar Los archivos montados que se encuentran en un nivel inferior al de la etiqueta de la zona se pueden ver Montajes NES las zonas etiquetadas pueden montar conjuntos de datos de un solo nivel en la etiqueta de la zona Estos archivos pueden proceder de otra zona etiquetada o de un sistema que no es de confianza y que tenga asignada la misma etiqueta que la zona etiquetada Una zona global puede montar mediante NFS un conjunto de datos de varios niveles desde otro sistema Trusted Extensions Los archivos montados se pueden ver y modificar pero no se pueden volver a etiquetar Adem s s lo los archivos y directorios en la etiqueta de la zona de montaje devuelven la etiqueta correcta Una zona etiquet
322. l comando man policy conf 4 Atributos de usuario que pueden configurarse en Trusted Extensions Para los usuarios que pueden iniciar sesi n en m s de una etiqueta se recomienda configurar dos archivos auxiliares copy_files y link_files en el directorio principal de la etiqueta m nima de cada usuario Para obtener m s informaci n consulte Archivos copy_files y link files 133 Atributos de seguridad que deben asignarse a los usuarios El administrador de la seguridad puede modificar los atributos de seguridad de los usuarios nuevos Para obtener informaci n acerca de los archivos que contienen los valores predeterminados consulte Atributos de seguridad del usuario predeterminados en Trusted Extensions 130 La siguiente tabla muestra los atributos de seguridad que se pueden asignar a los usuarios y el efecto de cada asignaci n TABLA 10 2 Atributos de seguridad que se asignan despu s la creaci n del usuario Atributo de Ubicaci n de valor Condici n de Efecto de la asignaci n usuario predeterminado la acci n Contrase a Ninguna Requerida El usuario tiene contrase a Roles Ninguna Opcional El usuario puede asumir un rol Autorizaciones Archivo policy conf Opcional El usuario tiene autorizaciones adicionales Perfiles de Archivo policy conf Opcional El usuario tiene perfiles de derechos adicionales derechos Cap tulo 10 Acerca de usuarios derechos y roles en Trusted Extensions 131 Atributos
323. l dispositivo sea asignable pero que no requiera autorizaci n haga clic en All Users Especifique si el dispositivo se puede asignar de manera remota En la secci n For Allocations From Non Trusted Path seleccione una opci n de la lista Allocatable By De manera predeterminada la opci n Same As Trusted Path est activada m Para solicitar autorizaci n del usuario seleccione Allocatable by Authorized Users m Para hacer que los usuarios remotos no puedan asignar el dispositivo seleccione No Users m Para hacer que cualquiera pueda asignar el dispositivo seleccione All Users Si el dispositivo es asignable y su sitio ha creado nuevas autorizaciones para dispositivos seleccione la autorizaci n adecuada El cuadro de di logo siguiente muestra que se requiere la autorizaci n solaris device allocate para asignar el dispositivo cdrom0 Configuraci n y administraci n de Trusted Extensions Julio de 2014 C mo revocar o reclamar un dispositivo en Trusted Extensions Antes de empezar y __ __ AR PT gt Device Properties audio0 Details Name audio0 Type audio Min Label admin_low Max Label admin_high E Clean Program etc security lib audio_clean Device Map dev audio dev audioct dev sound 0 dev sound Octl Allocation Allocation from 8 Trusted Path Non Trusted Path Allocatable by Authorized Users Authorizations solaris device allocat
324. l que en el SO Oracle Solaris solamente los roles que incluyen el perfil de derechos de gesti n de impresoras pueden ejecutar estos comandos m pmove el emisor de llamada debe ser igual a la etiqueta del trabajo de impresi n para mover un trabajo De manera predeterminada los usuarios comunes pueden mover solamente sus propios trabajos de impresi n m padmin en la zona global este comando funciona para todos los trabajos En una zona etiquetada el emisor de llamada debe dominar la etiqueta del trabajo de impresi n para ver un trabajo y debe ser igual para cambiar un trabajo lpsched en la zona global este comando siempre se ejecuta correctamente Al igual que en el SO Oracle Solaris use el comando svcadm para activar desactivar iniciar o reiniciar el servicio de impresi n En una zona etiquetada el emisor de llamada debe ser igual a la etiqueta del servicio de impresi n para cambiar el servicio de impresi n Para obtener Configuraci n y administraci n de Trusted Extensions Julio de 2014 Gesti n de impresi n en Trusted Extensions detalles sobre la utilidad de gesti n de servicios consulte las p ginas del comando man smf 5 svcadm 1M y svcs 1 Gesti n de impresi n en Trusted Extensions Realice procedimientos de Trusted Extensions para configurar la impresi n despu s de terminar la configuraci n de la impresora en Oracle Solaris En estos procedimientos se incluye parte de la configuraci n b sica
325. l rol root puede administrar despu s de la configuraci n inicial En un sistema de escritorio el espacio de trabajo cambia para un espacio de trabajo de rol cuando un usuario asume un rol Los programas que est n disponibles para un rol en Trusted Extensions tienen una propiedad especial el atributo de la ruta de confianza Este atributo indica que el programa es parte de la TCB El atributo de la ruta de confianza est disponible cuando un programa se inicia desde la zona global Como en Oracle Solaris los perfiles de derechos representan la base de las capacidades de un rol Para obtener informaci n sobre roles y perfiles de derechos consulte el Cap tulo 1 Sobre el uso de los derechos para controlar los usuarios y los procesos de Protecci n de los usuarios y los procesos en Oracle Solaris 11 2 Configuraci n y administraci n de Trusted Extensions Julio de 2014 CAP TULO 7 Herramientas de administraci n de Trusted Extensions En este cap tulo se describen las herramientas que est n disponibles en Trusted Extensions la ubicaci n de dichas herramientas y las bases de datos en las que operan Herramientas de administraci n para Trusted Extensions 101 m Secuencia de comandos txzonemgr 102 Device Manager 103 Selection Manager en Trusted Extensions 103 Generador de etiquetas en Trusted Extensions 103 m Herramientas de la l nea de comandos en Trusted Ex
326. l usuario Para obtener m s informaci n sobre la auditor a consulte Gesti n de auditor a en Oracle Solaris 11 2 and Cap tulo 22 Trusted Extensions y la auditor a Archivos copy_files y link files En Trusted Extensions los archivos se copian autom ticamente del directorio de estructura b sica s lo en la zona que contiene la etiqueta m nima de la cuenta A fin de garantizar que las zonas de las etiquetas superiores puedan usar los archivos de inicio el usuario o el administrador deben crear los archivos copy_files y link_ files Los archivos copy_files y link_files de Trusted Extensions ayudan a automatizar los procedimientos para copiar o enlazar los archivos de inicio en cada etiqueta del directorio principal de una cuenta Siempre que un usuario crea un espacio de trabajo en una etiqueta Cap tulo 10 Acerca de usuarios derechos y roles en Trusted Extensions 133 Atributos de seguridad que deben asignarse a los usuarios 134 nueva el comando updatehome lee el contenido de copy_files y link_files en la etiqueta m nima de la cuenta A continuaci n el comando enlaza o copia cada archivo enumerado en el espacio de trabajo con etiquetas superiores El archivo copy_files resulta til cuando un usuario quiere que los archivos de inicio sean diferentes en las etiquetas diferentes Se prefiere copiar por ejemplo cuando los usuarios utilizan alias de correo diferentes en etiquetas diferentes El archivo link
327. l usuario de Trusted Extensions Si el sistema tiene un archivo con el mismo nombre copie el archivo original y as gnele un nombre nuevo Por ejemplo agregue orig al final del archivo original cp etc security policy conf etc security policy conf orig Copie los archivos de los medios asignados a una ubicaci n en el disco y a continuaci n transfi ralos Por ejemplo transfiera el archivo policy conf cp dev rdsk cdrom0 trusted tmp cp tmp policy conf etc security policy conf Desasigne el dispositivo deallocate cdrom0 Para desasignar desde Device Manager consulte C mo desasignar un dispositivo en Trusted Extensions de Gu a del usuario de Trusted Extensions Cap tulo 4 Configuraci n de Trusted Extensions 73 C mo eliminar Trusted Extensions del sistema Antes de empezar Expulse y retire el medio eject cdrom0 C mo eliminar Trusted Extensions del sistema Debe realizar pasos espec ficos para eliminar la funci n Trusted Extensions de un sistema Oracle Solaris Debe estar con el rol de usuario root en la zona global Archive todos los datos en las zonas con etiquetas que desee conservar Para los medios port tiles coloque un adhesivo con la etiqueta de sensibilidad de la zona en cada zona archivada Elimine las zonas con etiquetas del sistema Para obtener m s informaci n consulte C mo eliminar una zona no global de Creaci n y uso de zonas de O
328. l_encodings 97 autorizar a un usuario o rol a cambiar etiquetas 145 copia de seguridad con etiquetas 186 copia desde medios extra bles 73 getmounts 164 impedir el acceso de etiquetas dominantes 166 inicio 138 montaje en bucle de retorno 165 policy conf 124 restauraci n con etiquetas 186 volver a etiquetar privilegios 170 archivos de configuraci n carga 73 copia 72 archivos de inicio procedimientos de personalizaci n 138 archivos de sistema edici n 124 sel config 114 archivos del sistema label encodings 40 tsol_separator ps 278 archivos log protecci n de logs del servidor LDAP 81 archivos y sistemas de archivos montaje 187 nombres 187 uso compartido 187 asignaci n perfiles de derechos 133 privilegios a usuarios 133 uso de Device Manager 283 asignaci n de dispositivos autorizaci n 300 descripci n general 281 para la copia de datos 72 perfiles que incluyen autorizaciones de asignaci n 301 asignaci n de nombres zonas 45 asunci n roles 118 atributo de ruta de confianza si est disponible 100 atributos de seguridad 205 configuraci n de hosts remotos 218 modificaci n de valores predeterminados de usuarios 136 modificaci n de valores predeterminados para todos los usuarios 137 uso en enrutamiento 234 auditor a en Trusted Extensions adiciones a los comandos de auditor a existentes 309 clases de auditor a X 305 diferencias con la auditor a de Oracle Solaris 303 evento
329. la asigna todos los hosts remotos que no est n definidos de ning n otro modo 0 0 0 0 0 como sistemas sin etiquetas con la etiqueta predeterminada de admin_low Atenci n La plantilla admin_low predeterminada puede ser un riesgo de seguridad en una red de Trusted Extensions Si la seguridad del sitio requiere una protecci n elevada el administrador de la seguridad puede eliminar la entrada comod n 0 0 0 0 0 una vez instalado el sistema La entrada se debe reemplazar con entradas para cada host con el que el sistema establece contacto durante el inicio Por ejemplo los servidores DNS los servidores del directorio principal los servidores de auditor a las direcciones de difusi n y multidifusi n y los enrutadores se deben agregar de manera expl cita a una plantilla una vez que se elimina la entrada comod n 0 0 0 0 0 Si una aplicaci n inicialmente reconoce clientes en la direcci n de host 0 0 0 0 32 debe agregar la entrada de host 0 0 0 0 32 a la plantilla admin_low Por ejemplo para recibir las solicitudes de conexi n inicial de los posibles clientes Sun Ray los servidores Sun Ray deben incluir esta entrada A continuaci n cuando el servidor reconoce los clientes se proporciona una direcci n IP a los clientes y se los conecta como clientes etiquetados Debe estar con el rol de administrador de la seguridad en la zona global Todos los hosts con los que se debe establecer contacto durante el inicio deben existir en el arch
330. lantilla de seguridad que define una puerta de enlace que s lo puede transferir paquetes en la etiqueta PUBLIC En este ejemplo el administrador de la seguridad comprueba que se puede resolver la direcci n IP del host de la puerta de enlace arp 192 168 131 75 gateway 1 example com 192 168 131 75 at 0 0 0 1 ab cd El comando arp verifica que el host est definido en el archivo etc hosts del sistema o que DNS puede resolverlo A continuaci n el administrador agrega el host gateway 1 a la plantilla de seguridad tncfg t cipso public tncfg cipso public gt add host 192 168 131 75 tncfg cipso public gt exit El sistema puede enviar y recibir paquetes public a trav s de gateway 1 de inmediato Creaci n de un enrutador sin etiquetas para redirigir paquetes con etiquetas Cualquier enrutador IP puede reenviar mensajes con etiquetas CALIPSO o CIPSO aunque el enrutador no admita etiquetas de manera expl cita Este tipo de enrutador sin etiquetas necesita una etiqueta predeterminada para definir el nivel en el que se deben controlar las conexiones con el enrutador quiz s para la gesti n del enrutador En este ejemplo el administrador de la seguridad crea un enrutador que puede reenviar tr fico en cualquier etiqueta pero toda comunicaci n directa con el enrutador se gestiona en la etiqueta predeterminada PUBLIC En primer lugar el administrador de la seguridad crea la plantilla desde el principio tncfg t unl_public_
331. las nuevas funciones importantes de Trusted Extensions de esta versi n Trusted Extensions se puede instalar y configurar sin reiniciar Para obtener m s informaci n consulte la p gina del comando man labeladm 1M Para conocer el procedimiento consulte Activaci n de Trusted Extensions 36 m Puede instalar un archivo de codificaciones de etiqueta personalizado antes de iniciar Trusted Extensions Para obtener m s informaci n consulte la p gina del comando man labeladm 1M Para ver ejemplos y procedimientos consulte C mo comprobar e instalar el archivo de codificaciones de etiquetas 40 m Trusted Extensions puede utilizar el juego de roles estandarizado de roles de autorizaci n gestionados en RBAC ARMOR del paquete armor Para obtener m s informaci n sobre ARMOR y otras funciones de seguridad nuevas de Oracle Solaris consulte Novedades de los derechos en Oracle Solaris 11 2 de Protecci n de los usuarios y los procesos en Oracle Solaris 11 2 m E comando txzonemgr se ejecuta de forma m s r pida y fiable para asignaciones de interfaz de red Cap tulo 1 Planificaci n de la seguridad para Trusted Extensions 17 Planificaci n de la seguridad en Trusted Extensions Planificaci n de la seguridad en Trusted Extensions 18 En esta secci n se describe la planificaci n que se necesita antes de activar y configurar el software Trusted Extensions Comprensi n de Trusted Extensions 18
332. litudes entre Trusted Extensions y el SO Oracle Solaris El software Trusted Extensions utiliza perfiles de derechos roles auditor a privilegios y otras funciones de seguridad de Oracle Solaris Puede utilizar las funciones shell seguro BART estructura criptogr fica IPsec y filtro IP con Trusted Extensions Todas las funciones del sistema de archivos ZFS est n disponibles en Trusted Extensions incluidas las instant neas el cifrado y el almacenamiento Cap tulo 6 Conceptos de la administraci n de Trusted Extensions 91 Trusted Extensions y el SO Oracle Solaris 92 Diferencias entre Trusted Extensions y el SO Oracle Solaris El software Trusted Extensions ampl a el SO Oracle Solaris La siguiente lista proporciona una descripci n general Consulte tambi n el Ap ndice C Referencia r pida a la administraci n de Trusted Extensions m Trusted Extensions controla el acceso a los datos mediante marcas de seguridad especiales que se denominan etiquetas Las etiquetas proporcionan el control de acceso obligatorio MAC Se brinda la protecci n de MAC adem s de los permisos de archivos UNIX o el control de acceso discrecional DAC Las etiquetas se asignan directamente a los usuarios las zonas los dispositivos las ventanas y los puntos finales de red De manera impl cita las etiquetas se asignan a los procesos los archivos y otros objetos del sistema Los usuarios comunes no pueden invalidar el MAC Trusted Extensions re
333. llocate cdvd local profiles Local Only Allocator gt end profiles Local Only Allocator gt exit Los siguientes comandos asignan los perfiles de derechos a los usuarios autorizados El rol root asigna los perfiles En este sitio nicamente los roles est n autorizados para asignar remotamente dispositivos perif ricos usermod P Local Only Allocator jdoe usermod P Local Only Allocator kdoe rolemod P Remote Allocator secadmin rolemod P Remote Allocator sysadmin C mo agregar autorizaciones espec ficas del sitio a un dispositivo en Trusted Extensions Debe estar con el rol de administrador de la seguridad o con un rol que incluya la autorizaci n Configure Device Attributes Ya debe haber creado las autorizaciones espec ficas del sitio como se describe en C mo crear nuevas autorizaciones para dispositivos 297 Siga el procedimiento descripto en C mo configurar un dispositivo mediante Device Manager en Trusted Extensions 289 a Seleccione un dispositivo que deba protegerse con las autorizaciones nuevas b Haga clic en el bot n Administration c Haga clic en el bot n Authorizations Las autorizaciones nuevas se muestran en la lista Not Required d Agregue las autorizaciones nuevas a la lista de autorizaciones Required Para guardar los cambios haga clic en OK C mo asignar autorizaciones para dispositivos La autorizaci n Allocate Device activa a los usuarios para que asignen un dispos
334. los ejemplos que siguen a C mo crear un perfil de derechos de Protecci n de los usuarios y los procesos en Oracle Solaris 11 2 Para restringir los privilegios de todos los usuarios en un sistema consulte el Ejemplo 11 2 Modificaci n del conjunto de privilegios b sico de cada usuario C mo impedir el bloqueo de cuentas de los usuarios Realice este procedimiento para todos los usuarios que pueden asumir un rol Debe estar con el rol de administrador de la seguridad en la zona global 144 Configuraci n y administraci n de Trusted Extensions Julio de 2014 C mo activar a un usuario para que cambie el nivel de seguridad de los datos A Antes de empezar ejemplo 11 5 Desactive el bloqueo de cuentas para un usuario local usermod K lock_after_retries no jdoe Para desactivar el bloqueo de cuentas para un usuario LDAP especifique el repositorio LDAP usermod S ldap K lock_after_retries no jdoe C mo activar a un usuario para que cambie el nivel de seguridad de los datos Se puede autorizar a un usuario com n o a un rol a cambiar el nivel de seguridad o las etiquetas de los archivos y los directorios o del texto seleccionado El usuario o el rol adem s de tener la autorizaci n deben estar configurados para trabajar en m s de una etiqueta Las zonas con etiquetas deben estar configuradas de modo que se permita volver a etiquetar Para conocer el procedimiento consulte C mo permitir que los
335. los valores que se proporcionan de forma predeterminada Presione la tecla de tabulaci n para completar los valores y las propiedades parciales Escriba exit para completar la plantilla tncfg t newunlabeled tncfg newunlabeled gt info name newunlabeled host_type unlabeled doi 1 def label ADMIN_LOW min_label ADMIN_LOW max_label ADMIN_HIGH tncfg newunlabeled gt set mTab set max_label set min_label Auto complete shows two possible completions tncfg newunlabeled gt set maTab User types the letter a tncfg newunlabeled gt set max_label ADMIN_LOW tncfg newunlabeled gt commit tncfg newunlabeled gt exit Tambi n puede proporcionar la lista completa de atributos para una plantilla de seguridad en la l nea de comandos Se utiliza un punto y coma para separar los subcomandos set Un atributo omitido recibe el valor predeterminado Para obtener informaci n sobre los atributos de seguridad de la red consulte Atributos de seguridad de red en Trusted Extensions 198 tncfg t newunlabeled set host_type unlabeled set doi 1 set min_label ADMIN_LOW set max_label ADMIN_LOW m Copie y modifique una plantilla de seguridad existente tncfg t cipso tncfg cipso gt set name newcipso tncfg newcipso gt info Cap tulo 16 Gesti n de redes en Trusted Extensions 219 C mo crear plantillas de seguridad name newcipso host_type cipso doi 1 min_label ADMIN_LOW max_label ADMIN_HIGH Los hosts asignados a la plan
336. mbres 45 gesti n 157 global 157 para aislar servicios con etiquetas 68 permitir inicio de sesi n en 62 primaria 161 privilegio net_mac_aware 189 procesos de zona global y 160 secuencia de comandos txzonemgr 44 secundaria 161 supresi n 74 visualizaci n de estado 163 Configuraci n y administraci n de Trusted Extensions Julio de 2014 ndice visualizaci n de etiquetas de sistemas de archivos 165 zonas con etiquetas Ver zonas 365 366 Configuraci n y administraci n de Trusted Extensions Julio de 2014
337. mgr El administrador hace doble clic en la zona PUBLIC y a continuaci n hace doble clic en Configure Multilevel Ports Luego el administrador selecciona y hace doble clic en la l nea Private interfaces La selecci n cambia a un campo de entrada similar al siguiente Private interfaces 111 tcp 111 udp El administrador comienza la entrada del proxy web con un punto y coma como separador Private interfaces 111 tcp 111 udp 8080 tcp Despu s de completar la entrada privada el administrador escribe el proxy web en el campo Shared interfaces Shared interfaces 111 tcp 111 udp 8080 tcp Un mensaje emergente indica que los puertos de varios niveles de la zona public estar n activos la pr xima vez que se inicie la zona Configuraci n de un puerto de varios niveles privado para NFSv3 mediante udp En este ejemplo el administrador activa los montajes de lectura en sentido descendente de NFSv3 mediante udp El administrador tiene la posibilidad de utilizar el comando tncfg tncfg z global add mlp_private 2049 udp La interfaz gr fica de usuario txzonemgr proporciona otra manera de definir el puerto de varios niveles 236 Configuraci n y administraci n de Trusted Extensions Julio de 2014 Configuraci n de IPsec con etiquetas En Labeled Zone Manager el administrador hace doble clic en la zona global y a continuaci n hace doble clic en Configure Multilevel Ports En el men MLP el administrador selecciona y hace dobl
338. ministraci n desde un sistema sin etiquetas si la administraci n mediante un sistema Trusted Extensions no es pr ctica la pol tica de protocolo de red se puede flexibilizar especificando la opci n allow_unlabeled para el m dulo pam_tsol_account en la pila PAM Configuraci n y administraci n de Trusted Extensions Julio de 2014 Configuraci n y administraci n de sistemas remotos en Trusted Extensions Si esta pol tica se hace menos estricta la plantilla de seguridad predeterminada se debe cambiar para que los sistemas arbitrarios no puedan acceder a la zona global La plantilla admin_low debe usarse con moderaci n y la direcci n comod n 0 0 0 0 no se debe establecer de manera predetermina en la etiqueta ADMIN_LOW Para obtener detalles consulte C mo limitar los hosts que se pueden contactar en la red de confianza 229 En cualquier escenario administrativo si desea utilizar el rol de usuario root para el inicio de sesi n remoto debe hacer m s flexible la pol tica PAM mediante la especificaci n de la opci n allow_remote para el m dulo pam_roles Por lo general los administradores utilizan el comando ssh para administrar sistemas remotos desde la l nea de comandos Con la opci n X se pueden usar las interfaces gr ficas de usuario administrativas de Trusted Extensions Adem s puede configurar el sistema Trusted Extensions remoto con el servidor Xvnc Luego se puede usar una conexi n de inform tica en red vi
339. ministrador Resoluci n de problemas adicionales antes de activar Trusted Extensions Antes de configurar Trusted Extensions debe proteger f sicamente los sistemas decidir qu etiquetas conectar a las zonas y resolver otras cuestiones de seguridad Para conocer los pasos consulte Resoluci n de problemas de seguridad antes de instalar Trusted Extensions 33 Realizaci n de copia de seguridad del sistema antes de activar Trusted Extensions Si el sistema tiene archivos que se deben guardar realice una copia de seguridad antes de activar el servicio Trusted Extensions La forma m s segura de realizar una copia de seguridad de los archivos es realizar un volcado de nivel 0 Si no tiene un procedimiento de copia de seguridad en el lugar consulte la gu a del administrador de su sistema operativo actual para obtener instrucciones Resultados de la activaci n de Trusted Extensions desde la perspectiva de un administrador Una vez que se haya activado el software Trusted Extensions y que se haya reiniciado el sistema de manera opcional las siguientes funciones de seguridad estar n en su lugar Muchas de las funciones pueden ser configuradas por el administrador de la seguridad Se instala y configura un archivo label_encodings Se agregan tres bases de datos de red de Trusted Extensions tnrhdb tnrhtp y tnzonecfg El comando tncfg permite a los administradores ver y modificar estas bases de datos de confianza Los di
340. ministrador de la seguridad asigna un perfil al usuario con las autorizaciones espec ficas del sitio Personalizaci n de autorizaciones para dispositivos en Trusted Extensions 296 Configurar un dispositivo Se seleccionan funciones de seguridad para proteger el dispositivo C mo configurar un dispositivo mediante Device Manager en Trusted Extensions 289 Revocar o reclamar un dispositivo Se utiliza Device Manager para hacer que un dispositivo est disponible para su uso C mo revocar o reclamar un dispositivo en Trusted Extensions 293 Se utilizan los comandos de Oracle Solaris para hacer que un dispositivo est disponible o no para su uso C mo asignar de manera forzada un dispositivo de Protecci n de sistemas y dispositivos conectados en Oracle Solaris 112 C mo desasignar de manera forzada un dispositivo de Protecci n de sistemas y dispositivos conectados en Oracle Solaris 11 2 Impedir el acceso a un dispositivo Se proporciona control de acceso espec fico a un asignable dispositivo Ejemplo 21 2 Creaci n de autorizaciones para dispositivos espec ficas 288 Configuraci n y administraci n de Trusted Extensions Julio de 2014 C mo configurar un dispositivo mediante Device Manager en Trusted Extensions Tarea Descripci n Para obtener instrucciones Se rechaza el acceso de cualquier usuario a un dispositivo asignable P
341. motos que no reconocen las etiquetas se les asigna una sola etiqueta de sensibilidad al igual que a cualquier otro host que el administrador de la seguridad desee restringir a una sola etiqueta Un rango de etiquetas limita las etiquetas en las que se pueden asignar dispositivos y restringe las etiquetas en las que se puede almacenar o procesar informaci n al utilizar el dispositivo Una red de hosts de Trusted Extensions que se conecta f sicamente a otras redes y que utiliza el software Trusted Extensions para comunicarse con hosts que no tienen Trusted Extensions Comp rese con red cerrada 346 Configuraci n y administraci n de Trusted Extensions Julio de 2014 servicio de nombres red cerrada relaciones de etiquetas rol rol administrativo rol de confianza ruta de confianza secuencia de comandos txzonemgr separaci n de tareas servicio de nombres Una red de sistemas en los que est configurado Trusted Extensions La red est cortada para cualquier host que no pertenezca a Trusted Extensions El corte puede ser f sico en cuyo caso no se extiende ning n cable fuera de la red de Trusted Extensions El corte puede estar en el software en cuyo caso los hosts de Trusted Extensions s lo reconocen los hosts de Trusted Extensions La entrada de datos desde el exterior de la red est restringida a los perif ricos conectados a los hosts de Trusted Extensions Comp rese con red abierta En un sistema Oracl
342. n Trusted Extensions Trusted Extensions establece valores predeterminados de seguridad que brindan mayor protecci n que el SO Oracle Solaris Dispositivos Impresi n Roles De manera predeterminada la asignaci n de dispositivos est activada De manera predeterminada la asignaci n de dispositivos requiere autorizaci n Por lo tanto de manera predeterminada los usuarios comunes no pueden utilizar los medios extra bles El administrador puede eliminar el requisito de autorizaci n Sin embargo la asignaci n de dispositivos suele requerirse en sitios que instalan Trusted Extensions Los usuarios comunes pueden imprimir nicamente en las impresoras que incluyen la etiqueta del usuario en el rango de etiquetas de la impresora De manera predeterminada el resultado de la impresi n tiene las p ginas de la car tula y del ubicador Estas p ginas y las p ginas del cuerpo incluyen la etiqueta del trabajo de impresi n Los roles est n disponibles en el SO Oracle Solaris pero su uso es opcional En Trusted Extensions los roles son necesarios para la correcta administraci n Opciones limitadas en Trusted Extensions Trusted Extensions reduce el rango de opciones de configuraci n de Oracle Solaris Servicio de nombres Se admite el servicio de nombres de LDAP Todas las zonas deben administrarse desde un solo servicio de nombres Ap ndice C Referencia r pida a la administraci n de Trusted Extensions 329
343. n de directorios principales centralizados en Trusted Extensions Antes de empezar 1 En Trusted Extensions los usuarios necesitan tener acceso a sus directorios principales en cada etiqueta en la que trabajan De manera predeterminada los directorios principales se crean autom ticamente mediante el montador autom tico que se ejecuta en cada zona Sin embargo si utiliza un servidor NFS para centralizar los directorios principales debe activar el acceso a directorios principales en cada etiqueta para los usuarios C mo crear el servidor de directorio principal en Trusted Extensions Debe estar con el rol de usuario root en la zona global Agregue el software Trusted Extensions al servidor de directorio principal y configure sus zonas con etiquetas Debido a que los usuarios necesitan un directorio principal en cada etiqueta en las que pueden iniciar sesi n cree un servidor de directorio principal en cada etiqueta de usuario Por ejemplo si crea una configuraci n predeterminada debe crear un servidor de directorio principal para la etiqueta PUBLIC y un servidor para la etiqueta INTERNAL Para cada zona con etiquetas siga el procedimiento de montaje autom tico detallado en C mo montar archivos en NES en una zona con etiquetas 189 A continuaci n regrese a este procedimiento Verifique que se hayan creado los directorios principales a Cierre la sesi n del servidor de directorio principal b Como usuario com n inicie
344. n de seguridad de IPv6 de etiquetas de arquitectura com n CALIPSO Si debe interactuar con sistemas en una red CIPSO IPv6 consulte C mo configurar una red CIPSO IPv6 en Trusted Extensions 42 Por lo general en una red de confianza el host de env o genera la etiqueta y el host de recepci n la procesa Sin embargo un enrutador de confianza tambi n puede agregar o filtrar etiquetas cuando reenv a paquetes en una red de confianza Antes de la transmisi n se asigna una etiqueta de sensibilidad a una etiqueta CALIPSO o CIPSO Esta etiqueta se incrusta en el paquete IP que luego es un paquete etiquetado paquete En general el remitente y el receptor de un paquete operan en la misma etiqueta El software de las redes de confianza garantiza que la pol tica de seguridad de Trusted Extensions se aplique incluso cuando los sujetos procesos y los objetos datos est n en hosts diferentes Las redes de Trusted Extensions mantienen el MAC en todas las aplicaciones distribuidas Paquetes de datos de Trusted Extensions Los paquetes de datos de Trusted Extensions incluyen una opci n de etiqueta Los paquetes de datos CIPSO se env an mediante redes IPv4 Los paquetes CALIPSO se env an mediante redes IPv6 En el formato IPv4 est ndar el encabezado IPv4 con opciones va seguido de un encabezado TCP UDP o SCTP y a continuaci n los datos reales La versi n de Trusted Extensions de un paquete IPv4 utiliza la opci n CIPSO del encabezad
345. n derecho del mouse para agregar applets al panel visible m Mueva el segundo panel de escritorio oculto a la parte inferior de la pantalla mediante el siguiente paso 2 Delo contrario cree un panel de escritorio inferior para su inicio de sesi n solamente o para todos los usuarios del sistema m Si desea mover los paneles solamente para el inicio de sesi n edite el archivo top_panel_screenn en el directorio de inicio a Cambie al directorio que contiene el archivo que define la ubicaci n de los paneles cd HOME gconf apps panel toplevels ls gconf xml bottom panel_screen0 top panel_screen0 cd top_panel_screen0 ls e e 66 Configuraci n y administraci n de Trusted Extensions Julio de 2014 Tareas adicionales de configuraci n de Trusted Extensions sgconf xml top _panel_screen0 b Edite el archivo sgconf xml que define la ubicaci n de los paneles superiores vi gconf xml c Busque todas las l neas de orientaci n y reemplace la cadena top con bottom Por ejemplo la l nea de orientaci n podr a ser similar a la siguiente toplevels orientation type string gt lt stringvalue gt bottom lt stringvalue gt Si desea mover los paneles para todos los usuarios del sistema modifique la configuraci n del escritorio En una ventana de terminal con el rol de usuario root ejecute los siguientes comandos export SETUPPANEL etc gconf schemas panel default setup entries export T
346. n el bot n Min Label y seleccione una etiqueta m nima del generador de etiquetas Para obtener informaci n sobre el generador de etiquetas consulte Generador de etiquetas en Trusted Extensions 103 li Establezca la etiqueta m xima Haga clic en el bot n Max Label y seleccione una etiqueta m xima del generador de etiquetas Impedir la asignaci n remota del dispositivo de audio La opci n No Users de la secci n Allocatable By impide que los usuarios remotos escuchen las conversaciones en un sistema remoto El administrador de la seguridad configura el dispositivo de audio en Device Manager de la siguiente manera Device Name audio For Allocations From Trusted Path Allocatable By Authorized Users Authorizations solaris device allocate Device Name audio For Allocations From Non Trusted Pathh Allocatable By No Users C mo agregar una secuencia de comandos device_clean en Trusted Extensions Si no se especifica ninguna secuencia de comandos device_clean cuando se crea un dispositivo se usa la secuencia de comandos predeterminada bin true Cap tulo 21 Gesti n de dispositivos para Trusted Extensions 295 Personalizaci n de autorizaciones para dispositivos en Trusted Extensions Antes de empezar Debe tener lista una secuencia de comandos que purgue todos los datos utilizables del dispositivo f sico y que devuelva 0 para que el proceso se realice correctamente Para los dispositivos con medios
347. n etiquetas a la que desea agregar una instancia de IP Haga doble clic en Configure Network Interfaces Aparece una lista de opciones de configuraci n Seleccione Add an IP instance Si el sistema tiene m s de una direcci n IP seleccione la entrada con la interfaz deseada Para esta zona con etiquetas proporcione una direcci n IP y un recuento de prefijos Por ejemplo escriba 192 168 1 2 24 Si no anexa el recuento de prefijos se le solicitar una m scara de red La m scara de red equivalente para este ejemplo es 255 255 255 0 Haga clic en OK Para agregar un enrutador predeterminado haga doble clic en la entrada que acaba de agregar Cuando se solicite escriba la direcci n IP del enrutador y haga clic en OK Nota Para eliminar o modificar el enrutador predeterminado elimine la entrada y a continuaci n cree la instancia de IP de nuevo Haga clic en Cancel para volver a la lista de comandos de zonas Para configurar la red externa del sistema vaya a C mo conectar un sistema Trusted Extensions con otros sistemas Trusted Extensions 53 C mo agregar una interfaz de red virtual a una zona con etiquetas Este procedimiento resulta necesario si utiliza una pila de IP exclusiva y direcciones por zona y planea conectar las zonas con etiquetas a zonas con etiquetas de otros sistemas de la red En este procedimiento se crea una VNIC y se la asigna a una zona con etiquetas Debe estar con el rol de usuario root
348. n y montaje de archivos en Trusted Extensions 181 Servidor NFS y configuraci n de cliente en Trusted Extensions Servidor NFS y configuraci n de cliente en Trusted Extensions 182 Los directorios de nivel inferior pueden ser visibles para los usuarios en una zona de nivel superior El servidor NFS para los directorios de nivel inferior puede ser un sistema Trusted Extensions o un sistema que no es de confianza El sistema de confianza requiere la configuraci n del servidor El sistema que no es de confianza requiere la configuraci n del cliente Configuraci n del servidor NFS en un sistema de confianza para que los directorios de nivel inferior de un sistema de confianza sean visibles en una zona con etiquetas es necesario configurar el servidor Fn la zona global del servidor NFS debe configurar el servicio NFS como un servicio de varios niveles m Desde la zona global debe agregar el privilegio net_bindmlp al conjungo de privilegios limitpriv de la zona con etiquetas Fn la zona etiquetada exporte el sistema de archivos ZFS definiendo las propiedades del recurso compartido Cuando el estado de la zona etiquetada es running el sistema de archivos se comparte en la etiqueta de la zona Para conocer el procedimiento consulte C mo compartir sistemas de archivos de una zona con etiquetas 187 Configuraci n de cliente NFS para un servidor NFS que no es de confianza dado que el servidor no es de confianza el client
349. nada usr sbin txzonemgr c Este comando copia el SO Oracle Solaris y el software Trusted Extensions en una zona crea una instant nea de la zona etiqueta la zona original y luego utiliza la instant nea para crear una segunda zona con etiquetas Se inician las zonas Ja primera zona con etiquetas se basa en el valor de Default User Sensitivity Label del archivo label_encodings Ia segunda zona con etiquetas se basa en el valor de Default User Clearance del archivo label _encodings Este paso puede tardar cerca de 20 minutos Para instalar las zonas la secuencia de comandos utiliza la contrase a de usuario root de la zona global para la las zonas con etiquetas Para acceder a una zona con etiquetas de Trusted Extensions desde un espacio de trabajo vaya a C mo asignar etiquetas a dos espacios de trabajo con zonas 48 C mo crear zonas con etiquetas de forma interactiva No es necesario que cree una zona para cada etiqueta del archivo label_encodings pero puede hacerlo Las interfaces gr ficas de usuario administrativas enumeran las etiquetas para las que se pueden crear zonas en este sistema En este procedimiento se crean dos zonas con etiquetas Si se utiliza el archivo label_encodings de Trusted Extensions se crea la configuraci n predeterminada de Trusted Extensions Ha completado los pasos descritos en Inicio de sesi n en Trusted Extensions 37 Ha asumido el rol de usuario root No ha creado a n ninguna zona
350. nados proporcionados Para una configuraci n predeterminada realice las siguientes tareas en orden Tarea Para obtener instrucciones Cargar los paquetes de Trusted Extensions Agregaci n de paquetes de Trusted Extensions a un sistema Oracle Solaris 36 Activar Trusted Extensions y reiniciar Activaci n de Trusted Extensions 36 Conectarse Inicio de sesi n en Trusted Extensions 37 Crear dos zonas con etiquetas C mo crear un sistema Trusted Extensions predeterminado 44 O bien C mo crear zonas con etiquetas de forma interactiva 45 Crear espacios de trabajo con etiquetas para las zonas C mo asignar etiquetas a dos espacios de trabajo con zonas 48 Mapa de tareas configuraci n de Trusted Extensions para cumplir los requisitos del sitio Sugerencia Para un proceso de configuraci n seguro cree roles en una fase temprana del proceso El orden de tareas se muestra en el siguiente mapa de tareas Las tareas descritas en Creaci n de zonas con etiquetas 43 son obligatorias 30 Configuraci n y administraci n de Trusted Extensions Julio de 2014 Mapa de tareas configuraci n de Trusted Extensions para cumplir los requisitos del sitio a En funci n de los requisitos del sitio realice otras tareas de configuraci n Tarea Para obtener instrucciones Configurar la zona global Configuraci n de la zona global en Trusted Extensions 39 Configurar las zo
351. name E v ipp global zone IP address printers printer name in global zone Opcional Establezca la impresora como predeterminada lpadmin d zone printer name En cada zona con etiquetas pruebe la impresora Como usuario root y como usuario com n realice los siguientes pasos a Imprima archivos de texto y PostScript desde la l nea de comandos lp etc motd PostScriptTest ps lp HOME filel txt HOME PublicTest ps Imprima archivos desde las aplicaciones como el correo Oracle OpenOffice Adobe Reader y su explorador Verifique que las etiquetas de las p ginas de car tula las p ginas de ubicador y las p ginas del cuerpo se impriman correctamente Impedir la salida con etiquetas Reducci n de las restricciones de impresi n en Trusted Extensions 276 Usar esta zona como servidor de impresi n C mo activar un cliente de Trusted Extensions para que acceda a un impresora 273 C mo configurar una impresora de red Cuando una impresora se comparte cualquier host de Trusted Extensions que pueda acceder al servidor de impresi n puede utilizar la impresora compartida Cap tulo 19 Gesti n de impresi n con etiquetas 271 C mo configurar una zona como un servidor de impresi n de un solo nivel Antes de empezar V ase tambi n Antes de empezar Debe estar con el rol de administrador del sistema en la zona global de este servidor de impresi n Defina las caracter sticas de la impresora
352. nas con etiquetas Creaci n de zonas con etiquetas 43 Configurar redes para la comunicaci n con otros sistemas Configuraci n de las interfaces de red en Trusted Extensions 49 Configurar el servicio de nombres LDAP Cap tulo 5 Configuraci n de LDAP para Trusted Extensions Nota Omita esta tarea si no se utiliza LDAP Completar la configuraci n del sistema Administraci n de Trusted Extensions 89 Cap tulo 2 Gu a b sica de configuraci n de Trusted Extensions 31 32 Configuraci n y administraci n de Trusted Extensions Julio de 2014 CAP TULO 3 Agregaci n de la funci n Trusted Extensions a Oracle Solaris En este cap tulo se describe c mo preparar y activar el servicio Trusted Extensions en un sistema Oracle Solaris En este cap tulo se tratan los siguientes temas m Responsabilidades del equipo de configuraci n inicial 33 Resoluci n de problemas de seguridad antes de instalar Trusted Extensions 33 a Instalaci n y activaci n de Trusted Extensions 35 Responsabilidades del equipo de configuraci n inicial La funci n Trusted Extensions est dise ada para ser configurada por dos personas con distintas responsabilidades Esta divisi n de tareas puede aplicarse mediante roles Como los roles administrativos y los usuarios adicionales se crean despu s de la instalaci n se recomienda contar con un equipo de configuraci n inicial de al menos dos
353. nciales impresos en ubicaciones inseguras Los usuarios dejan las puertas de acceso sin traba Los usuarios pierden sus llaves Los usuarios no bloquean los medios de almacenamiento extra bles Las pantallas de los equipos se pueden ver a trav s de ventanas exteriores Los cables de red tienen derivaciones Una intercepci n electr nica captura las se ales emitidas por el equipo inform tico m Interrupciones sobrevoltaje y picos de energ a el ctrica destruyen los datos Terremotos inundaciones tornados huracanes y rel mpagos destruyen los datos m La interferencia de la radiaci n electromagn tica externa como una mancha solar desordena los archivos Referencias de seguridad adicionales En las publicaciones del gobierno se describen detalladamente las normas las pol ticas los m todos y la terminolog a relacionados con la seguridad inform tica Otras publicaciones de seguridad son tiles para entender cabalmente los problemas y las soluciones de seguridad de UNIX Ap ndice A Pol tica de seguridad del sitio 319 Referencias de seguridad adicionales 320 La Web tambi n proporciona recursos En particular el sitio web de CERT http www cert org alerta a las empresas y los usuarios sobre brechas de seguridad en el software El sitio de SANS Institute http www sans org ofrece formaci n un amplio glosario de t rminos y una lista actualizada de las principales amenazas de Internet P
354. ncipal cuando se cumplen las dos condiciones siguientes 1 El mapa encuentra la coincidencia con la especificaci n de montaje en bucle de retorno 2 El nombre del directorio principal coincide con un usuario v lido cuyo directorio principal todav a no existe en nombre_zona Para obtener detalles sobre los cambios en el montador autom tico consulte la p gina del comando man automount 1M Trusted Extensions y versiones del protocolo NFS El software Trusted Extensions reconoce las etiquetas en NES versi n 3 NFSv3 y NFSv4 Puede utilizar una de las siguientes opciones de conjuntos de montaje vers 4 proto tcp vers 3 proto tcp vers 3 proto udp Trusted Extensions no tiene restricciones para los montajes realizados en protocolo tcp En NFSv3 y NFSv4 el protocolo tcp puede usarse para los montajes de una misma etiqueta y los montajes de lectura en sentido descendente En NFSv3 Trusted Extensions se comporta igual que Oracle Solaris El protocolo udp es el que est predeterminado para NFSv3 pero udp se usa solamente para la operaci n de montaje inicial Para las operaciones de NFS subsiguientes el sistema utiliza tcp Por lo tanto los montajes de lectura en sentido descendente funcionan para NFSv3 con la configuraci n predeterminada Si eventualmente llegara a restringir los montajes NFSv3 para que usen el protocolo udp en las operaciones NFS iniciales y posteriores debe crear un MLP para las operaciones NFS que usan 184
355. ndicar qui n puede leer escribir o ejecutar un archivo o directorio Se asignan tres conjuntos de permisos a cada archivo o directorio uno para el propietario uno para el grupo del propietario y uno para todos los dem s El componente jer rquico de una acreditaci n o una etiqueta Una clasificaci n indica un nivel jer rquico de seguridad por ejemplo TOP SECRET o UNCLASSIFIED Un sistema conectado a una red Un componente no jer rquico de una etiqueta que se utiliza con el componente de clasificaci n para formar una acreditaci n o una etiqueta Un compartimiento representa una recopilaci n 342 Configuraci n y administraci n de Trusted Extensions Julio de 2014 dispositivo configuraci n de etiqueta configuraci n evaluada conjunto de etiquetas conjunto de etiquetas de seguridad control de acceso discrecional control de acceso obligatorio DAC direcci n IP dispositivo de informaci n como la que utilizar a un departamento de ingenier a o un equipo de proyecto multidisciplinario Una opci n de instalaci n de Trusted Extensions de etiquetas de sensibilidad de una sola etiqueta o de varias etiquetas En la mayor a de los casos la configuraci n de etiquetas es id ntica en todos los sistemas del sitio Uno o varios hosts de Trusted Extensions que se est n ejecutando en una configuraci n cuyo cumplimiento con los criterios espec ficos haya sido certificado por una autoridad de cert
356. ndido sin bloquear la pantalla o cerrar sesi n m Recuerde que los administradores no dependen del correo electr nico para enviar instrucciones a los usuarios Nunca siga las instrucciones enviadas mediante correo electr nico por un administrador sin antes confirmar con el administrador Tenga en cuenta que la informaci n del remitente en el correo electr nico puede falsificarse m Dado que es responsable de los permisos de acceso a los archivos y directorios que crea aseg rese de que los permisos de los archivos y directorios se hayan definido correctamente No permita que los usuarios no autorizados lean o modifiquen un archivo enumeren los contenidos de un directorio o aumenten un directorio Es posible que su sitio proporcione sugerencias adicionales Directrices de uso de correo electr nico Utilizar el correo electr nico para dar instrucciones a los usuarios de que realicen alguna acci n resulta una pr ctica insegura Advierta a los usuarios que no conf en en los correos electr nicos que contienen instrucciones que provienen presuntamente de un administrador De este modo se evita la posibilidad de que se env en mensajes de correo electr nico falsos con el objeto de enga ar a los usuarios para que cambien la contrase a a un valor determinado o para que la divulguen lo que posteriormente podr a ser utilizado para iniciar sesi n y poner en riesgo el sistema Aplicaci n de la contrase a El rol de administrador del
357. ndo man ipadm 1M Si la interfaz no est activa act vela a En interfaz gr fica de usuario Labeled Zone Manager haga doble clic en la zona cuya interfaz est inactiva Seleccione Configure Network Interfaces Haga doble clic en la interfaz cuyo estado es Down Seleccione Bring Up y luego OK Haga clic en Cancel o en OK Cap tulo 16 Gesti n de redes en Trusted Extensions 243 C mo depurar la red de Trusted Extensions vy Antes de empezar C mo depurar la red de Trusted Extensions Para depurar dos hosts que deben comunicarse pero no lo hacen puede utilizar las herramientas de depuraci n de Trusted Extensions y Oracle Solaris Por ejemplo los comandos de depuraci n de redes de Oracle Solaris como snoop y netstat se encuentran disponibles Para obtener detalles consulte las p ginas del comando man snoop 1M and netstat 1M Para los comandos que son espec ficos de Trusted Extensions consulte el Ap ndice D Lista de las p ginas del comando man de Trusted Extensions m Para obtener informaci n sobre los problemas para contactarse con zonas con etiquetas consulte Gesti n de zonas 162 m Para obtener informaci n sobre la depuraci n de los montajes de NFS consulte C mo resolver problemas por fallos de montaje en Trusted Extensions 190 Debe estar en la zona global en un rol que pueda verificar los valores de atributos de la red El rol de administrador de la seguridad y el rol de administra
358. nes m Para un servidor NFS de Trusted Solaris 1 use las opciones vers 2 y proto udp para el comando mount m Para un servidor NFS de Trusted Solaris 2 5 1 use las opciones vers 2 y proto udp para el comando mount m Para un servidor NFS de Trusted Solaris 8 utilice las opciones vers 3 y proto udp del comando mount Para montar sistemas de archivos de cualquiera de estos servidores el servidor debe estar asignado a una plantilla sin etiquetas Cap tulo 14 Gesti n y montaje de archivos en Trusted Extensions 191 192 Configuraci n y administraci n de Trusted Extensions Julio de 2014 CAP TULO 15 Redes de confianza En este cap tulo se describen los conceptos y los mecanismos de las redes de confianza de Trusted Extensions m Acerca de la red de confianza 193 m Atributos de seguridad de red en Trusted Extensions 198 m Mecanismo de reserva de la red de confianza 202 m Acerca del enrutamiento en Trusted Extensions 203 Administraci n del enrutamiento en Trusted Extensions 207 Administraci n de IPsec con etiquetas 210 Acerca de la red de confianza Trusted Extensions asigna atributos de seguridad a las zonas los hosts y las redes Estos atributos garantizan que las siguientes funciones de seguridad se apliquen en la red Los datos tienen las etiquetas correctas en las comunicaciones de red m Las reglas de control de acceso obligatorio MAC se aplican c
359. nfigura el sistema Trusted Extensions para la administraci n remota no podr acceder a l desde un sistema remoto Si tiene un archivo de codificaciones de etiquetas personalizado inst lelo ahora labeladm encodings path to encodings file Reinicie el sistema Debe ejecutar este comando si ha utilizado la opci n r usr sbin reboot Contin e con Inicio de sesi n en Trusted Extensions 37 Inicio de sesi n en Trusted Extensions Al iniciar sesi n accede a la zona global que es un entorno que reconoce y aplica el control de acceso obligatorio MAC En la mayor a de los sitios dos o m s administradores conforman el equipo de configuraci n inicial y est n presentes durante la configuraci n del sistema Ha completado los pasos descritos en Activaci n de Trusted Extensions 36 Cap tulo 3 Agregaci n de la funci n Trusted Extensions a Oracle Solaris 37 Inicio de sesi n en Trusted Extensions Pasos siguientes Inicie sesi n con la cuenta de usuario que cre durante la instalaci n de Oracle Solaris En el cuadro de di logo de inicio de sesi n escriba nombre_usuario y luego la contrase a Nota Los usuarios no deben revelar sus contrase as a otra persona ya que esa persona podr a acceder a los datos del usuario sin que se la pueda identificar claramente ni responsabilizar Tenga en cuenta que la divulgaci n puede ser directa si el usuario revela su contrase a deliberadamente a otra per
360. nfiguraci n regional para Jap n pkg install system trusted locale ja Activaci n de Trusted Extensions Debe estar con el rol de usuario root en la zona global En una ventana de terminal active el servicio labeld Nota Utilice el comando labeladm para controlar el servicio labeld No manipule los servicios labeld directamente Para obtener m s informaci n consulte la p gina del comando man labeladm 1M labeladm enable r El comando labeladm proporciona varias opciones al activar el servicio Configuraci n y administraci n de Trusted Extensions Julio de 2014 Inicio de sesi n en Trusted Extensions Pasos siguientes v Antes de empezar i Impide que aparezca un mensaje de confirmaci n m Env a mensajes de error a syslog y la consola n Prueba el comando sin activar el servicio r Retrasa la activaci n del servicio hasta despu s de reiniciar el sistema Este es el mismo comportamiento que en versiones anteriores Compruebe que el servicio est activado labeladm info Labeling status pending enable on boot Latest log var user root trusted extensions install log Label encodings file etc security tsol label_encodings Atenci n Si desea activar y configurar Trusted Extensions de manera remota lea atentamente el Cap tulo 12 Administraci n remota en Trusted Extensions No reinicie el sistema hasta que haya configurado el sistema para permitir la administraci n remota Si no co
361. nform tica general Brunette Glenn M Toward Systemically Secure IT Architectures Hacia arquitecturas de TI seguras desde el punto de vista sistem tico Especificaciones t cnicas de Oracle archivadas junio de 2006 Kaufman Charlie Radia Perlman y Mike Speciner Network Security Private Communication in a Public World 2nd Edition Seguridad de la red Comunicaci n privada en un mundo p blico 2 edici n Prentice Hall 2002 Pfleeger Charles P y Shari Lawrence Pfleeger Seguridad en el rea inform tica Prentice Hall PTR 2006 Privacy for Pragmatists A Privacy Practitioner s Guide to Sustainable Compliance Privacidad para pragm ticos Una gu a pr ctica sobre la privacidad para la conformidad sostenible Sun Microsystems Inc agosto de 2005 Rhodes Ousley Mark Roberta Bragg y Keith Strassberg Network Security The Complete Reference Seguridad de la red La referencia completa McGraw Hill Osborne 2004 McClure Stuart Joel Scambray George Kurtz Hackers expuestos 7 Secretos y soluciones de la seguridad de redes s ptima edici n McGraw Hill 2012 Stoll Cliff El huevo del cuco Doubleday 1989 Ap ndice A Pol tica de seguridad del sitio 321 322 Configuraci n y administraci n de Trusted Extensions Julio de 2014 e e AP NDICE B Lista de comprobaci n de configuraci n de Trusted Extensions Esta lista de comprobaci n ofrece una descripci n general de las principales tareas de config
362. nistrador de la seguridad puede establecer un rango de etiquetas restringido en el b fer de trama Configuraci n y administraci n de Trusted Extensions Julio de 2014 Interfaz gr fica de usuario Device Manager Por ejemplo se puede especificar un rango de etiquetas restringido a fin de limitar el acceso a un sistema de acceso p blico El rango de etiquetas permite a los usuarios acceder al sistema solamente en una etiqueta que est dentro del rango de etiquetas del b fer de trama Cuando un host tiene una impresora local un rango de etiquetas restringido en la impresora limita los trabajos que se pueden imprimir con esa impresora Pol ticas de acceso a dispositivos Trusted Extensions sigue las mismas pol ticas de dispositivos que Oracle Solaris El administrador de la seguridad puede cambiar las pol ticas predeterminadas y definir pol ticas nuevas El comando getdevpolicy recupera la informaci n sobre la pol tica de dispositivos y el comando update_drv cambia la pol tica de dispositivos Para obtener m s informaci n consulte Configuraci n de pol tica de dispositivos de Protecci n de sistemas y dispositivos conectados en Oracle Solaris 11 2 Consulte tambi n las p ginas del comando man getdevpolicy 1M y update _drv 1M Secuencias de comandos device clean La secuencia de comandos device clean se ejecuta cuando se asigna o desasigna un dispositivo Oracle Solaris proporciona secuencias de comandos para
363. nistrador de la seguridad no ejecuta los comandos para la zona PUBLIC Cap tulo 13 Gesti n de zonas en Trusted Extensions 167 C mo compartir un conjunto de datos ZFS desde una zona con etiquetas v Antes de empezar C mo compartir un conjunto de datos ZFS desde una zona con etiquetas En este procedimiento monta un conjunto de datos ZFS con permisos de lectura y escritura en una zona con etiquetas Ya que todos los comandos se ejecutan en la zona global el administrador de la zona global controla la agregaci n de conjuntos de datos ZFS a las zonas con etiquetas Como m nimo la zona con etiquetas debe estar en el estado ready para compartir un conjunto de datos La zona puede estar en el estado running Para configurar la zona con el conjunto de datos primero debe detener la zona Debe estar con el rol de usuario root en la zona global Cree el conjunto de datos ZFS zfs create datasetdir subdir El nombre del conjunto de datos puede incluir un directorio como zone data En la zona global detenga la zona con etiquetas zoneadm z labeled zone name halt Defina el punto de montaje del conjunto de datos zfs set mountpoint legacy datasetdir subdir La configuraci n de la propiedad ZFS mountpoint establece la etiqueta del punto de montaje cuando el punto de montaje corresponde a una zona con etiquetas Active el uso compartido del conjunto de datos zfs set sharenfs on datasetdir subdir Agregue el con
364. nnnnco 328 Valores predeterminados de seguridad que brindan mayor protecci n en Trusted EXTeNSIONS ii A E Aa EEA 329 Opciones limitadas en Trusted Extensions oocoocccoconoconocnnncnnnonnnnnononaronoronanononono 329 D Lista de las p ginas del comando man de Trusted Extensions 331 P ginas del comando man de Trusted Extensions en orden alfab tico o 331 P ginas del comando man de Oracle Solaris modificadas por Trusted Extensions 337 ClOS AO ci E A S 341 o A EAR EE E A EE SAE E 349 Configuraci n y administraci n de Trusted Extensions Julio de 2014 Lista de figuras FIGURA 1 1 FIGURA 6 1 FIGURA 15 1 FIGURA 19 1 FIGURA 19 2 FIGURA 19 3 FIGURA 19 4 FIGURA 20 1 FIGURA 22 1 Administraci n de un sistema Trusted Extensions divisi n de tareas por NR ON 27 Escritorio de varios niveles de Trusted Extensions occcooccconccccnoccnnonnnnns 94 Rutas y entradas de la tabla de enrutamiento t picas de Trusted Extensions dia dades ran den inn dond Anand nen E EE EET 209 P gina de car tula t pica de un trabajo de impresi n con etiquetas 263 Diferencias en una p gina de ubicador ooccocccoccnnccnnconnconncnnncnnnnnnnos 264 Etiqueta del trabajo impresa en la parte superior y en la parte inferior de una p gina del cuerpo ocoooccooncocnnncnnccnnonnnccnnccnnconnconncnnnrnnrnnnrnncnnnnnnns 265 Etiqueta del trabajo impresa en modo vertical cuando la
365. nombre de usuario ni el ID de usuario Reglas para cambiar el nivel de seguridad de los datos 112 De manera predeterminada los usuarios comunes pueden emplear las operaciones de cortar y pegar copiar y pegar y arrastrar y soltar en los archivos y en las selecciones El origen y el destino deben estar en la misma etiqueta Para cambiar la etiqueta de los archivos o la etiqueta de la informaci n dentro de los archivos se requiere autorizaci n Cuando los usuarios est n autorizados a cambiar el nivel de seguridad de los datos la aplicaci n Selection Manager media en la transferencia Configuraci n y administraci n de Trusted Extensions Julio de 2014 Reglas para cambiar el nivel de seguridad de los datos m F archivo usr share gnome sel_config controla las acciones para volver a etiquetar archivos y para cortar o copiar informaci n y pegarla en una etiqueta diferente Para obtener m s informaci n consulte Archivo sel_config 114 y la p gina del comando man sel_config 4 Laaplicaci n usr bin tsoljdsselmgr controla las operaciones de arrastrar y soltar entre ventanas Como se muestra en las siguientes tablas hay m s restricciones para volver a etiquetar una selecci n que un archivo La siguiente tabla muestra un resumen de las reglas para volver a etiquetar archivos Las reglas incluyen las operaciones de cortar y pegar copiar y pegar y arrastrar y soltar TABLA 8 1 Condiciones para mover archivos
366. ns Secuencia de comandos txzonemgr Permite crear la interfaz gr fica de usuario Labeled Zone Manager para la creaci n y configuraci n de zonas con etiquetas incluidas las redes Las opciones de la l nea de comandos permiten la creaci n autom tica de zonas con nombre de usuario Se utiliza para administrar los rangos de etiquetas de los dispositivos y para asignar y desasignar dispositivos Es otra herramienta de usuario Aparece cuando un programa le solicita que seleccione una etiqueta Es una herramienta para los usuarios que est n autorizados a cambiar el nivel de seguridad de los datos Aparece cuando un programa le solicita que cambie el nivel de seguridad de los datos Se utilizan para realizar tareas administrativas codificaciones de etiquetas 40 y la p gina del comando man labeladm 1M Consulte Creaci n de zonas con etiquetas 43 y la p gina del comando man txzonemgr 1M txzonemgr es una secuencia de comandos zenity 1 Consulte Device Manager 103 and Control de dispositivos en Trusted Extensions 287 Para ver un ejemplo consulte C mo modificar el rango de etiquetas de un usuario 142 Para autorizar usuarios consulte C mo activar a un usuario para que cambie el nivel de seguridad de los datos 145 Para ver una ilustraci n consulte C mo mover datos entre ventanas de etiquetas diferentes de Gu a del usuario de Trusted Extensions Para conocer
367. nsions Trusted Extensions y el control de acceso El software Trusted Extensions protege la informaci n y otros recursos mediante el control de acceso discrecional DAC y el control de acceso obligatorio MAC El DAC corresponde a las listas de control de acceso y los bits de permiso tradicionales de UNIX que est n configurados seg n el criterio del propietario El MAC es un mecanismo que el sistema pone en funcionamiento autom ticamente El MAC controla todas las transacciones mediante la comprobaci n de las etiquetas de los procesos y los datos de la transacci n La etiqueta del usuario representa el nivel de sensibilidad en que el usuario tiene permitido operar y que a la vez elige para operar Las etiquetas t picas son Secret y Public La etiqueta determina la informaci n a la que puede acceder el usuario Tanto MAC como DAC se pueden sustituir mediante permisos especiales que proporciona Oracle Solaris privilegios y autorizaciones Los privilegios son permisos especiales que se pueden otorgar a los procesos Las autorizaciones son permisos especiales que puede otorgar el administrador a los usuarios y los roles Como administrador debe brindar a los usuarios formaci n sobre los procedimientos adecuados para proteger los archivos y los directorios en funci n de la pol tica de seguridad del sitio Adem s debe indicar a los usuarios que est n autorizados a subir o bajar el nivel de las etiquetas cu l es el momento adecuado
368. nsions en un sistema de escritorio 117 m Realizaci n de tareas comunes en Trusted Extensions 119 Introducci n para administradores de Trusted Extensions en un sistema de escritorio Familiar cese con los siguientes procedimientos antes de administrar Trusted Extensions TABLA 9 1 Tarea Descripci n Inicio de sesi n y uso del escritorio de Trusted Extensions Para obtener instrucciones Iniciar sesi n en un sistema Trusted Extensions Permite iniciar sesi n de manera segura Inicio de sesi n en Trusted Extensions de Gu a del usuario de Trusted Extensions Realizar tareas de usuario comunes en un escritorio Estas tareas incluyen Configurar los espacios de trabajo Usar espacios de trabajo en diferentes etiquetas m Usar las p ginas del comando man de Trusted Extensions Trabajo en un sistema con etiquetas de Gu a del usuario de Trusted Extensions Realizar tareas que requieren la ruta de confianza Asumir un rol Estas tareas incluyen Asignar un dispositivo Cambiar la contrase a Cambiar la etiqueta de un espacio de trabajo Permite acceder a la zona global con un rol Todas las tareas administrativas se realizan en la zona global Realizaci n de acciones de confianza de Gu a del usuario de Trusted Extensions C mo entrar en la zona global en Trusted Extensions 118 Seleccionar un espacio de trabajo de usuario
369. ntar y en consecuencia ver los directorios principales de nivel inferior Modificar los nombres y los contenidos de los mapas auto_home para justificar los nombres y la visibilidad de la zona de etiquetas superiores Para obtener m s informaci n consulte Cambios en el montador autom tico en Trusted Extensions 183 Agrega opciones para admitir la desasignaci n de un dispositivo en una zona la limpieza del dispositivo en un entorno de ventanas y la especificaci n del tipo de dispositivo que debe desasignarse En Trusted Extensions los usuarios comunes no utilizan este comando Para conocer los procedimientos de usuario consulte C mo asignar un dispositivo en Trusted Extensions de Gu a del usuario de Trusted Extensions Se invoca en Trusted Extensions de manera predeterminada Ap ndice D Lista de las p ginas del comando man de Trusted Extensions 337 P ginas del comando man de Oracle Solaris modificadas por Trusted Extensions 338 getpflags 2 Reconoce los indicadores de proceso NET_MAC_AWARE y NET_MAC_AWARE INHERIT getsockopt 3SOCKEDbtiene el estado del control de acceso obligatorio SO_MAC_EXEMPT del socket getsockopt 3XNET Obtiene el estado del control de acceso obligatorio SO_MAC_EXEMPT del socket ikeadm 1M Agrega un indicador de depuraci n 0x0400 para los procesos IKE con etiquetas ike config 4 Agrega el par metro global label_aware y tres palabras clave de transformaci
370. nte el inicio por ejemplo servidores y puertas de enlace Ja desventaja de la entrada 0 0 0 0 0 es que cualquier host de la red de este sistema puede establecer contacto con el sistema Para limitar los hosts que pueden establecer contacto con este sistema consulte C mo limitar los hosts que se pueden contactar en la red de confianza 229 tncfg t adapt info name adapt host_type adapt doi 1 min_label ADMIN_LOW max_label ADMIN_HIGH host 0 0 0 0 0 Una plantilla adapt identifica un host adaptive es decir un sistema que no es de confianza que no puede tener una etiqueta predeterminada En cambio su etiqueta es asignada por el sistema de confianza receptor La etiqueta se deriva de la etiqueta predeterminada de la interfaz IP que recibe el paquete como se especifica en la plantilla netif del sistema etiquetado tncfg t netif info name netif host_type netif doi 1 def _label ADMIN_LOW min_label ADMIN_LOW max_label ADMIN_HIGH host 127 0 0 1 32 Una plantilla netif especifica una interfaz de red local de confianza no un host remoto La etiqueta predeterminada de una plantilla netif debe ser igual a la etiqueta de cada zona con una interfaz de red dedicada cuya direcci n IP coincide con una direcci n de host en esa plantilla Adem s el enlace inferior correspondiente a la interfaz de zona coincidente solamente se puede asignar a otras zonas que comparten la misma etiqueta C mo agregar hosts a la red conocida del sistema
371. nto de datos Dado que la propiedad multilevel es on la propiedad mlslabel define el l mite superior no la etiqueta para un conjunto de datos de una sola etiqueta zfs create o mountpoint multiIUVO0 o multilevel on Y o mlslabel CNF INTERNAL rpool multilU0 A continuaci n el administrador inicia sesi n en cada zona etiquetada para crear un directorio en esa etiqueta en el conjunto de datos montado zlogin public mkdir multiIluo chmod 777 multilUVO zlogin internal mkdir multilu0 chmod 777 multilUVO HE E O Los conjuntos de datos de varios niveles son visibles en la etiqueta de la zona de montaje para los usuarios autorizados despu s de que se reinicia la zona Para permitir que los usuarios vuelvan a etiquetar los archivos consulte C mo permitir que los archivos se vuelvan a etiquetar desde una zona con etiquetas 170 Para obtener instrucciones sobre el reetiquetado de archivos consulte C mo actualizar los datos de un conjunto de datos con varios niveles de Gu a del usuario de Trusted Extensions and C mo disminuir de nivel los datos de un conjunto de datos con varios niveles de Gu a del usuario de Trusted Extensions Cap tulo 4 Configuraci n de Trusted Extensions 71 C mo copiar archivos en medios port tiles en Trusted Extensions Antes de empezar 72 vy 1 ejemplo 4 8 C mo copiar archivos en medios port tiles en Trusted Extensions Cuando copie a medios p
372. o IP para los atributos de seguridad Encabezado IPv4 con opci n CIPSO TCP UDP o SCTP Datos En el formato IPv6 est ndar un encabezado IPv6 con opciones es seguido de un encabezado TCP UDP o SCTP y a continuaci n de los datos reales La versi n de Trusted Extensions de un paquete IPv6 utiliza la opci n CALIPSO del encabezado IP para los atributos de seguridad Encabezado IPv6 con opci n CALIPSO TCP UDP o SCTP Datos Configuraci n y administraci n de Trusted Extensions Julio de 2014 Acerca de la red de confianza Paquetes de multidifusi n Trusted Extensions Trusted Extensions puede agregar etiquetas a paquetes de multidifusi n dentro de una LAN Esta funci n le permite enviar paquetes de multidifusi n etiquetados a sistemas CIPSO o CALIPSO que operan en la misma etiqueta o dentro del rango de etiquetas de paquetes de multidifusi n En una LAN heterog nea es decir una LAN con hosts etiquetados y sin etiquetar la multidifusi n no puede verificar la pertenencia de un grupo de multidifusi n Atenci n No env e paquetes de multidifusi n etiquetados mediante una LAN heterog nea Es posible que se filtre informaci n de etiquetas Comunicaciones de la red de confianza Trusted Extensions admite hosts con etiquetas y sin etiquetas en una red de confianza La interfaz gr fica de usuario txzonemgr y el comando tncfg se utilizan para configurar la red Los sistemas que ejecutan el software Trusted Extensions
373. o TEMPEST El aislamiento TEMPEST puede ser adecuado para las paredes el suelo y el techo de la instalaci n Permita que s lo t cnicos certificados abran y cierren el equipo TEMPEST para garantizar su capacidad para aislar la radiaci n electromagn tica Controle la existencia de huecos f sicos que permitan la entrada a las instalaciones o a las salas que contienen equipo inform tico Busque aberturas debajo de pisos elevados en techos falsos en el equipo de ventilaci n del techo y en paredes linderas entre las adiciones originales y secundarias Proh ba comer beber y fumar en las instalaciones inform ticas o cerca del equipo inform tico Establezca las reas donde estas actividades se pueden realizar sin poner en peligro el equipo inform tico Proteja los dibujos y diagramas arquitect nicos de la instalaci n inform tica Restrinja el uso de diagramas del edificio mapas de piso y fotograf as de la instalaci n inform tica Recomendaciones de seguridad del personal 318 Considere la siguiente lista de directrices cuando desarrolle una pol tica de seguridad para el sitio Inspeccione los paquetes los documentos y los medios de almacenamiento cuando lleguen al sitio protegido y antes de que lo abandonen Exija que todo el personal y los visitantes utilicen credenciales de identificaci n en todo momento Utilice credenciales de identificaci n que sean dif ciles de copiar o falsificar Establezca qu reas est n p
374. o Trusted Extensions el dominio de interpretaci n se utiliza para distinguir los distintos archivos label_encodings que pueden tener definidas etiquetas similares El DOI es un conjunto de reglas que convierte los atributos de seguridad de los paquetes de red en la representaci n de esos atributos de seguridad seg n el archivo local label_encodings Cuando los sistemas tienen el mismo DOI comparten el mismo conjunto de reglas y pueden traducir los paquetes de red con etiquetas Un equipo de al menos dos personas que juntas supervisan la activaci n y configuraci n del software Trusted Extensions Un miembro del equipo es el responsable de las decisiones relacionada con la seguridad y el otro es el responsable de las decisiones relacionadas con la administraci n del sistema En un sistema Oracle Solaris en el que est configurado Trusted Extensions los usuarios pueden ejecutar un escritorio en una etiqueta determinada Si el usuario est autorizado para trabajar en m s de una etiqueta el usuario puede crear un espacio de trabajo independiente para trabajar en cada etiqueta En este escritorio de varios niveles los usuarios autorizados pueden cortar y pegar entre las ventanas en diferentes etiquetas recibir correo en diferentes etiquetas y ver y utilizar ventanas con etiquetas en los espacios de trabajo de una etiqueta diferente Un identificador de seguridad que se asigna a un objeto La etiqueta se basa en el nivel en el que la informac
375. o compartir directorios que se originan en zonas con etiquetas defina las propiedades de uso compartido de ZFS adecuadas en el sistema de archivos A continuaci n reinicie la zona para compartir los directorios con etiquetas Atenci n No utilice nombres propietarios para los sistemas de archivos compartidos Los nombres de los sistemas de archivos compartidos son visibles para todos los usuarios Debe tener asignado el perfil de derechos de gesti n de sistemas de archivos ZFS Cree un espacio de trabajo en la etiqueta del sistema de archivos que desea compartir Para obtener detalles consulte C mo agregar un espacio de trabajo en una etiqueta m nima de Gu a del usuario de Trusted Extensions En la zona cree el sistema de archivos zfs create rpool wdocsl Comparta el sistema de archivos mediante la definici n de las propiedades de recursos compartidos ZFS Por ejemplo el siguiente conjunto de comandos comparte un sistema de archivos de documentaci n para escritores El sistema de archivos se comparte en modo de lectura y escritura para que los escritores puedan modificar sus documentos en este servidor Los programas setuid no est n permitidos zfs set share name wdocs1 path wdocs1 prot nfs setuid off exec off devices off rpool wdocsl zfs set sharenfs on rpool wdocsl1 La l nea de comandos se ajust con fines de visualizaci n Inicie cada zona para compartir los directorios En la zona global
376. o cuando cambian las condiciones Por ejemplo varios sitios tienen una sola puerta de enlace que comunica con el mundo exterior En estos casos se puede definir estad sticamente dicha puerta de enlace como predeterminada para cada host de la red Puertas de enlace en Trusted Extensions A continuaci n se muestra un ejemplo de enrutamiento en Trusted Extensions El diagrama y la tabla muestran tres rutas posibles entre el host 1 y el host 2 Configuraci n y administraci n de Trusted Extensions Julio de 2014 Administraci n del enrutamiento en Trusted Extensions FIGURA 15 1 Rutas y entradas de la tabla de enrutamiento t picas de Trusted Extensions Ruta N 1 f Puerta de Puerta de enlace 1 enlace 2 Puerta de Puerta de enlace 3 enlace 4 Puerta de Puerta de enlace 5 s enlace6 Ruta Puerta de enlace del primer Etiqueta m nima Etiqueta m xima DOI salto 1 Puerta de enlace 1 CONFIDENTIAL SECRET 1 2 Puerta de enlace 3 ADMIN_LOW ADMIN_HIGH 1 3 Puerta de enlace 5 arutan 1 puede transmitir paquetes dentro del rango de etiquetas de CONFIDENTIAL a SECRET arutan 2 puede transmitir paquetes de ADMIN_LOW a ADMIN_HIGH Larutan 3 no especifica informaci n del enrutamiento Por lo tanto sus atributos de seguridad se derivan de la plantilla de seguridad de la puerta de enlace 5 Comandos de enrutamiento en Trusted Extensions Para mostrar etiquetas y atributos de seguridad ampliados
377. o de puerto es 389 Agregue un puerto de varios niveles para el protocolo UDP en la zona global Configuraci n y administraci n de Trusted Extensions Julio de 2014 Rellenado de Oracle Directory Server Enterprise Edition Antes de empezar El n mero de puerto es 389 Rellenado de Oracle Directory Server Enterprise Edition Se han creado o modificado varias bases de datos LDAP para contener los datos de Trusted Extensions sobre la configuraci n de etiquetas los usuarios y los sistemas remotos Mediante este procedimiento se rellenan las bases de datos del servidor LDAP con la informaci n de Trusted Extensions Debe estar con el rol de usuario root en la zona global Se encuentra en un cliente LDAP en el que est activada la actualizaci n de shadow Para conocer los requisitos previos consulte Creaci n de un cliente LDAP para el servidor LDAP 80 Cree un rea temporal para los archivos que piensa utilizar para rellenar las bases de datos del servicio de nombres mkdir p setup files Copie los archivos etc de ejemplo en el rea temporal cd etc cp aliases group networks netmasks protocols setup files cp rpc services auto_master setup files cd etc security tsol cp tnrhdb tnrhtp setup files Atenci n No copie los archivos attr En su lugar utilice la opci n S ldap para los comandos que agregan usuarios roles y perfiles de derechos en el repositorio LDAP Estos comandos agregan entradas
378. o none el cual indica que no hay ninguna etiqueta Al montar un conjunto de datos ZFS en una zona con etiquetas se produce lo siguiente Si el conjunto de datos no tiene etiquetas es decir la propiedad mlslabel no est definida el valor de la propiedad mlslabel se modifica a la etiqueta de la zona de montaje Para la zona global la propiedad mlslabel no se define autom ticamente Si etiqueta expl citamente el conjunto de datos admin_low el conjunto de datos debe estar montado como de s lo lectura Siel conjunto de datos tiene etiquetas el n cleo verifica que la etiqueta del conjunto de datos coincida con la etiqueta de la zona de montaje Si las etiquetas no coinciden el montaje falla a menos que la zona permita montajes de lectura en sentido descendente Si la zona permite montajes de lectura en sentido descendente un sistema de archivos de nivel inferior se monta como de s lo lectura Para definir la propiedad mlslabel desde la l nea de comandos utilice una sintaxis similar a la siguiente zfs set mlslabel public export publicintfo El privilegio file_upgrade_s1l se necesita para establecer un etiqueta inicial o cambiar una etiqueta no predeterminada a una etiqueta de nivel superior El privilegio file_downgrade_sl se necesita para eliminar una etiqueta es decir para establecer la etiqueta en none Este privilegio tambi n es necesario para cambiar una etiqueta no predeterminada a una etiqueta de nivel inferior
379. o para las aplicaciones 313 UID real de root necesario para las aplicaciones 313 una sola etiqueta impresi n en una zona 272 inicio de sesi n 98 unidades de CD ROM acceso 282 uso compartido con Vino 154 conjunto de datos ZFS de zona con etiquetas 168 direcciones IP 49 uso de dispositivos en Trusted Extensions mapa de tareas 287 usuarios acceso a dispositivos 281 282 acceso a las impresoras 259 agregaci n de usuario local con useradd 60 archivo TrustedExtensionsPolicy 109 archivos de inicio 138 asignaci n de autorizaciones a 132 363 ndice asignaci n de contrase as 132 asignaci n de derechos 133 asignaci n de etiquetas 133 asignaci n de roles a 132 autorizaciones para 143 cambio de privilegios predeterminados 133 configuraci n de directorios de estructura b sica 138 creaci n 128 creaci n de usuarios iniciales 58 cuadro de di logo Selection Manager 109 eliminaci n de algunos privilegios 144 etiquetas de procesos 98 formaci n sobre seguridad 109 112 285 impedir bloqueo de cuentas 144 impedir que se vean los procesos de los dem s 138 impresi n 259 inicio de sesi n en modo a prueba de fallos 141 modificaci n de valores predeterminados de seguridad 136 modificaci n de valores predeterminados de seguridad para todos los usuarios 137 opci n de men Change Password 109 opci n de men Change Workspace Label 109 personalizaci n del entorno 135 plan
380. o se puede montar en ZFS en una zona si actualmente est montado en ZFS en otra zona incluida la zona global Dado que las etiquetas de los archivos en un conjunto de datos con etiquetas de un solo nivel son fijas al volver a etiquetar un archivo con el comando setlabel el archivo se mueve al nombre de ruta equivalente en la zona principal que corresponde a la etiqueta de destino Este movimiento en las zonas puede ser ineficaz y confuso Los conjuntos de datos de varios niveles ofrecen un contenedor eficaz para volver a etiquetar los datos Para conjuntos de datos de varios niveles montados en la zona global el valor predeterminado de la propiedad mlslabel es ADMIN_HIGH Este valor especifica el l mite superior del rango de etiquetas del conjunto de datos Si especifica una etiqueta inferior solamente podr escribir en el conjunto de datos de zonas cuyas etiquetas est n dominadas por la propiedad mlslabel Los usuarios o roles con el perfil de derechos de gesti n de etiquetas de objetos tienen los privilegios adecuados para actualizar o degradar archivos o directorios a los que tienen acceso DAC Para conocer el procedimiento consulte C mo activar a un usuario para que cambie el nivel de seguridad de los datos 145 Para el proceso de usuario se aplican restricciones de pol ticas adicionales De manera predeterminada ning n proceso en una zona con etiquetas puede volver a etiquetar archivos o directorios Para permitir el reetique
381. ociaci n de seguridad SA De manera predeterminada IPsec no usa extensiones de etiquetas y por lo tanto ignora las etiquetas Todo el tr fico entre dos sistemas se transporta a trav s de una asociaci n de seguridad nica independientemente de la etiqueta de Trusted Extensions Las extensiones de etiquetas permiten realizar las siguientes tareas Configurar una asociaci n de seguridad IPsec diferente para usar con cada etiqueta de Trusted Extensions Esta configuraci n proporciona un mecanismo adicional para transmitir la etiqueta del tr fico entre dos sistemas de varios niveles Especificar una etiqueta en la transferencia para el texto del mensaje cifrado de IPsec que sea diferente del formato sin cifrar del texto Esta configuraci n admite la transmisi n de datos confidenciales cifrados a trav s de una red menos segura Suprima el uso de las opciones IP de CALIPSO o CIPSO en los paquetes IP Esta configuraci n permite que el tr fico etiquetado atraviese las redes que reconocen las etiquetas o que son hostiles respecto de las etiquetas Puede especificar si desea usar extensiones de etiquetas autom ticamente mediante IKE como se describe en Extensiones de etiquetas para IKE 212 o manualmente por medio del comando ipseckey Para obtener detalles sobre las funciones de las extensiones de etiquetas consulte la p gina del comando man ipseckey 1M Al utilizar extensiones de etiquetas la selecci n de la asociac
382. ol Cap tulo 22 Trusted Extensions y la auditor a 305 Referencia de auditor a de Trusted Extensions 306 m xs esta clase audita las rutinas que no devuelven mensajes de error X a los clientes en caso de errores causados por los atributos de seguridad Por ejemplo GetImage no devuelve un error de BadWindow si no puede leer desde una ventana por falta de privilegios Estos eventos se deben seleccionar para auditarlos nicamente cuando sean correctos Si los eventos xs se seleccionan cuando son incorrectos la pista de auditor a se llena de registros irrelevantes m xx esta clase incluye todas las clases de auditor a X Eventos de auditor a de Trusted Extensions El software Trusted Extensions agrega eventos de auditor a al sistema Los eventos de auditor a nuevos y las clases de auditor a a las que los eventos pertenecen se enumeran en el archivo etc security audit_event Los n meros del evento de auditor a de Trusted Extensions se encuentran entre 9 000 y 10 000 Para obtener m s informaci n sobre los eventos de auditor a consulte la p gina del comando man audit_event 4 Tokens de auditor a de Trusted Extensions En la siguiente tabla se enumeran en orden alfab tico los tokens de auditor a que el software Trusted Extensions agrega a Oracle Solaris Las definiciones de tokens se muestran en la p gina del comando man audit log 4 TABLA 22 1 Tokens de auditor a de Trusted Extensions Nombre
383. ol tica de seguridad oooccocncocncccnncnnnccnnccnncnnncnnnooo 315 Pol tica de seguridad del sitio y Trusted Extensions ooccoooccconoccnnccnnnnccnnnncnnnonnns 316 Recomendaciones de seguridad inform tica oocooocnooncnonnnonnornnonnnonnnononoconocnnoono 316 Recomendaciones de seguridad f sica cooncoccnocnnnccnnccnnconoconncnnnrnnarnnonnnnnnannnns 317 Recomendaciones de seguridad del personal ocoooccoocnocncocnnocnnonnnononocnnccnnoons 318 Infracciones de seguridad COMUNES ooccocccoconnconnconnconncnnocnnornnonnnrnnnrnnorononnnocnncons 319 Referencias de seguridad adicionales ooooooconoconoconorononnnncnonnnonnnononoconocnnono 319 Publicaciones del gobierno de los Estados Unidos ooocccoocconnccnonoccnnornnnns 320 Publicaciones de UNIX pecuniis en ai aa 320 Publicaciones sobre seguridad inform tica general oooccoonccnncccnnnccnnnocnnncrns 321 6 Configuraci n y administraci n de Trusted Extensions Julio de 2014 Contenido B Lista de comprobaci n de configuraci n de Trusted Extensions 323 Lista de comprobaci n para la configuraci n de Trusted Extensions ooocccooccnn 323 C Referencia r pida a la administraci n de Trusted Extensions 327 Interfaces administrativas en Trusted Extensions oocccoocccnnccnnnoccnnccnnnnccnnnncnnnocnns 327 Interfaces de Oracle Solaris ampliadas por Trusted Extensions ccooccconoccnnon
384. ole Este rol est definido de la misma manera en ambos sistemas TXnohead4 su remoterole Password XXXXXXXX En el mismo terminal el administrador con el rol remoterole inicia la interfaz gr fica de usuario txzonemgr TXnohead4 4 usr sbin txzonemgr amp Labeled Zone Manager se ejecuta en el sistema remoto y se visualiza en el sistema local Inicio de sesi n en una zona con etiquetas remota El administrador desea cambiar un archivo de configuraci n de un sistema remoto en la etiqueta PUBLIC El administrador tiene dos opciones m Puede iniciar sesi n de manera remota en la zona global mostrar el espacio de trabajo de la zona global y a continuaci n cambiar el espacio de trabajo a la etiqueta PUBLIC abrir una ventana de terminal y editar el archivo m Puede iniciar sesi n de manera remota en la zona PUBLIC mediante el comando ssh desde una ventana de terminal PUBLIC y a continuaci n editar el archivo Tenga en cuenta que si el sistema remoto ejecuta un daemon de servicio de nombres nscd para todas las zonas y utiliza el servicio de nombres de archivos la contrase a de la zona PUBLIC remota es la contrase a que estaba vigente cuando se inici la zona por ltima vez Si se modific la contrase a de la zona PUBLIC pero no se inici la zona despu s del cambio la contrase a original permite el acceso Si la opci n X no funciona es posible que deba instalar un paquete El reenv o de X11 se desactiva cu
385. omo en el SO Oracle Solaris se asigna una direcci n IP a cada zona incluida la zona global Las zonas comparten la pila de IP En el caso m s simple todas las zonas comparten la misma interfaz f sica Un refinamiento de esta configuraci n consiste en asignar una tarjeta de informaci n de red NIC por separado a cada zona Una configuraci n de ese tipo se utiliza para separar f sicamente las redes de una sola etiqueta que est n asociadas a cada NIC Un refinamiento adicional consiste en usar una o m s interfaces all zones adem s de un instancia de IP por zona Esta configuraci n permite utilizar interfaces internas como vni0 para acceder a la zona global lo que protege a la zona global contra ataques remotos Por ejemplo un servicio con privilegios que enlaza un puerto de varios niveles en una instancia de vnio en la zona global s lo se puede contactar internamente mediante las zonas que utilizan la pila compartida Pila de IP exclusiva como en Oracle Solaris se asigna una direcci n IP a cada zona incluida la zona global Se crea una tarjeta de interfaz de red virtual VNIC para cada zona con etiquetas Un refinamiento de esta configuraci n consiste en crear cada VNIC mediante una interfaz red independiente Una configuraci n de ese tipo se utiliza para separar f sicamente las redes de una sola etiqueta que est n asociadas a cada NIC Las zonas que est n configuradas con una pila de IP exclusiva no pueden utilizar la in
386. on etiquetas activo En la configuraci n predeterminada se etiquetan dos espacios de trabajo como PUBLIC y INTERNAL USE ONLY Este procedimiento funciona s lo en un sistema de escritorio C mo asignar etiquetas a dos espacios de trabajo con zonas 48 3 Opcional Establecer un enlace con otros sistemas de la red Se configuran las interfaces de red de las zona con etiquetas y se conecta la zona global y las zonas con etiquetas con otros sistemas Configuraci n de las interfaces de red en Trusted Extensions 49 Y C mo crear un sistema Trusted Extensions predeterminado Este procedimiento crea un sistema Trusted Extensions activo con dos zonas con etiquetas Los hosts remotos no se asignaron a las plantillas de seguridad del sistema de modo que este sistema no se puede comunicar con ning n host remoto Antes de empezar Est en la zona global en un sistema que no tiene un escritorio o ha iniciado sesi n en el escritorio al completar Inicio de sesi n en Trusted Extensions 37 Ha asumido el rol de usuario root 1 Abra una ventana de terminal En un escritorio puede utilizar el cuarto espacio de trabajo 2 Opcional Revise la p gina del comando man txzonemgr man txzonemgr 44 Configuraci n y administraci n de Trusted Extensions Julio de 2014 C mo crear zonas con etiquetas de forma interactiva Pasos siguientes Antes de empezar Cree una configuraci n predetermi
387. on etiquetas en cada espacio de trabajo etiquetado Cuando finalice esta tarea tendr un sistema Trusted Extensions activo sin conexi n en red Ha completado los pasos descritos en C mo crear un sistema Trusted Extensions predeterminado 44 o en C mo crear zonas con etiquetas de forma interactiva 45 Es el usuario inicial Cree un espacio de trabajo PUBLIC La etiqueta del espacio de trabajo PUBLIC se corresponde con el valor de Default User Sensitivity Label a Cambie al segundo espacio de trabajo b Haga clic con el bot n derecho y seleccione Change Workspace Label c Seleccione PUBLIC y haga clic en OK Indique su contrase a cuando se solicite Est en un espacio de trabajo PUBLIC Abra una ventana de terminal La ventana tiene la etiqueta PUBLIC Cree un espacio de trabajo INTERNAL USE ONLY Si se utiliza un archivo label_encodings espec fico del sitio se crea un espacio de trabajo a partir del valor de Default User Clearance a Cambie al tercer espacio de trabajo b Haga clic con el bot n derecho y seleccione Change Workspace Label c Seleccione INTERNAL USE ONLY y haga clic en OK Indique su contrase a cuando se solicite Est en un espacio de trabajo INTERNAL Abra una ventana de terminal La ventana tiene la etiqueta CONFIDENTIAL INTERNAL USE ONLY 48 Configuraci n y administraci n de Trusted Extensions Julio de 2014 C mo crear zonas con etiquetas mediante el comando zonecfg El s
388. ona global Tenga en cuenta que los puertos 23 y 8080 no pueden ser puertos de varios niveles en la zona global porque dicha zona comparte la misma direcci n con la zona public tninfo m global private 111 tcp 111 udp 514 tcp 515 tcp 631 tcp 2049 tcp 6000 6003 tcp 38672 tcp 60770 tcp shared 6000 6003 tcp Configuraci n de IPsec con etiquetas El siguiente mapa de tareas describe las tareas que se utilizan para agregar etiquetas a las protecciones IPsec Cap tulo 16 Gesti n de redes en Trusted Extensions 237 C mo aplicar las protecciones IPsec en una red de Trusted Extensions de varios niveles TABLA 16 1 Mapa de tareas de configuraci n de IPsec con etiquetas Tarea Descripci n Para obtener instrucciones Utilizar IPsec con Trusted Extensions Se agregan etiquetas a las protecciones C mo aplicar las protecciones IPsec en una red de IPsec Trusted Extensions de varios niveles 238 Utilizar IPsec con Trusted Extensions en Los paquetes IPsec con etiquetas se C mo configurar un t nel en una red que no es de una red que no es de confianza colocan en t neles en una red sin confianza 240 etiquetas Antes de empezar 238 Y C mo aplicar las protecciones IPsec en una red 1 de Trusted Extensions de varios niveles En este procedimiento se configura IPsec en dos sistemas Trusted Extensions para manejar las siguientes condiciones m Los dos sistemas enigma y partym son sistemas Trusted Ex
389. onocnnconnconncnnnnnnnos 215 Configuraci n de rutas y puertos de varios niveles ooocccooccccnnccnnonnnnno 234 Configuraci n de IPsec con etiquetas ooocoocncocnoocnocnnnccnnocnnccnncnnnconaconnoos 237 Resoluci n de problemas de la red de confianza coooccccoccnnnccnnnnccnnnrcnnnoss 242 17 Sobre Trusted Extensions y LDAP ooocooocccococnnnconnnnccnnnonnnncccnonanonanos 251 Uso del servicio de nombres LDAP en Trusted Extensions ccoooccccnccnnncccns 251 Referencia r pida para el servicio de nombres LDAP en Trusted Extensions 253 Contenido 18 Sobre correo de varios niveles en Trusted Extensions 257 Servicio de correo de varios niveles o oooccocncocncccnncnnnccnnccnnccnncnnncnnncnnnos 257 Funciones de correo de Trusted Extensions ooocooccnoconoconoconocnnarnnnnnannnnos 257 19 Gesti n de impresi n con etiquetas ooocccccoccccccnnccccnnnnnnccnnnnnnos 259 Etiquetas impresoras e impresi n cooccoccnnccnnccnnconnconncnnncnnncnnncnnncnnnnnnnnnns 259 Gesti n de impresi n en Trusted Extensions cooccooccoccnnccnnccnoconoconncnnncnnnss 269 Configuraci n de impresi n con etiquetas oocoooccnonnnonnncncnononnnnccnnacnnoons 269 Reducci n de las restricciones de impresi n en Trusted Extensions 276 20 Acerca de los dispositivos en Trusted Extensions o ccccn 281 Protecci n de los dispositivos con el software T
390. ontaje del Se crean puntos de montaje para cada usuario C mo permitir que los usuarios accedan a sus directorio principal en cada etiqueta Esta tarea permite a los directorios principales remotos en cada etiqueta Cap tulo 14 Gesti n y montaje de archivos en Trusted Extensions 185 C mo realizar copias de seguridad de los archivos en Trusted Extensions Tarea Descripci n Para obtener instrucciones usuarios acceder a su directorio principal mediante el inicio de sesi n en cada servidor en cada etiqueta en un sistema que no es el NES 64 servidor de directorio principal NFS Ocultar informaci n de nivel inferior Se impide la visualizaci n de informaci n de C mo desactivar el montaje de archivos de a un usuario que trabaja en una nivel inferior desde un nivel superior nivel inferior 166 etiqueta superior Resolver problemas de montaje de Se resuelven los problemas relacionados con el C mo resolver problemas por fallos de montaje sistema de archivos montaje de un sistema de archivos en Trusted Extensions 190 v Antes de empezar Antes de empezar 186 v C mo realizar copias de seguridad de los archivos en Trusted Extensions Debe tener asignado el perfil de derechos de copia de seguridad de medios Debe encontrarse en la zona global Realice una copia de seguridad que conserve las etiquetas utilizando uno de los siguientes comandos zfs send r R filesystemesnap para c
391. ontrol de acceso a hardware del sistema de Protecci n de sistemas y dispositivos conectados en Oracle Solaris 11 2 Configurar etiquetas Se deben configurar etiquetas para el sitio Si tiene previsto utilizar el archivo label_encodings predeterminado puede omitir este paso C mo comprobar e instalar el archivo de codificaciones de etiquetas 40 Configurar una red IPv6 Permite la compatibilidad con una red CIPSO IPv6 de Trusted Extensions C mo configurar una red CIPSO IPv6 en Trusted Extensions 42 Cambiar el dominio de interpretaci n Se especifica un dominio de interpretaci n DOI diferente de 1 C mo configurar un dominio de interpretaci n diferente 43 Cap tulo 4 Configuraci n de Trusted Extensions 39 C mo comprobar e instalar el archivo de codificaciones de etiquetas Tarea Descripci n Para obtener instrucciones Configurar el servidor Se configura un servidor de directorios LDAP de Trusted Cap tulo 5 Configuraci n de LDAP para LDAP Extensions Trusted Extensions Configurar los clientes Este sistema se convierte en cliente del servidor de directorios Conversi n de la zona global en un cliente LDAP LDAP de Trusted Extensions LDAP en Trusted Extensions 86 v A Antes de empezar C mo comprobar e instalar el archivo de codificaciones de etiquetas El archivo de codificaciones debe ser compatible con cualquier host de Trusted
392. opias de seguridad principales Para conocer los m todos disponibles incluido el env o de copias de seguridad a un servidor remoto consulte Env o y recepci n de datos ZFS de Gesti n de sistemas de archivos ZFS en Oracle Solaris 11 2 usr sbin tar cT para las copias peque as Para obtener detalles sobre la opci n T para el comando tar consulte la p gina del comando man tar 1 Una secuencia de comandos que llama a los comandos de copia de seguridad zfs o tar C mo restaurar archivos en Trusted Extensions Debe estar con el rol de usuario root en la zona global Restaure una copia de seguridad con etiquetas mediante uno de los siguientes comandos zfs receive vF filesystemesnap para restauraciones principales Para conocer los m todos disponibles incluida la restauraci n de copias de seguridad de un servidor remoto consulte Env o y recepci n de datos ZFS de Gesti n de sistemas de archivos ZFS en Oracle Solaris 11 2 usr sbin tar xT para restauraciones peque as Configuraci n y administraci n de Trusted Extensions Julio de 2014 C mo compartir sistemas de archivos de una zona con etiquetas A Antes de empezar 1 Para obtener detalles sobre la opci n T para el comando tar consulte la p gina del comando man tar 1 m Una secuencia de comandos que llama a los comandos de restauraci n zfs o tar C mo compartir sistemas de archivos de una zona con etiquetas Para montar
393. ormaci n Subir de nivel la informaci n Misma etiqueta Mismo UID Mismo UID Mismo UID Diferentes UID Diferentes UID Mismo UID Ninguna solaris solaris solaris solaris Ninguna abel abel abel abel win win win win downgrade Upgrade downgrade Upgrade Cap tulo 8 Sobre los requisitos de seguridad en un sistema Trusted Extensions 113 Reglas para cambiar el nivel de seguridad de los datos 114 En un sistema de ventanas Trusted Extensions proporciona un gestor de selecciones para que medie en los cambios de etiquetas Este cuadro de di logo aparece cuando un usuario autorizado intenta cambiar la etiqueta de un archivo o selecci n El usuario tiene 120 segundos para confirmar la operaci n Para cambiar el nivel de seguridad de datos sin esta ventana se requiere la autorizaci n solaris label win noview adem s de que se vuelvan a etiquetar las autorizaciones La siguiente ilustraci n muestra una selecci n de dos l neas en la ventana Selection Manager Information Downgrade Required You are transferring a selection between windows with different labels This requires the information in the selection to be downgraded Orignal Information New Information CONFIDENTIAL INTERNAL PUBLIC Type UTF8_STRING 43 byt Type UTF8_STRING Owner Tester user Owner Tester user Selection This is an INTERNAL file Only employees wit
394. ort tiles etiquete los medios con la etiqueta de sensibilidad de la informaci n Nota Durante la configuraci n de Trusted Extensions el rol de usuario root puede utilizar medios port tiles para transferir los archivos label_encodings a todos los sistemas Etiquete los medios con Trusted Path Para copiar archivos administrativos debe tener el rol de usuario root en la zona global Asigne el dispositivo adecuado Por ejemplo el siguiente comando asigna un disco extra ble como una unidad JAZ o ZIP o medios USB de conexi n en marcha allocate rmdisk0 En un sistema de ventanas puede utilizar Device Manager Abra dos exploradores de archivos y arrastre el archivo del dispositivo al disco Para obtener detalles consulte C mo asignar un dispositivo en Trusted Extensions de Gu a del usuario de Trusted Extensions Desasigne el dispositivo deallocate rmdisk0 Para desasignar el dispositivo mediante Device manager consulte C mo desasignar un dispositivo en Trusted Extensions de Gu a del usuario de Trusted Extensions Nota Recuerde colocar una etiqueta a los medios con la etiqueta de sensibilidad de los archivos copiados Mantenimiento de los mismos archivos de configuraci n en todos los sistemas El administrador del sistema desea comprobar que todos los sistemas est n configurados con los mismos valores Por lo tanto en el primer sistema que se configura el administrador crea un directorio
395. os Servicios de impresi n Debe compartir la impresora en el servidor de impresi n Debe poder hacer ping correctamente a la direcci n IP del servidor de impresi n y de la impresora No puede imprimir sin etiquetas lpadmin p printer name E v ipp print server IP address printers printer name on server Opci n 1padmin E Se proporciona de manera predeterminada Opci n o job sheets labeled Opci n o job sheets none Una p gina de car tula y una p gina de ubicador por trabajo de impresi n Siempre vertical svc application cups scheduler in lpd default Debe configurar la ruta a la impresora Debe configurar la ruta a la impresora Puede imprimir sin etiquetas lpadmin p printer name s Server name Comandos accept y enable Requiere una autorizaci n Se proporciona de manera predeterminada Opci n o nobanner Una p gina de car tula y una p gina de ubicador por cada trabajo de impresi n Siempre la orientaci n del trabajo svc application print service selector server rfc1179 Configuraci n y administraci n de Trusted Extensions Julio de 2014 Etiquetas impresoras e impresi n rea de diferencia CUPS LP ipp listener svc network device discovery printers snmp Restricci n del acceso a las impresoras y a la informaci n de trabajos de impresi n en Trusted Extensions Los usuarios y los roles de un sistema configurado con Trusted
396. os de lectura y escritura Cualquier sistema de archivos compartidos que pertenezca a otras zonas o a servidores NFS se monta en la etiqueta del propietario A continuaci n se resume el comportamiento de los conjuntos de datos de un solo nivel montados mediante NFS a Fn la zona global se pueden ver todos los archivos montados pero nicamente se pueden montar los archivos con la etiqueta ADMIN_HIGH a Fn una zona etiquetada se pueden ver todos los archivos montados que son iguales o inferiores a la etiqueta de la zona pero nicamente se pueden modificar los archivos en la etiqueta de la zona a Fn un sistema que no es de confianza nicamente pueden verse y modificarse los sistemas de archivos de una zona etiquetada cuya etiqueta es la misma que la etiqueta asignada del sistema que no es de confianza Para los conjuntos de datos de un solo nivel montados mediante LOFS se pueden ver los archivos montados Est n en la etiqueta ADMIN_LOW de modo que no pueden modificarse Pol tica de Trusted Extensions para conjuntos de datos de varios niveles Para conjuntos de datos de varios niveles las pol ticas de lectura y escritura de MAC se aplican en el nivel de granularidad de archivos y directorios y no de granularidad del sistema de archivos Los conjuntos de datos de varios niveles nicamente se pueden montar en la zona global Las zonas etiquetadas solamente pueden acceder a los conjuntos de datos de varios niveles mediante punto
397. os niveles para volver a etiquetar archivos 180 Los conjuntos de datos de varios niveles tambi n son tiles para servidores de archivos NFS de varios niveles a fin de proporcionar archivos en muchas etiquetas para varios clientes NES Para crear un conjunto de datos de varios niveles debe tener el rol root en la zona global Cree un conjunto de datos de varios niveles zfs create o mountpoint multi o multilevel on rpool multi rpool multi es un conjunto de datos de varios niveles montado en la zona global en multi Para limitar el rango de etiquetas superior del conjunto de datos consulte el Ejemplo 4 7 Creaci n de un conjunto de datos de varios niveles con una etiqueta superior por debajo de ADMIN_HIGH Verifique que el conjunto de datos de varios niveles est montado y que el punto de montaje tenga la etiqueta ADMIN_LOW getlabel multi multi ADMIN_LOW Proteja el sistema de archivos principal Defina las siguientes propiedades ZFS en off para todos los sistemas de archivos de la agrupaci n zfs set devices off rpool multi Cap tulo 4 Configuraci n de Trusted Extensions 69 C mo crear y compartir un conjunto de datos de varios niveles 70 zfs set exec off rpool multi zfs set setuid off rpool multi Opcional Defina la propiedad de compresi n de la agrupaci n Normalmente la compresi n est definida en ZFS en el nivel del sistema de archivos Sin embargo debido a que todos l
398. os procedimientos se describen en el Cap tulo 5 Configuraci n de LDAP para Trusted Extensions Configuraci n y administraci n de Trusted Extensions Julio de 2014 Planificaci n de la seguridad en Trusted Extensions Planificaci n de la auditor a en Trusted Extensions De manera predeterminada la auditor a est activada Por lo tanto de manera predeterminada se auditan todos los eventos de la clase login logout Para auditar a los usuarios que est n configurando el sistema puede crear roles en una fase temprana del proceso de configuraci n Cuando estos roles configuran el sistema los registros de auditor a incluyen al usuario de inicio de sesi n que asume el rol Consulte Creaci n de roles y usuarios en Trusted Extensions 56 La planificaci n de la auditor a en Trusted Extensions es igual que en SO Oracle Solaris Para obtener m s informaci n consulte Gesti n de auditor a en Oracle Solaris 11 2 Mientras que Trusted Extensions agrega tokens de clases eventos y auditor a el software no cambia el modo en que se administra la auditor a Para obtener informaci n sobre las agregaciones de Trusted Extensions a la auditor a consulte el Cap tulo 22 Trusted Extensions y la auditor a Planificaci n de la seguridad del usuario en Trusted Extensions El software Trusted Extensions proporciona valores predeterminados de seguridad razonable para los usuarios Estos valores predeterminados de seguridad
399. os sistemas de archivos de esta agrupaci n contienen archivos de datos la compresi n se define en el conjunto de datos de nivel superior para la agrupaci n zfs set compression on rpool multi Consulte tambi n Interacciones entre propiedades de compresi n eliminaci n de datos duplicados y cifrado de ZFS de Gesti n de sistemas de archivos ZFS en Oracle Solaris 11 2 Cree directorios de nivel superior para cada etiqueta que desea en el conjunto de datos de varios niveles cd multi mkdir public internal chmod 777 public internal setlabel PUBLIC public setlabel CNF INTERNAL internal HH o Utilice LOFS para montar el conjunto de datos de varios niveles en cada zona etiquetada aprobada para tener acceso Por ejemplo la siguiente serie de comandos zonecfg monta el conjunto de datos en la zona public zonecfg z public zonecfg public gt add fs zonecfg public fs gt set dir multi zonecfg public fs gt set special multi zonecfg public fs gt set type lofs zonecfg public fs gt end zonecfg public gt exit Los conjuntos de datos de varios niveles permiten la escritura de archivos en la misma etiqueta que la zona de montaje y la lectura de archivos de nivel inferior La etiqueta de los archivos montados se puede ver y definir Para utilizar NFS para compartir el conjunto de datos de varios niveles con otros sistemas haga lo siguiente a Convierta el servicio NFS en la zona global en un servicio d
400. otros tipos de enrutadores que no ejecutan el software Trusted Extensions para transferir los paquetes o descartar los paquetes que incluyen una opci n etiquetada Solamente las puertas de enlace que reconocen las etiquetas como Trusted Extensions pueden utilizar el contenido de la opci n IP de CALIPSO o CIPSO para aplicar la MAC Para admitir el enrutamiento de confianza se ampliaron las tablas de enrutamiento a fin de incluir los atributos de seguridad de Trusted Extensions En Entradas de la tabla de enrutamiento en Trusted Extensions 205 se describen los atributos Trusted Extensions admite el enrutamiento est tico en el que el administrador crea manualmente las entradas de la tabla de enrutamiento Para obtener detalles consulte la opci n p en la p gina del comando man route 1M El software de enrutamiento intenta buscar una ruta para el host de destino en las tablas de enrutamiento Cuando el host no est nombrado de manera expl cita el software de enrutamiento busca una entrada para la subred donde reside el host Cuando no est n definidos ni el host ni la subred el host env a el paquete a una puerta de enlace predeterminada en caso de que est definida Se pueden definir varias puertas de enlace predeterminadas y todas son tratadas del mismo modo En esta versi n de Trusted Extensions el administrador de la seguridad configura manualmente las rutas y a continuaci n cambia manualmente la tabla de enrutamient
401. ove MA MA a a N J Administratior Help J Cancel oK 2 Haga clic en el bot n Administration 3 Compruebe el estado de un dispositivo Seleccione el nombre del dispositivo y active el campo State m Siel campo State dice Allocate Error State haga clic en el bot n Reclaim m Siel campo State dice Allocated realice una de las siguientes acciones m Solicite al usuario del campo Owner que desasigne el dispositivo m Para llevar a cabo la desasignaci n forzosa del dispositivo haga clic en el bot n Revoke 4 Cierre Device Manager Y C mo proteger los dispositivos no asignables en Trusted Extensions La opci n No Users de la secci n Allocatable By del cuadro de di logo Device Configuration con frecuencia se utiliza para el b fer de trama y la impresora que no requieren asignaci n para su uso 294 Configuraci n y administraci n de Trusted Extensions Julio de 2014 C mo agregar una secuencia de comandos device_clean en Trusted Extensions Antes de empezar 1 ejemplo 21 1 Debe estar con el rol de administrador de la seguridad en la zona global En el men Trusted Path seleccione Allocate Device En Device Manager haga clic en el bot n Administration Seleccione la impresora o el b fer de trama nuevos a Para hacer que el dispositivo no sea asignable haga clic en No Users b Opcional Restrinja el rango de etiquetas en el dispositivo i Establezca la etiqueta m nima Haga clic e
402. oxyDN a proxyPassword password LDAP Server IP Address exit zlogin zone name2 c Detenga todas las zonas y reinicie el sistema zoneadm list zonel zone2 zoneadm z zonel halt zoneadm z zone2 halt Cap tulo 16 Gesti n de redes en Trusted Extensions 249 C mo depurar la conexi n de un cliente con el servidor LDAP reboot Tambi n puede usar la interfaz gr fica de usuario txzonemgr para detener las zonas con etiquetas 250 Configuraci n y administraci n de Trusted Extensions Julio de 2014 CAP TULO 17 Sobre Trusted Extensions y LDAP En este cap tulo se describe el uso de Oracle Directory Server Enterprise Edition servidor LDAP para un sistema configurado con Trusted Extensions m Uso del servicio de nombres LDAP en Trusted Extensions 251 Referencia r pida para el servicio de nombres LDAP en Trusted Extensions 253 Uso del servicio de nombres LDAP en Trusted Extensions Para alcanzar una uniformidad entre el usuario el host y los atributos de red dentro de un dominio de seguridad con varios sistemas Trusted Extensions se usa un servicio de nombres para distribuir la mayor parte de la informaci n de configuraci n El servicio svc system name service switch determina qu servicio de nombres se utiliza LDAP es el servicio de nombres recomendado para Trusted Extensions El servidor LDAP puede proporcionar el servicio de nombres LDAP para los clientes de Trust
403. pTnetTemplateName DESC Trusted network template name EQUALITY caseExactIA5Match SYNTAX 1 3 6 1 4 1 1466 115 121 1 26 SINGLE VALUE Las clases de objeto se definen de la siguiente manera ipTnetTemplate 1 3 6 1 1 1 2 18 NAME ipTnetTemplate SUP top STRUCTURAL 252 Configuraci n y administraci n de Trusted Extensions Julio de 2014 Referencia r pida para el servicio de nombres LDAP en Trusted Extensions DESC Object class for Trusted network host templates MUST ipTnetTemplateName MAY SolarisAttrKeyValue ipTnetHost 1 3 6 1 1 1 2 19 NAME ipTnetHost SUP top AUXILIARY DESC Object class for Trusted network host subnet address to template mapping MUST ipTnetNumber ipTnetTemplateName La plantilla de definici n cipso en LDAP es similar a la siguiente ou ipTnet dc example dc examplel dc exampleco dc com objectClass top objectClass organizationalUnit ou ipTnet ipTnetTemplateName cipso ou ipTnet dc example dc examplel dc exampleco dc com objectClass top objectClass ipTnetTemplate ipTnetTemplateName cipso SolarisAttrKeyValue host_type cipso doi 1 min_sl ADMIN_LOW max_sl ADMIN_HIGH ipTnetNumber 0 0 0 0 ou ipTnet dc example dc examplel dc exampleco dc com objectClass top objectClass ipTnetTemplate objectClass ipTnetHost ipTnetNumber 0 0 0 0 ipTnetTemplateName internal Referencia r pida para el servicio de nombres LDAP en Trusted Extensions El servicio de nombres LDAP se gestiona
404. para las bases de datos user_attr auth_attr exec_attr y prof_attr Para obtener m s informaci n consulte las p ginas del comando man user_attr 4 y useradd 1M Elimine la entrada auto_master del archivo setup files auto_master Cree los mapas autom ticos de zona en el rea temporal cp zone public root etc auto_home_public setup files cp zone internal root etc auto_home_internal setup files cp zone needtoknow root etc auto_home_needtoknow setup files cp zone restricted root etc auto_home_restricted setup files En la siguiente lista de mapas autom ticos el primero de cada par de l neas muestra el nombre del archivo La segunda l nea de cada par muestra el contenido del archivo Los nombres de Cap tulo 5 Configuraci n de LDAP para Trusted Extensions 83 Creaci n de un proxy de Trusted Extensions para un servidor Oracle Directory Server Enterprise Edition existente zona identifican etiquetas del archivo label_encodings predeterminado que se incluye con el software Trusted Extensions m Sustituya los nombres de zona por los nombres de zona de estas l neas a myNFsSserver identifica el servidor NFS para los directorios principales setup files auto home public myNFSserver_FQDN zone public root export home 8 setup files auto home_internal myNFSserver_FQDN zone internal root export home 8 setup files auto _home_needtoknow myNFSserver_FQDN zone needtoknow root export home se
405. para usar dispositivos reciban la formaci n necesaria El usuario es de confianza para realizar lo siguiente Etiquetar y manejar correctamente cualquier medio que contenga informaci n confidencial exportada de modo que la informaci n no est disponible para ninguna persona que no deba verla Por ejemplo si la informaci n que tiene la etiqueta NEED TO KNOW ENGINEERING se almacena en un CD la persona que exporta la informaci n debe colocar en el disco una etiqueta NEED TO KNOW ENGINEERING de manera f sica El CD debe almacenarse en un lugar al que puedan acceder nicamente los miembros del grupo de ingenier a que deban tener conocimiento de la informaci n Asegurarse de que las etiquetas se mantengan de manera apropiada en cualquier informaci n que se importe lea desde medios en estos dispositivos Un usuario autorizado debe asignar el dispositivo en la etiqueta que coincida con la etiqueta de la informaci n que se est importando Por ejemplo si un usuario asigna una unidad de CD ROM como PUBLIC el usuario debe importar solamente la informaci n que tenga la etiqueta PUBLIC El administrador de la seguridad tambi n es responsable de hacer que estos requisitos de seguridad se cumplan como corresponda Cap tulo 20 Acerca de los dispositivos en Trusted Extensions 285 Dispositivos en Trusted Extensions referencia Dispositivos en Trusted Extensions referencia La protecci n de dispositivos de Trusted Extensions ut
406. pol ticas de seguridad generales que se aplican a todos los usuarios del sistema Informe al personal de gesti n y administraci n sobre la pol tica de seguridad del sitio Todo el personal que participa en la gesti n y administraci n del sitio debe estar familiarizado con la pol tica de seguridad Las pol ticas de seguridad no se deben poner a disposici n de los usuarios comunes porque esta informaci n de la pol tica est directamente relacionada con la seguridad de los sistemas inform ticos Informe a los usuarios sobre la pol tica de seguridad y el software Trusted Extensions Todos los usuarios deben estar familiarizados con la Gu a del usuario de Trusted Extensions Debido a que los usuarios generalmente son los primeros en saber cu ndo un sistema no est funcionando normalmente el usuario debe familiarizarse con el sistema e informar sobre los problemas a un administrador del sistema Un entorno seguro requiere que los usuarios notifiquen a los administradores del sistema inmediatamente si notan alguna de las siguientes irregularidades Ap ndice A Pol tica de seguridad del sitio 315 Pol tica de seguridad del sitio y Trusted Extensions m Una discrepancia en la fecha y hora del ltimo inicio de sesi n que se informa al principio de cada sesi n m Un cambio poco com n en los datos de un archivo m Una copia impresa legible perdida o robada m La incapacidad de utilizar una funci n de usuario Aplique la
407. ponsable de las siguientes tareas m Agregar y suprimir usuarios m Agregar y suprimir roles Asignar la contrase a inicial a Modificar las propiedades de rol y de usuario que no sean atributos de seguridad Responsabilidades del administrador de la seguridad para los usuarios En Trusted Extensions el rol de administrador de la seguridad es responsable de todos los atributos de seguridad de un usuario o rol El administrador de la seguridad tiene a su cargo las siguientes tareas Asignar y modificar los atributos de seguridad de un usuario rol o perfil de derechos a Crear y modificar perfiles de derechos Asignar perfiles de derechos a un usuario o rol Asignar privilegios a un usuario rol o perfil de derechos Asignar autorizaciones a un usuario rol o perfil de derechos a Eliminar privilegios de un usuario rol o perfil de derechos a Eliminar autorizaciones de un usuario rol o perfil de derechos Normalmente el rol de administrador de la seguridad crea perfiles de derechos Sin embargo si un perfil necesita capacidades que el rol de administrador de la seguridad no puede otorgar el rol de usuario root puede crear el perfil Configuraci n y administraci n de Trusted Extensions Julio de 2014 Decisiones que deben tomarse antes de crear usuarios en Trusted Extensions Antes de crear un perfil de derechos el administrador de la seguridad tiene que analizar si alguno de los comandos del nuevo perfil necesita un pri
408. primir 112 requisitos de seguridad 112 gu as b sicas mapa de tareas configuraci n de Trusted Extensions con los valores predeterminados proporcionados 30 mapa de tareas configuraci n de Trusted Extensions seg n los requisitos del sitio 30 mapa de tareas preparaci n y activaci n de Trusted Extensions 29 mapa de tareas selecci n de una configuraci n de Trusted Extensions 29 H herramientas Ver herramientas administrativas herramientas administrativas acceso 117 archivos de configuraci n 105 comandos 104 descripci n 101 Device Manager 103 generador de etiquetas 103 Labeled Zone Manager 102 secuencia de comandos txzonemgr 102 Selection Manager 103 hosts agregaci n a plantilla de seguridad 221 227 agregaci n de archivo etc hosts 217 asignaci n de una plantilla 221 conceptos de redes 195 hosts remotos uso de mecanismo de reserva en tnrhdb 202 356 Configuraci n y administraci n de Trusted Extensions Julio de 2014 ndice l IKE etiquetas en modo t nel 212 importaci n software 311 impresi n autorizaciones 268 autorizaciones para un resultado sin etiquetas de un sistema p blico 138 configuraci n de etiquetas y texto 266 configuraci n de trabajos de impresi n p blicos 277 configuraci n de zona con etiquetas 272 configuraci n para cliente de impresi n 273 configuraci n para salida etiquetada de varios niveles 269 271 en idioma local 266 etiquetado de un servidor
409. que apunte al archivo que cre en el Paso 1 3 a C mo resolver problemas por fallos de montaje en Trusted Extensions Debe estar en la zona en la etiqueta del sistema de archivos que desea montar Debe estar con el rol de usuario root Verifique que los sistemas de archivos del servidor NFS est n compartidos Compruebe los atributos de seguridad del servidor NFS a Utilice el comando tninfo O tncfg para buscar la direcci n IP del servidor o un rango de direcciones IP que incluya el servidor NFS La direcci n se puede asignar de manera directa o de manera indirecta mediante un mecanismo comod n La direcci n puede estar en una plantilla con etiquetas o sin etiquetas b Revise la etiqueta que la plantilla asigna al servidor NFS 190 Configuraci n y administraci n de Trusted Extensions Julio de 2014 C mo resolver problemas por fallos de montaje en Trusted Extensions Esta etiqueta debe ser coherente con la etiqueta en la que intenta montar los archivos Revise la etiqueta de la zona actual Si esta etiqueta es superior a la etiqueta del sistema de archivos montados no podr escribir en el montaje aunque el sistema de archivos remoto se exporte con permisos de lectura y escritura S lo puede escribir en el sistema de archivos montados en la etiqueta del montaje Para montar los sistemas de archivos desde un servidor NFS que ejecuta versiones anteriores del software de Trusted Solaris realice las siguientes accio
410. quiere que los usuarios comunes operen en las zonas con etiquetas De manera predeterminada ning n usuario o proceso de las zonas con etiquetas puede invalidar el MAC Como en el SO Oracle Solaris la capacidad de invalidar la pol tica de seguridad puede asignarse a procesos o usuarios espec ficos en los casos en que puede invalidarse el MAC Por ejemplo los usuarios pueden estar autorizados para cambiar la etiqueta de un archivo Este tipo de acciones aumentan o disminuyen el nivel de sensibilidad de la informaci n en dicho archivo Trusted Extensions complementa los comandos y los archivos de configuraci n existentes Por ejemplo Trusted Extensions agrega eventos de auditor a autorizaciones privilegios y perfiles de derechos Algunas funciones que son opcionales en un sistema Oracle Solaris son obligatorias en un sistema Trusted Extensions Por ejemplo las zonas y los roles son necesarios en un sistema que est configurado con Trusted Extensions Algunas funciones que son opcionales en un sistema Oracle Solaris est n activadas en un sistema Trusted Extensions Por ejemplo muchos sitios que configuran Trusted Extensions exigen la separaci n de tareas al crear usuarios y asignar atributos de seguridad m Trusted Extensions puede cambiar el comportamiento predeterminado de Oracle Solaris Por ejemplo en un sistema configurado con Trusted Extensions la asignaci n de dispositivo es obligatoria Trusted Extensions puede r
411. r 4 m Para restringir el rango de etiquetas a una etiqueta haga la acreditaci n igual que la etiqueta m nima usermod K min_label INTERNAL K clearance INTERNAL jdoe 142 Configuraci n y administraci n de Trusted Extensions Julio de 2014 C mo crear perfiles de derechos para autorizaciones convenientes Antes de empezar 1 C mo crear perfiles de derechos para autorizaciones convenientes Cuando la pol tica de seguridad del sitio lo permita quiz s desee crear un perfil de derechos que contenga las autorizaciones para los usuarios que pueden realizar tareas que requieren autorizaci n Para activar a todos los usuarios de un sistema en particular que se van a autorizar consulte C mo modificar los valores predeterminados de policy conf 137 Debe estar con el rol de administrador de la seguridad en la zona global Cree un perfil de derechos que contenga una o m s de las siguientes autorizaciones Para ver el procedimiento paso a paso consulte C mo crear un perfil de derechos de Protecci n de los usuarios y los procesos en Oracle Solaris 11 2 Las siguientes autorizaciones pueden ser convenientes para los usuarios solaris device allocate autoriza a un usuario a asignar un dispositivo perif rico como un micr fono o un CD ROM De manera predeterminada los usuarios de Oracle Solaris pueden leer y escribir en un CD ROM Sin embargo en Trusted Extensions solamente los usuarios que pu
412. r del escritorio A continuaci n puede conectarse un cliente VNC Verifique que el software Xvnc est activado svcs grep vnc En cada cliente VNC del servidor Xvnc instale el software del cliente VNC Para el sistema cliente puede elegir el software Puede utilizar el software VNC desde el repositorio de Oracle Solaris Opcional Audite las conexiones VNC Para obtener informaci n sobre la preselecci n de eventos de auditor a por sistema y por usuario consulte Configuraci n del servicio de auditor a de Gesti n de auditor a en Oracle Solaris 11 2 Para visualizar el espacio de trabajo del servidor Xvnc en un cliente VNC lleve a cabo los siguientes pasos a Enuna ventana de terminal del cliente con ctese al servidor usr bin vncviewer Xvnc server hostname Para conocer las opciones de comandos consulte la p gina del comando man vncviewer 1 b En la ventana que aparece escriba su nombre de usuario y contrase a Contin e con el proceso de inicio de sesi n Para obtener una descripci n del resto de los pasos consulte Inicio de sesi n en Trusted Extensions de Gu a del usuario de Trusted Extensions Uso de Vino para compartir un escritorio en un entorno de prueba En este ejemplo dos programadores usan el servicio Vino de GNOME para compartir la visualizaci n desde el men Launch Lanzar gt System Sistema gt Preferences Preferencias gt Desktop Sharing Comp
413. r los roles de administrador de la seguridad y administrador del sistema deben estar presentes para asumir sus roles y llevar a cabo los pasos apropiados en este procedimiento Cree un usuario El rol de usuario root o el rol de administrador del sistema realizan este paso No incluya informaci n de propiedad exclusiva en el comentario useradd c Second User u 1201 d home jdoe jdoe Despu s de crear el usuario modifique los atributos de seguridad del usuario El rol de usuario root o el rol de administrador de la seguridad realizan este paso Nota Para los usuarios que pueden asumir roles desactive el bloqueo de cuentas y no establezca fechas de caducidad para las contrase as Adem s audite los usos del comando pfexec S lo el rol root puede definir indicadores de auditor a por usuario usermod K lock_after_retries no K idletime 5 K idlecmd lock K audit_flags l0 ex no jdoe Nota Los valores de idletime e idlecmd siguen vigentes cuando el usuario asume un rol Para obtener m s informaci n consulte Valores predeterminados del archivo policy conf en Trusted Extensions 130 Asigne una contrase a de seis caracteres alfanum ricos como m nimo passwd jdoe New Password XXXXXXXX Re enter new Password XXXXXXXX Nota Cuando el equipo de configuraci n inicial elige una contrase a debe seleccionar una contrase a que sea dif cil de adivinar De esta manera se reduce la posibilidad de que un adve
414. r que los usuarios accedan a sus directorios principales remotos mediante la configuraci n del montador autom tico en cada servidor 65 Los servidores de directorio principal para su dominio de Trusted Extensions deben estar configurados Permita a los usuarios iniciar sesi n directamente en el servidor de directorio principal Normalmente se ha creado un servidor NFS por etiqueta a Indique a los usuarios que inicien sesi n en cada servidor NFS en la etiqueta del servidor b Una vez que el inicio de sesi n finaliza correctamente indique al usuario que se desconecte del servidor Hay un directorio principal para el usuario disponible en la etiqueta del servidor cuando el inicio de sesi n es correcto c Indique a los usuarios que inicien sesi n desde su estaci n de trabajo habitual El directorio principal para su etiqueta predeterminada est disponible en el servidor de directorio principal Cuando un usuario cambia la etiqueta de una sesi n o agrega un espacio de trabajo en una etiqueta diferente el directorio principal del usuario para esa etiqueta se monta Los usuarios pueden iniciar sesi n en una etiqueta diferente de su etiqueta predeterminada Para ello deben seleccionar una etiqueta diferente en el generador de etiquetas durante el inicio de sesi n 64 Configuraci n y administraci n de Trusted Extensions Julio de 2014 C mo permitir que los usuarios accedan a sus directorios principales remotos mediante l
415. raci n y administraci n de Trusted Extensions Julio de 2014 Referencia de auditor a de Trusted Extensions etiquetas La siguiente figura muestra un registro de auditor a de n cleo y un registro de auditor a de nivel de usuario t picos de Trusted Extensions FIGURA 22 1 Estructuras t picas de registros de auditor a en un sistema con etiquetas Token header Token header Token arg Token subject Tokens de datos otros tokens Token subject Token s1abel Token sl1abel Token return Token return Clases de auditor a de Trusted Extensions Trusted Extensions agrega clases de auditor a de ventanas X a Oracle Solaris Las clases se enumeran en el archivo etc security audit_class Para obtener m s informaci n sobre las clases de auditor a consulte la p gina del comando man audit_class 4 Los eventos de auditor a del servidor X se asignan a estas clases seg n los criterios siguientes m xa esta clase audita el acceso al servidor X es decir la conexi n de clientes X y la desconexi n de clientes X m xc esta clase audita objetos de servidor de creaci n o destrucci n Por ejemplo esta clase audita CreateWindow m xp esta clase audita el uso de privilegios El uso de privilegios puede ser correcto o incorrecto Por ejemplo ChangeWindowAttributes se audita cuando un cliente intenta cambiar los atributos de una ventana de otro cliente Esta clase tambi n incluye rutinas administrativas como SetAccessContr
416. racle Solaris Desactive el servicio de Trusted Extensions labeladm disable r Para obtener m s informaci n consulte la p gina del comando man labeladm 1M Opcional Reinicie el sistema Configure el sistema Es posible que deba configurar varios servicios para su sistema Oracle Solaris como las funciones b sicas de redes los servicios de nombres y los montajes de sistemas de archivos 74 Configuraci n y administraci n de Trusted Extensions Julio de 2014 vt CAP TULO 5 Configuraci n de LDAP para Trusted Extensions En este cap tulo se describe c mo configurar Oracle Directory Server Enterprise Edition servidor LDAP para su uso con Trusted Extensions El servidor LDAP proporciona servicios LDAP LDAP es el servicio de nombres admitido para Trusted Extensions En la secci n final Creaci n de un cliente LDAP de Trusted Extensions 86 se explica c mo configurar un cliente LDAP Al configurar el servidor LDAP dispone de dos opciones Puede configurar un servidor LDAP en un sistema Trusted Extensions o puede utilizar un servidor existente y conectarse a l mediante un servidor proxy Trusted Extensions Para configurar el servidor LDAP siga las instrucciones de uno de los siguientes mapas de tareas Configuraci n de LDAP en una red Trusted Extensions 75 Configuraci n de un servidor proxy LDAP en un sistema Trusted Extensions 76 Configuraci n de LDAP en una red Trus
417. rador de la seguridad establece expl citamente para los usuarios individuales sustituyen los valores del archivo label_encodings Valores predeterminados del archivo policy conf en Trusted Extensions El archivo etc security policy conf contiene los valores de seguridad predeterminados del sistema Trusted Extensions agrega dos palabras clave a este archivo Para cambiar los valores en todo el sistema agregue los pares keyword value en el archivo La siguiente tabla muestra los valores predeterminados y los valores posibles para esas palabras claves Configuraci n y administraci n de Trusted Extensions Julio de 2014 Atributos de usuario que pueden configurarse en Trusted Extensions TABLA 10 1 Valores predeterminados de seguridad de Trusted Extensions en el archivo policy conf Palabra clave Valor Valores posibles Notas predeterminado IDLECMD LOCK LOCK LOGOUT Se aplica al usuario de inicio de sesi n IDLETIME 15 De 0 a 120 minutos Se aplica al usuario de inicio de sesi n Las autorizaciones y los perfiles de derechos que se definen en el archivo policy conf son adicionales de cualquier autorizaci n o perfil que se asigne a las cuentas individuales Para los dem s campos el valor del usuario individual valor sustituye el valor del sistema En Planificaci n de la seguridad del usuario en Trusted Extensions 25 se incluye una tabla de cada palabra clave de policy conf Tambi n puede consultar la p gina de
418. rador del sistema crea un archivo copy_files y un archivo link_ files con el siguiente contenido copy files for regular users Copy these files to my home directory in every zone mailrc mozilla soffice wq link_files for regular users with C shells Link these files to my home directory in every zone bashrc bashrc user cshrc login iwq link_files for regular users with Korn shells Link these files to my home directory in every zone Ksh profile iwq En los archivos de inicializaci n del shell el administrador agrega personalizaciones cshrc file setenv EDITOR emacs setenv ETOOLS net tools etools ksh file export EDITOR emacs export ETOOLS net tools etools Los archivos personalizados se copian en el directorio de estructura b sica apropiado cp copy_files link_files bashrc bashrc user cshrc login profile mailrc etc skelC cp copy_files link_files ksh profile mailrc etc skelK Si crea archivos copy_files en la etiqueta m s baja y a continuaci n inicia sesi n en una zona superior para ejecutar el comando updatehome y el comando falla con un error de acceso intente realizar lo siguiente Verifique que desde la zona de nivel superior pueda ver el directorio de nivel inferior higher level zone ls zone lower level zone home username ACCESS ERROR there are no files under that directory m Si no puede ver el directorio reinicie el servicio de
419. raining Program Programa de formaci n y consciencia sobre la seguridad de la tecnolog a de la informaci n SP 800 61 enero de 2004 Incluye un glosario til Grace Tim Karen Kent y Brian Kim Computer Security Incident Handling Guidelines Directrices para el manejo de incidentes relacionados con la seguridad inform tica SP 800 50 septiembre de 2002 La secci n E 7 se refiere a la configuraci n segura de LDAP para el correo Scarfone Karen Wayne Jansen y Miles Tracy Guide to General Server Security Gu a para la seguridad general del servidor SP 800 123 julio de 2008 Souppaya Murugiah John Wack y Karen Kent Security Configuration Checklists Program for IT Products Programa de listas de comprobaci n de configuraci n de seguridad para productos de TI SP 800 70 mayo de 2005 Publicaciones de UNIX Ingenieros de seguridad de Sun Microsystems Fundamentos de seguridad de Solaris 10 Prentice Hall 2009 Configuraci n y administraci n de Trusted Extensions Julio de 2014 Referencias de seguridad adicionales Garfinkel Simson Gene Spafford y Alan Schwartz Practical UNIX and Internet Security 3rd Edition Seguridad pr ctica para Internet y UNIX 3 edici n O Reilly amp Associates Inc Sebastopol CA 2006 Nemeth Evi Garth Snyder Trent R Hein y Ben Whaley Manual de administraci n del sistema UNIX y Linux cuarta edici n Pearson Education Inc 2010 Publicaciones sobre seguridad i
420. ratamiento de car tulas ubicadores encabezados pies de p gina y otras funciones de seguridad en las copias impresas Personalizaciones son las definiciones locales que incluyen los c digos de color de etiquetas y otros valores predeterminados Para obtener m s informaci n consulte la p gina del comando man label_encodings 4 Tambi n se puede encontrar informaci n detallada en Trusted Extensions Label Administration y Compartmented Mode Workstation Labeling Encodings Format Rangos de etiquetas Un rango de etiquetas es el conjunto de etiquetas potencialmente utilizables en que pueden operar los usuarios Tanto los usuarios como los recursos tienen rangos de etiquetas Los rangos de etiquetas pueden proteger recursos que incluyen elementos como dispositivos asignables Cap tulo 6 Conceptos de la administraci n de Trusted Extensions 97 Conceptos b sicos de Trusted Extensions 98 redes interfaces b feres de trama y comandos Un rango de etiquetas est definido por una acreditaci n en la parte superior del rango y una etiqueta m nima en la parte inferior Un rango no incluye necesariamente todas las combinaciones de etiquetas que se ubican entre una etiqueta m xima y una etiqueta m nima Las reglas del archivo label_encodings pueden descartar determinadas combinaciones Una etiqueta debe estar bien formada es decir deben permitirla todas las reglas aplicables del archivo de codificaciones de etiquet
421. rchivo de codificaciones de etiqueta Convierte las etiquetas a cadenas en lenguaje natural Describe los atributos de etiqueta de Trusted Extensions Es la biblioteca de red de Trusted Extensions Es la biblioteca de Trusted Extensions Asigna y libera recursos para una etiqueta nueva Comprueba las limitaciones de cuenta que originan las etiquetas Para ver un ejemplo de su uso consulte C mo realizar las tareas de inicio de sesi n y administraci n en un sistema Trusted Extensions remoto 155 Obtiene la etiqueta de un proceso Impide la asignaci n de un dispositivo mediante la eliminaci n de su entrada de las bases de datos de asignaci n de dispositivos Para obtener un ejemplo consulte C mo configurar un dispositivo mediante Device Manager en Trusted Extensions 289 Ap ndice D Lista de las p ginas del comando man de Trusted Extensions 333 P ginas del comando man de Trusted Extensions en orden alfab tico 334 sel_config 4 setflabel 3TSOL setlabel 1 str_to label 3TSOL tncfg 1M tnctl 1M tnd 1M tninfo 1M Establece las reglas de selecci n para las operaciones de copiar cortar y pegar y arrastrar y soltar Consulte Reglas para cambiar el nivel de seguridad de los datos 112 Mueve un archivo a una zona con la etiqueta de sensibilidad correspondiente Vuelve a etiquetar el elemento seleccionado Requiere las autorizaciones solaris label file downgrade o solaris lab
422. rchivos especificado en el comando mount para los sistemas de archivos remotos siempre es NFS Copia de seguridad uso compartido y montaje de archivos con etiquetas En el siguiente mapa de tareas se describen las tareas comunes que se emplean para realizar copias de seguridad y restaurar los datos de sistemas de archivos con etiquetas y para compartir y montar sistemas de archivos que tienen etiquetas TABLA 14 1 Copia de seguridad uso compartido y montaje de archivos con etiquetas mapa de tareas Tarea Descripci n Para obtener instrucciones Realizar copias de seguridad de Archiva los datos a la vez que conserva las C mo realizar copias de seguridad de los archivos etiquetas archivos en Trusted Extensions 186 Restaurar datos Restaura los datos etiquetados de una copia de C mo restaurar archivos en Trusted seguridad Extensions 186 Compartir un sistema de archivos con Permite que los usuarios de otros sistemas C mo compartir sistemas de archivos de una etiquetas accedan al sistema de archivos con etiquetas zona con etiquetas 187 Montar un sistema de archivos Permite montar el contenido de un sistema C mo montar archivos en NFS en una zona con compartido por una zona con de archivos como de lectura y escritura en etiquetas 189 etiquetas una zona con etiquetas en la misma etiqueta Cuando una zona de nivel superior monta el directorio compartido el directorio se monta como de s lo lectura Crear puntos de m
423. rechos en Oracle Solaris de Protecci n de los usuarios y los procesos en Oracle Solaris 11 2 a Autorizaciones para ver un ejemplo de c mo agregar una nueva autorizaci n consulte Personalizaci n de autorizaciones para dispositivos en Trusted Extensions 296 Como en Oracle Solaris los privilegios no se pueden ampliar Funciones de seguridad exclusivas de Trusted Extensions Trusted Extensions proporciona las siguientes funciones de seguridad exclusivas Etiquetas los sujetos y los objetos tienen etiquetas Los procesos tienen etiquetas Las zonas y la red tienen etiquetas Los espacios de trabajo y sus objetos tienen etiquetas Device Manager de manera predeterminada los dispositivos se encuentran protegidos por los requisitos de asignaci n La interfaz gr fica de usuario Device Manager es la interfaz para administradores y para usuarios comunes Men Change Password este men le permite cambiar la contrase a de rol o usuario Men Change Workspace Label los usuarios de sesiones de varios niveles pueden cambiar la etiqueta de espacio de trabajo Es posible que se solicite a los usuarios que proporcionen una contrase a al acceder a un espacio de trabajo de una etiqueta diferente Cuadro de di logo Selection Manager los usuarios autorizados en sesiones de varios niveles pueden subir o bajar de nivel la informaci n a una etiqueta diferente Archivo TrustedExtensionsPolicy los administradore
424. rectorios se inicie en cada inicio Las plantillas de los servicios SMF para el servidor de directorios est n en los paquetes de Oracle Directory Server Enterprise Edition m Para un servidor de directorios de Trusted Extensions active el servicio dsadm stop export home ds instances your instance dsadm enable service T SMF export home ds instances your instance dsadm start export home ds instances your instance Para obtener informaci n sobre el comando dsadm consulte la p gina del comando man dsadm 1M m Para un servidor de directorios proxy active el servicio dpadm stop export home ds instances your instance dpadm enable service T SMF export home ds instances your instance dpadm start export home ds instances your instance Para obtener informaci n sobre el comando dpadm consulte la p gina del comando man dpadm 1M Verifique la instalaci n dsadm info export home ds instances your instance Instance Path export home ds instances your instance Owner root root Non secure port 389 Secure port 636 Bit format 32 bit State Running Server PID 298 DSCC url SMF application name ds export home ds instances your instance Instance version D A00 Para conocer las estrategias para resolver problemas de configuraci n de LDAP consulte Cap tulo 6 Resoluci n de problemas de LDAP de Trabajo con servicios de nombres y de directorio en Oracle Solaris 11 2 LDAP Cap tulo 5
425. rija la entrada m Verifique que el sistema se haya reiniciado despu s de agregar la entrada correcta al archivo etc system Debe reiniciar el sistema antes de configurar LDAP o de crear zonas con etiquetas C mo configurar un dominio de interpretaci n diferente Si su sitio no utiliza un dominio de interpretaci n DOT de 1 debe modificar el valor doi en cada plantilla de seguridad Para obtener m s informaci n consulte Dominio de interpretaci n en plantillas de seguridad 201 Debe estar con el rol de usuario root en la zona global Especifique el valor del dominio de interpretaci n en las plantillas de seguridad predeterminadas tncfg t cipso set doi n tncfg t admin_low set doi n Nota Cada plantilla de seguridad debe especificar el valor del dominio de interpretaci n a Atributos de seguridad de red en Trusted Extensions 198 a C mo crear plantillas de seguridad 218 Si tiene previsto utilizar LDAP vaya al Cap tulo 5 Configuraci n de LDAP para Trusted Extensions Debe configurar LDAP antes de crear zonas con etiquetas De lo contrario contin e con Creaci n de zonas con etiquetas 43 Creaci n de zonas con etiquetas Las instrucciones de esta secci n permiten configurar zonas con etiquetas Tiene la posibilidad de crear dos zonas con etiquetas de manera autom tica o crear zonas de forma manual Cap tulo 4 Configuraci n de Trusted Extensions 43 C mo crear un sistema Tru
426. rios 187 publicaciones seguridad y UNIX 319 puertas de enlace comprobaciones de acreditaciones 206 ejemplo de 208 puertos de varios niveles MLP administraci n 237 ejemplo de MLP de NFSv3 236 ejemplo de MLP de proxy web 235 R rango de sesi n 98 rangos de acreditaci n archivo label_encodings 97 rangos de etiquetas configuraci n en b feres de trama 282 configuraci n en impresoras 282 restricci n de acceso remoto 147 recopilaci n de informaci n para el servicio LDAP 77 recuperaci n del control del enfoque del escritorio 121 red Ver red de confianza Ver red de Trusted Extensions red de confianza conceptos 193 direcci n de comod n 0 0 0 0 0 230 ejemplo de enrutamiento 208 entrada 0 0 0 0 tnrhdb 229 etiquetas predeterminadas 205 etiquetas y aplicaci n de MAC 193 tipos de hosts 199 uso de plantillas 218 red de Trusted Extensions activaci n de IPv6 para paquetes CIPSO 42 agregaci n de daemon nscd espec fico de zona 54 eliminaci n del daemon nscd espec fico de zona 55 planificaci n 21 Reducci n de las restricciones de impresi n en Trusted Extensions mapa de tareas 276 reetiguetado de datos eliminaci n de ES 69 reinicio activaci n de etiquetas 37 permitir inicio de sesi n en zona con etiquetas 62 reparaci n etiquetas en bases de datos internas 123 resoluci n de problemas configuraci n de IPv6 42 configuraci n de Trusted Extensions 66 error en inicio de sesi n 14
427. rios comunes vean un archivo en el directorio etc zonecfg z zone name add filesystem set special etc filename set directory etc filename set type lofs add options ro nodevices nosetuid end exit Inicie la zona zoneadm z zone name boot Montaje en bucle de retorno del archivo etc passwd En este ejemplo el administrador de la seguridad permite a los evaluadores y programadores verificar si sus contrase as locales est n establecidas Despu s de que se detiene la zona sandbox esta se configura para montar en bucle de retorno el archivo passwd Una vez que se reinicia la zona los usuarios comunes pueden ver las entradas en el archivo passwd zoneadm z sandbox halt zonecfg z sandbox add filesystem set special etc passwd set directory etc passwd set type lofs add options ro nodevices nosetuid end exit zoneadm z sandbox boot C mo desactivar el montaje de archivos de nivel inferior De manera predeterminada los usuarios pueden ver los archivos de nivel inferior Para impedir la visualizaci n de todos los archivos de nivel inferior de una zona determinada 166 Configuraci n y administraci n de Trusted Extensions Julio de 2014 C mo desactivar el montaje de archivos de nivel inferior Antes de empezar ejemplo 13 3 elimine el privilegio net_mac_aware de esa zona Para obtener una descripci n del privilegio net_mac_aware consulte la p gina del comando man privileges 5
428. ripci n Para obtener instrucciones Cambiar los atributos de etiquetas Se modifican los atributos de etiquetas como la vista de la etiqueta m nima y la etiqueta predeterminada para una cuenta de usuario C mo modificar atributos de etiquetas de usuarios predeterminados 136 Cambiar la pol tica de Trusted Extensions para todos los usuarios de un sistema Se modifica el archivo policy conf C mo modificar los valores predeterminados de policy conf 137 Se activa el protector de pantalla o se cierra la sesi n del usuario despu s de que el sistema permanece inactivo por un tiempo determinado Ejemplo 11 1 Cambio de la configuraci n del tiempo de inactividad del sistema Se eliminan los privilegios innecesarios de todos los usuarios comunes de un sistema Impide que las etiquetas aparezcan en la salida impresa en un quiosco p blico Ejemplo 11 2 Modificaci n del conjunto de privilegios b sico de cada usuario Ejemplo 11 3 Asignaci n de las autorizaciones relacionadas con la impresi n a todos los usuarios de un sistema Configurar los archivos de inicializaci n para los usuarios Configura los archivos de inicio como bashrc cshrc copy_files y soffice para todos los usuarios C mo configurar los archivos de inicio para los usuarios en Trusted Extensions 138 Cap tulo 11 Gesti n de usuarios derechos y roles en Trusted Extensions 135
429. rnal_cipso at line 51 checking etc security tsol tnzonecfg El error indica que los comandos tncfg y txzonemgr no se utilizaron para crear y asignar la plantilla de seguridad internal_cipso Para reparar esto sustituya el archivo tnrhdb con el archivo original y luego utilice el comando tncfg para crear y asignar plantillas de seguridad b Para borrar la cach del n cleo reinicie el sistema Durante el inicio la cach se rellena con informaci n de la base de datos El servicio SMF name service switch determina si se utilizan bases de datos locales o LDAP para rellenar el n cleo 4 Recopile informaci n de la transmisi n para usarla como ayuda en la depuraci n a Verifique la configuraci n de enrutamiento 246 Configuraci n y administraci n de Trusted Extensions Julio de 2014 C mo depurar la conexi n de un cliente con el servidor LDAP route get ip secattr sl label doi integer Para obtener detalles consulte la p gina del comando man route 1M Vea la informaci n de la etiqueta en los paquetes snoop v La opci n v muestra los detalles de los encabezados de los paquetes incluida la informaci n de la etiqueta Dado que este comando proporciona informaci n muy detallada quiz s desee restringir los paquetes que el comando examina Para obtener detalles consulte la p gina del comando man snoop 1M Vea las entradas de la tabla de enrutamiento y los atributos de seguridad en sockets
430. rohibidas para los visitantes y m rquelas claramente Acompa e a los visitantes en todo momento Configuraci n y administraci n de Trusted Extensions Julio de 2014 Infracciones de seguridad comunes Infracciones de seguridad comunes Dado que ning n equipo es completamente seguro una instalaci n inform tica es tan segura como las personas que la utilizan La mayor a de las acciones que infringen la seguridad se pueden resolver f cilmente con usuarios cuidadosos o equipos adicionales Sin embargo la siguiente lista proporciona ejemplos de los problemas que pueden producirse m Los usuarios proporcionan contrase as a otras personas que no deber an tener acceso al sistema Los usuarios anotan las contrase as y luego las pierden o las dejan en ubicaciones inseguras Los usuarios definen sus contrase as con palabras o nombres que se pueden adivinar f cilmente Los usuarios aprenden las contrase as observando a otros usuarios escribir sus contrase as Los usuarios no autorizados extraen o sustituyen el hardware o lo sabotean f sicamente Los usuarios se alejan de sus sistemas sin bloquear la pantalla Los usuarios cambian los permisos en un archivo para permitir que otros usuarios lo lean m Los usuarios cambian las etiquetas de un archivo para permitir que otros usuarios lean el archivo Los usuarios desechan documentos confidenciales impresos sin destruirlos o los usuarios dejan documentos confide
431. rol se cre en la secci n C mo crear el rol de administrador de la seguridad en Trusted Extensions 56 usermod R secadmin jandoe C mo verificar que los roles de Trusted Extensions funcionan Para verificar cada rol asuma el rol A continuaci n realice tareas que s lo ese rol puede llevar a cabo e intente efectuar tareas para las que el rol no tiene autorizaci n Si ha configurado DNS o rutas debe reiniciar despu s de haber creado los roles y antes de verificar que los roles funcionen Para cada rol inicie sesi n como un usuario que pueda asumir el rol Asuma el rol m En un sistema que no est ejecutando un escritorio de varios niveles abra una ventana de terminal a Cambie de rol su rolename b Verifique que el indicador PRIV_PFEXEC est vigente ppriv flags PRIV_PFEXEC m En un escritorio de varios niveles asuma el rol En la siguiente banda de confianza el nombre de usuario es tester Trusted gt tester ERNMENT Cap tulo 4 Configuraci n de Trusted Extensions 61 C mo permitir que los usuarios inicien sesi n en una zona con etiquetas Antes de empezar a Haga clic en su nombre de usuario en la banda de confianza b De la lista de roles asignados seleccione un rol Pruebe el rol Para obtener informaci n sobre las autorizaciones necesarias para cambiar las propiedades de usuario consulte la p gina del comando man passwd 1 m E rol de administrador del sistema
432. roteger las impresoras y los b feres Se garantiza que los dispositivos no asignables no se de trama puedan asignar Ejemplo 21 1 Impedir la asignaci n remota del dispositivo de audio C mo proteger los dispositivos no asignables en Trusted Extensions 294 Utilizar una secuencia de comandos Se agrega una secuencia de comandos nueva en los device clean nueva lugares adecuados C mo agregar una secuencia de comandos device_clean en Trusted Extensions 295 vy Antes de empezar C mo configurar un dispositivo mediante Device Manager en Trusted Extensions De manera predeterminada los dispositivos asignables tienen un rango de etiquetas de ADMIN_LOW a ADMIN_HIGH y se deben asignar para su uso Adem s los usuarios deben estar autorizados para asignar dispositivos Estos valores predeterminados se pueden cambiar en un sistema de ventanas En un sistema sin un escritorio s lo los roles de la zona global pueden configurar y utilizar dispositivos asignables En un sistema de ventanas los siguientes dispositivos se pueden asignar para su uso audion indica un micr fono y un altavoz m cdromn indica una unidad de CD ROM m mag_tapen indica una unidad de cinta transmisi n por secuencias m rmdiskn indica un disco extra ble como una unidad Jaz o Zip o medios USB conectables Debe estar con el rol de administrador de la seguridad en la zona global En el men Trusted Path s
433. router tncfg unl_public_router gt set host_type unlabeled tncfg unl_public_router gt set doi 1 tncfg unl_public_router gt set def_label PUBLIC tncfg unl_public_router gt set min_label ADMIN_LOW tncfg unl_public_router gt set max_label ADMIN_HIGH tncfg unl_public_router gt exit Cap tulo 16 Gesti n de redes en Trusted Extensions 223 C mo agregar un host a una plantilla de seguridad ejemplo 16 6 ejemplo 16 7 A continuaci n el administrador agrega el enrutador a la plantilla de seguridad tncfg t unl_public_router tncfg unl_public_router gt add host 192 168 131 82 tncfg unl_public_router gt exit El sistema puede enviar y recibir de inmediato paquetes en todas las etiquetas por medio de router 1 el nombre de host de la direcci n 192 168 131 82 Creaci n de una puerta de enlace con un rango de etiquetas limitado En este ejemplo el administrador de la seguridad crea una plantilla que limita los paquetes a un rango de etiquetas estrecho y agrega la puerta de enlace a la plantilla arp 192 168 131 78 gateway ir example com 192 168 131 78 at 0 0 0 3 ab cd tncfg t cipso_iuo_rstrct tncfg cipso_iuo_rstrct gt set host_type cipso tncfg cipso_iuo_rstrct gt set doi 1 tncfg cipso_iuo_rstrct gt set min_label 0x0004 08 48 tncfg cipso_iuo_rstrct gt set max_label 0x0004 08 78 tncfg cipso_iuo_rstrct gt add host 192 168 131 78 tncfg cipso_iuo_rstrct gt exit El sistema puede enviar y recibir de inmediato paque
434. rsario obtenga acceso no autorizado al intentar adivinar las contrase as Asigne un rol al usuario El rol de usuario root o el rol de administrador de la seguridad realizan este paso usermod R oper jdoe Cap tulo 4 Configuraci n de Trusted Extensions 59 C mo crear usuarios que puedan asumir roles en Trusted Extensions 60 5 ejemplo 4 5 Personalice el entorno del usuario a Asigne autorizaciones convenientes Despu s de comprobar la pol tica de seguridad del sitio es posible que desee otorgar a los primeros usuarios el perfil de derechos de autorizaciones convenientes Con este perfil los usuarios pueden asignar dispositivos imprimir sin etiquetas iniciar sesi n de manera remota y apagar el sistema Para crear el perfil consulte C mo crear perfiles de derechos para autorizaciones convenientes 143 b Personalice los archivos de inicializaci n de usuario Consulte Personalizaci n del entorno de usuario para la seguridad 135 c Cree archivos de copia y enlace de varios niveles En un sistema de varios niveles los usuarios y los roles se pueden configurar mediante archivos que contienen los archivos de inicializaci n de usuario que se copiar n o enlazar n a otras etiquetas Para obtener m s informaci n consulte Archivos copy_files y link_ files 133 Uso del comando useradd para crear un usuario local En este ejemplo el rol de usuario root crea un usuario local que puede asum
435. rtual VNC Virtual Network Computing para visualizar el escritorio remoto de varios niveles y administrar el sistema Consulte C mo configurar un sistema Trusted Extensions con Xvnc para el acceso remoto 152 Configuraci n y administraci n de sistemas remotos en Trusted Extensions Despu s de activar la administraci n remota y antes de reiniciar el sistema remoto en Trusted Extensions puede configurar el sistema mediante la inform tica en red virtual VNC o el protocolo ssh TABLA 12 1 Mapa de tareas de configuraci n y administraci n de sistemas remotos en Trusted Extensions Tarea Descripci n Para obtener instrucciones Activar la administraci n remota de un sistema Trusted Extensions Permite la administraci n de sistemas Trusted Extensions desde clientes ssh especificados C mo activar la administraci n remota de un sistema Trusted Extensions remoto 150 Activar la inform tica en red virtual VNC Desde cualquier cliente se utiliza el servidor Xvnc en un sistema Trusted Extensions remoto para mostrar la sesi n de varios niveles del servidor al cliente C mo configurar un sistema Trusted Extensions con Xvnc para el acceso remoto 152 Iniciar sesi n de manera remota en un sistema Trusted Extensions Se asume un rol en el sistema remoto para administrarlo C mo realizar las tareas de inicio de sesi n y administraci n en un sistema Trusted Extensions remoto 155
436. rusted Extensions 281 Interfaz gr fica de usuario Device Manager oooccoconoconnconncnnncnnacnnancnnnnannnns 283 Aplicaci n de la seguridad de los dispositivos en Trusted Extensions 285 Dispositivos en Trusted Extensions referencia oooccocccoccnnconncnnncnnnnnnnos 286 21 Gesti n de dispositivos para Trusted Extensions oooccccccccccco o 287 Control de dispositivos en Trusted Extensions o cooccooccoccnnccnnconoconncnnncnnnos 287 Mapa de tareas de uso de dispositivos en Trusted Extensions oooooocommmmmmoo 287 Gesti n de dispositivos en Trusted Extensions oocoooccnonnocnnocnnncnnoncnonononono 288 Personalizaci n de autorizaciones para dispositivos en Trusted Extensions 296 22 Trusted Extensions y la auditor a ooocccocoocccccnoocccnonnnnccnnnnonos 303 Auditor a en Trusted Extensions ooocooocnnonnocnnocnnocnnononoconoconconncnnncnnncnnnss 303 Gesti n de auditor a por roles en Trusted Extensions ccooocconnccccnccnnnccnnnns 303 Referencia de auditor a de Trusted Extensions oocoooconoconocnnocnnocnnncnonnnannnos 304 23 Gesti n de software en Trusted Extensions oooocccccccoccnccccnccnnnnns 311 Agregaci n de software a Trusted Extensions cooccocccocccoccnnccnnccnncnnncnnnooo 311 A Pol tica de seguridad del sitio oooooccconconcnnncnnncononcnncononcnnconnnnno 315 Creaci n y gesti n de una p
437. rusted Extensions en los sistemas Oracle Solaris Cap tulo 3 Agregaci n de la funci n Trusted Extensions a Oracle Solaris proporciona instrucciones sobre la preparaci n de un sistema Oracle Solaris para Trusted Extensions Describe c mo activar Trusted Extensions y c mo iniciar sesi n Cap tulo 4 Configuraci n de Trusted Extensions proporciona instrucciones para la configuraci n de Trusted Extensions en un sistema con un monitor Cap tulo 5 Configuraci n de LDAP para Trusted Extensions proporciona instrucciones para configurar el servicio de nombres LDAP en los sistemas Trusted Extensions Parte I Configuraci n inicial de Trusted Extensions 15 16 Configuraci n y administraci n de Trusted Extensions Julio de 2014 CAP TULO 1 Planificaci n de la seguridad para Trusted Extensions La funci n Trusted Extensions de Oracle Solaris implementa una parte de la pol tica de seguridad del sitio en el software En este cap tulo se proporciona una descripci n general de la seguridad y los aspectos administrativos de la configuraci n del software m Novedades de Trusted Extensions en Oracle Solaris 11 2 17 Planificaci n de la seguridad en Trusted Extensions 18 Resultados de la activaci n de Trusted Extensions desde la perspectiva de un administrador 28 Novedades de Trusted Extensions en Oracle Solaris 11 2 En esta secci n se resalta la informaci n para clientes existentes sobre
438. rver address host 192 168 128 0 24 Application s client network Other addresses to be contacted at boot time tncfg t admin_low info name cipso host_type cipso doi 1 def label ADMIN_LOW min_label ADMIN_LOW max_label ADMIN_HIGH host 192 168 128 0 24 Application s client network host 0 0 0 0 0 Wildcard address Other addresses to be contacted at boot time Una vez que esta fase de prueba finaliza correctamente el administrador bloquea la configuraci n Para ello elimina la direcci n comod n predeterminada 0 0 0 0 0 confirma el cambio y a continuaci n agrega la direcci n espec fica tncfg t admin_low info tncfg admin_low gt remove host 0 0 0 0 tncfg admin_low gt commit tncfg admin_low gt add host 0 0 0 0 32 For initial client contact tncfg admin_low gt exit La configuraci n admin_low final es similar a la siguiente tncfg t admin_low name cipso 232 Configuraci n y administraci n de Trusted Extensions Julio de 2014 C mo limitar los hosts que se pueden contactar en la red de confianza ejemplo 16 19 host_type cipso doi 1 def label ADMIN_LOW min_label ADMIN_LOW max_label ADMIN_HIGH 192 168 128 0 24 Application s client network host 0 0 0 0 32 For initial client contact Other addresses to be contacted at boot time La entrada 0 0 0 0 32 s lo permite que los clientes de la aplicaci n accedan al servidor de aplicaciones Configuraci n de una direcci n inicial v lida para un servidor
439. s Activaci n de Trusted Extensions 36 Mapa de tareas selecci n de una configuraci n de Trusted Extensions Configure Trusted Extensions en el sistema mediante uno de los m todos mencionados en el siguiente mapa de tareas Cap tulo 2 Gu a b sica de configuraci n de Trusted Extensions 29 Mapa de tareas configuraci n de Trusted Extensions con los valores predeterminados proporcionados Tarea Para obtener instrucciones Crear un sistema Trusted Extensions de demostraci n Crear un sistema Trusted Extensions empresarial Mapa de tareas configuraci n de Trusted Extensions con los valores predeterminados proporcionados 30 Mapa de tareas configuraci n de Trusted Extensions para cumplir los requisitos del sitio 30 Configurar Trusted Extensions en un sistema remoto Active Trusted Extensions sin reiniciar Siga las instrucciones descritas en el Cap tulo 12 Administraci n remota en Trusted Extensions Luego contin e con las instrucciones para sistemas con monitores Configurar Trusted Extensions en un servidor Sun Ray de Oracle Consulte el sitio web Sun Ray Products Documentation http www oracle com technetwork server storage sunrayproducts docs index html Para configurar comunicaciones iniciales de cliente servidor consulte Etiquetado de hosts y redes 215 Mapa de tareas configuraci n de Trusted Extensions con los valores predetermi
440. s Configure el servicio nscd de cada zona Para obtener ayuda consulte la p gina del comando man nscd 1M Reinicie el sistema usr sbin reboot Tras el reinicio la cuenta del usuario que asumi el rol root para ejecutar el gestor de zonas etiquetadas en el Paso 1 est configurada en cada zona Otras cuentas que son espec ficas de una zona etiquetada se deben agregar manualmente a la zona Nota Las cuentas que est n almacenadas en el repositorio LDAP siguen siendo gestionadas desde la zona global Para cada zona verifique la ruta y el daemon de servicio de nombres a En la consola de zona muestre el servicio nscd zone name svcs x name service cache svc system name service cache default name service cache State online since September 10 2012 10 10 12 AM PDT See nscd 1M See var svc log system name service cache default log Impact None b Verifique la ruta a la subred zone name netstat rn Eliminaci n de una cach de servicio de nombres en cada zona con etiquetas Despu s de probar un daemon de servicio de nombres por zona el administrador del sistema decide eliminar los daemons de servicio de nombres de las zonas con etiquetas y ejecutar el daemon s lo en la zona global Para restablecer el sistema a la configuraci n predeterminada del servicio de nombres el administrador abre la interfaz gr fica de usuario txzonemgr selecciona la zona global y a continuaci n selecciona Unconfigure per
441. s o job sheets none none Tambi n puede especificar none una vez 276 Configuraci n y administraci n de Trusted Extensions Julio de 2014 C mo asignar una etiqueta a un servidor de impresi n sin etiquetas Antes de empezar 1 ejemplo 19 1 lpadmin p print server IP address o job sheets none Las p ginas del cuerpo siguen estando etiquetadas Para eliminar etiquetas de p ginas del cuerpo consulte C mo permitir que usuarios y roles espec ficos omitan el etiquetado de la salida impresa 278 C mo asignar una etiqueta a un servidor de impresi n sin etiquetas Un sistema Trusted Extensions puede asignarle una etiqueta a un servidor de impresi n de Oracle Solaris para tener acceso a una impresora en esa etiqueta Los trabajos se imprimen en la etiqueta asignada sin etiquetas Si un trabajo se imprime con la p gina de la car tula es porque la p gina no contiene ninguna informaci n de seguridad El sistema Trusted Extensions puede configurarse para que env en trabajos a una impresora gestionada con un servidor de impresi n sin etiquetas Los usuarios pueden imprimir trabajos en la impresora sin etiquetar en la etiqueta asignada Debe estar con el rol de administrador de la seguridad en la zona global Asigne una plantilla sin etiquetas en el servidor de impresi n Para obtener detalles consulte C mo agregar un host a una plantilla de seguridad 221 Los usuarios que trabajan en la etiqueta asignada
442. s se les asignan una etiqueta predeterminada y un rango de etiquetas La etiqueta del espacio de trabajo del usuario se ala la etiqueta de los procesos del usuario Ventanas se pueden visualizar las etiquetas en la parte superior de las ventanas del escritorio La etiqueta del escritorio tambi n se se ala por color El color aparece en el panel del espacio de trabajo y arriba de las barras de t tulo de las ventanas como se muestra en la Figura 6 1 Escritorio de varios niveles de Trusted Extensions Cuando se mueve una ventana a un escritorio de trabajo con etiquetas diferentes la ventana conserva la etiqueta original Los procesos que se inician en la ventana se ejecutan en la etiqueta original Zonas cada zona tiene una etiqueta Los archivos y los directorios que son propiedad de una zona se encuentran en la etiqueta de la zona Para obtener m s informaci n consulte la p gina del comando man getzonepath 1 Cap tulo 6 Conceptos de la administraci n de Trusted Extensions 99 Conceptos b sicos de Trusted Extensions 100 Roles y Trusted Extensions En un sistema que ejecuta el software Oracle Solaris sin Trusted Extensions los roles son opcionales En un sistema configurado con Trusted Extensions varios roles aparte de root administran el sistema Normalmente el rol de administrador del sistema y el rol de administrador de la seguridad realizan la mayor a de las funciones administrativas En algunos casos e
443. s archivos que se incluir n en los archivos de inicio consulte Acerca del entorno de trabajo del usuario de Gesti n de las cuentas de usuario y los entornos de usuario en Oracle Solaris 11 2 m Para obtener detalles consulte C mo personalizar los archivos de inicializaci n de usuario de Gesti n de las cuentas de usuario y los entornos de usuario en Oracle Solaris 11 27 Opcional Cree un subdirectorio skelP para los usuarios cuyo shell predeterminado sea un shell del perfil P indica el shell Profile Copie los archivos de inicio personalizados en el directorio de estructura b sica apropiado Utilice el nombre de ruta skelX apropiado cuando cree el usuario X representa la letra con la que comienza el nombre del shell por ejemplo B para un shell Bourne K para un shell Korn C para un shell C y P para un shell Profile Personalizaci n de los archivos de inicio para los usuarios En este ejemplo el administrador del sistema configura archivos para el directorio principal de cada usuario Los archivos se encuentran en su lugar antes de que cualquier usuario Cap tulo 11 Gesti n de usuarios derechos y roles en Trusted Extensions 139 C mo configurar los archivos de inicio para los usuarios en Trusted Extensions 140 Errores m s frecuentes inicie sesi n Los archivos est n en la etiqueta m nima del usuario En este sitio el shell predeterminado de los usuarios es el shell C El administ
444. s de seguridad espec ficas del sitio Puede crear plantillas de seguridad espec ficas del sitio si desea realizar alguna de las siguientes acciones para los hosts con los que se comunica m Limite el rango de etiquetas de un host o un grupo de hosts m Cree un host de una sola etiqueta en una etiqueta distinta de ADMIN_LOW m Requiera una etiqueta predeterminada para hosts sin etiquetas que no sea AD MIN_LOW Cree un host que reconozca un conjunto limitado de etiquetas m Utilice un dominio de interpretaci n distinto de 1 a Env e informaci n desde hosts sin etiquetar especificados hasta una interfaz de red de confianza configurada para asignar la etiqueta correcta a los paquetes desde los hosts sin etiquetas Cap tulo 16 Gesti n de redes en Trusted Extensions 215 C mo ver plantillas de seguridad Visualizaci n de plantillas de seguridad existentes Antes de etiquetar redes y hosts remotos revise la plantillas de seguridad proporcionadas y aseg rese de que puede acceder a las redes y los hosts remotos Para obtener instrucciones consulte lo siguiente Ver las plantillas de seguridad Consultar C mo ver plantillas de seguridad 216 m Determinar si el sitio requiere plantillas de seguridad personalizadas Consultar C mo determinar si necesita plantillas de seguridad espec ficas del sitio 215 Agregar sistemas y redes a la red de confianza Consultar C mo agregar hosts a la red conocida del sistema
445. s de auditor a adicionales 306 planificaci n 25 pol ticas de auditor a adicionales 309 referencia 303 roles de administraci n 303 tareas 304 tokens de auditor a adicionales 306 autorizaci n asignaci n de dispositivos 300 impresi n sin etiquetas 276 autorizaci n Allocate Device 143 282 300 autorizaci n Configure Device Attributes 301 autorizaci n Downgrade DragNDrop or CutPaste Info 143 autorizaci n Downgrade File Label 143 autorizaci n DragN Drop or CutPaste without viewing contents 143 autorizaci n Print without Banner 143 autorizaci n Print without Label 143 autorizaci n Remote Login 143 autorizaci n Revoke or Reclaim Device 300 301 autorizaci n Shutdown 143 autorizaci n solaris print nobanner 138 autorizaci n solaris print unlabeled 138 autorizaci n Upgrade DragNDrop or CutPaste Info 143 autorizaci n Upgrade File Label 143 autorizaciones agregar nuevas autorizaciones para dispositivos 297 Allocate Device 282 300 asignaci n 132 351 ndice asignaci n de autorizaciones para dispositivos 300 autorizar a un usuario o rol a cambiar etiquetas 145 Configure Device Attributes 301 convenientes para usuarios 143 creaci n de autorizaciones para dispositivos locales y remotos 298 creaci n de autorizaciones para dispositivos personalizadas 297 otorgadas 95 perfiles que incluyen autorizaciones de asignaci n de dispositivos 301 personalizaci n para dispositivos 300 Re
446. s de montaje LOFS especificados con el comando zonecfg Para conocer el procedimiento consulte C mo crear y compartir un conjunto de datos de varios niveles 69 Mediante los procesos con privilegios adecuados en la zona global o las zonas etiquetadas se pueden volver a etiquetar archivos y directorios Para ver ejemplos de reetiquetado consulte Gu a del usuario de Trusted Extensions Fn la zona global se pueden ver todos los archivos del conjunto de datos de varios niveles Se pueden modificar los archivos montados que tienen la etiqueta ADMIN_HIGH Cap tulo 14 Gesti n y montaje de archivos en Trusted Extensions 175 Pol ticas de Trusted Extensions para sistemas de archivos montados 176 a Fn una zona etiquetada el conjunto de datos de varios niveles est montado mediante LOFS Se pueden ver los archivos montados en la misma etiqueta o en un nivel inferior que la zona Se pueden modificar los archivos montados en la misma etiqueta que la zona Los conjuntos de datos de varios niveles tambi n se pueden compartir desde la zona global mediante NFS Los clientes remotos pueden ver los archivos que est n dominados por la etiqueta de red y modificar los archivos con las mismas etiquetas Sin embargo el reetiquetado no es posible en un conjunto de datos de varios niveles montado mediante NES Para obtener informaci n sobre los montajes NFS consulte Montaje de conjuntos de datos de varios niveles desde otro sistema 1
447. s desde la perspectiva de un A TN 28 2 Gu a b sica de configuraci n de Trusted Extensions c oconooooooooo o 29 Mapa de tareas preparaci n y activaci n de Trusted Extensions coooccooo 29 Mapa de tareas selecci n de una configuraci n de Trusted Extensions 29 Mapa de tareas configuraci n de Trusted Extensions con los valores predeterminados proporcionados oocccooccnnnccnonoconnncnnnnconnnoconncononncrnnnncnoncnnns 30 Mapa de tareas configuraci n de Trusted Extensions para cumplir los TEQU sitos del SiO ita E laa 30 3 Agregaci n de la funci n Trusted Extensions a Oracle Solaris 33 Responsabilidades del equipo de configuraci n inicial ooocconocccnnncnnnoo 33 Resoluci n de problemas de seguridad antes de instalar Trusted Extensions 33 Instalaci n y activaci n de Trusted Extensions ooocconoccconoccnnccnonnccnnnncnonocnns 35 4 Configuraci n de Trusted Extensions ooccccncccncnococononononononononoss 39 Configuraci n de la zona global en Trusted Extensions ocoooccccnnccnnnccnnnocnns 39 Creaci n de zonas CON etiquetas occoooccccncccnnconnncnnnncnnnnccnnnncnonccnnnncinnnnnnns 43 Configuraci n de las interfaces de red en Trusted Extensions coooccconcccnnoccnno 49 Creaci n de roles y usuarios en Trusted Extensions oocccoooccnooccnnnccnnnncnnnonns 56 Creaci n de directorios principales centralizados en Trusted Extensions
448. s etiquetas de seguridad de las opciones IP de CALIPSO o CIPSO se visualizan en estas LAN Las subredes 192 168 son redes no de confianza de una sola etiqueta que funcionan en la etiqueta PUBLIC Estas redes no admiten las opciones IP de CALIPSO o CIPSO m El tr fico con etiquetas entre euro vpn y calif vpn est protegido contra cambios no autorizados Antes de empezar Debe estar con el rol de usuario root en la zona global 1 Siga los procedimientos descriptos en Etiquetado de hosts y redes 215 para definir lo siguiente a Agregue las direcciones IP 10 0 0 0 8 a una plantilla de seguridad con etiquetas Utilice una plantilla con un tipo de host cipso Conserve el rango de etiquetas predeterminado de ADMIN_LOWa ADMIN_HIGH b Agregue las direcciones IP 192 168 0 0 16 a una plantilla de seguridad sin etiquetas en la etiqueta PUBLIC 240 Configuraci n y administraci n de Trusted Extensions Julio de 2014 C mo configurar un t nel en una red que no es de confianza Utilice una plantilla con un tipo de host sin etiquetas Defina PUBLIC como la etiqueta predeterminada Conserve el rango de etiquetas predeterminado de ADMIN_LOW a ADMIN_HIGH Agregue las direcciones de Internet Calif vpn y Euro vpn 192 168 13 213 y 192 168 116 16 a una plantilla cipso Conserve el rango de etiquetas predeterminado Cree un t nel IPsec Siga el procedimiento descripto en C mo proteger la conexi n entre dos LAN con IPs
449. s pueden cambiar la pol tica en extensiones de servidor X que son exclusivas de Trusted Extensions Para obtener m s informaci n consulte la p gina de comando man TrustedExtensionsPolicy 4 Aplicaci n de los requisitos de seguridad A fin de garantizar que la seguridad del sistema no se vea comprometida los administradores necesitan proteger las contrase as los archivos y los datos de auditor a Debe formar a los usuarios para que hagan su parte Para cumplir con los requisitos de una configuraci n evaluada siga las directrices descritas de esta secci n Usuarios y requisitos de seguridad Cada administrador de la seguridad del sitio debe garantizar que los usuarios reciban la formaci n necesaria sobre procedimientos de seguridad El administrador de la seguridad Cap tulo 8 Sobre los requisitos de seguridad en un sistema Trusted Extensions 109 Aplicaci n de los requisitos de seguridad 110 necesita comunicar las siguientes reglas a los empleados nuevos y recordarlas a los empleados existentes con regularidad No diga a nadie la contrase a Cualquiera que conozca su contrase a puede acceder a la misma informaci n que usted sin identificarse y por lo tanto sin tener que responsabilizarse No escriba su contrase a en un papel ni la incluya en un correo electr nico Elija contrase as que sean dif ciles de adivinar No env e su contrase a a nadie por correo electr nico No deje su equipo desate
450. s que se pueden contactar en la red de confianza 229 a Aumente la seguridad mediante la especificaci n de sistemas para contactar durante el inicio Consulte el Ejemplo 16 16 Cambio de la etiqueta de la direcci n IP 0 0 0 0 0 Configure un servidor de aplicaciones para aceptar el contacto inicial desde un cliente remoto Consulte el Ejemplo 16 18 C mo hacer que la direcci n de host 0 0 0 0 32 sea una direcci n inicial v lida Configure un servidor Sun Ray con etiquetas para aceptar el contacto inicial desde un cliente remoto Consulte el Ejemplo 16 19 Configuraci n de una direcci n inicial v lida para un servidor Sun Ray etiquetado C mo limitar los hosts que se pueden contactar en la red de confianza Este procedimiento protege los hosts con etiquetas del contacto de hosts sin etiquetas arbitrarios Cuando Trusted Extensions est instalado la plantilla de seguridad predeterminada admin_low define cada host de la red Utilice este procedimiento para enumerar hosts sin etiquetas espec ficos Los valores de la red de confianza local de cada sistema se utilizan para establecer contacto con la red durante el inicio De manera predeterminada cada host que no se proporciona con una Cap tulo 16 Gesti n de redes en Trusted Extensions 229 C mo limitar los hosts que se pueden contactar en la red de confianza A Antes de empezar plantilla cipso se define mediante la plantilla admin_low Esta plantil
451. s y roles en Trusted Extensions 129 Atributos de seguridad del usuario predeterminados en Trusted Extensions esas aplicaciones agregan a una zona etiquetada deben estar gestionadas manualmente por el administrador de zona Nota Las cuentas que almacena en LDAP siguen siendo gestionadas desde la zona global Atributos de seguridad del usuario predeterminados en Trusted Extensions 130 Las configuraciones de los archivos label_encodings y policy conf definen conjuntamente los atributos de seguridad predeterminados para las cuentas de usuario Los valores que establece expl citamente para un usuario sustituyen estos valores de sistema Algunos valores que se establecen en estos archivos tambi n se aplican a las cuentas de rol Para conocer los atributos de seguridad que puede establecer expl citamente consulte Atributos de usuario que pueden configurarse en Trusted Extensions 131 Valores predeterminados del archivo label _encodings El archivo label_encodings define la visualizaci n de la etiqueta predeterminada la etiqueta m nima y la acreditaci n del usuario Para obtener detalles sobre el archivo consulte la p gina del comando man label_encodings 4 El archivo label_encodings fue instalado por el equipo de configuraci n inicial Las decisiones se basaron en Dise o de una estrategia de etiqueta 20 y en los ejemplos de Trusted Extensions Label Administration Los valores de etiquetas que el administ
452. salida con etiquetas Reducci n de las restricciones de impresi n en Trusted Extensions 276 Usar esta zona como servidor de impresi n C mo activar un cliente de Trusted Extensions para que acceda a un impresora 273 C mo activar un cliente de Trusted Extensions para que acceda a un impresora Inicialmente nicamente la zona en la que se configur un servidor de impresi n puede imprimir en las impresoras de ese servidor El administrador del sistema debe agregar expl citamente el acceso a esas impresoras para otras zonas y sistemas Las posibilidades son las siguientes m Para una zona global agregue el acceso a las impresoras compartidas que est n conectadas a una zona global en un sistema diferente m Para una zona etiquetada agregue el acceso a las impresoras compartidas que est n conectadas a la zona global del sistema Cap tulo 19 Gesti n de impresi n con etiquetas 273 C mo activar un cliente de Trusted Extensions para que acceda a un impresora Antes de empezar m Para una zona etiquetada agregue el acceso a una impresora compartida para la cual est configurada una zona remota en la misma etiqueta m Para una zona etiquetada agregue el acceso a las impresoras compartidas que est n conectadas a una zona global en un sistema diferente Debe haber un servidor de impresi n configurado con un rango de etiquetas o una sola etiqueta Adem s las impresoras que est n conectadas al servidor de impr
453. se muestran en la Tabla 1 2 Valores predeterminados de seguridad de Trusted Extensions para las cuentas de usuario Cuando se muestran dos valores el primero es el valor predeterminado El administrador de la seguridad puede modificar estos valores predeterminados para reflejar la pol tica de seguridad del sitio Una vez que el administrador de la seguridad define los valores predeterminados el administrador del sistema puede crear todos los usuarios que heredan los valores predeterminados establecidos Para obtener descripciones de las palabras clave y los valores predeterminados consulte las p ginas del comando man label_encodings 4 y policy conf 4 TABLA 1 2 Valores predeterminados de seguridad de Trusted Extensions para las cuentas de usuario Nombre de archivo Palabra clave Valor etc security policy conf IDLECMD lock Logout IDLETIME 15 CRYPT_ALGORITHMS _ALLOW 1 2a md5 5 6 CRYPT_DEFAULT 5 sha256 LOCK_AFTER_RETRIES no yes PRIV_DEFAULT basic Cap tulo 1 Planificaci n de la seguridad para Trusted Extensions 25 Planificaci n de la seguridad en Trusted Extensions 26 Nombre de archivo Palabra clave Valor PRIV_LIMIT all AUTHS_GRANTED solaris device cdrw CONSOLE_USER Console User PROFS_GRANTED Basic Solaris User Secci n LOCAL DEFINITIONS de Acreditaci n de usuario CNF INTERNAL USE ONLY etc security tsol label encodings Predeterminada Etiqueta de sensibilidad de usuario PUBLIC predet
454. seguridad en Trusted Extensions Antes de empezar Debe estar con el rol de usuario root en la zona global 1 Para crear el rol utilice el comando roleadd 56 Configuraci n y administraci n de Trusted Extensions Julio de 2014 C mo crear el rol de administrador de la seguridad en Trusted Extensions Para obtener m s informaci n sobre el comando consulte la p gina del comando man roleadd 1M Nota Para utilizar los roles de ARMOR consulte el ejemplo de ARMOR en la secci n Creaci n de roles de Protecci n de los usuarios y los procesos en Oracle Solaris 11 2 Utilice la siguiente informaci n como gu a m Nombre del rol secadmin m c Local Security Officer No proporcione informaci n de propiedad exclusiva m mhome directory urole UID m S repository m K key value Asigne los perfiles de derechos de seguridad de la informaci n y seguridad de usuarios Nota Para todos los roles administrativos utilice las etiquetas administrativas para el rango de etiquetas audite los usos de los comandos administrativos defina lock_after_retries no y no establezca fechas de caducidad para las contrase as roleadd c Local Security Officer m u 110 K profiles Information Security User Security S files Y K lock_after_retries no K audit_flags cusa no secadmin Proporcione una contrase a inicial para el rol passwd r files secadmin New Password XXXXXXXX Re enter new Password XXX
455. si n El rango de sesi n es el conjunto de etiquetas que est n disponibles para un usuario durante una sesi n de Trusted Extensions El rango de sesi n deber estar dentro del rango de etiquetas de cuenta del usuario y el conjunto de rangos de etiquetas del sistema En el inicio de sesi n si el usuario selecciona el modo de sesi n de una sola etiqueta el rango de sesi n se limita a esa etiqueta Si el usuario selecciona el modo de sesi n de varias etiquetas la etiqueta que el usuario selecciona se convierte en la acreditaci n de sesi n La acreditaci n de sesi n define el l mite superior del rango de sesi n La etiqueta m nima del usuario define el l mite inferior El usuario inicia la sesi n en un espacio de trabajo ubicado en la etiqueta m nima Durante la Configuraci n y administraci n de Trusted Extensions Julio de 2014 Conceptos b sicos de Trusted Extensions sesi n el usuario puede cambiar a un espacio de trabajo que se encuentre en cualquier etiqueta dentro del rango de sesi n Qu protegen las etiquetas y d nde aparecen Las etiquetas aparecen en el escritorio y en la salida que se ejecuta en el escritorio como las copias impresas Aplicaciones son las aplicaciones que inician los procesos Dichos procesos se ejecutan en la etiqueta del espacio de trabajo en que se inicia la aplicaci n Una aplicaci n de una zona con etiquetas como un archivo se etiqueta en la etiqueta de la zona Dispositi
456. sions limita las opciones de escritorio de los usuarios Por ejemplo los usuarios disponen de un tiempo limitado de inactividad de la estaci n de trabajo antes de que se bloquee la pantalla De manera predeterminada los usuarios no pueden apagar el sistema Sistemas de varios perif ricos y escritorio de Trusted Extensions Cuando los monitores de un sistema de varios perif ricos de Trusted Extensions est n configurados de forma horizontal la banda de confianza abarca todos los monitores Cuando los monitores est n configurados de forma vertical la banda de confianza aparece en el monitor ubicado en el extremo inferior Sin embargo cuando se visualizan diferentes espacios de trabajo en los monitores de un sistema de varios encabezados Trusted GNOME muestra una banda de confianza en cada monitor Conceptos b sicos de Trusted Extensions El software Trusted Extensions agrega etiquetas a un sistema Oracle Solaris Tambi n se agregan espacios de trabajo con etiquetas y aplicaciones de confianza como Device Manager y el generador de etiquetas Los conceptos de esta secci n son necesarios para que los usuarios y los administradores comprendan Trusted Extensions En la Gu a del usuario de Trusted Extensions se presentan estos conceptos para los usuarios Protecciones de Trusted Extensions El software Trusted Extensions mejora la protecci n del SO Oracle Solaris Trusted Extensions restringe los usuarios y los roles a un rango d
457. sistema debe especificar un nombre de usuario y un ID de usuario nicos al crear una nueva cuenta Cuando selecciona el nombre y el ID de una nueva cuenta debe asegurarse de que tanto el nombre de usuario como el ID asociado no est n duplicados en ninguna parte de la red ni se hayan utilizado previamente El rol de administrador de la seguridad tiene la responsabilidad de especificar la contrase a original para cada cuenta y de comunicar las contrase as a los usuarios de cuentas nuevas Debe tener en cuenta la siguiente informaci n al administrar las contrase as Configuraci n y administraci n de Trusted Extensions Julio de 2014 Aplicaci n de los requisitos de seguridad m Aseg rese de que las cuentas para los usuarios que pueden asumir el rol de administrador de la seguridad se hayan configurado de manera que la cuenta no se pueda bloquear Esta pr ctica garantiza que al menos una cuenta siempre pueda iniciar sesi n y asumir el rol de administrador de la seguridad para volver a abrir las cuentas de todos los dem s si estas se bloquean Comunique la contrase a al usuario de una cuenta nueva de modo tal que nadie m s pueda enterarse de cu l es la contrase a a Cambie la contrase a de una cuenta ante la m s m nima sospecha de que alguien que no debiera conocer la contrase a la haya descubierto m Nunca use los nombres de usuario o los ID de usuario m s de una vez durante la vida til del sistema Al asegurarse de
458. sona o indirecta si el usuario escribe la contrase a o selecciona una contrase a insegura Trusted Extensions ofrece protecci n contra contrase as inseguras pero no puede evitar que un usuario divulgue su contrase a o la escriba m Si no instal los paquetes de escritorio abra un terminal y asuma el rol root m Si ha instalado los paquetes de escritorio realice los siguientes pasos a Utilice el mouse para cerrar la ventana Status y la ventana Clearance b Cierre el cuadro de di logo que indica que la etiqueta PUBLIC no tiene ninguna zona coincidente Cree la zona despu s de asumir el rol root c Para asumir el rol root haga clic en el nombre de inicio de sesi n en la banda de confianza Seleccione el rol root en el men desplegable Consideraciones de seguridad Antes de dejar el sistema desatendido debe cerrar la sesi n o bloquear la pantalla De lo contrario una persona puede acceder al sistema sin la necesidad de una identificaci n o autenticaci n y esa persona no se podr a identificar claramente ni responsabilizar Contin e con uno de los siguientes pasos m Para configurar la zona global vaya a Configuraci n de la zona global en Trusted Extensions 39 m Para configurar un sistema predeterminado vaya a Creaci n de zonas con etiquetas 43 m Siel sistema no tiene una pantalla gr fica vuelva al Cap tulo 12 Administraci n remota en Trusted Extensions 38 Configuraci n y administra
459. spositivos se deben asignar para su uso m Siinstala el sistema de ventanas el software crea un escritorio de confianza Solaris Trusted Extensions GNOME Este entorno de ventanas con etiquetas proporciona espacios de trabajo administrativos en la zona global Estos espacios de trabajo est n protegidos por Trusted Path visible en la banda de confianza Adem s Trusted Extensions proporciona las interfaces gr ficas de usuario para administrar el sistema Para obtener una lista consulte el Cap tulo 7 Herramientas de administraci n de Trusted Extensions 28 Configuraci n y administraci n de Trusted Extensions Julio de 2014 e e CAP TULO 2 Gu a b sica de configuraci n de Trusted Extensions Este cap tulo describe las tareas para activar y configurar la funci n Trusted Extensions de Oracle Solaris A Atenci n Si desea activar y configurar Trusted Extensions de manera remota lea atentamente el Cap tulo 12 Administraci n remota en Trusted Extensions antes de iniciar el entorno Trusted Extensions Mapa de tareas preparaci n y activaci n de Trusted Extensions Para preparar el sistema y activar Trusted Extensions complete las siguientes tareas Tarea Para obtener instrucciones Reunir informaci n y tomar decisiones relacionadas con el sistema y la red de Trusted Extensions Resoluci n de problemas de seguridad antes de instalar Trusted Extensions 33 Activar Trusted Extension
460. sted Extensions predeterminado Nota Si tiene previsto utilizar LDAP vaya al Cap tulo 5 Configuraci n de LDAP para Trusted Extensions Debe configurar LDAP antes de crear zonas con etiquetas TABLA 4 2 Creaci n de zonas con etiquetas Tarea Descripci n Para obtener instrucciones 1a Crear una configuraci n predeterminada de Trusted Extensions El comando txzonemgr c crea dos zonas con etiquetas a partir del archivo label_encodings Este comando se puede ejecutar en un sistema que no tiene un escritorio C mo crear un sistema Trusted Extensions predeterminado 44 1b Crear una configuraci n predeterminada de Trusted Extensions mediante una interfaz gr fica de usuario La secuencia de comandos txzonemgr crea una interfaz gr fica de usuario que presenta las tareas correspondientes a medida que configura el sistema C mo crear zonas con etiquetas de forma interactiva 45 1c Avanzar manualmente por la creaci n de zonas Crear una zona con etiquetas con los comandos de zonas La secuencia de comandos txzonemgr crea una interfaz gr fica de usuario que presenta las tareas correspondientes a medida que configura el sistema Crea una zona con etiquetas Este procedimiento se puede ejecutar en un sistema que no tiene un escritorio C mo crear zonas con etiquetas de forma interactiva 45 C mo crear zonas con etiquetas mediante el comando zonecfg 49 2 Crear un entorno c
461. sted Extensions proporciona interfaces para el software El comando labeladm activa y desactiva el servicio labeld y establece el archivo label_encodings para un sistema Trusted Extensions Las siguientes interfaces est n disponibles nicamente cuando se ejecuta el software Trusted Extensions Secuencia de Proporciona un asistente basado en men para crear instalar inicializar comandos e iniciar las zonas con etiquetas El t tulo del men es Labeled Zone txzonemgr Manager Esta secuencia de comandos tambi n proporciona opciones de men para las opciones de redes y de servicios de nombres y para establecer la zona global como cliente de un servidor LDAP existente En la versi n Oracle Solaris 11 el comando txzonemgr c omite los men s para crear las primeras dos zonas con etiquetas Device Manager En Trusted Extensions se utiliza esta interfaz gr fica de usuario para administrar dispositivos Los administradores utilizan el cuadro de di logo Device Administration para configurar dispositivos Los roles y los usuarios comunes utilizan Device Allocation Manager para asignar dispositivos La interfaz gr fica de usuario est disponible desde el men Trusted Path Label Builder Se invoca esta aplicaci n cuando el usuario puede elegir una etiqueta o una acreditaci n Esta aplicaci n tambi n aparece cuando un rol asigna Ap ndice C Referencia r pida a la administraci n de Trusted Extensions 327 Interfaces de Oracle Solaris
462. stema Trusted Extensions Antes de empezar 146 1 profiles Object Upgrade gt commit profiles Object Upgrade gt end Luego el administrador asigna el perfil a un usuario de confianza usermod P 0bject Upgrade jdoe C mo suprimir una cuenta de usuario de un sistema Trusted Extensions Cuando se elimina del sistema a un usuario debe asegurarse de que tambi n se supriman el directorio principal del usuario y cualquier otro objeto que sea propiedad del usuario Como alternativa a la supresi n de objetos que sean propiedad del usuario puede transferir la propiedad de estos objetos a un usuario v lido Tambi n debe asegurarse de que se supriman todos los trabajos por lotes que est n asociados con el usuario Ning n objeto o proceso que pertenezca a un usuario eliminado puede permanecer en el sistema Debe estar con el rol de administrador del sistema en la zona global Archive el directorio principal del usuario en cada etiqueta Archive los archivos de correo del usuario en cada etiqueta Suprima la cuenta de usuario userdel r jdoe En cada zona con etiquetas suprima manualmente los directorios del usuario y sus archivos de correo Nota Deber buscar y suprimir los archivos temporales del usuario en todas las etiquetas como los archivos de los directorios tmp Para conocer otras consideraciones consulte Pr cticas de supresi n de usuarios 112 Configuraci n y administraci n de Trusted
463. stemas de archivos 187 usuarios 129 135 141 zonas 162 zonas por uso txzonemgr 162 administraci n remota m todos 148 349 ndice valores predeterminados 147 administradores de la seguridad Ver rol de administrador de la seguridad agregaci n bases de datos de red al servidor LDAP 83 conjuntos de datos de varios niveles 69 daemon nscd a cada zona con etiquetas 54 daemon nscd espec fico de zona 54 hosts remotos 53 interfaces de red compartidas 50 interfaces l gicas 51 interfaces VNIC 52 paquetes Trusted Extensions 36 plantillas de host remoto 218 protecciones IPsec 238 rol LDAP con roleada 58 rol local con roleadd 56 roles 56 usuario local con userada 60 usuarios que puedan asumir roles 58 zonas secundarias 68 aplicaci n usr bin tsoljdsselmgr 112 aplicaci n tsoljdsselmgr 112 aplicaciones activaci n del contacto de red inicial entre el cliente y el servidor 232 de confianza y confiables 312 evaluaci n para la seguridad 314 aplicaciones comerciales evaluaci n 314 aplicaciones de confianza en un espacio de trabajo de rol 101 archivo copy_files configuraci n para usuarios 138 139 descripci n 133 archivo link_ files configuraci n para usuarios 138 descripci n 133 archivo etc default kbd c mo editar 124 archivo etc default login c mo editar 124 archivo etc default passwd c mo editar 124 archivo etc hosts 217 archivo etc securi
464. straci n local del servidor se crear a una zona en la etiqueta m nima Para administrar el sistema el administrador inicia sesi n como un usuario y desde el espacio de trabajo de usuario asume el rol adecuado Para obtener m s informaci n consulte Trusted Extensions Label Administration Tambi n puede consultar Compartmented Mode Workstation Labeling Encodings Format Para clientes internacionales de Trusted Extensions Al localizar un archivo label_encodings los clientes internacionales deben localizar s lo los nombres de las etiquetas Los nombres de las etiquetas administrativas ADMIN_HIGH y ADMIN_LOW no se deben localizar Todos los hosts con etiquetas que contacte de cualquier proveedor deber n tener nombres de etiqueta que coincidan con los nombres de etiqueta incluidos en el archivo label_encodings Planificaci n del hardware y la capacidad del sistema para Trusted Extensions El hardware del sistema incluye el sistema en s y los dispositivos conectados Estos dispositivos incluyen unidades de cinta micr fonos unidades de CD ROM y paquetes de Configuraci n y administraci n de Trusted Extensions Julio de 2014 Planificaci n de la seguridad en Trusted Extensions discos La capacidad del hardware incluye la memoria del sistema las interfaces de red y el espacio en el disco m Siga las recomendaciones para instalar Oracle Solaris como se describe en Instalaci n de sistemas Oracle Sol
465. strador del sistema en la zona global En un editor cree la secuencia de comandos getmounts Proporcione el nombre de la ruta de la secuencia de comandos por ejemplo usr local scripts getmounts Agregue el siguiente contenido y guarde el archivo bin sh for i in usr sbin mount p cut d f3 do usr bin getlabel i done Pruebe la secuencia de comandos en la zona global usr local scripts getmounts ADMIN_HIGH dev ADMIN_HIGH system contract ADMIN_HIGH proc ADMIN_HIGH system volatile ADMIN_HIGH system object ADMIN_HIGH lib libc so 1 ADMIN_HIGH dev fd ADMIN_HIGH tmp ADMIN_HIGH Configuraci n y administraci n de Trusted Extensions Julio de 2014 C mo montar en bucle de retorno un archivo que no suele estar visible en una zona con etiquetas ejemplo 13 1 etc mnttab ADMIN_HIGH export ADMIN_HIGH export home ADMIN_HIGH export home jdoe ADMIN_HIGH zone public ADMIN_HIGH rpool ADMIN_HIGH zone ADMIN_HIGH home jdoe ADMIN_HIGH zone public ADMIN_HIGH zone snapshot ADMIN_HIGH zone internal ADMIN_HIGH Visualizaci n de las etiquetas de los sistemas de archivos en la zona restricted Cuando un usuario com n ejecuta la secuencia de comandos desde una zona con etiquetas la secuencia de comandos getmounts muestra las etiquetas de todos los sistemas de archivos montados en dicha zona En un sistema en el que las zonas se crean para cada etiqueta en el ar
466. sts y las puertas de enlace utilizan los atributos del remitente Sin embargo cuando un host adaptativo es el remitente la interfaz de red receptora asigna la etiqueta predeterminada a los paquetes entrantes Para obtener detalles sobre los atributos de seguridad consulte Atributos de seguridad de red en Trusted Extensions 198 m tnrhdb esta base de datos almacena las direcciones IP y los rangos de direcciones IP que corresponden a todos los hosts que pueden comunicarse con este sistema El comando tncfg es la interfaz para acceder a esta base de datos y modificarla Se asigna una plantilla de seguridad de la base de datos tnrhtp a cada host o rango de direcciones IP Los atributos de la plantilla definen los atributos del host asignado Atributos de seguridad de la red de confianza La administraci n de redes en Trusted Extensions se basa en plantillas de seguridad Una plantilla de seguridad describe un conjunto de hosts que tienen protocolos y atributos de seguridad id nticos Los atributos de seguridad se asignan de manera administrativa a sistemas remotos tanto hosts como enrutadores mediante plantillas El administrador de la seguridad administra las plantillas y las asigna a sistemas remotos Si no se asigna ninguna plantilla a un sistema remoto no se permiten las comunicaciones con ese sistema Cada plantilla recibe un nombre e incluye lo siguiente Uno de cuatro tipos de host unlabeled cipso adaptive o netif El t
467. tado consulte C mo permitir que los archivos se vuelvan a etiquetar desde una zona con etiquetas 170 Para especificar controles m s detallados por ejemplo que permitan degradar pero no actualizar archivos consulte el Ejemplo 13 5 C mo permitir degradaciones nicamente de la zona internal Configuraci n y administraci n de Trusted Extensions Julio de 2014 Conjuntos de datos de varios niveles para volver a etiquetar archivos Los directorios no se pueden volver a etiquetar a menos que est n vac os m Los archivos y directorios no se pueden degradar por debajo de la etiqueta de su directorio que los contiene Para cambiar la etiqueta primero debe mover el archivo al directorio de nivel inferior y a continuaci n volver a etiquetarlo Las zonas que montan el conjunto de datos no pueden actualizar un archivo o un directorio por encima de la etiqueta de zona Los archivos no se pueden volver a etiquetar si est n abiertos mediante un proceso en cualquier zona Los archivos y directorios no se pueden actualizar por encima del valor mlslabel del conjunto de datos Montaje de conjuntos de datos de varios niveles desde otro sistema La zona global pueden compartir conjuntos de datos de varios niveles mediante NFS con sistemas Trusted Extensions y sistemas sin etiquetar Los conjuntos de datos se pueden montar en la zona global y en zonas etiquetadas y en sistemas sin etiquetar en su etiqueta asignada La exc
468. taje de archivos en Trusted Extensions 173 Posibilidades de montaje en Trusted Extensions oocccooocccnnccnonccnnnnccnnnncnnnos 173 Pol ticas de Trusted Extensions para sistemas de archivos montados 174 Resultados del uso compartido y el montaje de sistemas de archivos en Trusted EXTensiONs Ei d AA NA AEA EA N OAA 177 Conjuntos de datos de varios niveles para volver a etiquetar archivos 180 Servidor NFS y configuraci n de cliente en Trusted Extensions oo coc oo 182 Software Trusted Extensions y versiones del protocolo NES ocoooccccncccnno 184 Copia de seguridad uso compartido y montaje de archivos con etiquetas 185 15 Redes de CONTIANZa coccion in 193 Acerca de la red de confianza occcoooccnnnccnnnccnnnoccnncrnnnnconnnncnonccnnnaccnnarnnnn 193 Atributos de seguridad de red en Trusted Extensions cooocccoocconoccnnnncnnnerns 198 Mecanismo de reserva de la red de confianza oooccooccccnnccnnnccnnnccnnnnccnninnnns 202 Acerca del enrutamiento en Trusted Extensions oooocconoccnonccnnnccnnnocinnnonono 203 Administraci n del enrutamiento en Trusted Extensions ooocoooccccnoccnnonnnno 207 Administraci n de IPsec con etiquetas oocoooccoonnocnnocnnornnonnncnnnccnnconnconnoos 210 16 Gesti n de redes en Trusted Extensions o o oonnnnnincccccccccccccccccanns 215 Etiquetado de hosts y redes oocooocnnocnnocnnonnncnnnnnnncnnononoc
469. technetwork middleware id mgmt overview index 085178 html Cap tulo 5 Configuraci n de LDAP para Trusted Extensions 77 Instalaci n de Oracle Directory Server Enterprise Edition Antes de empezar Debe estar en un sistema Trusted Extensions con una zona global El sistema no debe tener zonas con etiquetas Debe estar con el rol de usuario root en la zona global Los servidores LDAP de Trusted Extensions est n configurados para los clientes que determinan las operaciones de contrase a y la pol tica de contrase as En concreto la pol tica establecida por el servidor LDAP no se utiliza Para conocer los par metros de contrase a que puede establecer en el cliente consulte Gesti n de informaci n de contrase as de Protecci n de sistemas y dispositivos conectados en Oracle Solaris 11 2 Tambi n puede consultar la p gina del comando man pam conf 4 Nota El uso de pam_1dap en un cliente LDAP no es una configuraci n evaluada para Trusted Extensions Antes de instalar los paquetes del servidor de directorios agregue el nombre de dominio completo FQDN a la entrada del nombre de host del sistema El FQDN es el nombre de dominio completo Este nombre es una combinaci n del nombre de host y el dominio de administraci n como en el siguiente ejemplo pfedit etc hosts 192 168 5 5 myhost myhost example domain com Descargue los paquetes del servidor Oracle Directory Server Enterprise Edition desde Oracle
470. ted Extensions TABLA 5 1 Mapa de tareas de configuraci n de LDAP en una red de Trusted Extensions Tarea Descripci n Para obtener instrucciones Configurar un servidor Si no tiene un servidor Oracle Directory Server Recopilaci n de informaci n para el servidor LDAP de Trusted Enterprise Edition existente convierta su primer sistema LDAP 77 Extensions Trusted Extensions en el servidor LDAP Este sistema no tiene zonas con etiquetas Instalaci n de Oracle Directory Server Enterprise Edition 77 Los dem s sistemas Trusted Extensions son clientes de este servidor Configuraci n de los logs para Oracle Directory Server Enterprise Edition 81 Agregar bases de datos Rellene el servidor LDAP con datos de los archivos del Rellenado de Oracle Directory Server Enterprise de Trusted Extensions al sistema Trusted Extensions Edition 83 servidor Configurar todos los Al configurar Trusted Extensions en otro sistema Conversi n de la zona global en un cliente dem s sistemas Trusted convierta el sistema en un cliente de este servidor LDAP LDAP en Trusted Extensions 86 Cap tulo 5 Configuraci n de LDAP para Trusted Extensions 75 Configuraci n de un servidor proxy LDAP en un sistema Trusted Extensions Tarea Descripci n Para obtener instrucciones Extensions como clientes de este servidor Configuraci n de un servidor proxy LDAP en un sistema Trusted Extensions Utilice
471. tema b No responda la petici n de una contrase a de usuario root La contrase a de usuario root se defini en la instalaci n del sistema La introducci n de datos para esta petici n fallar c En la petici n de datos de inicio de sesi n de la zona escriba su usuario y contrase a A continuaci n verifique que todos los servicios est n configurados mediante la ejecuci n del comando svcs x Si no se muestra ning n mensaje todos los servicios est n configurados d Salga de la zona y cierre la ventana Escriba exit en la petici n de datos y seleccione Close window en Zone Console En otra ventana se completa la instalaci n de la segunda zona Esta zona se crea a partir de una instant nea por lo que se crea r pidamente e Inicie sesi n en la segunda consola de zona y verifique que todos los servicios est n en ejecuci n SVCS X Si no se muestra ning n mensaje todos los servicios est n configurados Se visualiza Labeled Zone Manager Configuraci n y administraci n de Trusted Extensions Julio de 2014 C mo crear zonas con etiquetas de forma interactiva ejemplo 4 2 f Haga doble clic en la zona interna en Labeled Zone Manager Seleccione Reboot y a continuaci n haga clic en el bot n Cancel para volver a la pantalla principal Todas las zonas est n en ejecuci n La instant nea sin etiquetas no est en ejecuci n m Para crear zonas manualmente seleccione el men principal
472. tensions 104 a Archivos de configuraci n en Trusted Extensions 105 Herramientas de administraci n para Trusted Extensions La administraci n en los sistemas configurados con Trusted Extensions emplea muchas de las herramientas que se encuentran disponibles en el SO Oracle Solaris Asimismo Trusted Extensions ofrece herramientas con mejoras en la seguridad Las herramientas de administraci n s lo est n disponibles para los roles En un sistema de escritorio en un espacio de trabajo de rol puede acceder a los comandos las aplicaciones y las secuencias de comandos que son de confianza La siguiente tabla proporciona un resumen de estas herramientas administrativas Las herramientas de la l nea de comandos est n disponibles en los sistemas que no est n ejecutando un escritorio TABLA 7 1 Herramientas administrativas de Trusted Extensions Herramienta Descripci n Para obtener m s informaci n usr sbin labeladm Activa y desactiva Trusted Extensions Consulte Instalaci n y activaci n de Trusted Extensions 35 C mo comprobar e instalar el archivo de Tambi n se utiliza para instalar un archivo de codificaciones de etiqueta Cap tulo 7 Herramientas de administraci n de Trusted Extensions 101 Secuencia de comandos txzonemgr Herramienta Descripci n Para obtener m s informaci n usr sbin txzonemgr Device Manager Label Builder Selection Manager Comandos de Trusted Extensio
473. tensions de varios niveles que se ejecutan en una red de varios niveles Los datos de aplicaci n est n cifrados y protegidos contra cambios no autorizados en la red La etiqueta de seguridad de los datos se visualiza en forma de una opci n IP de CALIPSO o CIPSO para su uso en dispositivos de seguridad y enrutadores de varios niveles en la ruta entre los sistemas enigma y partym m La etiquetas de seguridad que enigma y partym intercambian est n protegidas contra cambios no autorizados Debe estar con el rol de usuario root en la zona global Agregue los hosts enigma y partym a una plantilla de seguridad cipso Siga los procedimientos descriptos en Etiquetado de hosts y redes 215 Utilice una plantilla con un tipo de host cipso Configure IPsec para los sistemas enigma y partym Para conocer el procedimiento consulte C mo proteger el tr fico de red seguro entre dos servidores con IPsec de Protecci n de la red en Oracle Solaris 11 2 Utilice IKE para la gesti n de claves como se describe en el siguiente paso Agregue etiquetas a las negociaciones IKE Siga el procedimiento descripto en C mo configurar IKEv2 con claves compartidas previamente de Protecci n de la red en Oracle Solaris 11 2 y luego modifique el archivo ike config de la siguiente manera a Agregue las palabras clave label_aware multi_label y wire_label inner al archivo etc inet ike config del sistema enigma Config
474. terfaz all zones Aplicaciones restringidas a una zona etiquetada De manera predeterminada las zonas etiquetadas comparten el servicio de nombres de la zona global y tienen copias de s lo lectura de los archivos de configuraci n de la zona global incluidos los archivos etc passwd and etc shadow Si planea instalar aplicaciones en una zona etiquetada desde la zona etiquetada y el paquete agrega usuarios a la zona necesitar copias modificables de los archivos de la zona Cap tulo 1 Planificaci n de la seguridad para Trusted Extensions 23 Planificaci n de la seguridad en Trusted Extensions 24 Los paquetes como pkg service network ftp crean cuentas de usuario Para instalar este paquete ejecutando el comando pkg dentro de una zona etiquetada debe haber un daemon nscd independiente ejecut ndose en la zona y se debe asignar a la zona una direcci n IP exclusiva Para obtener m s informaci n consulte C mo configurar un servicio de nombres independiente para cada zona con etiquetas 54 Planificaci n de los servicios de varios niveles De manera predeterminada Trusted Extensions no proporciona servicios de varios niveles La mayor a de los servicios se configuran f cilmente como servicios de zona a zona es decir servicios de una sola etiqueta Por ejemplo cada zona con etiquetas puede conectarse con el servidor NFS que se ejecuta en la etiqueta de la zona con etiquetas Si el sitio necesita servicios de varios ni
475. tes con las etiquetas internal y restricted por medio de gateway ir Creaci n de hosts en etiquetas discretas En este ejemplo el administrador de la seguridad crea una plantilla de seguridad que reconoce dos etiquetas solamente confidential internal use only y confidential restricted Se rechaza todo el resto del tr fico Primero el administrador de seguridad garantiza que se puedan resolver las direcciones IP de cada host arp 192 168 132 21 host auxsetl example com 192 168 132 21 at 0 0 0 4 ab cd arp 192 168 132 22 host auxset2 example com 192 168 132 22 at 0 0 0 5 ab cd arp 192 168 132 23 host auxset3 example com 192 168 132 23 at 0 0 0 6 ab cd arp 192 168 132 24 host auxset4 example com 192 168 132 24 at 0 0 0 7 ab cd A continuaci n el administrador escribe las etiquetas con cuidado y precisi n El software reconoce etiquetas en may scula y min sculas y por nombre corto pero no reconoce etiquetas donde los espacios son inexactos Por ejemplo la etiqueta cnf restricted no es una etiqueta v lida 224 Configuraci n y administraci n de Trusted Extensions Julio de 2014 C mo agregar un host a una plantilla de seguridad ejemplo 16 8 ejemplo 16 9 tncfg t cipso_int_and_rst tncfg cipso_int_and_rst gt set host_type cipso tncfg cipso_int_and_rst gt set doi 1 tncfg cipso_int_and_rst gt set min_label cnf internal use only tncfg cipso_int_and_rst gt set max_label cnf internal use only
476. tilla de seguridad existente no se copian en la nueva plantilla m Utilice un archivo de plantilla creado por el subcomando export tncfg f unlab_1 f template file tncfg unlab_1 gt set host_type unlabeled tncfg f template file Para ver un ejemplo de creaci n de una plantilla de origen para la importaci n consulte la p gina del comando man tncfg 1M ejemplo 16 1 Creaci n de una plantilla de seguridad para una puerta de enlace que gestiona paquetes en una sola etiqueta En este ejemplo el administrador de la seguridad define una puerta de enlace que nicamente puede transferir paquetes en la etiqueta PUBLIC tncfg t cipso public tncfg cipso public gt set host_type cipso tncfg cipso public gt set doi 1 tncfg cipso public gt set min_label public tncfg cipso public gt set max_label public tncfg cipso public gt commit tncfg cipso public gt exit El administrador de la seguridad luego agrega el host de la puerta de enlace a la plantilla de seguridad Para obtener informaci n sobre la agregaci n consulte el Ejemplo 16 4 Creaci n de una puerta de enlace que gestiona paquetes en una sola etiqueta ejemplo 16 2 Creaci n de una plantilla de seguridad sin etiquetas en la etiqueta PUBLIC En este ejemplo el administrador de seguridad crea una plantilla sin etiquetar para hosts que no son de confianza que pueden recibir y enviar paquetes en la etiqueta PUBLIC nicamente Esta plantilla se puede asignar a
477. tive y netif consulte Tipo de host y nombre de plantilla en plantillas de seguridad 199 Configuraci n y administraci n de Trusted Extensions Julio de 2014 Administraci n del enrutamiento en Trusted Extensions Comprobaciones de acreditaciones del destino Cuando un sistema Trusted Extensions recibe datos el software realiza las siguientes comprobaciones m Si el paquete entrante no tiene etiquetas el paquete hereda la etiqueta predeterminada del host de origen desde la plantilla de seguridad De lo contrario el paquete recibe la etiqueta que se indica en la opci n etiquetada La etiqueta y el DOI del paquete deben ser coherentes con la zona de destino o la etiqueta y el DOI del proceso de destino La nica excepci n es cuando el proceso realiza la recepci n en un puerto de varios niveles El proceso que recibe puede obtener un paquete si tiene el privilegio de establecer comunicaciones de etiqueta cruzada y se encuentra en la zona global o tiene una etiqueta que domina la etiqueta del paquete Administraci n del enrutamiento en Trusted Extensions Trusted Extensions admite varios m todos para el enrutamiento de las comunicaciones entre redes Puede configurar rutas que apliquen el grado de seguridad que requiere la pol tica de seguridad de su sitio Por ejemplo los sitios pueden restringir las comunicaciones fuera de la red local para una sola etiqueta Esta etiqueta se aplica a la informaci n disponible p bli
478. torio zone public home username Dicho directorio se ve solamente desde la zona global La zona public monta ese directorio en la ruta root de la zona como home username Desde la perspectiva de la zona global este montaje se ve como zone public root home username El administrador de la zona public puede modificar home username Cuando los archivos del directorio principal del usuario deben modificarse el proceso de la zona global no utiliza dicha ruta La zona global utiliza el directorio principal del usuario en la ruta de la zona zone public home username Los archivos y directorios que est n en la ruta de la zona zone zonename pero no en la ruta root de la zona directorio zone zonename root pueden modificarse mediante un proceso de la zona global que se ejecute en la etiqueta ADMIN_HIGH FEl administrador de la zona con etiquetas puede modificar los archivos y directorios de la ruta root de la zona zone public root Por ejemplo cuando un usuario asigna un dispositivo en la zona public un proceso de la zona global que se ejecuta en la etiqueta ADMIN_HIGH modifica el directorio dev en la ruta de la zona zone public dev De manera similar cuando un usuario guarda una configuraci n del escritorio un proceso de la zona global de zone public home username modifica el archivo de la configuraci n del escritorio Para compartir un sistema de archivos con etiquetas consulte C mo compartir sistemas de archivos de un
479. tros sistemas en la etiqueta de la zona Por lo tanto los sistemas de archivos de una zona etiquetada se pueden compartir con zonas en la misma etiqueta en otros sistemas Trusted Extensions y con sistemas que no sean de confianza que tengan asignada la misma etiqueta que la zona Para obtener informaci n acerca de la propiedad ZFS que media estos montajes consulte Propiedad mlslabel y montaje de sistemas de archivos de un solo nivel 179 Los montajes LOFS de la zona global en una zona etiquetada son de s lo lectura para los conjuntos de datos de un solo nivel Para los conjuntos de datos de varios niveles la pol tica Configuraci n y administraci n de Trusted Extensions Julio de 2014 Resultados del uso compartido y el montaje de sistemas de archivos en Trusted Extensions MAC se aplica por etiqueta de archivo y directorio como se describe en Ninguna sustituci n de privilegios para la pol tica de lectura y escritura de MAC 176 Propiedad mislabel y montaje de sistemas de archivos de un solo nivel ZFS proporciona una propiedad de etiqueta de seguridad mlslabel que contiene la etiqueta de los datos del conjunto de datos La propiedad mlslabel se puede heredar Cuando un conjunto de datos ZFS tiene una etiqueta expl cita el conjunto de datos no se puede montar en un sistema Oracle Solaris que no est configurado con Trusted Extensions Si la propiedad mlslabel no est definida se establece el valor predeterminad
480. tup files auto home restricted myNFSserver_FQDN zone restricted root export home 5 Utilice el comando 1dapaddent para rellenar el servidor LDAP con cada archivo del rea temporal Por ejemplo el siguiente comando rellena el servidor del archivo hosts del rea temporal usr sbin ldapaddent D cn directory manager Y w dirmgr123 a simple f setup files hosts hosts 6 Si ejecut el comando 1dapclient en el servidor de directorios Trusted Extensions desactive el cliente en ese sistema En la zona global ejecute el comando ldapclient uninit Utilice el resultado detallado para verificar que el sistema ya no sea un cliente LDAP ldapclient v uninit Para obtener m s informaci n consulte la p gina del comando man ldapclient 1M 7 Para rellenar las bases de datos de red de Trusted Extensions en LDAP utilice el comando tncfg con la opci n S ldap Para obtener instrucciones consulte Etiquetado de hosts y redes 215 Creaci n de un proxy de Trusted Extensions para un servidor Oracle Directory Server Enterprise Edition existente En primer lugar debe agregar las bases de datos de Trusted Extensions al servidor LDAP existente en un sistema Oracle Solaris En segundo lugar debe activar los sistemas Trusted 84 Configuraci n y administraci n de Trusted Extensions Julio de 2014 Creaci n de un servidor proxy LDAP Antes de empezar Extensions para el acceso al servidor LDAP y a continuaci n
481. ty policy conf c mo editar 124 modificaci n 137 valores predeterminados 130 archivo etc security tsol label encodings 97 archivo etc system modificaci n para red CIPSO IPv6 42 archivo usr lib cups filter tsol_separator ps 261 archivo usr share gnome sel_config 114 archivo de codificaciones Ver archivo label_encodings archivo de imagen del n cleo dev kmem infracci n de seguridad 313 archivo de imagen del n cleo kmem 313 archivo label_encodings comprobaci n 40 contenido 97 fuente de rangos de acreditaci n 97 instalaci n 37 40 localizaci n 20 modificaci n 37 40 referencia para la impresi n con etiquetas 261 archivo policy conf cambio de valores predeterminados 124 c mo editar 137 palabras clave de cambio de Trusted Extensions 137 valores predeterminados 130 archivo sel_config 114 114 archivo TrustedExtensionsPolicy descripci n 109 archivo tsol_separator ps personalizaci n de la impresi n con etiquetas 261 valores configurables 266 archivos copy_files 133 138 link_files 133 138 etc default kbd 124 etc default login 124 etc default passwd 124 etc security policy conf 130 137 usr bin tsoljdsselmgr 112 usr lib cups filter tsol_separator ps 261 350 Configuraci n y administraci n de Trusted Extensions Julio de 2014 ndice usr sbin txzonemgr 102 162 usr share gnome sel config 114 acceso desde las etiquetas dominantes 164 archivo etc security tsol labe
482. uando se env an o se reciben datos mediante una red local y cuando se montan los sistemas de archivos Las reglas de MAC se aplican cuando se enrutan datos a redes distantes Las reglas de MAC se aplican cuando se enrutan datos a zonas En Trusted Extensions MAC protege los paquetes de red Las etiquetas se utilizan para las decisiones de MAC Los datos se etiquetan expl cita o impl citamente con una etiqueta de sensibilidad La etiqueta tiene un campo de ID un campo de clasificaci n o nivel y un campo de compartimiento o categor a Los datos deben someterse a una comprobaci n de acreditaci n Esta comprobaci n determina si la etiqueta est bien formada y si se encuentra dentro del rango de acreditaci n del host de recepci n Los paquetes bien formados que est n dentro del rango de acreditaci n del host de recepci n obtienen acceso Es posible etiquetar los paquetes IP que se intercambian entre los sistemas de confianza La etiqueta de un paquete sirve para clasificar separar y enrutar paquetes IP Las decisiones de enrutamiento comparan la etiqueta de sensibilidad de los datos con la etiqueta del destino Cap tulo 15 Redes de confianza 193 Acerca de la red de confianza 194 Trusted Extensions admite etiquetas en paquetes IPv4 e IPv6 m Para los paquetes IPv4 Trusted Extensions las etiquetas de opci n de seguridad de IP comercial CIPSO m Para los paquetes IPv6 Trusted Extensions admite la opci
483. uario En la misma ventana de terminal asuma el rol que se define de forma id ntica en ambos sistemas Por ejemplo asuma el rol de usuario root remote sys su root Password XXXXXXXX Ahora est en la zona global Ahora puede utilizar esta ventana de terminal para administrar el sistema remoto desde la l nea de comandos Las interfaces gr ficas de usuario se mostrar n en la pantalla Si desea ver un ejemplo consulte el Ejemplo 12 3 Configuraci n de zonas con etiquetas en un sistema remoto Cap tulo 12 Administraci n remota en Trusted Extensions 155 C mo realizar las tareas de inicio de sesi n y administraci n en un sistema Trusted Extensions remoto ejemplo 12 3 ejemplo 12 4 156 Errores m s frecuentes Configuraci n de zonas con etiquetas en un sistema remoto En este ejemplo el administrador utiliza la interfaz gr fica de usuario txzonemgr para configurar zonas con etiquetas en un sistema remoto con etiquetas desde un sistema de escritorio con etiquetas Como en Oracle Solaris el administrador activa el acceso del sistema de escritorio al servidor X utilizando la opci n X para el comando ssh El usuario jandoe est definido de la misma manera en ambos sistemas y puede asumir el rol remoterole TXdesk1 xhost TXnohead4 TXdesk1 ssh X l jandoe TXnohead4 Password XXXXXXXX TXnohead4 Para acceder a la zona global el administrador utiliza la cuenta jandoe para asumir el rol remoter
484. ublicaciones del gobierno de los Estados Unidos El gobierno estadounidense ofrece muchas de sus publicaciones en la Web El Departamento de Seguridad Nacional de EE UU http www us cert gov security publications publica informaci n de seguridad Adem s el Centro de Recursos de Seguridad Inform tica CSRC del Instituto Nacional de Est ndares y Tecnolog a NIST publica art culos sobre seguridad inform tica Los siguientes son algunos ejemplos de las publicaciones que se pueden descargar del sitio de NIST http csrc nist gov index html An Introduction to Computer Security The NIST Handbook Introducci n a la seguridad inform tica El manual de NIST SP 800 12 octubre de 1995 Standard Security Label for Information Transfer Etiqueta de seguridad est ndar para la transferencia de informaci n FIPS 188 septiembre de 1994 Swanson Marianne y Barbara Guttman Generally Accepted Principles and Practices for Securing Information Technology Systems Principios y pr cticas generalmente aceptados para proteger los sistemas de tecnolog a de la informaci n SP 800 14 septiembre de 1996 Tracy Miles Wayne Jensen y Scott Bisker Guidelines on Electronic Mail Security Directrices sobre la seguridad del correo electr nico SP 800 45 septiembre de 2002 La secci n E 7 se refiere a la configuraci n segura de LDAP para el correo Wilson Mark y Joan Hash Building an Information Technology Security Awareness and T
485. uditreduce proporciona la opci n 1 para filtrar registros por etiqueta Para obtener detalles consulte la p gina del comando man auditreduce 1M m F comando auditrecord incluye los eventos de auditor a de Trusted Extensions Cap tulo 22 Trusted Extensions y la auditor a 309 310 Configuraci n y administraci n de Trusted Extensions Julio de 2014 CAP TULO 23 Gesti n de software en Trusted Extensions Este cap tulo contiene informaci n sobre c mo garantizar que el software de terceros se ejecute de manera confiable en un sistema Trusted Extensions Agregaci n de software a Trusted Extensions Los programas de software que pueden agregarse a un sistema Oracle Solaris tambi n pueden agregarse a un sistema que est configurado con Trusted Extensions Adem s es posible agregar los programas que utilizan las API de Trusted Extensions La agregaci n de software en un sistema Trusted Extensions es similar a la agregaci n de software en un sistema Oracle Solaris que ejecuta zonas no globales En Trusted Extensions los programas suelen instalarse en la zona global para que puedan utilizarlos los usuarios comunes en las zonas con etiquetas Sin embargo puede instalar paquetes en una zona etiquetada ejecutando el comando pkg en la zona Si lo hace debe asegurarse de que la zona puede gestionar cuentas administrativas e indicadores de contrase a Para ver una explicaci n consulte Aplicaciones restringidas a una zon
486. ue tengan la acreditaci n correspondiente Estos administradores configuran los atributos de seguridad de todos los usuarios y hosts para que el software aplique la pol tica de seguridad del sitio Para comparar consulte administrador del sistema En Trusted Extensions el rol de confianza asignado al usuario o los usuarios responsables de realizar las tareas est ndar de gesti n del sistema como la configuraci n de las partes de las cuentas de usuario no relacionadas con la seguridad Para comparar consulte administrador de la seguridad archivo copy_fileBin archivo de configuraci n opcional en un sistema de varias etiquetas Este archivo contiene una lista de archivos de inicio como cshrc o firefox que el entorno de usuario o las aplicaciones de usuario requieren para que el sistema o la aplicaci n funcionen bien Los archivos que aparecen en copy_files se copian en el directorio de inicio del usuario en etiquetas superiores cuando se crean dichos directorios Consulte tambi n archivo link_files archivo link_filesUn archivo de configuraci n opcional en un sistema de varias etiquetas Este archivo contiene archivo label_encodings una lista de archivos de inicio como cshrc o firefox que el entorno de usuario o las aplicaciones de usuario requieren para que el sistema o la aplicaci n funcionen bien Los archivos que aparecen en link_files se enlazan al directorio de inicio del usuario en etiquetas superiores cuando se cr
487. ueta nica asignada al sistema que no es de confianza por el sistema Trusted Extensions debe coincidir con la etiqueta de la zona global De forma similar para que una zona etiquetada monte un sistema de archivos desde un sistema que no es de confianza la etiqueta nica asignada al sistema que no es de confianza por el sistema Trusted Extensions debe coincidir con la etiqueta de la zona de montaje m Se pueden ver los archivos cuyas etiquetas difieren de la zona de montaje y est n montados con LOFS pero no se pueden modificar Para obtener detalles sobre los montajes NFS consulte Servidor NFS y configuraci n de cliente en Trusted Extensions 182 A continuaci n se resumen las pol ticas de uso compartido y montaje de Trusted Extensions para conjuntos de datos de varios niveles Configuraci n y administraci n de Trusted Extensions Julio de 2014 Resultados del uso compartido y el montaje de sistemas de archivos en Trusted Extensions Para que un sistema Trusted Extensions comparta un conjunto de datos de varios niveles con otro sistema el servidor NFS debe estar configurado como un servicio de varios niveles Para que un sistema Trusted Extensions comparta un conjunto de datos de varios niveles con zonas con etiquetas en su propio sistema la zona global debe montar mediante LOFS el conjunto de datos en las zonas La zona etiquetada tiene acceso de escritura a los archivos y directorios montados mediante LOFS cuya etiquet
488. uetas impl citas se pueden enviar mediante t neles a trav s de una red sin etiquetas Para conocer los procedimientos de configuraci n y los conceptos IPsec generales consulte Protecci n de la red en Oracle Solaris 11 2 Para conocer las modificaciones de Trusted Extensions en los procedimientos de IPsec consulte Configuraci n de IPsec con etiquetas 237 Etiquetas para intercambios protegidos por IPsec Todas las comunicaciones de los sistemas Trusted Extensions incluidas las comunicaciones protegidas por IPsec deben cumplir las comprobaciones de acreditaciones de las etiquetas de seguridad Las comprobaciones se describen en Comprobaciones de acreditaciones de Trusted Extensions 205 Las etiquetas de los paquetes IPsec provenientes de una aplicaci n en una zona con etiquetas que deben superar estas comprobaciones son la etiqueta interna la etiqueta de transferencia y la etiqueta de gesti n de claves Etiqueta de seguridad de la aplicaci n la etiqueta de la zona en la que reside la aplicaci n Etiqueta interna la etiqueta de los datos del mensaje no cifrados antes de aplicar los encabezados AH o ESP de IPsec Esta etiqueta puede ser diferente de la etiqueta de seguridad de la aplicaci n cuando se utiliza la opci n de socket SO_MAC_EXEMPT exenta de MAC o las funciones del puerto de varios niveles MLP Al seleccionar asociaciones de seguridad SA y reglas IKE que est n restringidas por etiquetas
489. uientes Autorizaciones es posible que a los usuarios de un programa se les requiera una autorizaci n espec fica Para obtener informaci n sobre las autorizaciones consulte Aspectos b sicos del usuario y derechos de procesos de Protecci n de los usuarios y los procesos en Oracle Solaris 11 2 Adem s consulte la p gina del comando man auth_attr 4 Privilegios se pueden asignar privilegios a los programas y a los procesos Para obtener informaci n sobre privilegios consulte el Cap tulo 1 Sobre el uso de los derechos para controlar los usuarios y los procesos de Protecci n de los usuarios y los procesos en Oracle Solaris 11 2 Tambi n consulte la p gina del comando man privileges 5 El comando ppriv proporciona una utilidad de depuraci n Para obtener detalles consulte la p gina del comando man ppriv 1 Para obtener instrucciones sobre el uso de esta utilidad con programas que funcionan en zonas no globales consulte Uso de la utilidad ppriv de Creaci n y uso de zonas de Oracle Solaris Perfiles de derechos los perfiles de derechos recopilan los atributos de seguridad en un solo lugar para asignarlos a los usuarios o a los roles Para obtener informaci n sobre perfiles de derechos consulte M s informaci n sobre los perfiles de derechos de Protecci n de los usuarios y los procesos en Oracle Solaris 11 2 Bibliotecas de confianza las bibliotecas compartidas de
490. uierda a derecha los nombres de componentes hacen referencia a zonas cada vez m s generales y generalmente m s lejanas de la autoridad de administraci n El nombre con el que los otros sistemas de una red reconocen a un sistema Este nombre debe ser nico entre todos los sistemas de un dominio determinado Generalmente un dominio identifica una nica organizaci n Un nombre de host puede estar formado por cualquier combinaci n de letras n meros y signos de resta pero no puede empezar ni terminar con este signo Un mecanismo de agrupaci n para los comandos y para los atributos de seguridad que se asignan a estos ejecutables Los perfiles de derechos permiten que los administradores de Oracle Solaris controlen qui n puede ejecutar determinados comandos y los atributos que tienen estos comandos cuando se ejecutan Cuando un usuario inicia sesi n se aplican todos los derechos que el usuario tiene asignados y el usuario tiene acceso a todos los comandos y las autorizaciones asignados en todos los perfiles de derechos de ese usuario Un registro en la base de datos tnrhtp que define los atributos de seguridad de una clase de hosts que puede acceder a la red de Trusted Extensions En un host de Trusted Extensions el conjunto de reglas de DAC MAC y etiquetado que definen c mo se puede acceder a la informaci n En un sitio de cliente el conjunto de reglas que definen la sensibilidad de la informaci n que se est procesando en es
491. ulte Orden de b squeda para derechos asignados de Protecci n de los usuarios y los procesos en Oracle Solaris 11 2 Puede utilizar el orden de clasificaci n de perfiles para su beneficio Si desea que un comando se ejecute con atributos de seguridad diferentes de los que se definen para el comando de un perfil existente cree un perfil nuevo con las asignaciones preferidas para el comando Luego inserte ese perfil nuevo antes del perfil existente Nota No asigne perfiles de derechos que incluyan comandos administrativos a un usuario com n El perfil de derechos no funciona porque el usuario com n no puede acceder a la zona global Cambio de valores predeterminados de privilegios El conjunto de privilegios predeterminado puede ser demasiado liberal para varios sitios A fin de restringir el conjunto de privilegios para cualquier usuario com n en el sistema cambie la configuraci n del archivo policy conf Para cambiar el conjunto de privilegios para usuarios individuales consulte C mo restringir el conjunto de privilegios de un usuario 144 Cambio de valores predeterminados de etiquetas El cambio de los valores predeterminados de una etiqueta del usuario crea una excepci n a los valores predeterminados del usuario en el archivo label_encodings Cambio de valores predeterminados de auditor a Como en el SO Oracle Solaris la asignaci n de clases de auditor a a un usuario modifica la m scara de preselecci n de
492. un puerto de varios niveles 235 descripci n 196 modificaci n del valor del dominio de interpretaci n 43 comando tnchkdb descripci n 196 comando tnctl descripci n 196 comando tnd descripci n 196 comando tninfo descripci n 196 uso 247 comando updatehome 133 comando useradad 60 comando utadm configuraci n del servidor Sun Ray predeterminado 233 comandos 352 Configuraci n y administraci n de Trusted Extensions Julio de 2014 ndice ejecuci n con privilegio 118 resoluci n de problemas de red 244 combinaciones de teclas comprobaci n de confianza de la captura 121 componente de etiqueta de clasificaci n 96 componente de etiqueta de compartimiento 96 comprobaci n archivo label_encodings 40 funcionamiento de roles 61 comprobaciones de acreditaciones 205 conceptos de redes 195 configuraci n acceso a Trusted Extensions remoto 147 archivos de inicio para los usuarios 138 autorizaciones para dispositivos 297 dispositivos 289 impresi n con etiquetas 269 interfaces de red 50 53 interfaces l gicas 51 LDAP para Trusted Extensions 76 mediante la asunci n de un rol limitado o como root 35 red de confianza 215 rutas con atributos de seguridad 234 servidor proxy LDAP para clientes de Trusted Extensions 84 Trusted Extensions 39 VNIC 52 zonas con etiquetas de Trusted Extensions 43 configuraci n de impresi n con etiquetas mapa de tareas 269 configuraci n de
493. una puerta de enlace de un host en una red a un host en otra red Comprobaciones de acreditaciones de la puerta de enlace En un sistema de puerta de enlace de Trusted Extensions se realizan las siguientes comprobaciones de acreditaciones para la puerta de enlace del pr ximo salto Siel paquete entrante no tiene etiquetas el paquete hereda la etiqueta predeterminada del host de origen desde la plantilla de seguridad De lo contrario el paquete recibe la etiqueta que se indica en la opci n CALIPSO o CIPSO Las comprobaciones para el reenv o de un paquete se efect an de manera similar a la acreditaci n de origen m Fn todos los destinos el DOI de un paquete saliente debe coincidir con el DOI del host de destino El DOI tambi n debe coincidir con el DOI del host del pr ximo salto m Fn todos los destinos la etiqueta del paquete saliente debe estar dentro del rango de etiquetas del pr ximo salto Adem s la etiqueta debe estar incluida en los atributos de seguridad que corresponden al host del pr ximo salto m La etiqueta de un paquete sin etiquetas debe coincidir con la etiqueta predeterminada del host de destino m Ja etiqueta de un paquete etiquetado debe estar dentro del rango de etiquetas del host de destino m La puerta de enlace etiquetada que se espera que reenv e paquetes de hosts adaptive debe configurar su interfaz entrante con una plantilla de tipo de host netif Para obtener definiciones de los tipos de host adap
494. uraci n para Trusted Extensions Las tareas m s peque as se detallan dentro de las tareas principales La lista de comprobaci n no sustituye los siguientes pasos en esta gu a Lista de comprobaci n para la configuraci n de Trusted Extensions En la siguiente lista se resume qu se requiere para activar y configurar Trusted Extensions en su sitio Para las tareas que se tratan en otro lugar existen referencias cruzadas 1 Lea Lea los primeros cinco cap tulos de la Administraci n de Trusted Extensions 89 m Comprenda los requisitos de seguridad del sitio m Lea Pol tica de seguridad del sitio y Trusted Extensions 316 2 Prepare m Flija la contrase a de usuario root m Elija el nivel de seguridad de la PROM o el BIOS m Elija la contrase a de la PROM o el BIOS m Elija si se permite la conexi n de perif ricos m Elija si se permite el acceso a impresoras remotas m Elija si se permite el acceso a redes sin etiquetas m Instale el SO Oracle Solaris 3 Active Trusted Extensions Consulte Instalaci n y activaci n de Trusted Extensions 35 a Cargue el conjunto de paquetes de Trusted Extensions adecuado para un sistema que ejecuta un escritorio de varios niveles o para un sistema que no lo hace Ejecute el comando labeladm enable options para activar el servicio Trusted Extensions Ap ndice B Lista de comprobaci n de configuraci n de Trusted Extensions 323 Lista de comprobaci n par
495. uraci n y administraci n de Trusted Extensions Julio de 2014 C mo aplicar las protecciones IPsec en una red de Trusted Extensions de varios niveles El archivo resultante tiene el siguiente aspecto Se resaltan las adiciones de etiquetas ike config file on enigma 192 168 116 16 Global parameters Use IKE to exchange security labels label_aware Defaults that individual rules can override p1_xform auth_method preshared oakley group 5 auth_alg sha encr_alg 3des p2_pfs 2 The rule to communicate with partym Label must be unique label enigma partym local_addr 192 168 116 16 remote_addr 192 168 13 213 multi_label wire_label inner p1_xform auth_method preshared oakley group 5 auth_alg shal encr_alg aes p2_pfs 5 b Agregue las mismas palabras clave al archivo ike config del sistema partym ike config file on partym 192 168 13 213 Global Parameters Use IKE to exchange security labels label_aware p1_xform auth_method preshared oakley group 5 auth_alg sha encr_alg 3des p2_pfs 2 The rule to communicate with enigma Label must be unique label partym enigma local_addr 192 168 13 213 remote_addr 192 168 116 16 multi_label wire_label inner p1_xform auth_method preshared oakley group 5 auth_alg shal encr_alg aes p2_pfs 5 4 Si en la red no se puede utilizar la protecci n AH de las opciones IP de CALIPSO o CIPSO utilice la autenticaci n ESP Cap
496. usted Extensions a e e coito A EA 76 Ejemplos de relaciones de etiquetas ooocccoooccnoccncnnccnnnccnnnccnnnaconononnns 96 Herramientas administrativas de Trusted Extensions oooccooocccnnccnnncccns 101 Condiciones para mover archivos a una etiqueta nueva oooccconoccnnnccnnn 113 Condiciones para mover selecciones a una etiqueta nueva oooccccncccnnoo 113 Inicio de sesi n y uso del escritorio de Trusted Extensions ooocco oo 117 Realizaci n de tareas administrativas comunes en Trusted Extensions mapa de tartas ita 119 Valores predeterminados de seguridad de Trusted Extensions en el archivo poticys CO nica iii A A AA 131 Atributos de seguridad que se asignan despu s la creaci n del usuario 131 Mapa de tareas de personalizaci n del entorno de usuario para la seguridad AAA TA DAA S 135 Mapa de tareas de gesti n de usuarios y derechos oooccooccccnnccnncnnnnnco 141 Mapa de tareas de configuraci n y administraci n de sistemas remotos en Trusted EXTENSIONS viola atada 149 Mapa de tareas de gesti n de ZONAS ocooccnoconoconocnnonnnonnnnnnrnnaccnonononono 162 Copia de seguridad uso compartido y montaje de archivos con etiquetas Mapa de tareas codri ncionisi nr lencia ariaatas 185 11 Lista de tablas 12 TABLA 15 1 TABLA 16 1 TABLA 16 2 TABLA 19 1 TABLA 19 2 TABLA 19 3 TABLA 19 4 TABLA 21 1 TABLA 21 2 TABLA 21 3 TABLA 21 4 TABLA 22 1 Entradas del mec
497. veles estos servicios se configuran mejor en un sistema con al menos dos direcciones IP Los puertos de varios niveles que requiere un servicio de varios niveles se pueden asignar a la direcci n IP que est asociada con la zona global Las zonas con etiquetas pueden usar una direcci n all zones para acceder a los servicios Sugerencia Si los usuarios de zonas con etiquetas no deben tener acceso a los servicios de varios niveles puede asignar una direcci n IP al sistema Generalmente esta configuraci n de Trusted Extensions se utiliza en equipos port tiles Planificaci n del servicio de nombres LDAP en Trusted Extensions Si no tiene pensado instalar una red de sistemas con etiquetas puede omitir esta secci n Si planea utilizar LDAP sus sistemas se deben configurar como clientes LDAP antes de agregar la primera zona con etiquetas Si piensa ejecutar Trusted Extensions en una red de sistemas utilice LDAP como servicio de nombres Para Trusted Extensions se requiere un servidor Oracle Directory Server Enterprise Edition servidor LDAP rellenado en el momento de configurar una red de sistemas Si su sitio tiene un servidor LDAP existente puede rellenar el servidor con bases de datos de Trusted Extensions Para acceder al servidor configure un proxy LDAP en un sistema Trusted Extensions Si su sitio no tiene un servidor LDAP existente debe crear un servidor LDAP en un sistema en el que se ejecute el software Trusted Extensions L
498. vilegio o una autorizaci n para ejecutarse correctamente Las p ginas del comando man para los comandos individuales enumeran las autorizaciones y los privilegios que pueden necesitarse Decisiones que deben tomarse antes de crear usuarios en Trusted Extensions Las siguientes decisiones afectan las acciones que los usuarios pueden realizar en Trusted Extensions y la cantidad de esfuerzo que se necesita Algunas decisiones son las mismas que deben tomarse cuando se instala el SO Oracle Solaris Sin embargo las decisiones que son espec ficas de Trusted Extensions pueden afectar la seguridad del sitio y la facilidad de uso Decida si se cambian los atributos de seguridad del usuario predeterminados en el archivo policy conf Los valores predeterminados de usuario del archivo label_encodings fueron configurados originalmente por el equipo de configuraci n inicial Para obtener una descripci n de los valores predeterminados consulte Atributos de seguridad del usuario predeterminados en Trusted Extensions 130 Decida qu archivos de inicio se copiar n o enlazar n del directorio principal de etiqueta m nima del usuario a los directorios principales de nivel superior del usuario Para conocer el procedimiento consulte C mo configurar los archivos de inicio para los usuarios en Trusted Extensions 138 Decida si los usuarios pueden acceder a los dispositivos perif ricos como el micr fono la unidad de CD ROM y los dispositivos USB
499. vo es un perif rico f sico que est conectado a un equipo o un dispositivo simulado mediante software que se llama pseudodispositivo Dado que los dispositivos proporcionan un medio para la importaci n y la exportaci n de datos de un sistema a otro estos deben controlarse a fin de proteger los datos de manera adecuada Trusted Extensions utiliza rangos de etiquetas de dispositivos y asignaci n de dispositivos para controlar los datos que fluyen por los dispositivos Entre los dispositivos que tienen rangos de etiquetas se encuentran los b feres de trama las unidades de cinta las unidades de CD ROM las impresoras y los dispositivos USB Los usuarios asignan dispositivos mediante Device Manager Device Manager monta el dispositivo ejecuta una secuencia de comandos clean para preparar el dispositivo y realiza la asignaci n Una vez finalizadas estas tareas el usuario desasigna el dispositivo mediante Device Manager que ejecuta otra secuencia de comandos clean y desmonta y desasigna el dispositivo Puede gestionar dispositivos con la herramienta Device Administration de Device Manager Los usuarios comunes no tienen acceso a Device Allocation Manager Para obtener m s informaci n sobre la protecci n de dispositivos en Trusted Extensions consulte el Cap tulo 21 Gesti n de dispositivos para Trusted Extensions Selection Manager en Trusted Extensions La interfaz gr fica de usuario Selection Manager aparece cuando intenta cambiar
500. voke or Reclaim Device 300 301 aviso de seguridad combinaci n de teclas 121 B bajada de nivel de etiquetas configuraci n de reglas para el confirmador de selecci n 114 banda de confianza dirigir el puntero hacia 122 en el sistema de varios perif ricos 93 movimiento de paneles a la parte inferior de la pantalla 66 bases de datos en LDAP 251 red de confianza 197 bases de datos de red descripci n 197 en LDAP 251 bloqueo de cuentas impedir para usuarios que pueden asumir roles 144 b squeda equivalente de la etiqueta en formato de texto 123 equivalente de la etiqueta en hexadecimal 122 Cc cambio etiquetas de usuarios autorizados 145 nivel de seguridad de datos 145 palabra clave IDLETIME 137 privilegios de usuario 144 reglas para cambios de etiqueta 114 valores predeterminados de seguridad del sistema 124 captura de confianza combinaci n de teclas 121 cierre de sesi n requisito 137 clases de auditor a X 305 colores que se alan la etiqueta del espacio de trabajo 99 comando atohexlabel 122 comando chk_encodings 41 comando dtsession ejecuci n de updatehome 133 comando hextoalabel 123 comando ipadm 196 comando ipseckey 197 comando labeladm 35 activaci n de Trusted Extensions 35 eliminaci n de Trusted Extensions 74 instalaci n del archivo de codificaciones 37 37 comando netstat 197 244 comando roleadd 56 comando route 197 comando snoop 197 244 comando tncfg creaci n de
501. vos la asignaci n de dispositivos y los rangos de etiquetas de dispositivos se utilizan para controlar los datos que se transfieren entre dispositivos Para utilizar un dispositivo los usuarios deben ubicarse dentro del rango de etiquetas del dispositivo y estar autorizados para asignar el dispositivo Puntos de montaje del sistema de archivos cada punto de montaje tiene una etiqueta Se puede visualizar la etiqueta con el comando getlabel IPsec e IKE las asociaciones de seguridad IPsec y las reglas IKE tienen etiquetas Interfaces de red las direcciones IP hosts tienen asignadas plantillas de seguridad que describen sus rangos de etiquetas El sistema Trusted Extensions implicado en la comunicaci n asigna tambi n una etiqueta predeterminada a los hosts sin etiquetas Impresoras e impresi n las impresoras tienen rangos de etiquetas Las etiquetas se imprimen en las p ginas del cuerpo Las etiquetas el tratamiento de la informaci n y otros datos de seguridad se imprimen en las p ginas de la car tula y del ubicador Para configurar la impresi n en Trusted Extensions consulte el Cap tulo 19 Gesti n de impresi n con etiquetas y Labels on Printed Output de Trusted Extensions Label Administration Procesos los procesos tienen etiquetas Los procesos se ejecutan en la etiqueta del espacio de trabajo en que se origina cada proceso Se puede visualizar la etiqueta de un proceso con el comando plabel Usuario
502. w gt add host 192 168 113 255 Subnet broadcast address tncfg admin_low gt add host 192 168 113 1 Router tncfg admin_low gt add host 192 168 117 0 24 Another Trusted Extensions network tncfg admin_low gt exit tncfg t public tncfg public gt add host 192 168 112 12 Specific network router tncfg public gt add host 192 168 113 12 Specific network router tncfg public gt add host 224 0 0 2 Multicast address tncfg admin_low gt exit tncfg t admin_low tncfg admin_low gt add host 255 255 255 255 Broadcast address tncfg admin_low gt exit Cap tulo 16 Gesti n de redes en Trusted Extensions 231 C mo limitar los hosts que se pueden contactar en la red de confianza ejemplo 16 18 Despu s de especificar los hosts que se deben contactar durante el inicio el administrador elimina la entrada 0 0 0 0 0 de la plantilla admin_low tncfg t admin_low tncfg admin_low gt remove host 0 0 0 0 tncfg admin_low gt exit C mo hacer que la direcci n de host 0 0 0 0 32 sea una direcci n inicial v lida En este ejemplo el administrador de la seguridad configura un servidor de aplicaciones para aceptar las solicitudes de conexi n inicial de clientes potenciales El administrador configura la red de confianza del servidor Se anotan las entradas del servidor y el cliente tncfg t cipso info name cipso host_type cipso doi 1 min_label ADMIN_LOW max_label ADMIN_HIGH host 127 0 0 1 32 host 192 168 128 1 32 Application se
503. web site http www oracle com technetwork middleware id mgmt overview index 085178 html Seleccione el software m s reciente adecuado para su plataforma Instale los paquetes del servidor de directorios Responda las preguntas utilizando la informaci n de Recopilaci n de informaci n para el servidor LDAP 77 Para obtener una lista completa de las preguntas los valores predeterminados y las respuestas sugeridas consulte el Cap tulo 4 Configuraci n de Oracle Directory Server Enterprise Edition con clientes LDAP de Trabajo con servicios de nombres y de directorio en Oracle Solaris 11 2 LDAP y el Cap tulo 5 Configuraci n de clientes LDAP de Trabajo con servicios de nombres y de directorio en Oracle Solaris 11 2 LDAP Opcional Agregue las variables de entorno para el servidor de directorios a la ruta PATH usr sbin opt SUNWdsee dsee6 bin opt SUNWdsee dscc6 bin opt SUNWdsee ds6 bin opt SUNWdsee dps6 bin Opcional Agregue las p ginas del comando man del servidor de directorios a SU MANPATH opt SUNWdsee dsee6 man 78 Configuraci n y administraci n de Trusted Extensions Julio de 2014 Instalaci n de Oracle Directory Server Enterprise Edition Errores m s frecuentes Active el programa cacaoadn y verifique que el programa est activado usr sbin cacaoadm enable usr sbin cacaoadm start start server pid n already running Aseg rese de que el servidor de di
504. xtensions 117 mapa de tareas configuraci n de Trusted Extensions con los valores predeterminados proporcionados 30 mapa de tareas configuraci n de Trusted Extensions seg n los requisitos del sitio 30 mapa de tareas preparaci n y activaci n de Trusted Extensions 29 mapa de tareas selecci n de una configuraci n de Trusted Extensions 29 personalizaci n de autorizaciones para dispositivos en Trusted Extensions mapa de tareas 296 Personalizaci n del entorno de usuario para la seguridad mapa de tareas 135 Reducci n de las restricciones de impresi n en Trusted Extensions mapa de tareas 276 Resoluci n de problemas de la red de confianza mapa de tareas 242 tareas adicionales de configuraci n de Trusted Extensions 67 tareas comunes en Trusted Extensions mapa de tareas 119 uso de dispositivos en Trusted Extensions mapa de tareas 287 362 Configuraci n y administraci n de Trusted Extensions Julio de 2014 ndice visualizaci n de plantillas de seguridad existentes tareas 216 tecla de acceso r pido recuperaci n del control del enfoque del escritorio 121 tipos de host plantillas de host remoto 199 redes 194 tipos de hosts redes 199 tabla de plantillas y protocolos 199 token de auditor a label 307 token de auditor a xatom 307 token de auditor a xcolormap 307 token de auditor a xcursor 307 token de auditor a xfont 307 token de auditor a xgc 308 token de auditor a xp
505. zone name service y OK Esta selecci n elimina el daemon nscd de cada zona con etiquetas A continuaci n el administrador reinicia el sistema Al configurar las cuentas de usuario y de rol para cada zona cuenta con tres opciones m Puede crear cuentas LDAP en un servidor de directorios LDAP de varios niveles m Puede crear cuentas LDAP en servidores de directorios LDAP separados un servidor por etiqueta m Puede crear cuentas locales Cap tulo 4 Configuraci n de Trusted Extensions 55 Creaci n de roles y usuarios en Trusted Extensions La configuraci n por separado de un daemon de servicio de nombres en cada zona con etiquetas tiene consecuencias en las contrase as para todos los usuarios Los usuarios deben autenticarse para obtener acceso a cualquiera de sus zonas con etiquetas incluida la zona que corresponde a su etiqueta predeterminada Adem s el administrador debe crear cuentas de manera local en Cada zona o bien las cuentas deben existir en un directorio LDAP en donde la zona es un cliente LDAP En el caso especial en que una cuenta de la zona global ejecuta Labeled Zone Manager txzonemgr la informaci n de la cuenta se copia en las zonas con etiquetas para que al menos esa Cuenta pueda iniciar sesi n en cada zona De manera predeterminada esta cuenta es la cuenta de usuario inicial Creaci n de roles y usuarios en Trusted Extensions La creaci n de roles en Trusted Extensions es id ntica a la creaci n
Download Pdf Manuals
Related Search