Trusted Extensions - Oracle Documentation
Contents
1. 31 Resultados de la habilitaci n de Trusted Extensions desde la perspectiva de un OS A O 31 2 Gu ab sica de configuraci n de Trusted Extensions ooooccicniciinonionncnonncnrncncncncrcncnns 33 Mapa de tareas preparaci n de un sistema Solaris para Trusted Extensions occincinnninninnnnnnnnnnnes 33 Mapa de tareas preparaci n para Trusted Extensions y activaci n del producto cccccninnicnconacons 33 Mapa de tareas configuraci n de Trusted ExtensiONS sinusni 35 Contenido Adici n del software de Trusted Extensions al SO Solaris tareas o oouocninnnninnnnin 39 Responsabilidades del equipo de configuraci n inicial oocininnonioninninncncce reas 39 Instalaci n o actualizaci n del SO Solaris para Trusted Extensions ocoonionicnconnconnconononacinnnnss 40 Y Instalaci n de un sistema Solaris para la compatibilidad con Trusted Extensions 40 V Preparaci n de un sistema Solaris instalado para Trusted Extensions oonocioniniinnnncanas 41 Recopilaci n de informaci n y toma de decisiones antes de habilitar Trusted Extensions 43 V Recopilaci n de informaci n del sistema antes de habilitar Trusted Extensions 44 V Toma de decisiones relacionadas con el sistema y la seguridad antes de habilitar Trusted EXTENSIONS a ada ta 44 Habilitaci n del servicio de Trusted Extensions oocinicciniononnnnnnconconconncinconncan conca coronan carencias 46 W Habilitaci n de Trusted Ex2. Creaci n de roles y usuarios en Trusted Extensions en la p gina 90 Verificaci n del funcionamiento de los roles de Trusted Extensions en la p gina 99 3 Cree zonas con etiquetas Tareas Para obtener instrucciones Ejecute el comando txzonemgr Siga los men s para configurar las interfaces de red y a continuaci n cree y personalice la primera zona con etiquetas A continuaci n copie o clone el resto de las zonas Creaci n de zonas con etiquetas en la p gina 66 O bien utilice las acciones de Trusted CDE Ap ndice B Uso de acciones de CDE para instalar zonas en Trusted Extensions Opcional Una vez que se hayan personalizado correctamente todas las zonas agregue las direcciones de red espec ficas de la zona y la ruta predeterminada a las zonas con etiquetas Adici n de interfaces de red y rutas a zonas con etiquetas en la p gina 81 Las siguientes tareas podr an ser necesarias en su entorno Gu a de configuraci n de Oracle Solaris Trusted Extensions Agosto de 2011 Mapa de tareas configuraci n de Trusted Extensions 4 Complete la configuraci n del sistema Tareas Para obtener instrucciones Identifique los hosts remotos adicionales que requieren una etiqueta uno o varios puertos de varios niveles o una pol tica de mensajes de control diferente Configuraci n de bases de datos de red de confianza mapa de tareas
3. Si su dominio de interpretaci n no es 1 debe agregar una entrada en el archivo etc system y modificar el valor doi en las plantillas de seguridad predeterminadas 1 Escriba la entrada de dominio de interpretaci n en el archivo etc system set default_doi n Este n mero positivo distinto de cero debe coincidir con el n mero de dominio de interpretaci n de la base de datos tnrhtp para el nodo y los sistemas con los que se comunica el nodo 2 Antes de agregar la base de datos tnrhtp al servidor LDAP modifique el valor doi en las entradas predeterminadas y en todas las entradas para las direcciones locales Trusted Extensions proporciona dos plantillas en la base de datos tnrhtp cipso y admin_lLow Si agreg entradas para las direcciones locales tambi n modifique estas entradas a Abrala base de datos tnrhtp en el editor de confianza usr dt bin trusted_edit etc security tsol tnrhtp En Solaris Trusted Extensions CDE puede utilizar la acci n Admin Editor en la carpeta Trusted_Extensions en el gestor de aplicaciones b Copie la entrada de la plantilla cipso en otra l nea cipso host type cipso doi 1 min_sl ADMIN_LOW max_sl ADMIN_HIGH cipso host _type cipso doi 1 min_sl ADMIN _LOW max_sl ADMIN_HIGH c Comente una de las entradas de cipso cipso host_type cipso doi 1 min_sl ADMIN_LOW max_sl ADMIN_HIGH cipso host type cipso doi 1 min_sl ADMIN _LOW max_sl ADMIN_HIGH d Modifique el valor doi en la entrada sin comentar
4. Intel e Intel Xeon son marcas comerciales o marcas comerciales registradas de Intel Corporation Todas las marcas comerciales de SPARC se utilizan con licencia y son marcas comerciales o marcas comerciales registradas de SPARC International Inc AMD Opteron el logotipo de AMD y el logotipo de AMD Opteron son marcas comerciales o marcas comerciales registradas de Advanced Micro Devices UNIX es una marca comercial registrada de The Open Group Este software o hardware y la documentaci n pueden ofrecer acceso a contenidos productos o servicios de terceros o informaci n sobre los mismos Ni Oracle Corporation ni sus subsidiarias ser n responsables de ofrecer cualquier tipo de garant a sobre el contenido los productos o los servicios de terceros y renuncian expl citamente a ello Oracle Corporation y sus subsidiarias no se har n responsables de las p rdidas los costos o los da os en los que se incurra como consecuencia del acceso o el uso de contenidos productos o servicios de terceros Copyright O 1994 2011 Oracle et ou ses affili s Tous droits r serv s Ce logiciel et la documentation qui laccompagne sont prot g s par les lois sur la propri t intellectuelle Ils sont conc d s sous licence et soumis des restrictions d utilisation et de divulgation Sauf disposition de votre contrat de licence ou de la loi vous ne pouvez pas copier reproduire traduire diffuser modifier breveter transmettre distribuer exposer ex cut
5. PUBLIC CONFIDENTIAL INTERNAL USE ONLY CONFIDENTIAL NEED TO KNOW CONFIDENTIAL RESTRICTED SANDBOX PLAYGROUND MAX LABEL Si bien podr a ejecutar la acci n Configure Zone seis veces para crear una zona por etiqueta considere la posibilidad de crear las zonas siguientes Enun sistema para todos los usuarios cree una zona para la etiqueta PUBLIC y tres zonas para las etiquetas CONFIDENTIAL En un sistema para desarrolladores cree una zona para la etiqueta SANDBOX PLAYGROUND Como SANDBOX PLAYGROUND se define como una etiqueta separada para los desarrolladores s lo los sistemas que utilizan los desarrolladores necesitan una zona para esta etiqueta a No cree una zona para la etiqueta MAX LABEL que se define como una acreditaci n Ap ndice B Uso de acciones de CDE para instalar zonas en Trusted Extensions 157 Preparaci n para crear zonas mediante acciones de CDE mapa de tareas 158 Abra la herramienta Trusted Network Zones Las herramientas de Solaris Management Console est n dise adas para evitar errores de usuario Estas herramientas buscan errores de sintaxis y autom ticamente ejecutan los comandos en el orden correcto para actualizar las bases de datos d Inicie Solaris Management Console usr sbin smc Abra la caja de herramientas de Trusted Extensions para el sistema local i Seleccione Console gt Open Toolbox ii Seleccione la caja de herramientas que se denomina This Computer
6. en la p gina 163 m Coloque un archivo personalizado sysidcfg en el directorio etc de la zona antes de iniciar la zona en el Paso 3 Haga doble clic en la acci n Start Zone Responda a la petici n de datos Zone name Type the name ofthe zone that you are configuring Esta acci n inicia la zona y a continuaci n inicia todos los servicios que se ejecutan en la zona Para obtener detalles sobre los servicios consulte la p gina del comando man smt 5 La acci n Zone Terminal Console realiza un seguimiento del progreso del inicio de la zona En la consola aparecen mensajes similares a los siguientes Connected to zone public console NOTICE Zone booting up Hostname zonename Loading smf 5 service descriptions number total Creating new rsa public private host key pair Creating new dsa public private host key pair rebooting system due to change s in etc default init NOTICE Zone rebooting Supervise el resultado de la consola Antes de pasar a la secci n Personalizaci n de una zona iniciada en Trusted Extensions en la p gina 164 aseg rese de que la zona se haya reiniciado La siguiente petici n de datos de inicio de sesi n en la consola indica que la zona se ha reiniciado hostname console login Para Install Zone Si aparecen advertencias similares a la siguiente Installation of these packages generated errors SUNWnombre_paquete lea el registro de instalaci n y termine de instalar los pa
7. Especificaci n de una direcci n IP para el sistema mediante una acci n de CDE en la p gina 155 153 Asociaci n de interfaces de red con zonas mediante acciones de CDE mapa de tareas 154 v Antes de empezar Especificaci n de dos direcciones IP para el sistema mediante una acci n de CDE En esta configuraci n la direcci n del host se aplica s lo a la zona global Las zonas con etiquetas comparten una segunda direcci n IP con la zona global Es superusuario de la zona global Al sistema ya se le han asignado dos direcciones IP Se encuentra en un espacio de trabajo de Trusted CDE Navegue hasta la carpeta Trusted_Extensions a Haga clic con el tercer bot n del mouse en el fondo b Desde el men Workspace seleccione Applications gt Application Manager c Haga doble clic en el icono de la carpeta Trusted_Extensions Esta carpeta contiene acciones que configuran interfaces clientes LDAP y zonas con etiquetas Haga doble clic en la acci n Share Logical Interface y responda a las peticiones de datos Nota Al sistema ya se le deben haber asignado dos direcciones IP Para esta acci n proporcione la segunda direcci n y un nombre de host para esa direcci n La segunda direcci n es la direcci n compartida Hostname Type the name for your labeled zones interface IP Address Type the IP address for the interface Esta acci n configura un host con m s de una direcci n IP La direcci n IP pa
8. De la lista de cajas de herramientas seleccione una caja de herramientas con Policy TSOL En la Figura 4 2 se muestra una caja de herramientas This Computer este host Scope Files Policy TSOL Trusted Extensions modifica las herramientas del nodo de configuraci n del sistema Precauci n No seleccione una caja de herramientas que no tenga ninguna pol tica La cajas de herramientas sin una pol tica no admiten Trusted Extensions La elecci n de la caja de herramientas depende de qu mbito desea influenciar m Para editar archivos locales seleccione el mbito Files m Para editar bases de datos LDAP seleccione el mbito LDAP 60 Gu a de configuraci n de Oracle Solaris Trusted Extensions Agosto de 2011 Configuraci n de la zona global en Trusted Extensions Una vez que haya completado todas de las tareas de Configuraci n de Solaris Management Console para LDAP mapa de tareas en la p gina 128 el mbito LDAP estar disponible c Haga clic en Open Siel panel Navigation se puede ver pero los iconos de la caja de herramientas son se ales de detenci n a Salga de Solaris Management Console b Reinicie Solaris Management Console usr sbin smc Si a n no lo ha hecho seleccione una caja de herramientas con Policy TSOL En la siguiente figura se muestra una caja de herramientas This Computer este host Scope Files Policy TSOL Trusted Extensions modifica las herramientas del nodo de
9. de Procedimientos de administradores de Oracle Solaris Trusted Extensions Cree un servidor de directorio principal de varios niveles y a continuaci n monte autom ticamente las zonas instaladas Creaci n de directorios principales en Trusted Extensions en la p gina 101 Configure la auditor a monte sistemas de archivos y realice otras tareas antes de habilitar a los usuarios para que inicien sesi n en el sistema Procedimientos de administradores de Oracle Solaris Trusted Extensions Agregue usuarios de un entorno NIS al servidor LDAP Adici n de un usuario NIS al servidor LDAP en la p gina 104 Agregue un host y sus zonas con etiquetas al servidor LDAP Configuraci n de bases de datos de red de confianza mapa de tareas de Procedimientos de administradores de Oracle Solaris Trusted Extensions Cap tulo 2 Gu a b sica de configuraci n de Trusted Extensions 37 38 CAP TULO 3 Adici n del software de Trusted Extensions al SO Solaris tareas En este cap tulo se describe c mo preparar el SO Solaris para el software de Trusted Extensions En este cap tulo tambi n se describe la informaci n que necesita antes de habilitar Trusted Extensions Tambi n se proporcionan instrucciones sobre c mo habilitar Trusted Extensions Responsabilidades del equipo de configuraci n inicial en la p gina 39 Instalaci n o actualizaci n del SO Solaris para Trusted Ext
10. programas requieren privilegio para la ejecuci n y protege a los usuarios entre otras tareas El administrador del sistema comparte y monta sistemas de archivos instala paquetes de software y crea usuarios entre otras tareas FIGURA 1 1 Administraci n de un sistema Trusted Extensions divisi n de tareas por rol 8 Equipo de configuraci n inicial Recopila informaci n Toma decisiones relacionadas con la configuraci n Instala o actualiza el sistema operativo Oracle Solaris Habilita el servicio Trusted Extensions Comprueba e instala el archivo de codificaciones de etiquetas Se encarga del reinicio Crea roles administrativos y usuarios para que asuman roles Establece LDAP zonas bases de datos de red rutas etc 7 8 a E A p A Y Administrador del sistema Administrador de la seguridad Inicia sesi n y asume roles Configura y mantiene los sistemas por ejemplo monta el directorio principal instala software y asigna ID de usuario Inicia sesi n y asume roles Configura las opciones relacionadas con la seguridad de la informaci n como las etiquetas Configura las opciones relacionadas con la seguridad de los derechos como los privilegios para realizar acciones y las contrase as de los usuarios Resoluci n de problemas adicionales antes de habilitar Trusted Extensions Antes de configurar Trusted Extensions debe proteger f sicam
11. Cuando se reinicia el host la asociaci n entre los dispositivos y el almacenamiento subyacente se debe volver a establecer Debe haber creado al menos una zona con etiquetas Dicha zona no se debe estar utilizando para la clonaci n Reinicie el sistema Inicie sesi n como usuario root Reinicie el servicio zones svcs zones STATE STIME FMRI offline svc system zones default svcadm restart svc system zones default Cierre la sesi n Ahora los usuarios comunes pueden iniciar sesi n Su sesi n est en una zona con etiquetas Creaci n de directorios principales en Trusted Extensions Antes de empezar 1 En Trusted Extensions los usuarios necesitan tener acceso a sus directorios principales en cada etiqueta en la que trabajan Para que todos los directorios principales est n disponibles para el usuario es necesario crear un servidor de directorio principal de varios niveles ejecutar el montador autom tico en el servidor y exportar los directorios principales En el sitio del cliente puede ejecutar secuencias de comandos para encontrar el directorio principal para cada zona de cada usuario o puede hacer que el usuario inicie sesi n en el servidor de directorio principal Creaci n del servidor de directorio principal en Trusted Extensions Debe ser superusuario en el rol root o en el rol de administrador principal Instale y configure el software de Trusted Extensions en el servidor de directorio princi
12. Labeled Zone Manager se ejecuta en el sistema remoto y se visualiza en el sistema de escritorio Opcional Acceda a las acciones de Trusted CDE Para abrir y cerrar de manera segura el gestor de aplicaciones consulte C mo administrar Trusted Extensions con dtappsession de manera remota de Procedimientos de administradores de Oracle Solaris Trusted Extensions Configuraci n de zonas con etiquetas en un sistema sin perif ricos En este ejemplo el administrador utiliza la interfaz gr fica de usuario txzonemgr para configurar zonas con etiquetas en un sistema sin perif ricos con etiquetas desde un sistema de escritorio con etiquetas Como en el SO Solaris el administrador habilita el acceso del sistema de escritorio al servidor X utilizando la opci n X para el comando ssh El usuario instal1l1 est definido de la misma manera en ambos sistemas y puede asumir el rol remoterole TXdesk1 xhost TXnohead4 TXdesk1 whoami install1 TXdesk1 ssh X l install1 TXnohead4 Password Ins1PwD1 TXnohead4 Para acceder a la zona global el administrador asume el rol remoterole Este rol est definido de la misma manera en ambos sistemas Cap tulo6 Configuraci n de Trusted Extensions en un sistema sin perif ricos tareas 143 Configuraci n de un sistema sin perif ricos en Trusted Extensions mapa de tareas TXnohead4 su remoterole Password abcdl1EFG A continuaci n el administrador inicia la interfaz gr fica
13. Planificaci n de la seguridad para Trusted Extensions 21 Planificaci n de la seguridad en Trusted Extensions 22 Como parte de la estrategia de administraci n tendr que decidir lo siguiente m Qu usuario manejar cada responsabilidad administrativa m Qu usuarios no administrativos podr n ejecutar aplicaciones de confianza es decir qu usuarios tendr n permiso para ignorar la pol tica de seguridad cuando sea necesario m Qu usuarios tendr n acceso a determinados grupos de datos Dise o de una estrategia de etiqueta Para la planificaci n de etiquetas es necesario establecer una jerarqu a de niveles de sensibilidad y categorizar la informaci n del sistema El archivo label_encodings contiene este tipo de informaci n para el sitio Puede utilizar uno de los archivos label_encodings que se suministran con el software de Trusted Extensions Tambi n podr a modificar uno de los archivos suministrados o crear un nuevo archivo label_encodings espec fico para su sitio El archivo debe incluir las extensiones locales espec ficas de Oracle al menos la secci n COLOR NAMES Precauci n Si proporciona un archivo label_encodings debe tener la versi n final del archivo lista antes de que el sistema verifique las etiquetas El archivo debe estar en un medio extra ble Las etiquetas se verifican durante el primer inicio una vez que el servicio de Trusted Extensions est habilitado La planificaci n de etiquetas ta
14. configuraci n del sistema FIGURA 4 2 Herramientas de Trusted Extensions en Solaris Management Console Navigation El This Computer 127 0 0 1 Scope o ili System Status Ja System Configuration o Gh Users User Accounts h User Templates E Rights Administrative Roles Ah Groups EX Mailing Lists Projects Computers and Networks Security Templates lt Q Trusted Network Zone 2 Computers az 10 5 127 ay 129 146 Patches Cap tulo 4 Configuraci n de Trusted Extensions tareas 61 Configuraci n de la zona global en Trusted Extensions 62 4 V ase tambi n Antes de empezar Opcional Guarde la caja de herramientas actual Al guardar una caja de herramientas Policy TSOL permite que una caja de herramientas de Trusted Extensions se cargue de manera predeterminada Las preferencias se guardan por rol por host El host es el servidor de Solaris Management Console a Enel men Console elija Preferences La caja de herramientas de inicio est seleccionada b Defina una caja de herramientas con Policy TSOL como la caja de herramientas de inicio Coloque la caja de herramientas actual en el campo Location haciendo clic en el bot n Use Current Toolbox c Haga clic en OK para guardar las preferencias Salga de Solaris Management Console Para obtener una descripci n general de las adiciones de Trusted Extensions a Solaris Management Console consulte Herramientas d
15. configurado Seleccione si se permite el inicio de sesi n directo en el servidor o si se debe ejecutar una secuencia de comandos m Habilite a los usuarios para que inicien sesi n directamente en el servidor de directorio principal a Indique a cada usuario que inicie sesi n en el servidor de directorio principal Una vez que el usuario haya iniciado sesi n correctamente deber cerrar sesi n b Indique a cada usuario que vuelva a iniciar sesi n y que esta vez seleccione una etiqueta de inicio de sesi n diferente El usuario utiliza el generador de etiquetas para seleccionar una etiqueta de inicio de sesi n diferente Una vez que el usuario haya iniciado sesi n correctamente deber cerrar sesi n c Indique a cada usuario que repita el proceso de inicio de sesi n para cada etiqueta que el usuario tiene permitido utilizar d Indique alos usuarios que inicien sesi n desde su estaci n de trabajo habitual El directorio principal para su etiqueta predeterminada est disponible Cuando un usuario cambia la etiqueta de una sesi n o agrega un espacio de trabajo en una etiqueta diferente el directorio principal del usuario para esa etiqueta se monta Escriba una secuencia de comandos que cree un punto de montaje de directorio principal para cada usuario y ejecute la secuencia de comandos 4 bin sh Cap tulo 4 Configuraci n de Trusted Extensions tareas 103 Adici n de usuarios y hosts a una red de conf
16. en la p gina 160 Personalizaci n de una zona iniciada en Trusted Extensions Si va a clonar zonas este procedimiento permite configurar una zona para utilizarla como plantilla para otras zonas Adem s este procedimiento permite configurar la zona para su uso Aseg rese de que la zona se haya iniciado por completo En nombre_zona Zone Terminal Console inicie sesi n como usuario root hostname console login root Password Type root password Compruebe que la zona se est ejecutando El estado running indica que al menos un proceso se est ejecutando en la zona zoneadm list v ID NAME STATUS PATH 2 public running Compruebe que la zona puede comunicarse con la zona global El servidor X se ejecuta en la zona global Cada zona con etiquetas debe poder conectarse con la zona global para utilizar este servicio Por lo tanto para poder utilizar la zona es necesario que las redes de la zona funcionen Para obtener ayuda consulte La zona con etiquetas no puede acceder al servidor X en la p gina 107 Gu a de configuraci n de Oracle Solaris Trusted Extensions Agosto de 2011 Creaci n de zonas con etiquetas mediante acciones de CDE mapa de tareas En Zone Terminal Console deshabilite los servicios que no son necesarios en una zona con etiquetas Si est copiando o clonando esta zona los servicios que deshabilite se inhabilitar n en las nuevas zonas Los servicios que est n en l nea en el sistema dep
17. n debe identificar qu hosts de Trusted Extensions van a servir como puertas de enlace Debe identificar la etiqueta rango de acreditaci n para estas puertas de enlace y la etiqueta de sensibilidad en la que se podr n ver los datos de otros hosts La p gina del comando man smtnrhtp 1M proporciona una descripci n completa de cada tipo de host y varios ejemplos Planificaci n de zonas en Trusted Extensions El software de Trusted Extensions se agrega al SO Oracle Solaris en la zona global A continuaci n debe configurar las zonas no globales con etiquetas Puede crear una zona con etiquetas para cada etiqueta nica aunque no es necesario crear una zona para cada la etiqueta enel archivo label_encodings Una parte de la configuraci n de zona es la configuraci n de la red De manera predeterminada las zonas con etiquetas est n configuradas para comunicarse con la zona global Adem s puede configurar las zonas del sistema para que se comuniquen con otras zonas de la red ma El servidor X en el que se ejecuta la visualizaci n del escritorio s lo est disponible desde la zona global A partir de la versi n Solaris 10 10 08 la interfaz de bucle de retorno 100 se pueden utilizar para comunicarse con la zona global Por lo tanto la visualizaci n del escritorio est disponible para las zonas no globales mediante 100 De manera predeterminada las zonas no globales no se pueden comunicar con hosts que no son de confianza A part
18. n que sean dif ciles de copiar o falsificar Establezca qu reas est n prohibidas para los visitantes y m rquelas claramente Acompa e a los visitantes en todo momento Infracciones de seguridad comunes Dado que ning n equipo es completamente seguro una instalaci n inform tica es tan segura como las personas que la utilizan La mayor a de las acciones que infringen la seguridad se pueden resolver f cilmente con usuarios cuidadosos o equipos adicionales Sin embargo la siguiente lista proporciona ejemplos de los problemas que pueden producirse Los usuarios proporcionan contrase as a otras personas que no deber an tener acceso al sistema Los usuarios anotan las contrase as y luego las pierden o las dejan en ubicaciones inseguras Los usuarios definen sus contrase as con palabras o nombres que se pueden adivinar f cilmente Los usuarios aprenden las contrase as observando a otros usuarios escribir sus contrase as Los usuarios no autorizados extraen o sustituyen el hardware o lo sabotean f sicamente Los usuarios se alejan de sus sistemas sin bloquear la pantalla Los usuarios cambian los permisos en un archivo para permitir que otros usuarios lo lean Los usuarios cambian las etiquetas de un archivo para permitir que otros usuarios lean el archivo Los usuarios desechan documentos confidenciales impresos sin destruirlos o los usuarios dejan documentos confidenciales impresos en ubicaciones inseguras Los u
19. tulo 4 Configuraci n de Trusted Extensions tareas 113 Tareas adicionales de configuraci n de Trusted Extensions 6 Configure el sistema Es posible que deba configurar varios servicios para su sistema Solaris Entre los candidatos se incluyen la auditor a las funciones b sicas de redes los servicios de nombres y los montajes de sistemas de archivos 114 Gu a de configuraci n de Oracle Solaris Trusted Extensions Agosto de 2011 CAP TULO 5 Configuraci n de LDAP para Trusted Extensions tareas En este cap tulo se trata c mo configurar Sun Java System Directory Server y Solaris Management Console para su uso con Trusted Extensions El servidor de directorios proporciona los servicios LDAP LDAP es el servicio de nombres admitido para Trusted Extensions Solaris Management Console es la interfaz gr fica de usuario administrativa para base de datos locales y LDAP Al configurar el servidor de directorios dispone de dos opciones Puede configurar un servidor LDAP en un sistema Trusted Extensions o puede utilizar un servidor existente y conectarse a l mediante un servidor proxy Trusted Extensions Siga las instrucciones de uno de los siguientes mapas de tareas m Configuraci n de un servidor LDAP en un host de Trusted Extensions mapa de tareas en la p gina 115 m Configuraci n de un servidor proxy LDAP en un host de Trusted Extensions mapa de tareas en la p gina 116 Configuraci n de un servi
20. y acceder a ella desde cualquier punto de la red Sun admite el servicio de nombres LDAP Sin este servicio cada sistema debe mantener su propia copia de la informaci n del sistema en los archivos etc locales Un shell especial que reconoce atributos de seguridad como privilegios autorizaciones y UID y GID especiales Un shell de perfil generalmente limita a los usuarios a menos comandos pero puede permitir que estos comandos se ejecuten con m s derechos El shell de perfil es el shell predeterminado de un rol de confianza Nombre gen rico de un equipo Despu s de la instalaci n a un sistema de una red generalmente se lo denomina host Un sistema con etiquetas es un sistema que est ejecutando un sistema operativo de varios niveles como Trusted Extensions o SELinux con MLS habilitado El sistema puede enviar y recibir paquetes de red que est n etiquetados con una opci n de seguridad de IP com n CIPSO en el encabezado del paquete Una colecci n de archivos y directorios que cuando se organiza en una jerarqu a l gica forma un conjunto de informaci n organizado y estructurado Los sistemas de archivos se pueden montar desde el sistema local o desde un sistema remoto Para un sistema Solaris en el que est configurado Trusted Extensions un sistema sin etiquetas es un sistema que no est ejecutando un sistema operativo de varios niveles como Trusted Extensions o SELinux con MLS habilitado Un sistema sin etiquetas no env a
21. 160 162 creaci n de agrupaci n ZFS para clonar 56 57 decisi n de m todo de creaci n 24 26 zonas Continuaci n detenci n 79 eliminaci n del daemon nscd de las zonas con etiquetas 89 especificaci n de etiquetas 72 74 157 159 especificaci n de nombres 72 74 157 159 especificaci n de rutas predeterminadas 84 88 especificaci n de una direcci n IP compartida 154 155 especificaci n de una direcci n IP para todas las zonas 71 72 155 156 habilitaci n para iniciar sesi n 101 inicializaci n 161 inicializaci n para LDAP 160 162 inicio 75 77 162 instalaci n 74 75 160 162 personalizaci n 78 80 resoluci n de problemas de acceso 107 110 resoluci n de problemas de instalaci n 75 secuencia de comandos usr sbin txzonemgr 67 68 secuencia de comandos txzonemgr 109 secuencia de comandos usr sbin txzonemgr 159 supresi n 113 verificaci n del estado 77 78 visualizaci n de la actividad de la zona 76 80 162 Zone Console resultado 76 187 188
22. Ejecute la secuencia de comandos txzonemgr y responda a las peticiones de datos sobre LDAP La opci n de men Create LDAP Client s lo permite configurar la zona global a Siga las instrucciones de Ejecuci n de la secuencia de comandos txzonemgr en la p gina 67 El t tulo del cuadro de di logo es Labeled Zone Manager Seleccione Create LDAP Client Responda a las siguientes peticiones de datos y haga clic en OK despu s de cada respuesta Enter Domain Name Type the domain name Enter Hostname of LDAP Server Type the name of the server Enter IP Address of LDAP Server servername Type the IP address Enter LDAP Proxy Password Type the password to the server Confirm LDAP Proxy Password Retype the password to the server Enter LDAP Profile Name Type the profile name Confirme o cancele los valores mostrados Proceed to create LDAP Client Al confirmar la secuencia de comandos txzonemgr agrega el cliente LDAP A continuaci n aparece una ventana con el resultado del comando En un espacio de trabajo de Trusted CDE busque y utilice la acci n Create LDAP Client a Navegue hasta la carpeta Trusted_Extensions haciendo clic con el tercer bot n del mouse en el fondo Desde el men Workspace seleccione Applications gt Application Manager Haga doble clic en el icono de la carpeta Trusted_Extensions Esta carpeta contiene acciones que configuran interfaces clientes LDAP y zonas con etiquetas Haga doble c
23. Management Console carga de una caja de herramientas de Trusted Extensions 59 62 configuraci n de la caja de herramientas LDAP 131 132 configuraci n para LDAP 128 134 habilitaci n de la caja de herramientas LDAP que se utilizar 130 131 inicializaci n 59 62 registro de credenciales LDAP 129 130 186 Gu a de configuraci n de Oracle Solaris Trusted Extensions Solaris Management Console Continuaci n resoluci n de problemas 59 62 trabajo con Sun Java System Directory Server 128 134 uso de la herramienta Trusted Network Zone Configuration 73 158 Solaris Trusted Extensions Ver Trusted Extensions Sun Java System Directory Server Ver servidor LDAP supresi n zonas con etiquetas 113 svcs Pattern labeld doesn t match any instances 47 T tareas adicionales de configuraci n de Trusted Extensions 110 114 tareas y mapas de tareas asociaci n de interfaces de red con zonas mediante acciones de CDE mapa de tareas 153 156 configuraci n de Solaris Management Console para LDAP mapa de tareas 128 134 configuraci n de un servidor LDAP en un host de Trusted Extensions mapa de tareas 115 116 configuraci n de un servidor proxy LDAP en un host de Trusted Extensions mapa de tareas 116 117 Configuraci n de un sistema sin perif ricos en Trusted Extensions mapa de tareas 135 144 creaci n de zonas con etiquetas 66 81 creaci n de zonas con etiquetas mediante acciones de CDE mapa de tareas 159 168 prepar
24. O bien debe instalar todos los parches para la versi n Solaris 10 11 06 Si est ejecutando la versi n Solaris 10 11 06 sin los parches actuales utilice los procedimientos de Ap ndice B Uso de acciones de CDE para instalar zonas en Trusted Extensions para configurar las zonas con etiquetas Las instrucciones de esta secci n permiten configurar zonas con etiquetas en un sistema al que se le han asignado un m ximo de dos direcciones IP Para otras configuraciones consulte las opciones de configuraci n en Mapa de tareas preparaci n para Trusted Extensions y activaci n del producto en la p gina 33 Tarea Descripci n Para obtener instrucciones 1 Ejecute la secuencia de comandos txzonemgr La secuencia de comandos txzonemgr crea una interfaz gr fica de usuario que presenta las tareas correspondientes a medida que configura las zonas Ejecuci n de la secuencia de comandos txzonemgr en la p gina 67 2 Gestione las interfaces de red en la zona global Configure las interfaces en la zona global o cree las interfaces l gicas y config relas en la zona global Configuraci n de las interfaces de red en Trusted Extensions en la p gina 68 3 Asigne un nombre a la zona y etiqu tela Asigne un nombre a la zona con una versi n de su etiqueta y asigne la etiqueta Asignaci n de nombre y etiquetado de zona en la p gina 72 4 Instale e inicie la zona Instale
25. System Administrator b Haga clic en la ficha Supplementary Rights y a continuaci n realice los siguientes pasos i Elimine el perfil de derechos de gesti n de usuarios ii Agregue el perfil de derechos de gesti n de usuarios personalizada iii Coloque el perfil de derechos de gesti n de usuarios personalizada encima del perfil de derechos de todos c Guarde los cambios Para evitar que se utilicen los perfiles predeterminados consulte el Paso 7 en Verificaci n del funcionamiento de los roles de Trusted Extensions en la p gina 99 despu s de verificar que los perfiles personalizados apliquen la separaci n de tareas Creaci n del rol de administrador de la seguridad en Trusted Extensions La creaci n de roles en Trusted Extensions es id ntica a la creaci n de roles en el SO Solaris Sin embargo en Trusted Extensions se requiere un rol de administrador de la seguridad Para crear un rol de administrador de la seguridad local tambi n puede utilizar la interfaz de la l nea de comandos como se muestra en el Ejemplo 4 6 Debe ser superusuario en el rol root o en el rol de administrador principal Para crear el rol en la red debe haber completado la secci n Configuraci n de Solaris Management Console para LDAP mapa de tareas en la p gina 128 Inicie Solaris Management Console usr sbin smc Seleccione la caja de herramientas adecuada m Para crear el rol de manera local utilice This Compute
26. archivo etc system Configuraci n del dominio de interpretaci n en la p gina 54 Si tiene previsto utilizar una instant nea de ZFS de Solaris para clonar zonas cree la agrupaci n ZFS Creaci n de agrupaci n ZFS para clonar zonas en la p gina 56 Inicie para habilitar un entorno con etiquetas Al iniciar sesi n se encuentra en la zona global El archivo label_encodings del sistema aplica el control de acceso obligatorio MAC Reinicie e inicie sesi n en Trusted Extensions en la p gina 57 Inicialice Solaris Management Console Esta interfaz gr fica de usuario se utiliza para etiquetar zonas entre otras tareas Tnicializaci n del servidor de Solaris Management Console en Trusted Extensions en la p gina 59 Cree el rol de administrador de la seguridad y otros roles que desee utilizar localmente Debe crear estos roles tal como lo har a en el SO Solaris Puede dejar esta tarea para el final Para ver las consecuencias consulte Dise o de una estrategia de configuraci n para Trusted Extensions en la p gina 29 Creaci n de roles y usuarios en Trusted Extensions en la p gina 90 Verificaci n del funcionamiento de los roles de Trusted Extensions en la p gina 99 Si est utilizando archivos locales para administrar el sistema omita el siguiente conjunto de tareas Cap tulo 2 Gu a b sica de configuraci n de Trusted Extensions 35 Mapa de tar
27. com n de Solaris gu a para usuarios avanzados y administradores del sistema describe Common Desktop Environment CDE entorno de escritorio com n Gu a del administrador para el sistema operativo instalado actualmente describe c mo realizar una copia de seguridad de los archivos del sistema Referencias relacionadas con el sitio web de otras empresas 16 En este documento se proporcionan URL de terceros e informaci n adicional relacionada Nota Oracle no se hace responsable de la disponibilidad de los sitios web de terceros que se mencionen en este documento Oracle no garantiza ni se hace responsable de los contenidos la publicidad los productos u otros materiales que puedan estar disponibles a trav s de dichos sitios o recursos Oracle no se responsabiliza de ning n da o real o supuesto ni de posibles p rdidas que se pudieran derivar del uso de los contenidos bienes o servicios que est n disponibles en dichos sitios o recursos Gu a de configuraci n de Oracle Solaris Trusted Extensions Agosto de 2011 Prefacio Documentaci n asistencia y formaci n Encontrar recursos adicionales en estos sitios web Documentaci n http ww oracle com technetwork indexes documentation index html m Asistencia http www oracle com us support systems index html m Formaci n http ww oracle com global us education sun_select_country html Elija el pa s para el que desea informaci n de formaci n para
28. configured Para obtener informaci n sobre el par metro enableShadowUpdate consulte Conmutador enableShadowUpdate de Gu a de administraci n del sistema Servicios de nombres y directorios DNS NIS y LDAP y en la p gina del comando man 1dapclient 1M Gu a de configuraci n de Oracle Solaris Trusted Extensions Agosto de 2011 Configuraci n de Sun Java System Directory Server en un sistema Trusted Extensions Configuraci n de los registros para Sun Java System Directory Server Mediante este procedimiento se configuran tres tipos de registros registros de acceso registros de auditor a y registros de errores Los siguientes valores predeterminados no se modifican Todoslos registros se habilitan y almacenan en la memoria intermedia m Los registros se colocan en el directorio export home ds instances su_instancia logs REGISTRO_TIPO adecuado m Los eventos se registran en el nivel de registro 256 m Los registros est n protegidos por 600 permisos de archivo Los registros de acceso rotan diariamente Los registros de errores rotan semanalmente La configuraci n de este procedimiento cumple con los siguientes requisitos Los registros de auditor a rotan diariamente Los archivos de registro anteriores a 3 meses caducan Todoslos archivos de registro utilizan un m ximo de 20 000 MB de espacio de disco m Se conserva un m ximo de 100 archivos de registro y cada archivo tiene como m ximo 500 Mbyt
29. corn roaan 78 Y Copia o clonaci n de una zona en Trusted Extensions cococooconiccnninnononcononcnncncnnononnanan cn corcn canon 80 Adici n de interfaces de red y rutas a zonas CON etiquetas cocionnnnncnnennncncinnnnconcnrcancnno rca 81 Y Adici n de una interfaz de red para enrutar una zona con etiquetas existente ooo 82 V Adici n de una interfaz de red que no utiliza la zona global para enrutar una zona con etiquetas existente ocenie dida 84 V Configuraci n de una antememoria de servicio de nombres en cada zona con etiquetas 88 Creaci n de roles y usuarios en Trusted Extensions wusssiisisiasiisuiiiunisissiiraisiiiiniss 90 Gu a de configuraci n de Oracle Solaris Trusted Extensions Agosto de 2011 Contenido V Creaci n de perfiles de derechos que aplican la separaci n de tareas ccocincincnnonnnnoncincnnncnnnoss 90 Y Creaci n del rol de administrador de la seguridad en Trusted Extensions ccinnanonncnaninanioss 93 YV Creaci n de un rol de administrador del sistema restringido c uccm Y Creaci n de usuarios que puedan asumir roles en Trusted Extensions W Verificaci n del funcionamiento de los roles de Trusted Extensions conicoinnnnninnninnninnnnocnns V Habilitaci n de los usuarios para que inicien sesi n en una zona con etiquetas 101 Creaci n de directorios principales en Trusted Extensions cocccnicinninnononcnnonnnnnnnnccnnacan cn conanoannnos 101 W Creaci n del servidor de direct
30. de nombres LDAP en Trusted Extensions Si no tiene pensado instalar una red de sistemas con etiquetas puede omitir esta secci n Si piensa ejecutar Trusted Extensions en una red de sistemas utilice LDAP como servicio de nombres Para Trusted Extensions se requiere un servidor LDAP Sun Java System Directory Server rellenado en el momento de configurar una red de sistemas Si su sitio tiene un servidor LDAP existente puede rellenar el servidor con bases de datos de Trusted Extensions Para acceder al servidor configure un proxy LDAP en un sistema Trusted Extensions Si su sitio no tiene un servidor LDAP existente debe crear un servidor LDAP en un sistema en el que se ejecute el software de Trusted Extensions Los procedimientos se describen en el Cap tulo 5 Configuraci n de LDAP para Trusted Extensions tareas Planificaci n de la auditor a en Trusted Extensions Al instalar Trusted Extensions la auditor a est habilitada de manera predeterminada Por lo tanto de manera predeterminada se audita el inicio de sesi n el bloqueo de pantalla y el cierre de sesi n del usuario root Para auditar a los usuarios que est n configurando el sistema puede crear roles en una fase temprana del proceso de configuraci n Cuando estos roles configuran el sistema los registros de auditor a incluyen al usuario de inicio de sesi n que asume el rol Consulte Creaci n de roles y usuarios en Trusted Extensions en la p gina 90 La pl
31. de usuario txzonemgr TXnohead4 usr sbin txzonemgr Labeled Zone Manager se ejecuta en el sistema sin perif ricos y se visualiza en el sistema de escritorio 144 Gu a de configuraci n de Oracle Solaris Trusted Extensions Agosto de 2011 AP NDICE A Pol tica de seguridad del sitio En este ap ndice se explican los problemas de la pol tica de seguridad del sitio y se sugieren sitios web y manuales de referencia para obtener m s informaci n Pol tica de seguridad del sitio y Trusted Extensions en la p gina 146 Recomendaciones de seguridad inform tica en la p gina 147 Recomendaciones de seguridad f sica en la p gina 148 Recomendaciones de seguridad del personal en la p gina 149 Infracciones de seguridad comunes en la p gina 149 Referencias de seguridad adicionales en la p gina 150 Creaci n y gesti n de una pol tica de seguridad Cada sitio de Trusted Extensions es nico y debe determinar su propia pol tica de seguridad Realice las siguientes tareas al crear y gestionar una pol tica de seguridad Establezca un equipo de seguridad El equipo de seguridad debe tener representaci n de la gerencia superior la gerencia de personal los administradores y la gerencia de sistemas inform ticos y la gerencia de utilidades El equipo debe revisar las pol ticas y los procedimientos de los administradores de Trusted Extensions y recomendar las pol ticas de seguridad gene
32. defaults C Dt m usr dt app defaults C Dtwm m usr dt app defaults C SelectionManager m usr dt bin Xsession m usr dt bin Xtsolsession m usr dt bin Xtsolusersession m usr dt config sel config m usr X11 lib X11 xserver TrustedExtensionsPolicy Para obtener m s informaci n consulte el sitio web de Common Criteria http www commoncriteriaportal org Dise o de una estrategia de administraci n para Trusted Extensions El usuario root o el rol de administrador del sistema es el responsable de la habilitaci n de Trusted Extensions Puede crear roles para dividir las responsabilidades administrativas entre varias reas funcionales Eladministrador de la seguridad es el responsable de las tareas relacionadas con la seguridad como la creaci n y asignaci n de etiquetas de sensibilidad la configuraci n de auditor as y el establecimiento de directivas de contrase a m Eladministrador del sistema es el responsable de los aspectos no relacionados con la seguridad de la configuraci n el mantenimiento y la administraci n general m Eladministrador principal es el responsable de crear el perfil de derechos para el administrador de la seguridad y de solucionar los problemas cuando los administradores de la seguridad y el sistema no tienen privilegios suficientes m Se pueden configurar roles m s limitados Por ejemplo un operador podr a ser el responsable de la copia de seguridad de los archivos Cap tulo 1
33. el usuario root no dispone de una contrase a el usuario root no puede configurar el sistema Cap tulo 3 Adici n del software de Trusted Extensions al SO Solaris tareas 41 Instalaci n o actualizaci n del SO Solaris para Trusted Extensions 42 Utilice el m todo de cifrado de contrase a crypt_unix predeterminado para el usuario root Para obtener detalles consulte Managing Password Information de System Administration Guide Security Services Nota Los usuarios no deben revelar sus contrase as a otra persona ya que esa persona podr a acceder a los datos del usuario sin que se la pueda identificar claramente ni responsabilizar Tenga en cuenta que la divulgaci n puede ser directa si el usuario revela su contrase a deliberadamente a otra persona o indirecta si el usuario escribe la contrase a o selecciona una contrase a insegura El SO Solaris ofrece protecci n contra contrase as inseguras pero no puede evitar que el usuario revele su contrase a o la escriba Si tiene previsto administrar el sitio desde este sistema agregue los paquetes de Solaris para Solaris Management Console Trusted Extensions utiliza Solaris Management Console para administrar la red Si el sistema se instal con el grupo de usuarios finales o un grupo m s peque o el sistema no tiene los paquetes para Solaris Management Console Si ya ha creado un archivo xorg conf debe modificarlo Agregue la siguiente l nea al final de la se
34. el usuario y el rol de administrador de la seguridad asigna los atributos relacionados con la seguridad como una contrase a Debe ser superusuario en el rol root en el rol de administrador de la seguridad o en el rol de administrador principal El rol de administrador de la seguridad debe tener la menor cantidad de privilegios necesaria para la creaci n de usuarios Aparece Solaris Management Console Para obtener detalles consulte Creaci n del rol de administrador de la seguridad en Trusted Extensions en la p gina 93 Haga doble clic en User Accounts en Solaris Management Console Gu a de configuraci n de Oracle Solaris Trusted Extensions Agosto de 2011 Creaci n de roles y usuarios en Trusted Extensions En el men Action seleccione Add User Use Wizard Precauci n Los nombres y los ID de los roles y usuarios provienen de la misma agrupaci n No utilice nombres ni ID existentes para los usuarios que agregue Siga la ayuda en pantalla Tambi n puede seguir los procedimientos descritos en How to Add a User With the Solaris Management Console s Users Tool de System Administration Guide Basic Administration Despu s de crear el usuario haga doble clic en el usuario creado para modificar los valores Nota Para los usuarios que puedan asumir roles elija la opci n Always Available para la cuenta y no establezca fechas de caducidad para las contrase as Aseg rese de que los siguientes campos e
35. en la p gina 128 Configure los dem s sistemas Trusted Extensions como clientes Al configurar Trusted Extensions en otro sistema convierta el sistema en un cliente de este servidor LDAP de este servidor Conversi n de la zona global en un cliente LDAP en Trusted Extensions en la p gina 62 Configuraci n de un servidor proxy LDAP en un host de Trusted Extensions mapa de tareas Utilice este mapa de tareas si tiene un servidor Sun Java System Directory Server existente que se est ejecutando en un sistema Oracle Solaris Tarea Descripci n Para obtener instrucciones Agregue las bases de datos de Trusted Extensions al servidor La bases de datos de red de Trusted Extensions tnrhdb y tnrhtp se deben agregar al servidor LDAP Rellenado de Sun Java System Directory Server en la p gina 125 Configure un servidor proxy LDAP Convierta un sistema Trusted Extensions en el servidor proxy de los dem s sistemas Trusted Extensions Los dem s sistemas Trusted Extensions utilizan este servidor proxy para acceder al servidor LDAP Creaci n de un servidor proxy LDAP en la p gina 128 Configure el servidor proxy para que tenga un puerto de varios niveles para LDAP Habilite el servidor proxy Trusted Extensions para que se pueda comunicar con el servidor LDAP en etiquetas espec ficas Configuraci n de puerto de varios niveles para Sun Java System Directory Serve
36. en la p gina 41 Contrase a del usuario root Las herramientas de administraci n de Trusted Extensions requieren contrase as Si el usuario root no dispone de una contrase a el usuario root no puede configurar el sistema Proporcione una contrase a para el usuario root No cambie el m todo de cifrado de contrase a crypt_unix predeterminado Para obtener detalles consulte Managing Password Information de System Administration Guide Security Services 40 Gu a de configuraci n de Oracle Solaris Trusted Extensions Agosto de 2011 Instalaci n o actualizaci n del SO Solaris para Trusted Extensions Opci n de Solaris Comportamiento de Trusted Extensions Acci n recomendada Grupo de Trusted Extensions utiliza Solaris En cualquier sistema que desee utilizar para desarrolladores Management Console para administrar otros sistemas no instale el administrar la red El grupo de grupo de usuarios finales el grupo de n cleo usuarios finales y los grupos m s ni el grupo de redes reducido peque os no instalan los paquetes para Solaris Management Console Instalaci n Como Trusted Extensions instala Seleccione Instalaci n personalizada y personalizada zonas es posible que necesite m s dise e las particiones espacio en el disco en las particiones del que proporciona la instalaci n predeterminada Considere la posibilidad de agregar espacio de intercambio adicional para los role
37. etiqueta de sensibilidad etiqueta inicial etiqueta m nima fuera de la configuraci n evaluada GFI host con etiquetas host remoto host sin etiquetas MAC nombre de dominio nombre de host Un identificador de seguridad que se asigna a un objeto La etiqueta se basa en el nivel en el que la informaci n de ese objeto debe estar protegida En funci n del modo en que el administrador de la seguridad ha configurado el usuario el usuario puede ver la etiqueta de sensibilidad o ninguna etiqueta Las etiquetas se definen en el archivo label_encodings Opci n de seguridad de IP com n CIPSO Common IP Security Option CIPSO es la etiqueta est ndar que implementa Trusted Extensions Una etiqueta de seguridad que se asigna a un objeto o un proceso La etiqueta se usa para limitar el acceso seg n el nivel de seguridad de los datos incluidos La etiqueta m nima asignada a un usuario o un rol y la etiqueta del espacio de trabajo inicial del usuario La etiqueta inicial es la etiqueta de nivel m s bajo en la que puede trabajar un usuario o un rol El l mite inferior de etiqueta de sensibilidad de un usuario y el l mite inferior de etiqueta de sensibilidad del sistema La etiqueta m nima establecida por el administrador de la seguridad durante la especificaci n de atributo de seguridad de usuario es la etiqueta de sensibilidad del primer espacio de trabajo del usuario en el primer inicio de sesi n La etiqueta de sensibilida
38. home ds instances your instance dpadm enable service T SMF export home ds instances your instance dpadm start export home ds instances your instance Para obtener informaci n sobre el comando dpadm consulte la p gina del comando man dpadm 1M Verifique la instalaci n dsadm info export home ds instances your instance Instance Path export home ds instances your instance Owner root root Non secure port 389 Secure port 636 Bit format 32 bit State Running Server PID 298 DSCC url Gu a de configuraci n de Oracle Solaris Trusted Extensions Agosto de 2011 Configuraci n de Sun Java System Directory Server en un sistema Trusted Extensions Errores m s frecuentes SMF application name ds export home ds instances your instance Instance version D A00 Para conocer estrategias de resoluci n de problemas de configuraci n LDAP consulte el Cap tulo 13 LDAP Troubleshooting Reference de System Administration Guide Naming and Directory Services DNS NIS and LDAP Creaci n de un cliente LDAP para el servidor de directorios Puede utilizar este cliente para rellenar su servidor de directorios para LDAP Debe realizar esta tarea antes rellenar el servidor de directorios Puede crear el cliente temporalmente en el servidor de directorios de Trusted Extensions y a continuaci n eliminar el cliente del servidor o bien puede crear un cliente independiente Instale Trusted Extensions en
39. hostname bge0 machinel all zones M todo 2 Limite el tr fico del servidor X al sistema local En esta configuraci n las zonas con etiquetas se pueden comunicar con el servidor X en el sistema local Sin embargo no existe ninguna ruta desde el servidor X local a otros sistemas de la red La ruta debe utilizar otra interfaz a Aseg rese de que el archivo etc nodename especifique el nombre del sistema etc nodename machinel Ap ndice B Uso de acciones de CDE para instalar zonas en Trusted Extensions 163 Creaci n de zonas con etiquetas mediante acciones de CDE mapa de tareas 164 2 b Aseg rese de que el archivo etc hosts especifique el nombre del sistema A partir de la versi n Solaris 10 10 08 Lo0 es una interfaz all zones En este caso el archivo aparece de una forma similar a la siguiente etc hosts 127 0 0 1 localhost machinel loghost Tambi n puede utilizar la interfaz vni0 Para que funcionen los servicios de Tool Talk el nombre del sistema debe estar en la misma l nea que loghost M todo 3 Resuelva la variable DISPLAY de otra manera por ejemplo como direcciones enrutables en interfaces l gicas por zona Para obtener informaci n sobre este procedimiento consulte Adici n de interfaces de red y rutas a zonas con etiquetas en la p gina 81 Para iniciar la zona vuelva al Paso 3 en Instalaci n inicializaci n e inicio de una zona con etiquetas mediante acciones de CDE
40. la p gina 157 2 Configure la red antes de crear Asigne una etiqueta a la interfaz de red en cada host y Configuraci n de bases de datos de red las zonas realice la configuraci n adicional de confianza mapa de tareas de Procedimientos de administradores de Oracle Solaris Trusted Extensions 156 Gu a de configuraci n de Oracle Solaris Trusted Extensions Agosto de 2011 Preparaci n para crear zonas mediante acciones de CDE mapa de tareas v Especificaci n de nombres y etiquetas de zona mediante una acci n de CDE No es necesario que cree una zona para cada la etiqueta del archivo label_encodings pero puede hacerlo En la base de datos tnzonecfg se enumeran las etiquetas para las que se pueden crear zonas en este sistema 1 Navegue hasta la carpeta Trusted_Extensions a Haga clic con el tercer bot n del mouse en el fondo b Desde el men Workspace seleccione Applications gt Application Manager c Haga doble clic en el icono de la carpeta Trusted_Extensions 2 Asigne un nombre a cada zona a Haga doble clicen la acci n Configure Zone b Enla petici n de datos proporcione un nombre Consejo Asigne a la zona un nombre similar a la etiqueta de la zona Por ejemplo el nombre de una zona cuya etiqueta es CONFIDENTIAL INTERNAL USE ONLY ser a internal 3 Repita la acci n Configure Zone con cada zona Por ejemplo el archivo predeterminado label_encodings contiene las siguientes etiquetas
41. la serie Netra es necesario modificar los valores de seguridad en el sistema sin perif ricos para habilitar el acceso remoto Para la administraci n de un sistema Trusted Extensions remoto se requiere una configuraci n similar Para ejecutar una interfaz gr fica de usuario administrativa es posible que tenga que ejecutar el proceso en el sistema remoto y mostrar la interfaz gr fica de usuario en el sistema de escritorio Para obtener una explicaci n de los requisitos consulte el Cap tulo 8 Administraci n remota en Trusted Extensions tareas de Procedimientos de administradores de Oracle Solaris Trusted Extensions Nota Los m todos de configuraci n que requieren los sistemas sin perif ricos y remotos no cumplen con los criterios de una configuraci n evaluada Para obtener m s informaci n consulte Comprensi n de la pol tica de seguridad del sitio en la p gina 20 Configuraci n de un sistema sin perif ricos en Trusted Extensions mapa de tareas En los sistemas sin perif ricos se conecta una consola por medio de una l nea de serie a una ventana del emulador de terminal La l nea generalmente se protege mediante el comando tip Seg n el tipo de sistema secundario que est disponible podr utilizar uno de los siguientes m todos para configurar un sistema sin perif ricos En la siguiente tabla los m todos aparecen ordenados del m s seguro al menos seguro Estas instrucciones tambi n se aplican a los sist
42. la zona global Debe crear exactamente una interfaz all zones Una interfaz all zones es compartida por las zonas con etiquetas y la zona global La interfaz compartida se usa para enrutar el tr fico entre las zonas con etiquetas y la zona global Para configurar esta interfaz realice una de las siguientes acciones Cree una interfaz l gica a partir de una interfaz f sica y a continuaci n comparta la interfaz f sica Esta configuraci n es la m s f cil para administrar Elija esta configuraci n cuando se hayan asignado dos direcciones IP a su sistema En este procedimiento la interfaz l gica se convierte en la direcci n espec fica de la zona global y la interfaz f sica se comparte entre la zona global y las zonas con etiquetas m Comparta una interfaz f sica Elija esta configuraci n cuando se haya asignado una direcci n IP a su sistema En esta configuraci n la interfaz f sica se comparte entre la zona global y las zonas con etiquetas Comparta una interfaz de red virtual vni0 Elija esta configuraci n cuando est configurando DHCP o cuando cada subred est en una etiqueta diferente Para un procedimiento de muestra consulte las instrucciones para equipos port tiles de la secci n de Trusted Extensions de la p gina web de seguridad de la comunidad de OpenSolaris http hub opensolaris org bin view Community Group security 68 Gu a de configuraci n de Oracle Solaris Trusted Extensions Agosto de 2
43. los paquetes en la zona Configure los servicios en la zona Zone Terminal Console le permite ver la actividad en la zona Instalaci n de la zona con etiquetas en la p gina 74 Inicie la zona con etiquetas en la p gina 75 5 Verifique el estado de la zona 66 Gu a de configuraci n de Oracle Solaris Trusted Extensions Agosto de 2011 Verifique que la zona con etiquetas est en ejecuci n y que la zona pueda comunicarse con la zona global Verificaci n del estado de la zona en la p gina 77 Creaci n de zonas con etiquetas Tarea Descripci n Para obtener instrucciones 6 Personalice la zona Elimine los servicios no deseados de la zona Personalizaci n de la zona con i COO etiquetas en la p gina 78 Si la zona se va a utilizar para crear otras zonas elimine la informaci n que sea espec fica de esta zona solamente 7 Cree el resto de las zonas Utilice el m todo que ha elegido para crear la segunda zona Copia o clonaci n de una zona en Para ver una explicaci n de los m todos de creaci n de Trusted Extensions en la p gina 80 zonas consulte Planificaci n de zonas en Trusted Extensions en la p gina 24 8 Opcional Agregue las Para que se aplique el aislamiento de red agregue una o Adici n de interfaces de red y rutas a interfaces de red espec ficas varias interfaces de red a una zona con etiquetas zonas con etiquetas en la p gina 8
44. n No realice otras tareas mientras se est realizando esta tarea Una vez que se hayan creado las zonas compruebe el estado de cada zona a Haga doble clic en la acci n Zone Terminal Console Gu a de configuraci n de Oracle Solaris Trusted Extensions Agosto de 2011 Creaci n de zonas con etiquetas mediante acciones de CDE mapa de tareas Antes de empezar b Inicie sesi n en la zona c Complete la secci n Verificaci n del estado de la zona en la p gina 77 Uso del m todo de clonaci n de zona en Trusted Extensions Ha terminado la secci n Especificaci n de nombres y etiquetas de zona mediante una acci n de CDE en la p gina 157 m Ha terminado la secci n Creaci n de agrupaci n ZFS para clonar zonas en la p gina 56 Ha creado la plantilla de zona al completar la secci n Creaci n de agrupaci n ZFS para clonar zonas en la p gina 56 m Ha personalizado una zona que utilizar como plantilla para la clonaci n en Creaci n de zonas con etiquetas mediante acciones de CDE mapa de tareas en la p gina 159 Lazona que utilizar como plantilla para la clonaci n est cerrada m Aparece la carpeta Trusted_Extensions Cree una instant nea de ZFS de Solaris de la plantilla de zona cd zfs snapshot zone zone nametsnapshot Utilizar esta instant nea para clonar las dem s zonas Para una zona configurada denominada public el comando de la instant nea es e
45. n de Oracle Solaris Trusted Extensions Agosto de 2011 Configuraci n de la zona global en Trusted Extensions A Ejemplo 4 1 m Convierta el archivo en el archivo label_encodings activo cp full pathname of label encodings file X etc security tsol label encodings site cd etc security tsol cp label_encodings label_encodings tx orig cp label encodings site label_encodings Precauci n Para poder continuar su archivo label_encodings debe aprobar la prueba de comprobaci n de codificaciones Comprobaci n de la sintaxis de label _encodings en la l nea de comandos En este ejemplo el administrador prueba varios archivos label_encodings mediante la l nea de comandos usr sbin chk_encodings var encodings label_encodings1 No errors found in var encodings label _encodings1l usr sbin chk_encodings var encodings label_encodings2 No errors found in var encodings label_encodings2 Cuando la administraci n decide utilizar el archivo label_encodings2 el administrador ejecuta un an lisis sem ntico del archivo usr sbin chk_encodings a var encodings label_encodings2 No errors found in var encodings label encodings2 gt VERSION MYCOMPANY LABEL ENCODINGS 2 0 10 10 2006 gt CLASSIFICATIONS lt Classification 1 PUBLIC Initial Compartment bits 10 Initial Markings bits NONE gt COMPARTMENTS AND MARKINGS USAGE ANALYSIS lt gt SENSITIVITY LABEL to COLOR MAPPING lt
46. n de zonas con etiquetas Pasos siguientes 78 Antes de empezar ii Desde la ventana de terminal muestre una interfaz gr fica de usuario Por ejemplo muestre un reloj usr openwin bin xclock Si el reloj no aparece en la etiqueta de la zona las redes de la zona no se configuraron correctamente Para ver sugerencias sobre depuraci n consulte La zona con etiquetas no puede acceder al servidor X en la p gina 107 iii Antes de continuar cierre la interfaz gr fica de usuario Desde la zona global compruebe el estado de las zonas con etiquetas zoneadm list v ID NAME STATUS PATH BRAND IP 0 global running native shared 3 internal running zone internal native shared 4 needtoknow running zone needtoknow native shared 5 restricted running zone restricted native shared Ha terminado de configurar la zona con etiquetas Para agregar interfaces de red espec ficas de la zona a las zonas o establecer una ruta predeterminada por zona con etiquetas contin e con Adici n de interfaces de red y rutas a zonas con etiquetas en la p gina 81 De lo contrario contin e con Creaci n de roles y usuarios en Trusted Extensions en la p gina 90 Personalizaci n de la zona con etiquetas Si va a clonar o a copiar zonas este procedimiento permite configurar una zona para utilizarla como plantilla para otras zonas Adem s este procedimiento permite configurar una zona que no se ha creado a partir de una plant
47. nea de comandos a Abra una ventana de terminal b Ejecute el comando chk_encodings usr sbin chk_encodings full pathname of label encodings file c Lea el resultado y realice una de las siguientes acciones m Corrija los errores Si el comando informa errores stos se deben corregir antes de continuar Para obtener ayuda consulte el Cap tulo 3 Making a Label Encodings File Tasks de Oracle Solaris Trusted Extensions Label Administration m Convierta el archivo en el archivo label_encodings activo cp full pathname of label encodings file etc security tsol label encodings site cd etc security tsol cp label_encodings label_encodings tx orig cp label encodings site label_encodings Precauci n Para poder continuar su archivo label_encodings debe aprobar la prueba chk_encodings En Trusted CDE utilice la acci n Check Encodings a Abra la carpeta Trusted_Extensions Haga clic con el tercer bot n del mouse en el fondo Cap tulo 4 Configuraci n de Trusted Extensions tareas 51 Configuraci n de la zona global en Trusted Extensions Desde el men Workspace seleccione Applications gt Application Manager Haga doble clic en el icono de la carpeta Trusted_Extensions Haga doble clic en la acci n Check Encodings En el cuadro de di logo escriba el nombre de la ruta completa del archivo full pathname of label encodings file Se invoca el comando chk_encodings para comproba
48. paquetes con etiquetas Si el sistema Trusted Extensions que se est comunicando ha asignado una sola etiqueta al sistema sin etiquetas la comunicaci n de red entre el sistema Trusted Extensions y el sistema sin etiquetas se produce en esa etiqueta Al sistema sin etiquetas tambi n se lo denomina sistema de un solo nivel Un grupo de sistemas que est n conectados mediante hardware y software al que a veces se denomina red de rea local LAN Cuando los sistemas est n conectados en red se suelen necesitar uno o varios servidores Equipos que no est n conectados a una red o que no dependen de otros hosts Una interfaz gr fica de usuario administrativa basada en Java que contiene la caja de herramientas de cada programa administrativo La mayor parte de la tareas de administraci n de los sistemas la red y los usuarios se realiza mediante caja de herramientas de la consola En un sistema Solaris en el que est configurado Trusted Extensions a cada zona se le asigna una etiqueta nica Aunque la zona global est etiquetada zona con etiquetas generalmente se refiere a una zona no global a la que se le asigna una etiqueta Las zonas con etiquetas tienen dos caracter sticas diferentes de las zonas no globales en un sistema Solaris que no tiene etiquetas configuradas En primer lugar las zonas con etiquetas deben utilizar la misma agrupaci n de ID de usuario e ID de grupo En segundo lugar las zonas con etiquetas pueden compartir dir
49. profile labelview int or ext show or hide min_label min label clearance max label type normal roles role name auths auth name passwd name gt user_attr Copie los archivos modificados en el directorio tmp en el servidor LDAP cp aliases auto_home internal passwd shadow user_attr tmp name Agregue las entradas de los archivos del Paso 3 a las bases de datos en el servidor LDAP usr sbin ldapaddent D cn directory manager w DM password a simple f tmp name aliases aliases usr sbin ldapaddent D cn directory manager w DM password a simple f tmp name auto home internal auto home internal usr sbin ldapaddent D cn directory manager w DM password a simple f tmp name passwd passwd usr sbin ldapaddent D cn directory manager w DM password a simple f tmp name shadow shadow usr sbin ldapaddent D cn directory manager w DM password a simple f tmp name user_attr user_attr Adici n de un usuario de una base de datos NIS al servidor LDAP En el siguiente ejemplo el administrador agrega un usuario nuevo a la red de confianza La informaci n del usuario se almacena originalmente en una base de datos NIS Para proteger la contrase a del servidor LDAP el administrador ejecuta el comando 1dapaddent en el servidor En Trusted Extensions el usuario nuevo puede asignar dispositivos y asumir el rol de operador Como el usuario puede asumir un rol la cuenta de usuario no se bl
50. public private host key pair rebooting system due to change s in etc default init NOTICE Zone rebooting Precauci n No realice otras tareas mientras se est realizando esta tarea Una vez que las cuatro zonas predeterminadas se configuran e inician Labeled Zone Manager muestra las zonas de la siguiente manera 6 s Pata Labeled Zone Manager Select items from the list below Zone Name Status Sensitivity Label internal running CONFIDENTIAL INTERNAL USE ONI public running PUBLIC needtoknow running CONFIDENTIAL NEED TO KNOW restricted running CONFIDENTIAL RESTRICTED Manage Network Interfaces Create a new zone Configure per zone name service Create LDAP Client Exit x Cancel ok E A veces aparecen mensajes de error y la zona no se reinicia En Zone Terminal Console presione la tecla de retorno Si se le solicita que escriba y para reiniciar escriba y Luego presione la tecla de retorno La zona se reiniciar Gu a de configuraci n de Oracle Solaris Trusted Extensions Agosto de 2011 Creaci n de zonas con etiquetas Pasos siguientes Si esta zona se copi o clon de otra zona contin e con Verificaci n del estado de la zona en la p gina 77 Si esta zona es la primera zona contin e con Personalizaci n de la zona con etiquetas en la p gina 78 Verificaci n del estado de la zona Nota El servidor X se ejecuta en la zona gl
51. remota en el sistema sin perif ricos Utilice el comando ssh para iniciar sesi n desktop ssh l identical username headless Password Type the user s password headless Obien utilice el comando rlogin para iniciar sesi n desktop rlogin headless Password Type the user s password headless Gu a de configuraci n de Oracle Solaris Trusted Extensions Agosto de 2011 Configuraci n de un sistema sin perif ricos en Trusted Extensions mapa de tareas Ejemplo 6 2 Asuma el rol que est definido de la misma manera en ambos sistemas Utilice la misma ventana de terminal Por ejemplo asuma el rol root headless su root Password Type the root password Ahora est en la zona global Ahora puede utilizar este terminal para administrar el sistema sin perif ricos desde la l nea de comandos Habilite la visualizaci n de los procesos del sistema sin perif ricos en el sistema de escritorio Nota Tambi n puede visualizar las interfaces gr ficas de usuario remotas iniciando sesi n con el comandossh X Para obtener m s informaci n consulte la p gina del comando man ssh 1 Si desea ver un ejemplo consulte el Ejemplo 6 2 headless DISPLAY desktop n n headless export DISPLAY n n Ahora puede administrar el sistema sin perif ricos mediante las interfaces gr ficas de usuario de Trusted Extensions Por ejemplo inicie la interfaz gr fica de usuario txzonemgr headless usr sbin txzonemgr
52. rol administrativo Planificaci n de la red de confianza Si desea obtener ayuda para la planificaci n de hardware de red consulte el Cap tulo 2 Planning Your TCP IP Network Tasks de System Administration Guide IP Services Como en cualquier red cliente servidor debe identificar los hosts por su funci n es decir servidor o cliente y configurar el software adecuadamente Para obtener ayuda para la planificaci n consulte la Solaris 10 5 09 Installation Guide Custom JumpStart and Advanced Installations El software de Trusted Extensions reconoce dos tipos de host con etiquetas y sin etiquetas Cada tipo de host tiene una plantilla de seguridad predeterminada como se muestra en la Tabla 1 1 Cap tulo 1 Planificaci n de la seguridad para Trusted Extensions 23 Planificaci n de la seguridad en Trusted Extensions 24 TABLA 1 1 Plantillas de host predeterminadas en Trusted Extensions Tipo de host Nombre de la plantilla Finalidad unlabeled admin_low Se utiliza para identificar hosts que no son de confianza que se pueden comunicar con la zona global Estos hosts env an paquetes que no incluyen etiquetas Para obtener m s informaci n consulte sistema sin etiquetas cipso cipso Se utiliza para identificar los hosts o las redes que env an paquetes CIPSO Los paquetes CIPSO tienen etiquetas Si otras redes pueden acceder a la red debe especificar los hosts y dominios a los que se puede acceder Tambi
53. ser adecuado para las paredes el suelo y el techo de la instalaci n Permita que s lo t cnicos certificados abran y cierren el equipo TEMPEST para garantizar su capacidad para aislar la radiaci n electromagn tica Controle la existencia de huecos f sicos que permitan la entrada a las instalaciones o a las salas que contienen equipo inform tico Busque aberturas debajo de pisos elevados en techos falsos en el equipo de ventilaci n del techo y en paredes linderas entre las adiciones originales y secundarias Proh ba comer beber y fumar en las instalaciones inform ticas o cerca del equipo inform tico Establezca las reas donde estas actividades se pueden realizar sin poner en peligro el equipo inform tico Proteja los dibujos y diagramas arquitect nicos de la instalaci n inform tica Gu a de configuraci n de Oracle Solaris Trusted Extensions Agosto de 2011 Infracciones de seguridad comunes Restrinja el uso de diagramas del edificio mapas de piso y fotograf as de la instalaci n inform tica Recomendaciones de seguridad del personal Considere la siguiente lista de directrices cuando desarrolle una pol tica de seguridad para el sitio Inspeccione los paquetes los documentos y los medios de almacenamiento cuando lleguen al sitio protegido y antes de que lo abandonen Exija que todo el personal y los visitantes utilicen credenciales de identificaci n en todo momento Utilice credenciales de identificaci
54. tareas Si la separaci n de tareas no es un requisito de seguridad del sitio omita este procedimiento Si el sitio requiere la separaci n de tareas debe crear estos perfiles de derechos y roles antes rellenar el servidor LDAP Este procedimiento permite crear perfiles de derechos con capacidades discretas para gestionar alos usuarios Al asignar estos perfiles a roles distintos se requieren dos roles para crear y 90 Gu a de configuraci n de Oracle Solaris Trusted Extensions Agosto de 2011 Creaci n de roles y usuarios en Trusted Extensions Antes de empezar configurar usuarios Un rol puede crear usuarios pero no puede asignar atributos de seguridad El otro rol puede asignar atributos de seguridad pero no puede crear usuarios Al iniciar sesi n en Solaris Management Console en un rol que tiene asignado uno de estos perfiles s lo est n disponibles las fichas y los campos adecuados para el rol Debe ser superusuario en el rol root o en el rol de administrador principal Al iniciar este procedimiento Solaris Management Console debe estar cerrada Cree copias de los perfiles de derechos predeterminados que afectan la configuraci n del usuario a Copieelarchivo prof_attrenelarchivo prof_attr orig b Abraelarchivo prof_attren el editor confianza usr dt bin trusted_edit etc security prof_attr c Copie los tres perfiles de derechos y cambie el nombre de las copias System Administrator Can perform most non s
55. tareas 135 144 contrase as de usuario root necesarias en Trusted Extensions 42 copia de seguridad de sistema anterior previo a la instalaci n 31 creaci n caja de herramientas LDAP 131 132 cliente LDAP 62 66 cuentas 90 101 directorios principales 101 104 rol local con roleadd 95 roles 90 101 Agosto de 2011 ndice creaci n Continuaci n servidor de directorios principales 101 102 servidor proxy LDAP para clientes de Trusted Extensions 128 usuario local con useradd 98 99 usuarios que puedan asumir roles 96 99 zonas 66 81 160 162 zonas con etiquetas 66 81 creaci n de cuentas durante la configuraci n o despu s 45 creaci n de una opci n de men de zona nueva 72 80 81 creaci n de zonas con etiquetas 66 81 creaci n de zonas con etiquetas mediante acciones de CDE mapa de tareas 159 168 credenciales registro de LDAP en Solaris Management Console 129 130 cuentas creaci n 90 101 planificaci n 27 D daemon de antememoria de servicio de nombres Ver daemon nscd daemon nscd adici n a cada zona con etiquetas 88 89 decisi n configurar como un rol o como un superusuario 45 de utilizar un archivo de codificaci n suministrado por Sun 45 decisiones que se deben tomar antes de habilitar Trusted Extensions 44 46 en funci n de la pol tica de seguridad del sitio 146 direcciones especificaci n de una direcci n IP por sistema 71 72 155 156 uso compartido entre zonas globales
56. tareas 95 Creaci n de roles y usuarios en Trusted Extensions 96 v Creaci n de un rol de administrador del sistema Antes de empezar Antes de empezar restringido Si la separaci n de tareas no es un requisito de seguridad del sitio omita este procedimiento Mediante este procedimiento se asigna un perfil de derechos m s restrictivo al rol de administrador del sistema Debe ser superusuario en el rol root o en el rol de administrador principal Debe haber completado Creaci n de perfiles de derechos que aplican la separaci n de tareas en la p gina 90 Debe utilizar la misma caja de herramientas que utiliz para crear el perfil de derechos En Solaris Management Console cree el rol de administrador del sistema Para obtener ayuda consulte Creaci n del rol de administrador de la seguridad en Trusted Extensions en la p gina 93 Asigne el perfil de derechos de administraci n del sistema personalizada al rol Guarde los cambios Cierre Solaris Management Console Creaci n de usuarios que puedan asumir roles en Trusted Extensions Para crear un usuario local puede utilizar la interfaz de l nea de comandos como se muestra en el Ejemplo 4 7 en lugar de realizar el siguiente procedimiento Si la pol tica de seguridad del sitio lo permite puede elegir crear un usuario que pueda asumir m s de un rol administrativo Para la creaci n segura de los usuarios el rol de administrador del sistema crea
57. un sistema Puede utilizar el servidor de directorios de Trusted Extensions o instalar Trusted Extensions en un sistema aparte Nota Si no est ejecutando la ltima versi n del SO Solaris debe tener los siguientes parches instalados El primer n mero es un parche para SPARC El segundo n mero es un parche para X86 m 138874 05 138875 05 parche de conmutaci n de servicio de nombres LDAP PAM nativo m 119313 35 119314 36 parche de WBEM m 121308 21 121308 21 parche de Solaris Management Console m 119315 20 119316 20 parche de las aplicaciones de gesti n de Solaris En el cliente modifique el archivo etc nsswitch 1dap predeterminado Las entradas en negrita indican las modificaciones El archivo tiene el siguiente aspecto etc nsswitch 1ldap An example file that could be copied over to etc nsswitch conf it uses LDAP in conjunction with files hosts and services in this file are used only if the etc netconfig file has a for nametoaddr libs of inet transports H t t AA LDAP service requires that svc network ldap client default be enabled and online Ho the following two lines obviate the entry in etc passwd and etc group passwd files ldap Cap tulo 5 Configuraci n de LDAP para Trusted Extensions tareas 121 Configuraci n de Sun Java System Directory Server en un sistema Trusted Extensions 122 group files ldap consult etc files only if ldap is down hosts fil
58. usuario com n inicie sesi n en el servidor de directorio principal En la zona de inicio de sesi n abra un terminal En la ventana de terminal verifique que el directorio principal del usuario exista Cree espacios de trabajo para cada zona en la que el usuario puede trabajar En cada zona abra una ventana de terminal para verificar que el directorio principal del usuario exista Cierre la sesi n del servidor de directorio principal Gu a de configuraci n de Oracle Solaris Trusted Extensions Agosto de 2011 Creaci n de directorios principales en Trusted Extensions v Habilitaci n de los usuarios para que accedan a sus Antes de empezar directorios principales en Trusted Extensions Los usuarios en principio pueden iniciar sesi n en el servidor de directorio principal para crear un directorio principal que se pueda compartir con otros sistemas Para crear un directorio principal en cada etiqueta cada usuario debe iniciar sesi n en el servidor de directorio principal en cada etiqueta Como alternativa usted como administrador puede crear una secuencia de comandos para crear un punto de montaje para directorios principales en el sistema principal de cada usuario antes de que el usuario inicie sesi n por primera vez La secuencia de comandos crea puntos de montaje en cada etiqueta en la que el usuario est autorizado a trabajar El servidor de directorio principal para su dominio de Trusted Extensions debe estar
59. y zonas con etiquetas 154 155 directorios para configuraci n de servicio de nombres 125 directorios principales creaci n 101 104 creaci n de servidor para 101 102 inicio de sesi n y obtenci n 103 104 dispositivos de cinta asignaci n 113 dominio de interpretaci n DOD entrada en archivo etc system 54 56 E eliminaci n daemon nscd espec fico de la zona 89 eliminaci n de Trusted Extensions Ver inhabilitaci n enrutamiento especificaci n de rutas predeterminadas para zonas con etiquetas 84 88 equipo de configuraci n inicial lista de comprobaci n para la configuraci n de Trusted Extensions 169 172 equipos port tiles planificaci n 26 espacios de trabajo visualizaci n inicial 59 estructura de gesti n de servicios SMF dpadm 120 dsadm 120 servicio labeld 46 47 etiquetado activaci n de etiquetas 57 59 zonas 72 74 157 159 etiquetas asignaci n a zonas con nombre 73 158 en banda de confianza 59 especificaci n para zonas 72 74 157 159 planificaci n 22 23 G gu as b sicas Mapa de tareas configuraci n de Trusted Extensions 35 37 Mapa de tareas preparaci n de un sistema Solaris para Trusted Extensions 33 Mapa de tareas preparaci n para Trusted Extensions y activaci n del producto 33 34 H habilitaci n administraci n de LDAP desde un cliente 130 131 183 ndice habilitaci n Continuaci n dominio de interpretaci n distinto de 1 54 56 inicio de sesi n en u
60. 011 Creaci n de zonas con etiquetas Antes de empezar A partir de la versi n Solaris 10 10 08 la interfaz de bucle de retorno en Trusted Extensions se crea como una interfaz all zones Por lo tanto no hace falta crear una interfaz compartida vni0 Para agregar interfaces de red espec ficas de la zona finalice y verifique la creaci n de la zona antes de agregar las interfaces Para conocer el procedimiento consulte Adici n de una interfaz de red para enrutar una zona con etiquetas existente en la p gina 82 Debe ser superusuario de la zona global Aparece Labeled Zone Manager Para abrir esta interfaz gr fica de usuario consulte Ejecuci n de la secuencia de comandos txzonemgr en la p gina 67 En Labeled Zone Manager seleccione Manage Network Interfaces y haga clic en OK Aparece una lista de interfaces Nota En este ejemplo durante la instalaci n se asign un nombre de host y una direcci n IP a la interfaz f sica Seleccione la interfaz f sica Un sistema con una interfaz muestra un men similar al siguiente La anotaci n se agrega para obtener asistencia vni0 Down Virtual Network Interface eri0 global 10 10 9 9 cipso Up Physical Interface a Seleccione la interfaz eri0 b Haga clic en OK Seleccione la tarea adecuada para esta interfaz de red Se le ofrecen tres opciones View Template Assign a label to the interface Share Enable the global zone and labeled zones to use this inte
61. 1 de la zona Generalmente estas configuraciones se utilizan para aislar subredes con etiquetas v Ejecuci n de la secuencia de comandos txzonemgr Antes de empezar Esta secuencia de comandos lo guiar a lo largo de las tareas para configurar instalar inicializar e iniciar las zonas con etiquetas correctamente En la secuencia de comandos asigne un nombre a cada zona asocie el nombre con una etiqueta instale los paquetes para crear un sistema operativo virtual y a continuaci n inicie la zona para iniciar los servicios en dicha zona La secuencia de comandos incluye las tareas de copia de zona y clonaci n de zona Tambi n puede detener una zona cambiar el estado de una zona y agregar interfaces de red espec ficas de la zona Esta secuencia de comandos presenta un men determinado din micamente que s lo muestra las opciones v lidas para las circunstancias actuales Por ejemplo si la zona est configurada la opci n de men de Install zone no se muestra Las tareas finalizadas no aparecen en la lista Debe ser superusuario Si tiene previsto clonar zonas debe haber terminado la preparaci n para clonar zonas Si tiene previsto utilizar sus propias plantillas de seguridad debe haber creado las plantillas Abra una ventana de terminal en la zona global Ejecute la secuencia de comandos txzonemgr usr sbin txzonemgr La secuencia de comandos abre el cuadro de di logo Labeled Zone Manager Este cuadro de
62. 118 red Ver red de Trusted Extensions red de Trusted Extensions adici n del daemon nscd espec fico de la zona 88 89 adici n interfaz espec fica de la zona 82 84 eliminaci n del daemon nscd espec fico de la zona 89 especificaci n de rutas predeterminadas para zonas con etiquetas 84 88 habilitaci n de IPv6 54 planificaci n 23 24 registro credenciales LDAP en Solaris Management Console 129 130 reinicio activaci n de etiquetas 57 59 habilitaci n para iniciar sesi n en una zona con etiquetas 101 requisitos de Trusted Extensions contrase a de usuario root 42 instalaci n de Solaris 40 41 sistemas Solaris instalados 41 43 requisitos para Trusted Extensions opciones de instalaci n de Solaris 40 41 sistemas Solaris instalados 41 43 resoluci n de problemas acceso al servidor X 107 110 configuraci n de IPv6 54 configuraci n de Trusted Extensions 106 110 Installation of these packages generated errors SUNWnombre_paquete 75 162 la ventana de consola no se abre 107 Solaris Management Console 59 62 Trusted Network Zones Properties 159 versi n de Solaris que admite el serviciolabeld 47 rights profiles personalizaci n para la separaci n de tareas 90 93 rol de administrador de la seguridad creaci n 93 95 rol de administrador del sistema restricci n 96 roles adici n de rol local con roleadd 95 creaci n del administrador de la seguridad 93 95 determinaci n sobre cu ndo crear 45 inicio de ses
63. 6 Si est utilizando esta zona como una plantilla para las dem s zonas realice lo siguiente a Elimine el archivo auto_home_nombre_zona En una ventana de terminal de la zona global elimine este archivo de la zona nombre_zona cd zone zone name root etc ls auto_home auto home auto_home_zone name rm auto_home_zone name Por ejemplo si la base para la clonaci n de otras zonas es la zona public elimine su archivo auto_home cd zone public root etc rm auto_home_ public m Sivaacopiar una zona vaya a Uso del m todo de copia de zona en Trusted Extensions en la p gina 166 Sivaa clonar una zona vaya a Uso del m todo de clonaci n de zona en Trusted Extensions en la p gina 167 v Uso del m todo de copia de zona en Trusted Antes de empezar Extensions Haterminado la secci n Especificaci n de nombres y etiquetas de zona mediante una acci n de CDE en la p gina 157 Ha personalizado una zona que utilizar como plantilla para la clonaci n en Creaci n de zonas con etiquetas mediante acciones de CDE mapa de tareas en la p gina 159 En este momento no est ejecutando la zona que utilizar como plantilla para la clonaci n Aparece la carpeta Trusted_Extensions Para cada zona que desee crear haga doble clic en la acci n Copy Zone Responda a las peticiones de datos New Zone Name Type name of target zone From Zone Name Type name of source zone Precauci
64. El administrador imprime una copia del an lisis sem ntico para sus registros y a continuaci n mueve el archivo al directorio etc security tsol cp var encodings label_encodings2 etc security tsol label encodings 10 10 06 cd etc security tsol cp label_encodings label_encodings tx orig cp label encodings 10 10 06 label_encodings Por ltimo el administrador verifica que el archivo label_encodings sea el archivo de la compa a usr sbin chk_encodings a etc security tsol label_encodings head 4 No errors found in etc security tsol label encodings Cap tulo 4 Configuraci n de Trusted Extensions tareas 53 Configuraci n de la zona global en Trusted Extensions 54 Errores m s frecuentes gt VERSION MYCOMPANY LABEL ENCODINGS 2 0 10 10 2006 Habilitaci n de redes IPv6 en Trusted Extensions Las opciones de CIPSO no tienen un n mero de Autoridad de n meros asignados de Internet IANA para utilizar en el campo de tipo de opci n IPv6 de un paquete La entrada que defina en este procedimiento proporcionar un n mero para utilizar en la red local hasta que IANA asigne un n mero para esta opci n Si este n mero no se define Trusted Extensions inhabilita las redes IPv6 Para habilitar una red IPv6 en Trusted Extensions debe agregar una entrada en el archivo etc system Escriba la siguiente entrada en el archivo etc system set ip ip6opt_ls 0x0a m Silos mensajes de error durante el i
65. G MULTICAST IPv4 gt mtu 1500 index 2 all zones inet 192 168 0 11 netmask fffffe00 broadcast 192 168 0 255 Cap tulo 4 Configuraci n de Trusted Extensions tareas 71 Creaci n de zonas con etiquetas 72 Antes de empezar A partir de la versi n Solaris 10 10 08 la interfaz de bucle de retorno en Trusted Extensions se crea como una interfaz all zones lo0 flags 2001000849 lt UP LOOPBACK RUNNING MULTICAST IPv4 VIRTUAL gt mtu 8232 index 1 all zones inet 127 0 0 1 netmask ff000000 hme0 flags 1000843 lt BROADCAST RUNNING MULTICAST IPv4 gt mtu 1500 index 2 all zones inet 192 168 0 11 netmask fffffe00 broadcast 192 168 0 255 El administrador tambi n examina el contenido del archivo etc hostname hme0 192 168 0 11 all zones Asignaci n de nombre y etiquetado de zona No es necesario que cree una zona para cada la etiqueta del archivo label_encodings pero puede hacerlo Las interfaces gr ficas de usuario administrativas enumeran las etiquetas para las que se pueden crear zonas en este sistema Debe ser superusuario de la zona global Aparece el cuadro de di logo Labeled Zone Manager Para abrir esta interfaz gr fica de usuario consulte Ejecuci n de la secuencia de comandos txzonemgr en la p gina 67 Ha configurado las interfaces de red en la zona global Ha creado todas las plantillas de seguridad que necesita Una plantilla de seguridad define entre otros atributos el rango de etiqueta que se puede asignar
66. Gu a de configuraci n de Oracle Solaris Trusted Extensions Referencia E22522 ORACLE Agosto de 2011 Copyright O 1994 2011 Oracle y o sus subsidiarias Todos los derechos reservados Este software y la documentaci n relacionada est n sujetos a un contrato de licencia que incluye restricciones de uso y revelaci n y se encuentran protegidos por la legislaci n sobre la propiedad intelectual A menos que figure expl citamente en el contrato de licencia o est permitido por la ley no se podr utilizar copiar reproducir traducir emitir modificar conceder licencias transmitir distribuir exhibir representar publicar ni mostrar ninguna parte de ninguna forma por ning n medio Queda prohibida la ingenier a inversa desensamblaje o descompilaci n de este software excepto en la medida en que sean necesarios para conseguir interoperabilidad seg n lo especificado por la legislaci n aplicable La informaci n contenida en este documento puede someterse a modificaciones sin previo aviso y no se garantiza que se encuentre exenta de errores Si detecta alg n error le agradeceremos que nos lo comunique por escrito Si este software o la documentaci n relacionada se entrega al Gobierno de EE UU o a cualquier entidad que adquiera licencias en nombre del Gobierno de EE UU se aplicar la siguiente disposici n U S GOVERNMENT RIGHTS Programs software databases and related documentation and technical data delivered to U S Gove
67. M See etc svc volatile system name service cache default log Impact None b Verifique la ruta a la subred zone name netstat rn Para eliminar los daemons de servicio de nombres espec ficos de la zona realice las siguientes acciones en la zona global a Abra Labeled Zone Manager b Seleccione la opci n Unconfigure per zone name service y haga clic en OK Esta selecci n elimina el daemon nscd de cada zona con etiquetas c Reinicie el sistema Cap tulo 4 Configuraci n de Trusted Extensions tareas 89 Creaci n de roles y usuarios en Trusted Extensions Creaci n de roles y usuarios en Trusted Extensions Si ya est usando roles administrativos es posible que desee agregar un rol de administrador de la seguridad Para los sitios que a n no han implementado los roles el procedimiento para crearlos es similar al procedimiento utilizado en el SO Solaris Trusted Extensions agrega el rol de administrador de la seguridad y requiere el uso de Solaris Management Console para administrar un dominio de Trusted Extensions Si la seguridad del sitio requiere que dos personas creen las cuentas de usuario y de rol cree perfiles de derechos personalizados y as gnelos a los roles para aplicar la separaci n de tareas Tarea Descripci n Para obtener instrucciones Cree tres perfiles de derechos Crea perfiles de derechos para gestionar usuarios Estos Creaci n de perfiles de derechos que que sean
68. ME number b Corrija los errores Si se produce un error cree el cliente LDAP de nuevo y proporcione los valores correctos Por ejemplo el siguiente error puede indicar que el sistema no tiene una entrada en el servidor LDAP LDAP ERROR 91 Can t connect to the LDAP server Failed to find defaultSearchBase for domain domain name Para corregir este error debe revisar el servidor LDAP Uso de nombres de host despu s de cargar un archivo resolv conf En este ejemplo el administrador quiere que un conjunto determinado de servidores DNS est disponible para el sistema El administrador copia un archivo resolv conf de un servidor en una red de confianza Como DNS a n no est activo el administrador utiliza la direcci n IP del servidor para localizar el servidor Cap tulo 4 Configuraci n de Trusted Extensions tareas 65 Creaci n de zonas con etiquetas cd etc cp net 10 1 1 2 export txsetup resolv conf resolv conf Una vez que el archivo resolv conf se copia y el archivo nsswitch conf incluye dns en la entrada de hosts el administrador puede utilizar nombres de host para localizar sistemas Creaci n de zonas con etiquetas A La secuencia de comandos txzonemgr lo gu a a lo largo de todas las siguientes tareas para configurar las zonas con etiquetas Precauci n Para utilizar los procedimientos de txzonemgr debe estar ejecutando la versi n Solaris 10 8 07 de Trusted Extensions o una versi n posterior
69. Trusted Extensions s ssssssseesssesssesssssssrssesssesrerssersseess Y Uso del m todo de clonaci n de zona en Trusted Extensions occococinconnnonininnoonononcncncncnnnnoss Lista de comprobaci n de configuraci n de Trusted Extensions ocociconcncicnicninninnonicncnno s 169 Lista de comprobaci n para la configuraci n de Trusted Extensions cccncincinninnioncnnninninncnninnos 169 A O NN 173 Indic ccoo dao 181 Lista de figuras FIGURA 1 1 Administraci n de un sistema Trusted Extensions divisi n de tareas por rol 30 FIGURA 4 1 Ventana inicial de Solaris Management Console cccicininninnnonnnnincnncencacnss 60 FIGURA 4 2 Herramientas de Trusted Extensions en Solaris Management Console 61 10 Lista de tablas TABLA 1 1 Plantillas de host predeterminadas en Trusted Extensions mocciininnnnnanonacancos TABLA 1 2 Valores predeterminados de seguridad de Trusted Extensions para las cuentas A O 12 Prefacio La Gu a de configuraci n de Oracle Solaris Trusted Extensions proporciona los procedimientos para configurar Trusted Extensions en el sistema operativo Solaris SO Solaris En esta gu a tambi n se describe la preparaci n del sistema Solaris para que admita una instalaci n segura de Trusted Extensions Nota Esta versi n de Oracle Solaris es compatible con sistemas que usen arquitecturas de las familias de procesadores SPARC y x86 Los sistemas compatibles aparecen en las Listas de compatibilidad
70. X en la zona global Soluci n Ejecute los siguientes comandos para abrir los servicios que Trusted Extensions requiere para la comunicaci n entre zonas svccfg s X11 server setprop options tcp_listen true svcadm enable svc network rpc rstat default No se puede abrir la ventana de consola en una zona con etiquetas Descripci n Cuando intenta abrir una ventana de consola en una zona con etiquetas aparece el siguiente error en un cuadro de di logo Action DttermConsole 0 Error Action not authorized Soluci n Compruebe que las siguientes dos l neas est n presentes en todas las entradas de la zona en el archivo etc security exec_attr ALL Actions solaris act All solaris act Si estas l neas no est n presentes el paquete de Trusted Extensions que agrega estas entradas no se instal en las zonas con etiquetas En este caso vuelva a crear las zonas con etiquetas Para conocer el procedimiento consulte Creaci n de zonas con etiquetas en la p gina 66 La zona con etiquetas no puede acceder al servidor X Descripci n Si una zona con etiquetas no puede acceder correctamente al servidor X es posible que vea mensajes como los siguientes m Action failed Reconnect to Solaris Zone No route available Cannot reach globalzone nombre_host 0 Cap tulo 4 Configuraci n de Trusted Extensions tareas 107 Resoluci n de los problemas de configuraci n de Trusted Extens
71. a etiqueta ADMIN_LOW remote TX tnctl h desktop TX admin_low Habilitaci n del inicio de sesi n remoto desde un sistema sin etiquetas Este procedimiento no es seguro Cap tulo6 Configuraci n de Trusted Extensions en un sistema sin perif ricos tareas 139 Configuraci n de un sistema sin perif ricos en Trusted Extensions mapa de tareas 140 A Antes de empezar Debe haber flexibilizado la pol tica de PAM para permitir la asunci n de roles remotos como se describe en Habilitaci n del inicio de sesi n remoto por parte de un rol en Trusted Extensions en la p gina 137 En el sistema de confianza aplique la plantilla de seguridad adecuada al sistema sin etiquetas Precauci n Si utiliza los valores predeterminados otro sistema sin etiquetas podr a iniciar sesi n en el sistema remoto y administrarlo Por lo tanto debe cambiar el valor predeterminado de la red 0 0 0 0 de ADMIN_LOWa una etiqueta diferente Para conocer el procedimiento consulte C mo limitar los hosts que se pueden contactar en la red de confianza de Procedimientos de administradores de Oracle Solaris Trusted Extensions En el editor de confianza abra el archivo etc pam conf usr dt bin trusted_edit etc pam conf Busque las entradas smcconsole Agregue allow_unlabeled al m dulo tsol_account Utilice la tecla Tab entre los campos smeconsole account required pam_tsol account so 1 allow_unlabeled Despu s de las edicio
72. a Solaris Management Console aseg rese de que las conexiones remotas est n habilitadas en el archivo smcserver config a Abraelarchivo smcserver config en el editor de confianza usr dt bin trusted_edit etc smc smcserver config b Establezca el par metro remote connections en true remote connections false remote connections true c Guarde el archivo y salga del editor de confianza Si reinicia o habilita el servicio wbem debe asegurarse de que el par metro remote connections del archivo smcserver config permanezca establecido en true Edici n de la caja de herramientas LDAP en Solaris Management Console Debe ser superusuario en el servidor LDAP Las credenciales LDAP deben estar registradas en Solaris Management Console y debe conocer el resultado del comando usr sadm bin dtsetup scopes Para obtener detalles consulte Registro de las credenciales LDAP en Solaris Management Console en la p gina 129 Encuentre la caja de herramientas LDAP cd var sadm smc toolboxes tsol_ldap ls tbx tsol_ldap tbx Proporcione el nombre del servidor LDAP a Abra el editor de confianza b Copie y pegue el nombre de ruta completo de la caja de herramientas tsol_ldap tbx como argumento en el editor Por ejemplo la siguiente ruta es la ubicaci n predeterminada de la caja de herramientas LDAP var sadm smc toolboxes tsol ldap tsol 1dap tbx Cap tulo 5 Configuraci n de LDAP para Trusted Extensions t
73. a Trusted Extensions para que sea el servidor proxy LDAP Cap tulo 5 Configuraci n de LDAP para Trusted Extensions tareas 127 Configuraci n de Solaris Management Console para LDAP mapa de tareas v Antes de empezar Errores m s frecuentes Creaci n de un servidor proxy LDAP Si un servidor LDAP ya existe en su sitio cree un servidor proxy en un sistema Trusted Extensions Debe haber rellenado el servidor LDAP a partir de un cliente que haya sido modificado para establecer el par metro enableShadowUpdate en TRUE Para conocer los requisitos consulte Creaci n de un cliente LDAP para el servidor de directorios en la p gina 121 Adem s debe haber agregado las bases de datos que contengan la informaci n de Trusted Extensions al servidor LDAP desde un cliente en el que el par metro enableShadowUpdate est establecido en TRUE Para obtener detalles consulte Rellenado de Sun Java System Directory Server en la p gina 125 Cree un servidor proxy en un sistema en el que est configurado Trusted Extensions Nota Debe ejecutar dos comandos l1dapclient Despu s de ejecutar el comando ldapclient init ejecute el comando ldapclient modify para establecer el par metro enableShadowUpdate en TRUE Para obtener detalles consulte el Cap tulo 12 Configuraci n de clientes LDAP tareas de Gu a de administraci n del sistema Servicios de nombres y directorios DNS NIS y LDAP Verifique que las base
74. a a derecha los nombres de componentes hacen referencia a zonas cada vez m s generales y generalmente m s lejanas de la autoridad de administraci n El nombre con el que los otros sistemas de una red reconocen a un sistema Este nombre debe ser nico entre todos los sistemas de un dominio determinado Generalmente un dominio identifica una nica organizaci n Un nombre de host puede estar formado por cualquier combinaci n de letras n meros y signos de resta pero no puede empezar ni terminar con este signo 177 perfil de derechos perfil de derechos pol tica de seguridad privilegio proceso puerto de varios niveles MLP rango de acreditaci n rango de acreditaci n de usuario rango de acreditaci n del sistema rango de etiquetas 178 Un mecanismo de agrupaci n para las acciones de comandos y de CDE y para los atributos de seguridad que se asignan a estos ejecutables Los perfiles de derechos permiten que los administradores de Solaris controlen qui n puede ejecutar qu comandos y los atributos que tienen estos comandos cuando se ejecutan Cuando un usuario inicia sesi n se aplican todos los derechos que el usuario tiene asignados y el usuario tiene acceso a todos los comandos las acciones de CDE y las autorizaciones asignados en todos los perfiles de derechos de ese usuario En un host de Trusted Extensions el conjunto de reglas de DAC MAC y etiquetado que definen c mo se puede acced
75. a m scara de red Utilice el comando zonecfg z zonename info net para determinar si se ha asignado un enrutador predeterminado Cree un archivo etc hostname interfaz vac o para cada zona con etiquetas touch etc hostname interface touch etc hostname interface n Para obtener m s informaci n consulte la p gina del comando man netmasks 4 Conecte las interfaces de red de las zonas con etiquetas ifconfig zonel network interface plumb ifconfig zone2 network interface plumb Verifique que las interfaces de la zona con etiquetas tengan el estado down ifconfig a zonel network interface zonel IP address down zone2 network interface zone2 IP address down Las direcciones espec ficas de la zona se configuran cuando se inicia la zona Para la red para cada interfaz agregue entradas al archivo etc netmasks etc netmasks in global zone 192 168 2 0 255 255 255 0 192 168 3 0 255 255 255 0 Para obtener m s informaci n consulte la p gina del comando man netmasks 4 Asigne una plantilla de seguridad a cada interfaz de red espec fica de la zona Cree plantillas de seguridad de tipo de host cipso que reflejen la etiqueta de cada red Para crear y asignar plantillas consulte Configuraci n de bases de datos de red de confianza mapa de tareas de Procedimientos de administradores de Oracle Solaris Trusted Extensions Ejecute la secuencia de comandos txzonemgr y abra una ventana de terminal independient
76. a una interfaz de red Las plantillas de seguridad predeterminadas pueden satisfacer sus necesidades Para obtener una descripci n general de las plantillas de seguridad consulte Atributos de seguridad de red en Trusted Extensions de Procedimientos de administradores de Oracle Solaris Trusted Extensions m Para utilizar Solaris Management Console para crear plantillas de seguridad consulte Configuraci n de bases de datos de red de confianza mapa de tareas de Procedimientos de administradores de Oracle Solaris Trusted Extensions En Labeled Zone Manager seleccione Create a new zone y haga clic en OK Se le pedir un nombre a Escriba el nombre de la zona Consejo Asigne a la zona un nombre que sea similar a la etiqueta de la zona Por ejemplo el nombre de una zona cuya etiqueta es CONFIDENTIAL RESTRICTED ser a restricted Gu a de configuraci n de Oracle Solaris Trusted Extensions Agosto de 2011 Creaci n de zonas con etiquetas Por ejemplo el archivo label_encodings predeterminado contiene las siguientes etiquetas PUBLIC CONFIDENTIAL INTERNAL USE ONLY CONFIDENTIAL NEED TO KNOW CONFIDENTIAL RESTRICTED SANDBOX PLAYGROUND MAX LABEL Si bien puede crear una zona por etiqueta considere la posibilidad de crear las siguientes zonas m Fn un sistema para todos los usuarios cree una zona para la etiqueta PUBLIC y tres zonas para las etiquetas CONFIDENTIAL Fn un sistema para desarrolladore
77. aa 116 Configuraci n de Sun Java System Directory Server en un sistema Trusted Extensions 117 Recopilaci n de informaci n para el servidor de directorios para LDAP occiciccionicnnonncnonns 117 V Instalaci n de Sun Java System Directory Server ccoinccocicnonnenenenecnenacaranenanerasesacincinses 118 Y Creaci n de un cliente LDAP para el servidor de directorios 121 V Configuraci n de los registros para Sun Java System Directory Server s s s wa 123 Y Configuraci n de puerto de varios niveles para Sun Java System Directory Server 124 V Rellenado de Sun Java System Directory Server cocicinniinnnnnnnnincnnnncancanenocnncenecnacancnnre canos 125 Creaci n de un proxy de Trusted Extensions para un servidor Sun Java System Directory Server RN 127 Y Creaci n de un servidor proxy LDAP susistatyt as RSE iai 128 Configuraci n de Solaris Management Console para LDAP mapa de tareas coccion 128 Contenido A Pol tica de seguridad del sitio V Registro de las credenciales LDAP en Solaris Management Console cccciccionacnninnanininioncnnoss 129 Y Habilitaci n de comunicaciones de red en Solaris Management Console c ococoinoinanancn 130 V Edici n de la caja de herramientas LDAP en Solaris Management Console ooccincinnnnconoo 131 W Verificaci n de que Solaris Management Console contenga la informaci n de Trusted TDA TOI ii E T E E E E icis 132 6 Configurac
78. acceder al sistema sin la necesidad de una identificaci n o autenticaci n y esa persona no se podr a identificar claramente ni responsabilizar Inicializaci n del servidor de Solaris Management Console en Trusted Extensions Este procedimiento le permite administrar los usuarios los roles los hosts las zonas y la red en este sistema En el primer sistema que configure s lo estar disponible el mbito files Debe ser superusuario Para utilizar la caja de herramientas LDAP en el servidor LDAP desde una consola Solaris Management Console que se est ejecutando en un cliente debe completar todas las tareas de Configuraci n de Solaris Management Console para LDAP mapa de tareas en la p gina 128 Inicie Solaris Management Console usr sbin smc Nota La primera vez que se inicia Solaris Management Console realiza varias tareas de registro Estas tareas pueden tardar unos minutos Cap tulo 4 Configuraci n de Trusted Extensions tareas 59 Configuraci n de la zona global en Trusted Extensions FIGURA 4 1 Ventana inicial de Solaris Management Console Console Edit Action View Go Help Ha Da E m Navigation 5 al El This Computer 127 0 0 1 Scope Files Policy TSOL Welcome to the Solaris p stem pitis Management Console 9 Ja System Configuration 5 R Users 4h Projects Click here to display an overview of the Solaris Computers and Networks Management Console or select Ov
79. aci n de Oracle Solaris Trusted Extensions Agosto de 2011 Lista de comprobaci n para la configuraci n de Trusted Extensions a Ejecute la acci n Start Zone Personalice la zona en ejecuci n Ejecute la acci n Shut Down Zone Personalice la zona mientras la zona est cerrada woa o Opcional Cree una instant nea de ZES m Cree las dem s zonas desde el principio o mediante las acciones Copy Zone o Clone Zone 13 Configure la red Consulte Configuraci n de bases de datos de red de confianza mapa de tareas de Procedimientos de administradores de Oracle Solaris Trusted Extensions Identifique los hosts de una sola etiqueta y los hosts de rango limitado m Determine las etiquetas que se aplicar n a los datos entrantes de hosts sin etiquetas m Personalice las plantillas de host remoto Asigne hosts individuales a las plantillas Asigne subredes a las plantillas 14 Establezca un enrutamiento est tico Consulte Configuraci n de rutas y comprobaci n de la informaci n de red en Trusted Extensions mapa de tareas de Procedimientos de administradores de Oracle Solaris Trusted Extensions 15 Configure los usuarios locales y los roles de administraci n locales Para aplicar la separaci n de tareas cree perfiles de derechos personalizados m Creeel rol de administrador de la seguridad m Cree un usuario local que pueda asumir el rol de administrador de la seguridad m Cree otros r
80. aci n para crear zonas mediante acciones de CDE mapa de tareas 156 159 tareas adicionales de configuraci n de Trusted Extensions 110 114 Trusted Extensions Ver tambi n planificaci n de Trusted Extensions decisiones que debe tomar antes de habilitar 44 46 diferencias desde la perspectiva de un administrador de Oracle Solaris 31 32 estrategia de configuraci n de dos roles 29 habilitaci n 46 47 inhabilitaci n 113 114 planificaci n de estrategia de configuraci n 29 30 Agosto de 2011 ndice Trusted Extensions Continuaci n planificaci n de red 23 24 planificaci n del hardware 23 planificaci n para 19 31 preparaci n para 40 43 43 46 recopilaci n de informaci n antes de habilitar 44 requisitos de memoria 23 resultados antes de la configuraci n 31 32 separaci n de tareas 29 30 U usuarios adici n de usuario local con useradd 98 99 adici n desde un servidor NIS 104 106 necesidad de dos roles para crear usuarios 90 93 96 V ventana de consola resoluci n del problema de imposibilidad de apertura 107 verificaci n archivo label_encodings 50 54 estado de la zona 77 78 funcionamiento de roles 99 100 Z ZFS m todo de creaci n de zona sin soporte pero r pido 25 zonas adici n de interfaz de red 82 84 adici n del daemon nscd a cada zona con etiquetas 88 89 aislamiento con rutas predeterminadas 84 88 asociaci n de nombres de zona con etiquetas 73 158 cierre 165 creaci n
81. ado para Trusted Extensions en la p gina 41 Instale el SO Solaris teniendo en mente las funciones de Trusted Extensions Instalaci n de un sistema Solaris para la compatibilidad con Trusted Extensions en la p gina 40 Mapa de tareas preparaci n para Trusted Extensions y activaci n del producto Para preparar un sistema Trusted Extensions antes de configurarlo complete las tareas que se describen en el siguiente mapa de tareas Tarea Para obtener instrucciones Complete la preparaci n del sistema Solaris Mapa de tareas preparaci n de un sistema Solaris para Trusted Extensions en la p gina 33 33 Mapa de tareas preparaci n para Trusted Extensions y activaci n del producto Tarea Para obtener instrucciones Realice una copia de seguridad del sistema Para un sistema Trusted Solaris 8 realice una copia de seguridad del sistema como se describe en la documentaci n para la versi n Una copia de seguridad con etiquetas se puede restaurar a cada zona con etiquetas de la misma manera Para obtener informaci n sobre un sistema Solaris consulte la Gu a de administraci n del sistema administraci n b sica Re na informaci n y tome decisiones relacionadas con el sistema y la red de Trusted Extensions Recopilaci n de informaci n y toma de decisiones antes de habilitar Trusted Extensions en la p gina 43 Habilite Trusted Extensions Habili
82. agement Console en la p gina 131 adem s de los procedimientos mencionados anteriormente Inicie Solaris Management Console usr sbin smc Abra una caja de herramientas de Trusted Extensions Una caja de herramientas de Trusted Extensions tiene el valor Policy TSOL En una red de confianza que utiliza LDAP como servicio de nombres realice las siguientes pruebas a Para verificar que se pueda acceder a las bases de datos administrativas locales abra la siguiente caja de herramientas This Computer este host Scope Files Policy TSOL b Para verificar que se pueda acceder a las bases de datos administrativas locales del servidor LDAP especifique la siguiente caja de herramientas This Computer servidor ldap Scope Files Policy TSOL c Para verificar que se pueda acceder a las bases de datos del servicio de nombres del servidor LDAP especifique la siguiente caja de herramientas This Computer servidor ldap Scope LDAP Policy TSOL En una red de confianza que no utiliza LDAP como servicio de nombres realice las siguientes pruebas a Para verificar que se pueda acceder a las bases de datos administrativas locales abra la siguiente caja de herramientas This Computer este host Scope Files Policy TSOL b Para verificar que se pueda acceder a las bases de datos administrativas locales de un sistema remoto especifique la siguiente caja de herramientas This Computer sistema remoto Scope Files P
83. al Cree una agrupaci n ZES para clonar zonas Configure etiquetas a Finalice el archivo label_encodings de su sitio b Compruebe e instale el archivo c Reinicie Configure las interfaces para la zona global y para las zonas con etiquetas Configure Solaris Management Console 10 Configure el servicio de nombres ma Utilice el servicio de nombres de archivos que no necesita ninguna configuraci n O bien configure LDAP a b G d Cree un servidor proxy para Trusted Extensions o un servidor LDAP para Trusted Extensions Permita que el servidor de Solaris Management Console acepte conexiones de red Registre Solaris Management Console en LDAP Cree una caja de herramientas LDAP para Solaris Management Console 11 Configure las conexiones de red para LDAP ma Asigne un servidor LDAP o un servidor proxy al tipo de host cipso en una plantilla de host remoto m Asigne el sistema local al tipo de host cipso en una plantilla de host remoto Convierta el sistema local en un cliente del servidor LDAP 12 Cree zonas con etiquetas OPCI N 1 Utilice la secuencia de comandos txzonemgr OPCI N 2 Utilice la acciones de Trusted CDE a Configure las zonas con etiquetas i En Solaris Management Console asocie los nombres de zonas con etiquetas espec ficas ii Ejecute la acci n Configure Zone Ejecute la acci n Install Zone Ejecute la acci n Initialize for LDAP 170 Gu a de configur
84. anificaci n de la auditor a en Trusted Extensions es igual que en el SO Oracle Solaris Para obtener detalles consulte la Parte VIL Oracle Solaris Auditing de System Administration Guide Security Services Mientras que Trusted Extensions agrega tokens de clases eventos y auditor a el software no cambia el modo en que se administra la auditor a Para obtener informaci n sobre las adiciones de Trusted Extensions a la auditor a consulte el Cap tulo 18 Auditor a de Trusted Extensions descripci n general de Procedimientos de administradores de Oracle Solaris Trusted Extensions Planificaci n de la seguridad del usuario en Trusted Extensions El software de Trusted Extensions proporciona valores predeterminados de seguridad razonable para los usuarios Estos valores predeterminados de seguridad se muestran en la Tabla 1 2 Cuando se muestran dos valores el primero es el valor predeterminado El administrador de la seguridad puede modificar estos valores predeterminados para reflejar la pol tica de seguridad del sitio Una vez que el administrador de la seguridad define los valores predeterminados el administrador del sistema puede crear todos los usuarios que heredan los Cap tulo 1 Planificaci n de la seguridad para Trusted Extensions 27 Planificaci n de la seguridad en Trusted Extensions valores predeterminados establecidos Para obtener descripciones de las palabras clave y los valores predeterminados consulte
85. ara administrar Trusted Extensions Si es as o si est configurando el sistema para cumplir con los criterios de una configuraci n evaluada debe crear roles en una fase temprana del proceso de configuraci n Si no es necesario que configure el sistema mediante el uso de roles puede configurar el sistema como superusuario Este m todo de configuraci n es menos seguro Los registros de auditor a no indican qu usuario fue superusuario durante la configuraci n El superusuario puede realizar todas las tareas en el sistema mientras que un rol puede realizar un conjunto de tareas m s limitado Por lo tanto la configuraci n es m s controlada cuando es realizada por roles Cap tulo 3 Adici n del software de Trusted Extensions al SO Solaris tareas 45 Habilitaci n del servicio de Trusted Extensions Seleccione un m todo de creaci n de zona Puede crear zonas desde el principio copiar zonas o clonar zonas Estos m todos difieren en la velocidad de creaci n los requisitos de espacio en el disco y la solidez Para las compensaciones consulte Planificaci n de zonas en Trusted Extensions en la p gina 24 Planifique la configuraci n de LDAP Utilizar archivos locales para la administraci n es pr ctico para los sistemas no conectados en red LDAP es el servicio de nombres para un entorno de red Un servidor LDAP relleno es necesario al configurar varios equipos m Sitiene un servidor LDAP Sun Java System Direc
86. areas 131 Configuraci n de Solaris Management Console para LDAP mapa de tareas 132 Ejemplo 5 2 Antes de empezar c Reemplace la informaci n del mbito Reemplace las marcas server entre las marcas lt Scope gt y lt Scope gt por el resultado de la l nea ldap del comando usr sadm bin dtsetup scopes lt Scope gt ldap lt ldap server name gt lt dc domain de suffix gt lt Scope gt d Reemplace todas las instancias de lt server gt o lt server gt por el servidor LDAP lt Name gt This Computer Idap server name Scope ldap Policy TSOL lt Name gt services and configuration of ldap server name lt Description gt and configuring Idap server name lt Description gt e Guarde el archivo y salga del editor Actualice y reinicie el servicio wbem svcadm refresh wbem svcadm restart wbem Configuraci n de la caja de herramientas LDAP En este ejemplo el nombre del servidor LDAP es LDAP1 Para configurar la caja de herramientas el administrador reemplaza las instancias de lt server gt por LDAP1 cd var sadm smc toolboxes tsol_ldap usr dt bin trusted_edit tsol_ldap tbx lt Scope gt ldap LDAP1 cd LDAP1 dc example domain dc com lt Scope lt Name gt This Computer LDAP1 Scope ldap Policy TSOL lt Name gt services and configuration of LDAP1 lt Description gt and configuring LDAP1 lt Description gt Verificaci n de que Solaris Management Console contenga la in
87. arta sistemas de archivos Consulte el Cap tulo 11 Gesti n y montaje de archivos en Trusted Extensions tareas de Procedimientos de administradores de Oracle Solaris Trusted Extensions 172 Gu a de configuraci n de Oracle Solaris Trusted Extensions Agosto de 2011 acreditaci n acreditaci n de usuario administrador de la seguridad administrador del sistema administrador principal archivo copy_files archivo link_files Glosario El l mite superior del conjunto de etiquetas en el que puede trabajar el usuario El l mite inferior es la etiqueta m nima que es asignada por el administrador de la seguridad Existen dos tipos de acreditaci n acreditaci n de sesi n o acreditaci n de usuario La acreditaci n asignada por el administrador de la seguridad que establece el l mite superior del conjunto de etiquetas en las que el usuario puede trabajar en cualquier momento El usuario puede decidir aceptar la acreditaci n predeterminada o bien restringir m s dicha acreditaci n durante cualquier sesi n En una organizaci n donde se debe proteger la informaci n confidencial la persona o las personas que definen y aplican la pol tica de seguridad del sitio Estas personas tienen acreditaci n para acceder a toda la informaci n que se est procesando en el sitio En el mbito del software el rol administrativo de administrador de la seguridad se asigna a una o varias personas que tengan la acreditaci n
88. as de Internet Publicaciones del gobierno de los Estados Unidos El gobierno estadounidense ofrece muchas de sus publicaciones en la Web El Centro de Recursos de Seguridad Inform tica CSRC del Instituto Nacional de Est ndares y Tecnolog a NIST publica art culos sobre seguridad inform tica Los siguientes son algunos ejemplos de las publicaciones que se pueden descargar del sitio de NIST http csrc nist gov index html a An Introduction to Computer Security The NIST Handbook Introducci n a la seguridad inform tica El manual de NIST SP 800 12 octubre de 1995 Standard Security Label for Information Transfer Etiqueta de seguridad est ndar para la transferencia de informaci n FIPS 188 septiembre de 1994 Swanson Marianne y Barbara Guttman Generally Accepted Principles and Practices for Securing Information Technology Systems Principios y pr cticas generalmente aceptados para proteger los sistemas de tecnolog a de la informaci n SP 800 14 septiembre de 1996 a Tracy Miles Wayne Jensen y Scott Bisker Guidelines on Electronic Mail Security Directrices sobre la seguridad del correo electr nico SP 800 45 septiembre de 2002 La secci n E 7 se refiere a la configuraci n segura de LDAP para el correo Gu a de configuraci n de Oracle Solaris Trusted Extensions Agosto de 2011 Referencias de seguridad adicionales a Wilson Mark y Joan Hash Building an Information Technology Security Awareness a
89. be conocer cierta informaci n y tomar algunas decisiones relacionadas con la configuraci n Por ejemplo como vaa crear zonas con etiquetas es posible que desee reservar espacio en el disco donde se puedan clonar las zonas como un sistema de archivos Solaris ZFS Solaris ZFS proporciona aislamiento adicional para las zonas Cap tulo 3 Adici n del software de Trusted Extensions al SO Solaris tareas 43 Recopilaci n de informaci n y toma de decisiones antes de habilitar Trusted Extensions 44 v Recopilaci n de informaci n del sistema antes de habilitar Trusted Extensions Determine la direcci n IP y el nombre de host principal del sistema El nombre de host es el nombre del host de la red y es la zona global En un sistema Solaris el comando getent devuelve el nombre de host como en el siguiente ejemplo getent hosts machinel 192 168 0 11 machinel Determine las asignaciones de direcci n IP para las zonas con etiquetas Un sistema con dos direcciones IP puede funcionar como un servidor de varios niveles Un sistema con una direcci n IP debe tener acceso a un servidor de varios niveles para poder imprimir o realizar tareas de varios niveles Para obtener una explicaci n de las opciones de direcci n IP consulte Planificaci n de acceso de varios niveles en la p gina 26 La mayor a de los sistemas requieren una segunda direcci n IP para las zonas con etiquetas Por ejemplo el siguiente es un host con una
90. bles usuario Una copia en cach es aquella que se almacena localmente No guarde el archivo Nota algunos elementos destacados aparecen en negrita en l nea Indicadores de los shells en los ejemplos de comandos 18 La tabla siguiente muestra los indicadores de sistema UNIX predeterminados y el indicador de superusuario de shells que se incluyen en los sistemas operativos Oracle Solaris Tenga en cuenta que el indicador predeterminado del sistema que se muestra en los ejemplos de comandos var a seg n la versi n de Oracle Solaris TABLAP 2 Indicadores de shell Shell Indicador Shell Bash shell Korn y shell Bourne Shell Bash shell Korn y shell Bourne para superusuario Shell C nombre_sistema Shell C para superusuario nombre_sistema Gu a de configuraci n de Oracle Solaris Trusted Extensions Agosto de 2011 CAP TULO 1 Planificaci n de la seguridad para Trusted Extensions La funci n Trusted Extensions de Oracle Solaris implementa una parte de la pol tica de seguridad del sitio en el software En este cap tulo se proporciona una descripci n general de la seguridad y los aspectos administrativos de la configuraci n del software Planificaci n de la seguridad en Trusted Extensions en la p gina 19 Resultados de la habilitaci n de Trusted Extensions desde la perspectiva de un administrador en la p gina 31 Planificaci n de la seguridad en Trusted Extensions En e
91. cando la separaci n de tareas impida la utilizaci n de los perfiles de derechos predeterminados Nota Cuando el sistema se actualiza a una versi n m s reciente del SO Solaris los perfiles predeterminados de administrador del sistema gesti n de usuarios y seguridad del usuario se sustituyen En el editor confianza realice uno de los siguientes pasos Elimine los tres perfiles de derechos del archivo prof_attr La eliminaci n impide que un administrador visualice o asigne estos perfiles Tambi n elimine el archivo prof_attr orig Comente los tres perfiles de derechos en el archivo prof_attr Al comentar los perfiles de derechos evita que estos perfiles se visualicen en Solaris Management Console o se utilicen en comandos para gestionar usuarios Los perfiles y su contenido todav a se pueden ver en el archivo prof_attr Escriba una descripci n diferente para los tres perfiles de derechos en el archivo prof_attr Edite el archivo prof_attr para cambiar el campo de descripci n de estos perfiles de derechos Por ejemplo puede reemplazar las descripciones por Do not use this profile Este cambio le advierte a un administrador que no utilice el perfil pero no impide el uso del perfil Gu a de configuraci n de Oracle Solaris Trusted Extensions Agosto de 2011 Creaci n de directorios principales en Trusted Extensions Antes de empezar Habilitaci n de los usuarios para que inicien sesi n en una zona con etiquetas
92. cci n de m dulo en el archivo etc X11 xorg conf load xtsol Nota De manera predeterminada el archivo xorg conf no existe Si este archivo no existe no haga nada En las versiones Solaris 10 9 09 y Solaris 10 9 10 si el sistema forma parte de una configuraci n de Oracle Solaris Cluster puede habilitar Trusted Extensions en el cl ster Nota Las aplicaciones se deben ejecutar s lo en los cl steres de zona de Oracle Solaris Cluster Para obtener m s informaci n sobre la compatibilidad de Oracle Solaris Cluster con Trusted Extensions consulte C mo prepararse para utilizar Trusted Extensions con cl steres de zona en el Cap tulo 7 y Creaci n de zonas no globales y cl steres de zona en la Oracle Solaris Cluster Software Installation Guide Antes de actualizar un sistema Trusted Extensions lea lo siguiente m Cap tulo 1 Novedades de la versi n Solaris 10 10 08 en Novedades de Solaris 10 m Notas de la versi n Solaris 10 10 08 Consejo Para encontrar informaci n pertinente busque la cadena Trusted Extensions Gu a de configuraci n de Oracle Solaris Trusted Extensions Agosto de 2011 Recopilaci n de informaci n y toma de decisiones antes de habilitar Trusted Extensions 7 Sitiene previsto clonar zonas cree una partici n para la agrupaci n ZFS Para tomar decisiones sobre el m todo de creaci n de zona consulte Planificaci n de zonas en Trusted Extensions en la p gina 24 8 Siti
93. cedimientos de administradores de Oracle Solaris Trusted Extensions Detenga todas las zonas con etiquetas a las que desea agregar una interfaz espec fica de la zona zoneadm z zone name halt Inicie Labeled Zone Manager usr sbin txzonemgr Para cada zona a la que desea agregar una interfaz espec fica de zona realice las siguientes acciones a Seleccione la zona b Seleccione Add Network c Asigne un nombre a la interfaz de red d Escriba la direcci n IP de la interfaz Cap tulo 4 Configuraci n de Trusted Extensions tareas 83 Adici n de interfaces de red y rutas a zonas con etiquetas 84 8 10 11 Errores m s frecuentes Antes de empezar En el cuadro de di logo Labeled Zone Manager de cada zona completada seleccione Zone Console Seleccione Boot En la consola de zona verifique que se hayan creado las interfaces ifconfig a Verifique que la zona tenga una ruta a la puerta de enlace para la subred netstat rn Para depurar la configuraci n de la zona consulte lo siguiente m F Cap tulo 30 Troubleshooting Miscellaneous Solaris Zones Problems de System Administration Guide Oracle Solaris Containers Resource Management and Oracle Solaris Zones m Resoluci n de los problemas de configuraci n de Trusted Extensions en la p gina 106 m Resoluci n de problemas de la red de confianza mapa de tareas de Procedimientos de administradores de Oracle S
94. cense December 2007 Oracle America Inc 500 Oracle Parkway Redwood City CA 94065 Ce logiciel ou mat riel a t d velopp pour un usage g n ral dans le cadre d applications de gestion des informations Ce logiciel ou mat riel n est pas con u ni n est destin tre utilis dans des applications risque notamment dans des applications pouvant causer des dommages corporels Si vous utilisez ce logiciel ou mat riel dans le cadre d applications dangereuses il est de votre responsabilit de prendre toutes les mesures de secours de sauvegarde de redondance et autres mesures n cessaires son utilisation dans des conditions optimales de s curit Oracle Corporation et ses affili s d clinent toute responsabilit quant aux dommages caus s par Putilisation de ce logiciel ou mat riel pour ce type d applications Oracle et Java sont des marques d pos es d Oracle Corporation et ou de ses affili s Tout autre nom mentionn peut correspondre des marques appartenant d autres propri taires qu Oracle AMD Opteron le logo AMD et le logo AMD Opteron sont des marques ou des marques d pos es d Advanced Micro Devices Intel et Intel Xeon sont des marques ou des marques d pos es d Intel Corporation Toutes les marques SPARC sont utilis es sous licence et sont des marques ou des marques d pos es de SPARC International Inc UNIX est une marque d pos e conc d sous license par X Open Company Ltd 111013025097 Contenid
95. ciones del gobierno de los Estados Unidos ccccconioninnoncnnionencanconionennancononnonconanc crec 150 Publicaciones de seguridad de UNIX ssiinaionisonocaiiniisoneconini cariocosiiasanirrciediiosiocicnnioncosticuiadisin 151 Publicaciones sobre seguridad inform tica general ciocincinncionacnncnncnnenenon cnica conncnrcacnnos 151 Publicaciones generales de UNIX ers ii 152 B Uso de acciones de CDE para instalar zonas en Trusted Extensions oconiinnicinnnnmmm 153 Asociaci n de interfaces de red con zonas mediante acciones de CDE mapa de tareas 153 Y Especificaci n de dos direcciones IP para el sistema mediante una acci n de CDE 154 Gu a de configuraci n de Oracle Solaris Trusted Extensions Agosto de 2011 Contenido c V Especificaci n de una direcci n IP para el sistema mediante una acci n de CDE 155 Preparaci n para crear zonas mediante acciones de CDE mapa de tareas cocociccincnncnnnnnnnnnncnnons 156 Y Especificaci n de nombres y etiquetas de zona mediante una acci n de CDE concocccicnccncnnn 157 Creaci n de zonas con etiquetas mediante acciones de CDE mapa de tareas Instalaci n inicializaci n e inicio de una zona con etiquetas mediante acciones de CDE 160 V Resoluci n de enrutamiento de zona local a zona global en Trusted CDE W Personalizaci n de una zona iniciada en Trusted Extensions occonononnnononcncnnonnoncncncncncncanoso Y Uso del m todo de copia de zona en
96. clic en Custom User Security b Haga clic en la ficha Authorizations y a continuaci n realice los siguientes pasos Desde la lista Included elimine la autorizaci n Manage Users and Roles Permanecen los siguientes derechos de User Accounts Audit Controls Label and Clearance Range Change Password View Users and Roles Modify Extended Security Attributes Agregue el derecho Manage Privileges a la lista Included c Haga clic en OK para guardar los cambios Modifique el perfil de gesti n de usuarios personalizada Restrinja este perfil para que no pueda definir una contrase a a Haga doble clic en Custom User Management b Haga clic en la ficha Authorizations y a continuaci n realice los siguientes pasos Arrastre la barra de desplazamiento de la lista Included hasta User Accounts Desde la lista Included elimine la autorizaci n Modify Extended Security Attributes Permanecen los siguientes derechos de User Accounts Manage Users and Roles View Users and Roles c Guarde los cambios Gu a de configuraci n de Oracle Solaris Trusted Extensions Agosto de 2011 Creaci n de roles y usuarios en Trusted Extensions Pasos siguientes Antes de empezar Modifique el perfil de derechos de administraci n del sistema personalizada El perfil de gesti n de usuarios es un perfil complementario en este perfil Impida que el administrador del sistema defina una contrase a a Haga doble clic en Custom
97. configuraci n de red de zona no exista o que el archivo ya se Compruebe que el archivo de configuraci n de red de zona no exista Busque el nombre en el panel a Sielarchivo no existe ejecute la acci n Configure Zone para proporcionar el nombre de zona A continuaci n repita el Paso 5 para crear el archivo Creaci n de zonas con etiquetas mediante acciones de CDE mapa de tareas Se puede crear una zona para cada entrada de la base de datos de Trusted Network Zone Configuration Realiz las entradas en Especificaci n de nombres y etiquetas de zona mediante una acci n de CDE en la p gina 157 ejecutando la acci n Configure Zone La carpeta Trusted_Extensions del gestor de aplicaciones contiene las siguientes acciones que permiten crear zonas con etiquetas Configure Zone crea un archivo de configuraci n de zona para cada nombre de zona Install Zone agrega los sistemas de archivos y paquetes correctos a la zona Zone Terminal Console ofrece una ventana para ver los eventos de una zona a Tnitialize Zone for LDAP convierte a la zona en un cliente LDAP y la prepara para el inicio m Start Zone inicia la zona y a continuaci n inicia todos los servicios de la estructura de gesti n de servicios SMF a Shut Down Zone cambia el estado de la zona de Started a Halted Las tareas se llevan a cabo en el orden siguiente Tarea Descripci n Para obtener instrucciones 1 Instale e inicie una zo
98. correspondiente Estos administradores configuran los atributos de seguridad de todos los usuarios y hosts para que el software aplique la pol tica de seguridad del sitio Para comparar consulte administrador del sistema En Trusted Extensions el rol de confianza asignado al usuario o los usuarios responsables de realizar las tareas est ndar de gesti n del sistema como la configuraci n de las partes de las cuentas de usuario no relacionadas con la seguridad Para comparar consulte administrador de la seguridad La persona que se encarga de crear el perfil de derechos nuevo para la organizaci n y de resolver las dificultades de los equipos que est n fuera del alcance del administrador de la seguridad y el administrador del sistema combinados Este rol se asumir rara vez Despu s de la configuraci n de seguridad inicial los sitios m s seguros pueden elegir no crear este rol y no asignar el perfil de administrador principal a ning n rol Un archivo de configuraci n opcional en un sistema de varias etiquetas Este archivo contiene una lista de archivos de inicio como cshrc o mozilla que el entorno de usuario o las aplicaciones de usuario requieren para que el sistema o la aplicaci n funcionen bien Los archivos que aparecen en copy_files se copian en el directorio principal del usuario en etiquetas superiores cuando se crean dichos directorios Consulte tambi n archivo link_files Un archivo de configuraci n opcional en un siste
99. d especificada en el campo de etiqueta m nima por el administrador de la seguridad en el archivo label_encodings establece el l mite inferior para el sistema Cuando un producto de software que ha demostrado que cumple con los criterios de una configuraci n evaluada se configura con valores que no cumplen con los criterios de seguridad el software se describe como fuera de la configuraci n evaluada Informaci n proporcionada por el gobierno GFI Government Furnished Information En este manual se refiere a un archivo label_encodings proporcionado por el gobierno de Estados Unidos Para utilizar la GFI con el software de Trusted Extensions debe agregar la secci n LOCAL DEFINITIONS espec fica de Sun al final de la GFI Para obtener detalles consulte el Cap tulo 5 Customizing LOCAL DEFINITIONS de Oracle Solaris Trusted Extensions Label Administration Un sistema con etiquetas que forma parte de una red de confianza de sistemas con etiquetas Un sistema distinto del sistema local Un host remoto puede ser un host sin etiquetas o un host con etiquetas Un sistema en red que env a paquetes de red sin etiquetas como un sistema que est ejecutando el SO Solaris Consulte control de acceso obligatorio La identificaci n de un grupo de sistemas de una red local Un nombre de dominio est compuesto por una secuencia de nombres de componentes separados por puntos por ejemplo examplel town state country org Le dos de izquierd
100. d no est copiando ni clonando esta zona cree las dem s zonas de la misma manera en que cre esta primera zona De lo contrario contin e con el paso siguiente Si est utilizando esta zona como una plantilla para las dem s zonas realice lo siguiente a Elimine el archivo auto_home_nombre_zona En una ventana de terminal de la zona global elimine este archivo de la zona nombre_zona cd zone zone name root etc ls auto_home auto home auto_home_zone name rm auto_home_zone name Por ejemplo si la zona public es la plantilla para la clonaci n de otras zonas elimine el archivo auto_home_public cd zone public root etc rm auto_home_public b Sitiene previsto clonar esta zona cree la instant nea de ZFS en el paso siguiente y luego contin e con Copia o clonaci n de una zona en Trusted Extensions en la p gina 80 c Siva a copiar esta zona complete el Paso 6 y luego contin e con Copia o clonaci n de una zona en Trusted Extensions en la p gina 80 Para crear una plantilla de zona para clonar las dem s zonas seleccione Create Snapshot y haga clic en OK Cap tulo 4 Configuraci n de Trusted Extensions tareas 79 Creaci n de zonas con etiquetas 80 A vy Antes de empezar Precauci n La zona para la instant nea debe estar en un sistema de archivos ZFS En la secci n Creaci n de agrupaci n ZFS para clonar zonas en la p gina 56 cre un sistema de archivos ZFS
101. debe haber otorgado la autorizaci n de asignaci n de dispositivos Un atributo que se utiliza para aplicar la pol tica de seguridad de Trusted Extensions Diversos conjuntos de atributos de seguridad se asignan a los procesos los usuarios las zonas los hosts los dispositivos asignables y otros objetos Un derecho otorgado a un usuario o un rol para realizar una acci n que de lo contrario no estar a permitida por la pol tica de seguridad Las autorizaciones se conceden en los perfiles de derechos Determinados comandos requieren que el usuario cuente con ciertas autorizaciones para ejecutarse con xito Por ejemplo para imprimir un archivo PostScript se requiere la autorizaci n Print postscript Una regi n que no se pude suplantar La banda de confianza se ubica en la parte inferior de la pantalla en Trusted CDE y en la parte superior de la pantalla en Trusted JDS La banda proporciona informaci n visual sobre el estado del sistema de ventanas un indicador de ruta de confianza y una etiqueta de sensibilidad de ventana Cuando las etiquetas de sensibilidad se configuran para que un usuario no las pueda ver la banda de confianza se reduce a un icono que muestra s lo el indicador de ruta de confianza La base de datos del host remoto de la red de confianza Esta base de datos asigna un conjunto de caracter sticas de etiquetas a un host remoto Se puede acceder a la base de datos mediante un archivo en etc security tsol tnrhdb o median
102. deben tomar decisiones sobre la configuraci n Para obtener informaci n sobre las decisiones consulte Recopilaci n de informaci n y toma de decisiones antes de habilitar Trusted Extensions en la p gina 43 Tarea Descripci n Para obtener instrucciones Proteja el hardware El hardware se puede proteger mediante solicitud de una Controlling Access to System Hardware de contrase a para cambiar la configuraci n del hardware System Administration Guide Security Services Configure etiquetas Las etiquetas se deben configurar para el sitio Si tiene Revisi n e instalaci n del archivo de previsto utilizar el archivo label_encodings predeterminado puede omitir este paso codificaciones de etiquetas en la p gina 50 49 Configuraci n de la zona global en Trusted Extensions Tarea Descripci n Para obtener instrucciones Para IPv6 modifique el archivo etc system Si est ejecutando una red IPv6 puede modificar el archivo etc system para permitirle a la IP reconocer los paquetes con etiquetas Habilitaci n de redes IPv6 en Trusted Extensions en la p gina 54 Para un dominio de interpretaci n cuyo valor no sea 1 modifique el archivo etc system Si el dominio de interpretaci n CIPSO de los nodos de la red es distinto de 1 especifique el dominio de interpretaci n en el archivo etc system Configuraci n del dominio de interpretaci n en la p g
103. del sistema operativo Oracle Solaris http www oracle com webfolder technetwork hcl index html Este documento indica las diferencias de implementaci n entre los tipos de plataforma En este documento estos t rminos relacionados con x86 significan lo siguiente m x86 hace referencia a la familia m s grande de productos compatibles con x86 de 64 bits m x64 hace referencia espec ficamente a CPU compatibles con x86 de 64 bits Para saber cu les son los sistemas admitidos consulte las listas de compatibilidad del sistema operativo Oracle Solaris Usuarios a los que est destinada esta gu a Esta gu a est destinada a administradores de sistemas y administradores de seguridad expertos que deban configurar el software de Trusted Extensions El nivel de confianza que requiere la pol tica de seguridad del sitio y el grado de experiencia necesario determinan qui n puede realizar las tareas de configuraci n Implementaci n de la seguridad del sitio Para configurar Trusted Extensions correctamente en un sistema de una manera que sea coherente con la seguridad del sitio es necesario comprender las funciones de seguridad de Trusted Extensions y la pol tica de seguridad de su sitio Antes de empezar lea el Cap tulo 1 Planificaci n de la seguridad para Trusted Extensions para obtener informaci n sobre c mo garantizar la seguridad del sitio al configurar el software Prefacio Trusted Extensions y el sistema operati
104. di logo de zenity le pide que realice las tareas correspondientes seg n el estado actual de la instalaci n Para realizar una tarea seleccione la opci n de men a continuaci n presione la tecla de retorno o haga clic en OK Cuando se le pida que introduzca texto escriba el texto y a continuaci n presione la tecla de retorno o haga clic en OK Cap tulo 4 Configuraci n de Trusted Extensions tareas 67 Creaci n de zonas con etiquetas Consejo Para ver el estado actual de finalizaci n de la zona haga clic en Return to Main Menu en Labeled Zone Manager v Configuraci n de las interfaces de red en Trusted Extensions Nota Si va a configurar el sistema para utilizar DHCP consulte las instrucciones para equipos port tiles de la secci n de Trusted Extensions de la p gina web de seguridad de la comunidad de OpenSolaris http hub opensolaris org bin view Community Group security A partir de la versi n Solaris 10 10 08 si est configurando un sistema en el que cada zona con etiquetas est en su propia subred puede omitir este paso y continuar con Asignaci n de nombre y etiquetado de zona en la p gina 72 Una vez que haya terminado de instalar y personalizar las zonas agregue las interfaces de red para todas las zonas con etiquetas seg n lo explicado en Adici n de una interfaz de red para enrutar una zona con etiquetas existente en la p gina 82 Mediante esta tarea se configuran las redes en
105. dor LDAP en un host de Trusted Extensions mapa de tareas Tarea Configure un servidor LDAP de Trusted Extensions Descripci n Para obtener instrucciones Si no tiene un servidor Sun Java System Directory Recopilaci n de informaci n para el servidor Server existente convierta su primer sistema Trusted de directorios para LDAP en la p gina 117 Extensions en el servidor de directorios Este sistema no tiene zonas con etiquetas instaladas so Sunava pyeten Directory Server en la p gina 118 Los dem s sistemas Trusted Extensions son clientes de Configuraci n de los registros para Sun Java este servidor System Directory Server en la p gina 123 115 Configuraci n de un servidor proxy LDAP en un host de Trusted Extensions mapa de tareas Tarea Descripci n Para obtener instrucciones Agregue las bases de datos de Trusted Extensions al servidor Rellene el servidor LDAP con los datos de los archivos del sistema de Trusted Extensions Rellenado de Sun Java System Directory Server en la p gina 125 Configure Solaris Management Console para que funcione con el servidor de directorios Configure de forma manual una caja de herramientas LDAP para Solaris Management Console La caja de herramientas se puede utilizar para modificar los atributos de Trusted Extensions en objetos de red Configuraci n de Solaris Management Console para LDAP mapa de tareas
106. dtsetup scopes Getting list of manageable scopes Scope 1 file Displays name of file scope Scope 2 ldap Displays name of ldap scope La configuraci n del servidor LDAP determina los mbitos que se muestran en la lista El mbito LDAP no aparecer en la lista hasta que se haya editado la caja de herramientas LDAP La caja de herramientas no se podr editar hasta que se haya registrado el servidor Cap tulo 5 Configuraci n de LDAP para Trusted Extensions tareas 129 Configuraci n de Solaris Management Console para LDAP mapa de tareas 130 Ejemplo 5 1 Antes de empezar Registro de las credenciales LDAP En este ejemplo el nombre del servidor LDAP es LDAP1 y el valor para cn es el valor predeterminado Directory Manager usr sadm bin dtsetup storeCred Administrator DN cn Directory Manager Password abcdel Password confirm abcdel usr sadm bin dtsetup scopes Getting list of manageable scopes Scope 1 file LDAP1 LDAP1 Scope 2 ldap LDAP1 cd LDAP1 dc example domain dc com Habilitaci n de comunicaciones de red en Solaris Management Console De manera predeterminada los sistemas Solaris no est n configurados para recibir puertos que presentan riesgos de seguridad Por lo tanto debe configurar expl citamente cualquier sistema que pretenda administrar de manera remota para que acepte las comunicaciones de red Por ejemplo para administrar las bases de datos de red del servidor LDAP desde un cl
107. e En Labeled Zone Manager agregar las interfaces de red para las zonas con etiquetas En la ventana de terminal visualizar la informaci n de la zona y definir el enrutador predeterminado Para cada zona a la que va a agregar una interfaz de red espec fica de la zona y un enrutador realice los siguientes pasos a En la ventana de terminal detenga la zona zoneadm z zone name halt Cap tulo 4 Configuraci n de Trusted Extensions tareas 85 Adici n de interfaces de red y rutas a zonas con etiquetas 86 b En Labeled Zone Manager realice las siguientes acciones i Seleccione la zona ii Seleccione Add Network iii Asigne un nombre a la interfaz de red iv Escriba la direcci n IP de la interfaz v En la ventana de terminal verifique la configuraci n de la zona zonecfg z zone name info net net address IP address physical zone network interface defrouter not specified c En la ventana de terminal configure el enrutador predeterminado para la red de la zona con etiquetas zonecfg z zone name zonecfg zone name gt select net address IP address zonecfg zone name net gt set defrouter router address zonecfg zone name net gt end zonecfg zone name gt verify zonecfg zone name gt commit zonecfg zone name gt exit Para obtener m s informaci n consulte la p gina del comando man zonecfg 1M y How to Configure the Zone de System Administration Guide Oracle Solaris Containers Res
108. e De lo contrario contin e con el Paso e c Seleccione la opci n de men Select another zone y a continuaci n haga clic en OK d Seleccione la zona que acaba de instalar y haga clic en OK Gu a de configuraci n de Oracle Solaris Trusted Extensions Agosto de 2011 Adici n de interfaces de red y rutas a zonas con etiquetas Pasos siguientes e Complete la secci n Inicie la zona con etiquetas en la p gina 75 f Complete la secci n Verificaci n del estado de la zona en la p gina 77 Clone la zona que acaba de etiquetar a En Labeled Zone Manager seleccione Clone y a continuaci n haga clic en OK b Seleccione una instant nea de ZFS de la lista y haga clic en OK Por ejemplo si ha creado una instant nea a partir de public seleccione zone publicEsnapshot Una vez que termine el proceso de clonaci n la zona estar instalada Contin e con el Paso c c Abra una consola de zona e inicie la zona Para obtener instrucciones consulte Inicie la zona con etiquetas en la p gina 75 d Complete la secci n Verificaci n del estado de la zona en la p gina 77 Cuando haya completado la secci n Verificaci n del estado de la zona en la p gina 77 para cada zona y desee que cada zona est en una red f sica independiente contin e con Adici n de una interfaz de red para enrutar una zona con etiquetas existente en la p gina 82 Si a n no ha creado roles con
109. e confianza de CDE Solaris Trusted Extensions JDS es la versi n de confianza de Sun Java Desktop System Cada entorno de ventanas crea espacios de trabajo de Trusted Path en la zona global Como en el SO Oracle Solaris los perfiles de derechos para los roles est n definidos Como en el SO Oracle Solaris los roles no est n definidos Para utilizar los roles para administrar Trusted Extensions debe crear los roles Durante la configuraci n debe crear el rol de administrador de la seguridad Se agregan tres bases de datos de red Trusted Extensions tnrhdb tnrhtp y tnzonecfg Las bases de datos se administran mediante la herramienta Security Templates y la herramienta Trusted Network Zones de Solaris Management Console Trusted Extensions proporciona las interfaces gr ficas de usuario para administrar el sistema Algunas interfaces gr ficas de usuario son extensiones de una interfaz gr fica de usuario de Oracle Solaris En Trusted CDE se proporcionan acciones administrativas en la carpeta Trusted_Extensions Algunas de estas acciones se utilizan al configurar Trusted Extensions por primera vez Las herramientas se presentan en el Cap tulo 2 Herramientas de administraci n de Trusted Extensions de Procedimientos de administradores de Oracle Solaris Trusted Extensions La secuencia de comandos txzonemgr permite alos administradores configurar las zonas y las redes de Trusted Extensions Para obtener m s informaci n con
110. e Solaris Management Console de Procedimientos de administradores de Oracle Solaris Trusted Extensions Para utilizar Solaris Management Console para crear plantillas de seguridad consulte Configuraci n de bases de datos de red de confianza mapa de tareas de Procedimientos de administradores de Oracle Solaris Trusted Extensions Conversi n de la zona global en un cliente LDAP en Trusted Extensions Para LDAP este procedimiento establece la configuraci n del servicio de nombres para la zona global Si no est utilizando LDAP puede omitir este procedimiento A partir de la versi n Solaris 10 5 08 si est en un espacio de trabajo de Solaris Trusted Extensions CDE puede usar la secuencia de comandos txzonemgr o una acci n de Trusted CDE para crear un cliente LDAP Si est en un espacio de trabajo de Solaris Trusted Extensions JDS o Solaris Trusted Extensions GNOME debe utilizar la secuencia de comandos txzonemgr Nota Si tiene previsto configurar un servidor de nombres en cada zona con etiquetas debe establecer la conexi n entre el cliente LDAP y cada zona con etiquetas Sun Java System Directory Server es decir el servidor LDAP debe existir El servidor se debe rellenar con las bases de datos de Trusted Extensions y este sistema se debe poder contactar con Gu a de configuraci n de Oracle Solaris Trusted Extensions Agosto de 2011 Configuraci n de la zona global en Trusted Extensions el servidor Por
111. e administradores de Oracle Solaris Trusted Extensions v Adici n de un usuario NIS al servidor LDAP Antesde Debe ser superusuario en el rol root o en el rol de administrador principal empezar 1 Desde la base de datos NIS recopile la informaci n que necesita a Cree un archivo a partir de la entrada del usuario en la base de datos aliases ypcat k aliases grep login name gt aliases name 104 Gu a de configuraci n de Oracle Solaris Trusted Extensions Agosto de 2011 Adici n de usuarios y hosts a una red de confianza existente Ejemplo 4 8 b Cree un archivo a partir de la entrada del usuario en la base de datos passwd ypcat k passwd grep Full Name gt passwd name c Cree un archivo a partir de la entrada del usuario en la base de datos auto_home_ ypcat k auto home grep login name gt auto_home_label Cambie el formato de la informaci n para LDAP y Trusted Extensions a Utilice el comando sed para cambiar el formato de la entrada alias sed s 9 aliases login name gt aliases b Utilice el comando nawk para cambiar el formato de la entrada passwd nawk F print 1 x 3 54 95 6 7 passwd name gt passwd c Utilice el comando nawk para crear una entrada shadow nawk F print 1 2 6445 passwd name gt shadow d Utilice el comando nawk para crear una entrada user_attr nawk F print 1 lock_after_retries yes or no profiles user
112. eas configuraci n de Trusted Extensions 2 Configure un servicio de nombres Tareas Para obtener instrucciones Si tiene previsto utilizar archivos para administrar Trusted Extensions puede omitir las siguientes tareas Para el servicio de nombres no se requiere ninguna configuraci n Si tiene un servidor LDAP Sun Java System Directory Server existente agregue bases de datos de Trusted Extensions al servidor A continuaci n convierta el primer sistema Trusted Extensions en un proxy del servidor LDAP Si no tiene un servidor LDAP configure el primer sistema como servidor Cap tulo 5 Configuraci n de LDAP para Trusted Extensions tareas Configure de forma manual una caja de herramientas LDAP para Solaris Management Console La caja de herramientas se puede utilizar para modificar los atributos de Trusted Extensions en objetos de red Configuraci n de Solaris Management Console para LDAP mapa de tareas en la p gina 128 A los sistemas que no son el servidor LDAP o el servidor proxy convi rtalos en clientes LDAP Conversi n de la zona global en un cliente LDAP en Trusted Extensions en la p gina 62 En el mbito LDAP cree el rol de administrador de la seguridad y otros roles que desee utilizar Puede dejar esta tarea para el final Para ver las consecuencias consulte Dise o de una estrategia de configuraci n para Trusted Extensions en la p gina 29
113. ecciones IP Gu a de configuraci n de Oracle Solaris Trusted Extensions Agosto de 2011 ndice A acceso al servidor X 107 110 acci n Check Encodings 50 54 acci n Clone Zone 167 168 acci n Configure Zone 157 acci n Copy Zone 166 167 acci n Create LDAP Client 62 66 acci n Initialize Zone for LDAP 161 acci n Install Zone 160 resoluci n de problemas 162 acci n Share Logical Interface 154 acci n Share Physical Interface 155 acci n Shut Down Zone 165 acci n Start Zone 162 acci n Zone Terminal Console resultado 80 162 uso 161 acciones Ver acciones administrativas acciones administrativas Check Encodings 50 54 Clone Zone 167 168 Configure Zone 157 Copy Zone 166 167 Create LDAP Client 62 66 Initialize Zone for LDAP 161 Install Zone 160 Share Logical Interface 154 Share Physical Interface 155 Shut Down Zone 165 Start Zone 162 Zone Terminal Console 80 161 162 Action failed Reconnect to Solaris Zone 107 110 adici n bases de datos de red al servidor LDAP 125 127 caja de herramientas LDAP 131 132 daemon nscd espec fico de la zona 88 89 daemon nscd para cada zona con etiquetas 88 89 interfaces de red compartidas 68 72 interfaz de red espec fica de la zona 82 84 rol local con roleadd 95 roles 90 101 rutas predeterminadas para zonas con etiquetas 84 88 Trusted Extensions a un sistema Solaris 46 47 usuario local con useradd 98 99 usuarios mediante lpaddent 104 106 usuar
114. ecret Interface IP Address Netmask Default Router qfel 192 168 2 22 255 255 255 0 192 168 2 2 afel 0 192 168 3 33 255 255 255 0 192 168 3 3 En primer lugar el administrador crea el archivo etc hostname qfel y configura el archivo etc netmasks touch etc hostname qfel cat etc netmasks HH Jetc netmasks in global zone 192 168 2 0 255 255 255 0 A continuaci n el administrador conecta la interfaz de red y verifica que la interfaz est inactiva ifconfig qfel plumb ifconfig a A continuaci n en Solaris Management Console el administrador crea una plantilla de seguridad con una nica etiqueta Secret y asigna la direcci n IP de la interfaz a la plantilla El administrador detiene la zona zoneadm z secret halt El administrador ejecuta la secuencia de comandos txzonemgr para abrir Labeled Zone Manager usr sbin txzonemgr En Labeled Zone Manager el administrador selecciona la zona Secret luego Add Network y por ltimo una interfaz de red El administrador cierra Labeled Zone Manager En la l nea de comandos el administrador selecciona la direcci n IP de la zona y a continuaci n define la ruta predeterminada Antes de salir del comando el administrador verifica la ruta y la confirma Cap tulo 4 Configuraci n de Trusted Extensions tareas 87 Adici n de interfaces de red y rutas a zonas con etiquetas 88 Antes de empezar zonecfg z secret zonecfg secret gt selec
115. ecurity Custom System Administrator Can perform most non security User Security Manage passwords Custom User Security Manage passwords User Management Manage users groups home Custom User Management Manage users groups home d Guarde los cambios e Verifique los cambios grep Custom etc security prof_attr Custom System Administrator Can perform most non security Custom User Management Manage users groups home Custom User Security Manage passwords Copiar un perfil de derechos en lugar de modificarlo permite actualizar el sistema a una versi n posterior de Solaris y conservar los cambios Como estos perfiles de derechos son complejos es menos probable que se produzca un error si se modifica una copia del perfil predeterminado que si se crea un perfil m s restrictivo desde el principio Inicie Solaris Management Console usr sbin smc Seleccione la caja de herramientas This Computer este host Scope Files Policy TSOL Haga clic en System Configuration y a continuaci n en Users Se le solicitar la contrase a Cap tulo 4 Configuraci n de Trusted Extensions tareas 91 Creaci n de roles y usuarios en Trusted Extensions 5 92 Escriba la contrase a correspondiente Haga doble clic en Rights Modifique el perfil de derechos de seguridad de usuarios personalizada Restrinja este perfil para que no pueda crear usuarios a Haga doble
116. ed 68 72 LDAP para Trusted Extensions 117 127 servidor proxy LDAP para clientes de Trusted Extensions 127 128 software de Trusted Extensions 49 114 Solaris Management Console para LDAP 128 134 zonas con etiquetas de Trusted Extensions 66 81 153 168 182 Gu a de configuraci n de Oracle Solaris Trusted Extensions configuraci n de LDAP creaci n de cliente 62 66 para Trusted Extensions 117 127 servidores Sun Ray y 117 configuraci n de LDAP tcp _listen true 130 131 configuraci n de Solaris Management Console para LDAP mapa de tareas 128 134 configuraci n de Trusted Extensions acceso sin perif ricos 135 144 adici n de bases de datos de red al servidor LDAP 125 127 bases de datos para LDAP 117 127 cambio de valor de dominio de interpretaci n predeterminado 54 56 configuraci n evaluada 20 divisi n de tareas 39 LDAP 117 127 lista de comprobaci n para el equipo de instalaci n 169 172 mapas de tareas 33 37 procedimientos iniciales 49 114 reinicio para activar etiquetas 57 59 resoluci n de problemas 106 110 responsabilidades del equipo de configuraci n inicial 39 sistemas sin perif ricos 135 144 zonas con etiquetas 66 81 153 168 configuraci n de un servidor LDAP en un host de Trusted Extensions mapa de tareas 115 116 configuraci n de un servidor proxy LDAP en un host de Trusted Extensions mapa de tareas 116 117 Configuraci n de un sistema sin perif ricos en Trusted Extensions mapa de
117. eger como cambiar una contrase a tambi n usan la ruta de confianza Cuando la ruta de confianza est activa en el escritorio aparece un indicador de seguridad La secuencia de comandos usr sbin txzonemgr proporciona una interfaz gr fica de usuario sencilla para gestionar las zonas con etiquetas La secuencia de comandos tambi n proporciona opciones de men para redes y nombres de servicios y establece la zona global como cliente de un servidor LDAP existente La secuencia de comandos txzonemgr es ejecutada por el usuario root en la zona global La pol tica de seguridad que establece que dos administradores o roles deben crear y autenticar un usuario Un administrador o rol es responsable de la creaci n del usuario y el directorio principal del usuario y de otras tareas b sicas de administraci n El otro administrador o rol es responsable de los atributos de seguridad del usuario como la contrase a y el rango de etiquetas 179 servicio de nombres servicio de nombres shell de perfil sistema sistema con etiquetas sistema de archivos sistema sin etiquetas sistemas conectados en red sistemas no conectados en red Solaris Management Console zona con etiquetas 180 Una base de datos de red distribuida que contiene informaci n clave sobre todos los sistemas de una red para que stos se puedan comunicar entre s Con un servicio de nombres es posible mantener y gestionar la informaci n del sistema
118. ejemplos consulte How to Create and Assign a Role by Using the GUT de System Administration Guide Security Services Asigne a cada rol un ID nico y asigne al rol el perfil de derechos correcto Entre los posibles roles se incluyen los siguientes Rol de administrador derechos otorgados de System Administrator Rol de administrador principal derechos otorgados de Primary Administrator Rol de operador derechos otorgados de Operator Uso del comando roleadd para crear un rol de administrador de la seguridad local En este ejemplo el usuario root agrega el rol de administrador de la seguridad a un sistema local con el comando roleadd Para obtener detalles consulte la p gina del comando man roleadd 1M Antes de crear el rol el usuario root consulta la Tabla 1 2 En este sitio no se requiere la separaci n de tareas para crear un usuario roleadd c Local Security Administrator d export homel Y u 110 P Information Security User Security K lock_after_retries no Y K idletime 5 K idlecmd lock K labelview showsl K min_label ADMIN_LOW K clearance ADMIN_HIGH secadmin El usuario root proporciona una contrase a inicial para el rol passwd r files secadmin New Password lt Type password gt Re enter new Password lt Retype password gt passwd password successfully changed for secadmin Para asignar el rol a un usuario local consulte el Ejemplo 4 7 Cap tulo 4 Configuraci n de Trusted Extensions
119. el administrador utiliza la caja de herramientas LDAP Gu a de configuraci n de Oracle Solaris Trusted Extensions Agosto de 2011 control de acceso discrecional CDE clasificaci n cliente Common Desktop Environment compartimiento configuraci n de etiqueta configuraci n evaluada conjunto de etiquetas conjunto de etiquetas de seguridad control de acceso discrecional Consulte Common Desktop Environment El componente jer rquico de una acreditaci n o una etiqueta Una clasificaci n indica un nivel jer rquico de seguridad por ejemplo TOP SECRET o UNCLASSIFIED Un sistema conectado a una red El hist rico entorno de ventanas para administrar el software de Trusted Extensions Trusted Extensions modifica el entorno para crear Trusted CDE Sun Java Desktop System tambi n se modifica para crear un Trusted JDS Un componente no jer rquico de una etiqueta que se utiliza con el componente de clasificaci n para formar una acreditaci n o una etiqueta Un compartimiento representa una recopilaci n de informaci n como la que utilizar a un departamento de ingenier a o un equipo de proyecto multidisciplinario Una opci n de instalaci n de Trusted Extensions de etiquetas de sensibilidad de una sola etiqueta o de varias etiquetas En la mayor a de los casos la configuraci n de etiquetas es id ntica en todos los sistemas del sitio Uno o varios hosts de Trusted Extensions que se est n ejecutando
120. el sitio La tarea final permite eliminar las personalizaciones de Trusted Extensions de un sistema Solaris C mo copiar archivos en medios port tiles en Trusted Extensions Cuando copie a medios port tiles etiquete los medios con la etiqueta de sensibilidad de la informaci n Nota Durante la configuraci n de Trusted Extensions el superusuario o un rol equivalente copia los archivos administrativos a un medio port til y desde l Etiquete los medios con Trusted Path Para copiar los archivos administrativos debe ser superusuario o un rol en la zona global Asigne el dispositivo adecuado Utilice Device Allocation Manager e inserte un medio vac o Para obtener detalles consulte C mo asignar un dispositivo en Trusted Extensions de Gu a del usuario de Oracle Solaris Trusted Extensions m Fn Solaris Trusted Extensions CDE un gestor de archivos muestra el contenido del medio port til Fn Solaris Trusted Extensions JDS un explorador de archivos muestra el contenido En este procedimiento el explorador de archivos se utiliza para hacer referencia a esta interfaz gr fica de usuario Gu a de configuraci n de Oracle Solaris Trusted Extensions Agosto de 2011 Tareas adicionales de configuraci n de Trusted Extensions Ejemplo 4 9 Abra un segundo explorador de archivos Navegue hasta la carpeta que contiene los archivos que se van a copiar Por ejemplo puede haber copiado los archivos a una car
121. emas remotos 135 Configuraci n de un sistema sin perif ricos en Trusted Extensions mapa de tareas Tarea Descripci n Para obtener instrucciones Habilite el inicio de sesi n remoto por parte del usuario root Si no est utilizando LDAP en principio debe iniciar sesi n en el sistema sin perif ricos como usuario root Si est utilizando LDAP puede omitir este procedimiento Habilitaci n del inicio de sesi n remoto por parte del usuario root en Trusted Extensions en la p gina 137 Habilite el inicio de sesi n remoto Habilite el inicio de sesi n remoto para un usuario que pueda asumir el rol de usuario root u otro rol administrativo Habilitaci n del inicio de sesi n remoto por parte de un rol en Trusted Extensions en la p gina 137 Habilite la administraci n de los sistemas de Trusted Extensions desde un sistema sin etiquetas Habilitaci n del inicio de sesi n remoto desde un sistema sin etiquetas en la p gina 139 Habilite a un usuario para que acceda a la zona global en un sistema sin perif ricos C mo habilitar a usuarios espec ficos para que inicien sesi n de manera remota en la zona global en Trusted Extensions de Procedimientos de administradores de Oracle Solaris Trusted Extensions Opcional Habilite la visualizaci n de interfaces gr ficas de usuario administrativas Habilite la visualizaci n de las interfaces gr ficas de usua
122. en una configuraci n cuyo cumplimiento con los criterios espec ficos haya sido certificado por una autoridad de certificaci n En Estados Unidos esos criterios conforman los Criterios de Evaluaci n de Sistemas Inform ticos Fiables TCSEC Trusted Computer System Evaluation Criteria El organismo de evaluaci n y certificaci n es la Agencia de Seguridad Nacional NSA National Security Agency m Elsoftware de Trusted Extensions que se configura en la versi n Solaris 10 11 06 est certificado seg n los criterios comunes v2 3 agosto de 2005 una normativa ISO con un nivel de seguridad EAL 4 y numerosos perfiles de protecci n m Mediante el proceso de continuidad de garant a la NSA certific el software de Trusted Extensions que se configura en la versi n Solaris 10 5 09 Los criterios comunes v2 CCv2 y los perfiles de protecci n convierten a la norma de TCSEC de Estados Unidos en obsoleta hasta el nivel B1 Se ha firmado un acuerdo de reconocimiento mutuo para CCv2 entre Estados Unidos el Reino Unido Canad Dinamarca Pa ses bajos Alemania y Francia La configuraci n de Trusted Extensions ofrece una funcionalidad similar a los niveles C2 y B1 de TCSEC con algunas funciones adicionales Consulte conjunto de etiquetas de seguridad Especifica un conjunto discreto de etiquetas de seguridad para una entrada de la base de datos tnrhtp Los hosts que se asignan a una plantilla con un conjunto de etiquetas de seguridad
123. enden del manifiesto de servicio para la zona Utilice el comando netservices limited para desactivar los servicios que las zonas con etiquetas no necesitan a Elimine varios servicios innecesarios netservices limited b Muestre los servicios restantes svcs STATE STIME FMRI online 13 05 00 svc application graphical login cde login default c Deshabilite el acceso gr fico svcadm disable svc application graphical login cde login svcs cde login STATE STIME FMRI disabled 13 06 22 svc application graphical login cde login default Para obtener informaci n sobre la estructura de gesti n de servicios consulte la p gina del comando man smf 5 Cierre la zona Elija uno de los siguientes m todos m Ejecute la acci n Shut Down Zone Proporcione el nombre de la zona m En una ventana de terminal de la zona global utilice el comando zlogin zlogin zone name init 0 Para obtener m s informaci n consulte la p gina del comando man zlogin 1 Verifique que la zona se cierre En nombre_zona Zone Terminal Console el siguiente mensaje indica que la zona est cerrada NOTICE Zone halted Si usted no est copiando ni clonando esta zona cree las dem s zonas de la misma manera en que cre esta primera zona Ap ndice B Uso de acciones de CDE para instalar zonas en Trusted Extensions 165 Creaci n de zonas con etiquetas mediante acciones de CDE mapa de tareas 5 Pasos siguientes 16
124. ene previsto instalar zonas con etiquetas en este sistema compruebe que las particiones tengan suficiente espacio en el disco para las zonas En la mayor a de los sistemas en los que est configurado Trusted Extensions se instalan zonas con etiquetas Es posible que las zonas con etiquetas requieran m s espacio en el disco que el que tiene reservado el sistema instalado Sin embargo algunos sistemas Trusted Extensions no requieren la instalaci n de zonas con etiquetas Por ejemplo un servidor de impresi n de varios niveles un servidor LDAP de varios niveles o un servidor proxy LDAP de varios niveles no requieren la instalaci n de zonas con etiquetas Es posible que estos sistemas no requieran espacio adicional en el disco 9 Opcional Agregue espacio de intercambio adicional para los roles Los roles administran Trusted Extensions Considere la adici n de espacio de intercambio para los procesos de los roles 10 Opcional Dedique una partici n a archivos de auditor a Trusted Extensions habilita la auditor a de manera predeterminada Para los archivos de auditor a es recomendable crear una partici n dedicada 11 Opcional Para ejecutar una configuraci n protegida ejecute el comando netservices limited antes de habilitar Trusted Extensions netservices limited Recopilaci n de informaci n y toma de decisiones antes de habilitar Trusted Extensions Para cada sistema en el que se va a configurar Trusted Extensions de
125. ensa utilizar para rellenar las bases de datos del servicio de nombres mkdir p setup files Copie los archivos etc de ejemplo en el rea temporal cd etc cp aliases group networks netmasks protocols setup files cp rpc services auto_master setup files cd etc security cp auth_attr prof_attr exec_attr setup files cd etc security tsol cp tnrhdb tnrhtp setup files IS Cap tulo 5 Configuraci n de LDAP para Trusted Extensions tareas 125 Configuraci n de Sun Java System Directory Server en un sistema Trusted Extensions Si est ejecutando la versi n Solaris 10 11 06 sin los parches copie el archivo ipnodes cd etc inet cp ipnodes setup files 3 Elimine la entrada auto_master del archivo setup files auto_master 5 Elimine la entrada del archivo setup files prof_attr 6 Creelos mapas autom ticos de zona en el rea temporal En la siguiente lista de mapas autom ticos el primero de cada par de l neas muestra el nombre del archivo La segunda l nea de cada par muestra el contenido del archivo Los nombres de zona identifican etiquetas del archivo label_encodings predeterminado que se incluye con el software de Trusted Extensions m Sustituya los nombres de zona por los nombres de zona de estas l neas m myNFsSserver identifica el servidor NFS para los directorios principles setup files auto home public myNFSserver_FQDN zone public root export home 8 setup files aut
126. ensions en la p gina 40 Recopilaci n de informaci n y toma de decisiones antes de habilitar Trusted Extensions en la p gina 43 m Habilitaci n del servicio de Trusted Extensions en la p gina 46 Responsabilidades del equipo de configuraci n inicial El software de Trusted Extensions est dise ado para ser habilitado y configurado por dos personas con distintas responsabilidades Sin embargo el programa de instalaci n de Solaris no aplica esta divisi n de tareas entre dos roles En cambio la divisi n de tareas se aplica por roles Como los roles y los usuarios se crean despu s de la instalaci n se considera una buena pr ctica que un equipo de configuraci n inicial de al menos dos personas est presente para habilitar y configurar el software de Trusted Extensions 39 Instalaci n o actualizaci n del SO Solaris para Trusted Extensions Instalaci n o actualizaci n del SO Solaris para Trusted Extensions La elecci n de las opciones de instalaci n de Solaris puede afectar el uso y la seguridad de Trusted Extensions m Para obtener una compatibilidad adecuada para Trusted Extensions debe instalar el SO Solaris subyacente de manera segura Para las opciones de instalaci n de Solaris que afectan a Trusted Extensions consulte Instalaci n de un sistema Solaris para la compatibilidad con Trusted Extensions en la p gina 40 ma Siha utilizado el SO Solaris compare la configuraci n actual con lo
127. ensions instala un archivo label_encodings predeterminado Este archivo predeterminado es til para las demostraciones Sin embargo es posible que este archivo no sea una buena opci n para usted Si tiene previsto usar el archivo predeterminado puede omitir este procedimiento Si est familiarizado con los archivos de codificaciones puede utilizar el siguiente procedimiento Si no est familiarizado con los archivos de codificaciones consulte Oracle Solaris Trusted Extensions Label Administration para ver los requisitos los procedimientos y los ejemplos Gu a de configuraci n de Oracle Solaris Trusted Extensions Agosto de 2011 Configuraci n de la zona global en Trusted Extensions A Antes de empezar Precauci n Antes de continuar debe instalar correctamente las etiquetas o la configuraci n fallar Debe ser el administrador de la seguridad El administrador de la seguridad es el responsable de la edici n la comprobaci n y el mantenimiento del archivo label_encodings Si piensa editar el archivo label_encodings aseg rese de que el archivo se pueda escribir Para obtener m s informaci n consulte la p gina del comando man label_encodings 4 Inserte los medios con el archivo label_encodings en el dispositivo adecuado Copie el archivo label_encodings en el disco Compruebe la sintaxis del archivo y convi rtalo en el archivo label_encodings activo En Trusted JDS compruebe e instale el archivo desde la l
128. ente los sistemas decidir qu etiquetas adjuntar a las zonas y resolver otras cuestiones de seguridad Para obtener informaci n sobre los procedimientos consulte Recopilaci n de informaci n y toma de decisiones antes de habilitar Trusted Extensions en la p gina 43 30 Gu a de configuraci n de Oracle Solaris Trusted Extensions Agosto de 2011 Resultados de la habilitaci n de Trusted Extensions desde la perspectiva de un administrador Realizaci n de copia de seguridad del sistema antes de habilitar Trusted Extensions Si el sistema tiene archivos que se deben guardar realice una copia de seguridad antes de habilitar el servicio Trusted Extensions La forma m s segura de realizar una copia de seguridad de los archivos es realizar un volcado de nivel 0 Si no tiene un procedimiento de copia de seguridad en el lugar consulte la gu a del administrador de su sistema operativo actual para obtener instrucciones Resultados de la habilitaci n de Trusted Extensions desde la perspectiva de un administrador Una vez que se haya habilitado el software de Trusted Extensions y se haya reiniciado el sistema las siguientes funciones de seguridad estar n en su lugar Muchas de las funciones pueden ser configuradas por el administrador de la seguridad La auditor a est habilitada Se instala y configura un archivo label_encodings de Oracle Se agregan dos escritorios de confianza Solaris Trusted Extensions CDE es la versi n d
129. equiere para habilitar y configurar Trusted Extensions en su sitio Para las tareas que se tratan en otro lugar existen referencias cruzadas 1 Lea m Lea los primeros cinco cap tulos de Procedimientos de administradores de Oracle Solaris Trusted Extensions m Comprenda los requisitos de seguridad del sitio Lea Pol tica de seguridad del sitio y Trusted Extensions en la p gina 146 2 Prepare Elija la contrase a del usuario root Elija el nivel de seguridad de la PROM o el BIOS Elija la contrase a de la PROM o el BIOS Elija si se permite la conexi n de perif ricos Elija si se permite el acceso a impresoras remotas Elija si se permite el acceso a redes sin etiqueta Elija el m todo de creaci n de zona 3 Habilite Trusted Extensions a Instale el SO Oracle Solaris m Para la administraci n remota instale el grupo de desarrolladores o el grupo m s grande de los paquetes de Solaris 169 Lista de comprobaci n para la configuraci n de Trusted Extensions 8 9 Para el m todo de creaci n de clonaci n de zona seleccione la opci n de instalaci n personalizada y a continuaci n dise e una partici n zona b Habilite svc system labeld el servicio de Trusted Extensions Si utiliza IPv6 habilite IPv6 para Trusted Extensions Si utiliza un dominio de interpretaci n distinto de 1 defina el dominio de interpretaci n en los archivos etc system y etc security tsol tnrhtp Opcion
130. er publier ou afficher le logiciel m me partiellement sous quelque forme et par quelque proc d que ce soit Par ailleurs il est interdit de proc der toute ing nierie inverse du logiciel de le d sassembler ou de le d compiler except des fins d interop rabilit avec des logiciels tiers ou tel que prescrit par la loi Les informations fournies dans ce document sont susceptibles de modification sans pr avis Par ailleurs Oracle Corporation ne garantit pas qu elles soient exemptes d erreurs et vous invite le cas ch ant lui en faire part par crit Si ce logiciel ou la documentation qui l accompagne est conc d sous licence au Gouvernement des Etats Unis ou toute entit qui d livre la licence de ce logiciel ou utilise pour le compte du Gouvernement des Etats Unis la notice suivante s applique U S GOVERNMENT RIGHTS Programs software databases and related documentation and technical data delivered to U S Government customers are commercial computer software or commercial technical data pursuant to the applicable Federal Acquisition Regulation and agency specific supplemental regulations As such the use duplication disclosure modification and adaptation shall be subject to the restrictions and license terms set forth in the applicable Government contract and to the extent applicable by the terms of the Government contract the additional rights set forth in FAR 52 227 19 Commercial Computer Software Li
131. er a la informaci n En un sitio de cliente el conjunto de reglas que definen la sensibilidad de la informaci n que se est procesando en ese sitio y las medidas que se utilizan para proteger la informaci n del acceso no autorizado Facultades que se otorgan a un proceso que est ejecutando un comando El conjunto completo de privilegios describe todas las capacidades del sistema desde las b sicas hasta las administrativas Los privilegios que se omiten en la pol tica de seguridad como definir el reloj en un sistema pueden ser concedidos por el administrador de la seguridad del sitio Una acci n que ejecuta un comando en nombre del usuario que invoca el comando Un proceso recibe una cantidad de atributos de seguridad del usuario incluidos el ID de usuario UID el ID de grupo GID la lista de grupo adicional y el ID de auditor a del usuario AUID Los atributos de seguridad recibidos por un proceso incluyen cualquier privilegio que est disponible para el comando que se est ejecutando y la etiqueta de sensibilidad del espacio de trabajo actual En un sistema Solaris en el que est configurado Trusted Extensions un MLP se utiliza para proporcionar un servicio de varios niveles en una zona De manera predeterminada el servidor X es un servicio de varios niveles que se define en la zona global Un MLP se especifica mediante n mero de puerto y protocolo Por ejemplo el MLP del servidor X para el escritorio de varios niveles se especi
132. er otro host que el administrador de la seguridad desee restringir a una sola etiqueta Un rango de etiquetas limita las etiquetas en las que se pueden asignar dispositivos y restringe las etiquetas en las que se puede almacenar o procesar informaci n al utilizar el dispositivo Gu a de configuraci n de Oracle Solaris Trusted Extensions Agosto de 2011 separaci n de tareas red abierta red cerrada relaciones de etiquetas rol rol administrativo rol de confianza ruta de b squeda de aplicaciones ruta de confianza secuencia de comandos txzonemgr separaci n de tareas Una red de hosts de Trusted Extensions que se conecta f sicamente a otras redes y que utiliza el software de Trusted Extensions para comunicarse con hosts que no tienen Trusted Extensions Comp rese con red cerrada Una red de sistemas en los que est configurado Trusted Extensions La red est cortada para cualquier host que no pertenezca a Trusted Extensions El corte puede ser f sico en cuyo caso no se extiende ning n cable fuera de la red de Trusted Extensions El corte puede estar en el software en cuyo caso los hosts de Trusted Extensions s lo reconocen los hosts de Trusted Extensions La entrada de datos desde el exterior de la red est restringida a los perif ricos conectados a los hosts de Trusted Extensions Comp rese con red abierta En un sistema Solaris en el que est configurado Trusted Extensions una etiqueta puede domina
133. erview in the Solaris Patches Management Console Help menu to view the overview at F o kS Services any time gt E Storage o E Devices and Hardware Look in the Information pane below for the context lt Legacy Application specific help E Information General Information Select an item in the left Navigation pane to display the result in the right View pane To expand S a collapsed item in the Navigation pane double click the item or single click the turner to the left of the item i Click here to display an overview of the Solaris Management Console which includes definitions of console terminology and usage instructions plus getting started instructions for the first user of the Solaris Management Console Select Overview in the Help menu to view the overview at any time Y 2 Silos iconos de la caja de herramientas no aparecen en Solaris Management Console realice una de las siguientes acciones m Sielpanel Navigation no se puede ver a En el cuadro de di logo Open Toolbox que aparece haga clic en la opci n Load ubicada junto al nombre de este sistema debajo de Server Si este sistema no dispone de la cantidad de memoria y de espacio de intercambio recomendada es posible que la caja de herramientas tarde unos minutos en aparecer Para ver las recomendaciones consulte Instalaci n o actualizaci n del SO Solaris para Trusted Extensions en la p gina 40
134. es m Los registros m s antiguos se suprimen si hay menos de 500 MB de espacio libre en el disco Se recopila informaci n adicional en los registros de errores Configure los registros de acceso El REGISTRO_TIPO para acceso es ACCESS La sintaxis para la configuraci n de registros es la siguiente dsconf set log prop LOG_TYPE property value dsconf set log prop ACCESS max age 3M dsconf set log prop ACCESS max disk space size 20000M dsconf set log prop ACCESS max file count 100 dsconf set log prop ACCESS max size 500M dsconf set log prop ACCESS min free disk space 500M Configure los registros de auditor a dsconf set log prop AUDIT max age 3M dsconf set log prop AUDIT max disk space size 20000M dsconf set log prop AUDIT max file count 100 dsconf set log prop AUDIT max size 500M dsconf set log prop AUDIT min free disk space 500M dsconf set log prop AUDIT rotation interval ld De manera predeterminada el intervalo de rotaci n de registros de auditor a es de una semana Cap tulo 5 Configuraci n de LDAP para Trusted Extensions tareas 123 Configuraci n de Sun Java System Directory Server en un sistema Trusted Extensions 124 Configure los registros de errores En esta configuraci n puede especificar los datos adicionales que se van a recopilar en el registro de errores dsconf set log prop ERROR max age 3M dsconf set log prop ERROR max disk space size 20000M dsconf set log
135. es LDAP est ndar a sistemas cliente utilice el valor predeterminado 389 Si tiene previsto utilizar el servidor de directorios para admitir una instalaci n posterior de un servidor proxy introduzca un puerto no est ndar como 10389 Sufijo Incluya el componente de dominio como en dc example domain dc com Dominio de administraci n Cree un dominio que corresponda al sufijo como en example domain com Usuario del sistema El valor predeterminado es root Grupo del sistema El valor predeterminado es root Ubicaci n del almacenamiento de El valor predeterminado es Store configuration data on this server datos Ubicaci n del almacenamiento de El valor predeterminado es Store user data and group data on this datos server Puerto de administraci n El valor predeterminado es el puerto del servidor La convenci n sugerida para cambiar el valor predeterminado es software version TIMES 1000 Para la versi n de software 5 2 esta convenci n dar a como resultado el puerto 5200 v Instalaci n de Sun Java System Directory Server Antes de empezar Los paquetes del servidor de directorios est n disponibles en el sitio web de la puerta de enlace de software de Sun http www oracle com solaris Debe estar en un sistema Trusted Extensions con s lo una zona global instalada El sistema no debe tener zonas con etiquetas Los servidores LDAP de Trusted Extensions est n configurados para los clientes que usan pam_unix para a
136. es ldap dns NOTFOUND return files Note that IPv4 addresses are searched for in all of the ipnodes databases before searching the hosts databases ipnodes files ldap NOTFOUND return files networks files ldap NOTFOUND return files protocols files ldap NOTFOUND return files rpc files ldap NOTFOUND return files ethers files ldap NOTFOUND return files netmasks files ldap NOTFOUND return files bootparams files ldap NOTFOUND return files publickey files ldap NOTFOUND return files netgroup ldap automount files ldap aliases files ldap for efficient getservbyname avoid ldap services files ldap printers user files ldap auth_attr files ldap prof_attr files ldap project files ldap tnrhtp files ldap tnrhdb files ldap En la zona global ejecute el comando ldapclient init Este comando copia el archivo nsswitch ldap al archivo nsswitch conf En este ejemplo el cliente LDAP est en el dominio example domain com La direcci n IP del servidor es 192 168 5 5 ldapclient init a domainName example domain com a profileNmae default Y gt a proxyDN cn proxyagent ou profile dc example domain dc com Y gt a proxyDN cn proxyPassword NS1jecc423aad0 192 168 5 5 System successfully configured Establezca el par metro enableShadowUpdate del servidor en TRUE ldapclient v mod a enableShadowUpdate TRUE Y gt a adminDN cn admin ou profile dc example domain dc com System successfully
137. este host Scope Files Policy TSOL iii Haga clic en Open En System Configuration navegue hasta Computers and Networks Escriba una contrase a cuando se le solicite Haga doble clic en la herramienta Trusted Network Zones Asocie la etiqueta correspondiente a un nombre de zona para cada zona Elija Action gt Add Zone Configuration El cuadro de di logo muestra el nombre de una zona que no tiene ninguna etiqueta asignada F jese en el nombre de la zona y a continuaci n haga clic en Edit En el generador de etiquetas haga clic sobre la etiqueta adecuada para el nombre de zona Si hace clic en la etiqueta incorrecta haga clic de nuevo en la etiqueta para anular la selecci n y a continuaci n haga clic en la etiqueta correcta Guarde la asignaci n Haga clic en OK en el generador de etiquetas y a continuaci n haga clic en OK en el cuadro de di logo Trusted Network Zones Properties Habr terminado una vez que todas las zonas que desea aparezcan en el panel o cuando la opci n de men Add Zone Configuration abra un cuadro de di logo que no tenga un valor para el nombre de zona Gu a de configuraci n de Oracle Solaris Trusted Extensions Agosto de 2011 Creaci n de zonas con etiquetas mediante acciones de CDE mapa de tareas Errores m s frecuentes haya creado Si el cuadro de di logo Trusted Network Zones Properties no aparece para una zona que desea crear es posible que el archivo de
138. eta y no se aplica los datos incluidos en el sistema en el que est configurado Trusted Extensions no estar n protegidos Es preciso establecer procedimientos para registrar cualquier problema y las medidas que se han tomado para resolver los incidentes Revise peri dicamente la pol tica de seguridad El equipo de seguridad debe llevar a cabo una revisi n peri dica de la pol tica de seguridad y de todos los incidentes que se produjeron desde la ltima revisi n Los ajustes en esta pol tica pueden ayudar a aumentar la seguridad Pol tica de seguridad del sitio y Trusted Extensions El administrador de la seguridad debe dise ar la red de Trusted Extensions en funci n de la pol tica de seguridad del sitio La pol tica de seguridad dicta las decisiones relacionadas con la configuraci n como las siguientes Cu ntas auditor as se realizan para todos los usuarios y para qu clases de eventos Cu ntas auditor as se realizan para los usuarios con roles y para qu clases de eventos C mo se gestionan archivan y revisan los datos de la auditor a Qu etiquetas se utilizan en el sistema y si las etiquetas ADMIN_LOW y ADMIN_HIGH estar n visibles para los usuarios comunes Qu acreditaciones de usuario se asignan a las personas Qu dispositivos silos hay se pueden asignar por qu usuarios comunes Qu rangos de etiqueta se definen para los sistemas las impresoras y otros dispositivos Si Trusted Extensions se utiliza en una con
139. fica mediante 6000 6003 y TCP Un conjunto de etiquetas de sensibilidad que est n aprobadas para una clase de usuarios o recursos Un conjunto de etiquetas v lidas Consulte tambi n rango de acreditaci n del sistema y rango de acreditaci n de usuario El conjunto de todas las etiquetas posibles en las que un usuario com n puede trabajar en el sistema El administrador de la seguridad del sitio especifica el rango en el archivo label_encodings Las reglas para etiquetas con formato correcto que definen el rango de acreditaci n del sistema tambi n est n restringidas por los valores de la secci n ACCREDITATION RANGE del archivo el l mite superior el l mite inferior la combinaci n de restricciones y otras restricciones El conjunto de etiquetas v lidas creadas seg n las reglas que define el administrador de la seguridad en el archivo label_encodings m s las dos etiquetas administrativas que se utilizan en todos los sistemas en los que est configurado Trusted Extensions Las etiquetas administrativos son ADMIN_LOW y ADMIN_HIGH Un conjunto de etiquetas de sensibilidad que se asignan a comandos zonas y dispositivos asignables El rango se especifica designando una etiqueta m xima y una etiqueta m nima Para los comandos las etiquetas m nima y m xima limitan las etiquetas en las que se puede ejecutar el comando A los hosts remotos que no reconocen las etiquetas se les asigna una sola etiqueta de sensibilidad al igual que a cualqui
140. figuraci n evaluada o no 146 Gu a de configuraci n de Oracle Solaris Trusted Extensions Agosto de 2011 Recomendaciones de seguridad inform tica Recomendaciones de seguridad inform tica Considere la siguiente lista de directrices cuando desarrolle una pol tica de seguridad para el sitio Asigne la etiqueta m xima de un sistema con Trusted Extensions para que no sea mayor que el nivel de m xima seguridad del trabajo que se est realizando en el sitio Registre de forma manual los cierres los fallos de energ a y los reinicios del sistema en un registro del sitio Documente el da o en el sistema de archivos y analice todos los archivos afectados para verificar posibles infracciones de la pol tica de seguridad Restrinja los manuales de funcionamiento y la documentaci n del administrador a aquellas personas que realmente tengan la necesidad de acceder a dicha informaci n Informe y documente el comportamiento inusual o inesperado de cualquier software de Trusted Extensions y determine la causa Si es posible asigne al menos dos personas para administrar los sistemas en los que est configurado Trusted Extensions Asigne a una persona la autorizaci n de administrador de la seguridad para tomar las decisiones relacionadas con la seguridad Asigne a la otra persona la autorizaci n de administrador del sistema para realizar las tareas de gesti n del sistema Establezca una rutina de copia de seguridad regular As
141. formaci n de Trusted Extensions Para ver una ilustraci n de los requisitos de configuraci n de Solaris Management Console para una red con un servidor LDAP y para una red sin un servidor LDAP consulte Comunicaci n cliente servidor con Solaris Management Console de Procedimientos de administradores de Oracle Solaris Trusted Extensions Debe iniciar sesi n en un cliente LDAP con un rol administrativo o como superusuario Para convertir un sistema en un cliente LDAP consulte Conversi n de la zona global en un cliente LDAP en Trusted Extensions en la p gina 62 Para administrar el sistema local debe haber completado Tnicializaci n del servidor de Solaris Management Console en Trusted Extensions en la p gina 59 Gu a de configuraci n de Oracle Solaris Trusted Extensions Agosto de 2011 Configuraci n de Solaris Management Console para LDAP mapa de tareas Para conectarse a un servidor de consola de un sistema remoto desde el sistema local debe haber completado Tnicializaci n del servidor de Solaris Management Console en Trusted Extensions en la p gina 59 en ambos sistemas Adem s en el sistema remoto debe haber completado Habilitaci n de comunicaciones de red en Solaris Management Console en la p gina 130 Para administrar las bases de datos del servicio de nombres LDAP desde el cliente LDAP en el servidor LDAP debe haber completado Edici n de la caja de herramientas LDAP en Solaris Man
142. global tiene una interfaz nica y las zonas con etiquetas comparten una segunda interfaz con la zona global aparece un archivo etc hosts similar al siguiente cat etc hosts 127 0 0 1 localhost 192 168 0 11 machinel loghost 192 168 0 12 machinel services En la configuraci n predeterminada aparece un archivo tnrhdb similar al siguiente cat etc security tsol tnrhdb 127 0 0 1 cipso 192 168 0 11 cipso 192 168 0 12 cipso 0 0 0 0 admin_low Si la interfaz all zones no est en el archivo tnrhdb de manera predeterminada se establece cipso para la interfaz Visualizaci n de la interfaz compartida en un sistema Trusted Extensions con una direcci n IP En este ejemplo el administrador no tiene previsto utilizar el sistema como un servidor de varios niveles Para conservar las direcciones IP la zona global se configura para que comparta su direcci n IP con todas las zonas con etiquetas El administrador selecciona Share para la interfaz hme0 en el sistema El software configura todas las zonas para que tengan NIC l gicas Estas NIC l gicas comparten una NIC f sica nica en la zona global El administrador ejecuta el comando ifconfig a para verificar que la interfaz f sica hme0 de la interfaz de red 192 168 0 11 est compartida Aparece el valor all zones lo0 flags 2001000849 lt UP LOOPBACK RUNNING MULTICAST IPv4 VIRTUAL gt mtu 8232 index 1 inet 127 0 0 1 netmask ff000000 hme0 flags 1000843 lt BROADCAST RUNNIN
143. go el usuario root consulta la Tabla 1 2 y crea el usuario useradd c Local user for Security Admin d export homel K idletime 10 K idlecmd logout K lock_after_retries no K min_label 0x0002 08 08 K clearance 0x0004 08 78 K labelview showsl jandoe A continuaci n el usuario root proporciona una contrase a inicial passwd r files jandoe New Password lt Type password gt Re enter new Password lt Retype password gt passwd password successfully changed for jandoe Por ltimo el usuario root agrega el rol de administrador de la seguridad a la definici n del usuario El rol fue creado en la secci n Creaci n del rol de administrador de la seguridad en Trusted Extensions en la p gina 93 Gu a de configuraci n de Oracle Solaris Trusted Extensions Agosto de 2011 Creaci n de roles y usuarios en Trusted Extensions Antes de empezar usermod R secadmin jandoe Verificaci n del funcionamiento de los roles de Trusted Extensions Para verificar cada rol asuma el rol A continuaci n realice tareas que s lo ese rol puede realizar Si ha configurado DNS o rutas debe reiniciar despu s de haber creado los roles y antes de verificar que los roles funcionen Para cada rol inicie sesi n como un usuario que pueda asumir el rol Abra el men Trusted Path m En Trusted CDE haga clic en el rea de selecci n de espacios de trabajo Trusted Path Menu Add Workspace Assume root Role Assu
144. guraci n de Sun Java System Directory Server con clientes LDAP tareas de Gu a de administraci n del sistema Servicios de nombres y directorios DNS NIS y LDAP y el Cap tulo 12 Configuraci n de clientes LDAP tareas de Gu a de administraci n del sistema Servicios de nombres y directorios DNS NIS y LDAP Opcional Agregue las variables de entorno para el servidor de directorios a la ruta PATH usr sbin opt SUNWdsee dsee6 bin opt SUNWdsee dscc6 bin opt SUNWdsee ds6 bin opt SUNWdsee dps6 bin Opcional Agregue las p ginas del comando man del servidor de directorios a su MANPATH opt SUNWdsee dsee6 man Habilite el programa cacaoadn y verifique que el programa est habilitado usr sbin cacaoadm enable usr sbin cacaoadm start start server pid n already running Aseg rese de que el servidor de directorios se inicie en cada inicio Las plantillas para los servicios SMF para el servidor de directorios est n en los paquetes de Sun Java System Directory Server m Para un servidor de directorios de Trusted Extensions habilite el servicio dsadm stop export home ds instances your instance dsadm enable service T SMF export home ds instances your instance dsadm start export home ds instances your instance Para obtener informaci n sobre el comando dsadm consulte la p gina del comando man dsadm 1M m Para un servidor de directorios proxy habilite el servicio dpadm stop export
145. h para iniciar sesi n y Antes de empezar administrar un sistema sin perif ricos en Trusted Extensions Este procedimiento le permite utilizar la l nea de comandos y la interfaz gr fica de usuario txzonemgr para administrar un sistema sin perif ricos como superusuario o como un rol Nota El inicio de sesi n remoto mediante el comando rlogin es menos seguro que el inicio de sesi n remoto mediante el comando ssh Para utilizar Solaris Management Console para administrar un sistema remoto no necesita utilizar un comando de inicio de sesi n remoto Para conocer el procedimiento consulte C mo administrar sistemas de manera remota con Solaris Management Console desde un sistema Trusted Extensions de Procedimientos de administradores de Oracle Solaris Trusted Extensions Debe haber completado la secci n Habilitaci n del inicio de sesi n remoto por parte de un rol en Trusted Extensions en la p gina 137 Debe ser un usuario habilitado para iniciar sesi n en el sistema sin perif ricos con ese mismo nombre e ID de usuario y debe poder asumir el mismo rol en el sistema sin perif ricos y en el sistema de escritorio En el sistema de escritorio habilite la visualizaci n de los procesos del sistema sin perif ricos desktop xhost headless host desktop echo DISPLAY n n Aseg rese de ser el usuario que est definido de la misma manera en ambos sistemas Desde una ventana de terminal inicie sesi n de manera
146. hivos se copiar n en cada sistema en el que est configurado el software de Trusted Extensions El usuario root asigna el dispositivo floppy_0 en Device Allocation Manager y responde yes a la consulta de montaje A continuaci n el usuario root inserta el disquete con los archivos de configuraci n y los copia en el disco El disquete tiene la etiqueta Trusted Path Para leer desde el medio el usuario root asigna el dispositivo en el host de recepci n y a continuaci n descarga el contenido Silos archivos de configuraci n est n en una cinta el usuario root asigna el dispositivo mag_0 Silos archivos de configuraci n est n en un CD ROM el usuario root asigna el dispositivo cdrom_0 C mo eliminar Trusted Extensions del sistema Para eliminar Trusted Extensions del sistema Solaris debe realizar pasos espec ficos para eliminar las personalizaciones de Trusted Extensions del sistema Solaris Como en el SO Solaris archive todos los datos de las zonas con etiquetas que desee mantener Elimine las zonas con etiquetas del sistema Para obtener detalles consulte How to Remove a Non Global Zone de System Administration Guide Oracle Solaris Containers Resource Management and Oracle Solaris Zones Deshabilite el servicio de Trusted Extensions svcadm disable labeld Ejecute el comando bsmunconv Para ver el efecto de este comando consulte la p gina del comando man bsmunconv 1M Opcional Reinicie el sistema Cap
147. i n de Trusted Extensions en un sistema sin perif ricos tareas 135 Configuraci n de un sistema sin perif ricos en Trusted Extensions mapa de tareas 135 W Habilitaci n del inicio de sesi n remoto por parte del usuario root en Trusted EXt nSiONS craopinataannai a oniintaiban dia 137 Y Habilitaci n del inicio de sesi n remoto por parte de un rol en Trusted Extensions 137 Y Habilitaci n del inicio de sesi n remoto desde un sistema sin etiquetas cccininnincinnnncnnnnss 139 Y Uso de una consola Solaris Management Console remota para administrar dentro del ambito Ple a aaa 140 YV Habilitaci n de la visualizaci n remota de interfaces gr ficas de usuario AQIDIDISIALIVAS iria date add A A A 141 Y Uso de los comandos rlogin o ssh para iniciar sesi n y administrar un sistema sin perif ricos en Trusted Extensions sssiiiisisireroisirisiiareeseisarieinitesniarsat iiion 142 Creaci n y gesti n de una pol tica de seguridad 145 Pol tica de seguridad del sitio y Trusted Extensions 146 Recomendaciones de seguridad inform tica oociccincinnnnacnnnnocancancncnn cancer ren rcarrna caca rannea 147 Recomendaciones de seguridad F SICA inspisere canina sans 148 Recomendaciones de seguridad del personal oonoiciinninnnnnnnnnncacecerencncrn cnn race roncnas 149 Infracciones de seguridad COMUNES saiisine iseni iii 149 Referenciasde seguridad adicionales second A 150 Publica
148. i n remoto 137 139 separaci n de tareas 90 93 96 verificaci n del funcionamiento 99 100 rutas predeterminadas especificaci n para zonas con etiquetas 84 88 S secuencia de comandos usr sbin txzonemgr 67 68 109 secuencia de comandos txzonemgr 67 68 109 secuencia de comandos usr sbin txzonemgr 159 secuencia de comandos zenity 67 68 185 ndice seguridad contrase a de usuario root 42 equipo de configuraci n inicial 39 pol tica de seguridad del sitio 145 152 publicaciones 150 152 separaci n de tareas creaci n de perfiles de derechos 90 93 planificaci n de 29 30 planificaci n de LDAP 125 servicio dpadm 120 servicio dsadm 120 servicio labeld 46 47 inhabilitaci n 113 resoluci n de problemas 47 servidor de varios niveles planificaci n 26 27 servidor LDAP configuraci n de proxy para clientes de Trusted Extensions 127 128 configuraci n de un puerto de varios niveles 124 125 configuraci n del servicio de nombres 118 121 creaci n de proxy para clientes de Trusted Extensions 128 instalaci n en Trusted Extensions 118 121 planificaci n de la separaci n de tareas 125 protecci n de los archivos de registro 123 124 recopilaci n de informaci n para 117 118 registro de credenciales en Solaris Management Console 129 130 sistemas Solaris instalados requisitos para Trusted Extensions 41 43 sistemas Sun Ray servidores LDAP y 117 sitio web para obtener documentaci n 34 Solaris
149. ianza existente for zoneroot in usr sbin zoneadm list p cut d f4 do if zoneroot then prefix zoneroot root export for j in Ygetent passwd tr do uid echo j cut d f3 if uid ge 100 then gid echo j cut d f4 homedir echo j cut d f6 mkdir m 711 p prefix homedir chown uid gid prefix homedir fi done fi done a Desde la zona global ejecute esta secuencia de comandos en el servidor NFS b A continuaci n ejecute esta secuencia de comandos en cada escritorio de varios niveles en el que el usuario vaya a iniciar sesi n Adici n de usuarios y hosts a una red de confianza existente Si tiene usuarios que est n definidos en mapas NIS puede agregarlos a la red Para agregar hosts y etiquetas a hosts consulte los siguientes procedimientos m Para agregar un host utilice la herramienta Computers and Networks definida en Solaris Management Console Para obtener detalles consulte C mo agregar hosts a la red conocida del sistema de Procedimientos de administradores de Oracle Solaris Trusted Extensions Al agregar un host al servidor LDAP agregue todas las direcciones IP que est n asociadas con el host Las direcciones para todas las zonas incluidas las direcciones para zonas con etiquetas se deben agregar al servidor LDAP m Para etiquetar un host consulte C mo asignar una plantilla de seguridad a un host oa un grupo de hosts de Procedimientos d
150. ico y corrija las plantillas de seguridad como se describe en este procedimiento Para obtener informaci n sobre el dominio de interpretaci n consulte Atributos de seguridad de red en Trusted Extensions de Procedimientos de administradores de Oracle Solaris Trusted Extensions Para cambiar el valor doi en las plantillas de seguridad que cree consulte C mo crear una plantilla de host remoto de Procedimientos de administradores de Oracle Solaris Trusted Extensions Para utilizar el editor que prefiere como editor de confianza consulte C mo asignar el editor de su elecci n como editor de confianza de Procedimientos de administradores de Oracle Solaris Trusted Extensions Creaci n de agrupaci n ZFS para clonar zonas Si tiene previsto utilizar una instant nea de ZFS de Solaris como la plantilla de zona debe crear una agrupaci n ZFS a partir de un archivo ZFS o un dispositivo ZFS Esta agrupaci n contiene la instant nea para clonar cada zona Puede utilizar el dispositivo zone para la agrupaci n ZFS Debe haber reservado espacio en el disco durante la instalaci n de Solaris para un sistema de archivos ZFS Para obtener detalles consulte Planificaci n de zonas en Trusted Extensions en la p gina 24 Desmonte la partici n zone Durante la instalaci n usted cre una partici n zone con suficiente espacio en el disco de aproximadamente 2 000 MBytes umount zone Gu a de configuraci n de Orac
151. iente el servidor de SMG del servidor LDAP debe aceptar las comunicaciones de red Para ver una ilustraci n de los requisitos de configuraci n de Solaris Management Console para una red con un servidor LDAP consulte Comunicaci n cliente servidor con Solaris Management Console de Procedimientos de administradores de Oracle Solaris Trusted Extensions Debe ser superusuario en la zona global en el sistema de servidor de SMC En este procedimiento ese sistema se denomina remoto Asimismo debe tener acceso como superusuario mediante la l nea comandos al sistema cliente Habilite las conexiones remotas en el sistema remoto El daemon smc se controla mediante el servicio wbem Sila propiedad options tcp_listen del servicio wbem se establece en true el servidor de Solaris Management Console acepta las conexiones remotas usr sbin svcprop p options wbem options tcp_listen boolean false svccfg s wbem setprop options tcp_listen true Actualice y reinicie el servicio wbem svcadm refresh wbem svcadm restart wbem Gu a de configuraci n de Oracle Solaris Trusted Extensions Agosto de 2011 Configuraci n de Solaris Management Console para LDAP mapa de tareas 3 Errores m s frecuentes Antes de empezar Verifique que el servicio wbem est configurado para aceptar conexiones remotas svcprop p options wbem options tcp_listen boolean true En el sistema remoto y en cualquier cliente que necesite acceder
152. igne autorizaciones s lo a los usuarios que las necesiten y que sepa que las usar n adecuadamente As gneles privilegios s lo para los programas que necesitan para realizar su trabajo y s lo una vez que se hayan examinado los programas y se haya comprobado que se les puede confiar el uso del privilegio Revise los privilegios en los programas de Trusted Extensions existentes como gu a para el establecimiento de privilegios en programas nuevos Revise y analice la informaci n de auditor a con regularidad Investigue los eventos irregulares para determinar la causa del evento Minimice el n mero de identificadores de administraci n Minimice el n mero de programas de setuid y setgid Utilice autorizaciones privilegios y roles para ejecutar el programa y para evitar el uso indebido Aseg rese de que un administrador verifique con regularidad que los usuarios comunes tengan un shell de inicio de sesi n v lido Aseg rese de que un administrador verifique con regularidad que los usuarios comunes tengan valores de ID de usuario v lidos en lugar de valores de ID de administraci n del sistema Ap ndice A Pol tica de seguridad del sitio 147 Recomendaciones de seguridad f sica Recomendaciones de seguridad f sica 148 Considere la siguiente lista de directrices cuando desarrolle una pol tica de seguridad para el sitio Restrinja el acceso a los sistemas en los que est configurado Trusted Extensions Las ubicacio
153. illa para su uso Debe ser superusuario de la zona global Debe haber completado la secci n Verificaci n del estado de la zona en la p gina 77 En Zone Terminal Console deshabilite los servicios que no son necesarios en una zona con etiquetas Si est copiando o clonando esta zona los servicios que deshabilite se inhabilitar n en las nuevas zonas Los servicios que est n en l nea en el sistema dependen del manifiesto de servicio para la zona Utilice el comando netservices limited para desactivar los servicios que las zonas con etiquetas no necesitan a Elimine varios servicios innecesarios netservices limited Gu a de configuraci n de Oracle Solaris Trusted Extensions Agosto de 2011 Creaci n de zonas con etiquetas b Muestre los servicios restantes svcs STATE STIME FMRI online 13 05 00 svc application graphical login cde login default c Deshabilite el acceso gr fico svcadm disable svc application graphical login cde login svcs cde login STATE STIME FMRI disabled 13 06 22 svc application graphical login cde login default Para obtener informaci n sobre la estructura de gesti n de servicios consulte la p gina del comando man smf 5 En Labeled Zone Manager seleccione Halt para detener la zona Antes de continuar verifique que la zona est cerrada En nombre_zona Zone Terminal Console el siguiente mensaje indica que la zona est cerrada NOTICE Zone halted Si uste
154. ina 166 zonas Utilice una instant nea de ZFS para clonar la otras Uso del m todo de clonaci n de zona en Trusted zonas de la primera zona con etiquetas Extensions en la p gina 167 Antes de empezar 160 Instalaci n inicializaci n e inicio de una zona con etiquetas mediante acciones de CDE Como la creaci n de zonas incluye la copia de todo un sistema operativo el proceso puede requerir bastante tiempo Un proceso m s r pido consiste en crear una zona convertir la zona en una plantilla para las dem s zonas y a continuaci n copiar o clonar dicha plantilla de zona Ha terminado la secci n Especificaci n de nombres y etiquetas de zona mediante una acci n de CDE en la p gina 157 Si est utilizando LDAP como servicio de nombres ha terminado la secci n Conversi n de la zona global en un cliente LDAP en Trusted Extensions en la p gina 62 Si va a clonar zonas ha terminado la secci n Creaci n de agrupaci n ZFS para clonar zonas en la p gina 56 En el siguiente procedimiento instalar la zona que prepar En la carpeta Trusted_Extensions haga doble clic la acci n Install Zone a Escriba el nombre de la zona que est instalando Esta acci n crea un sistema operativo virtual con etiquetas Este paso demora alg n tiempo en completarse No realice otras tareas en el sistema mientras se est ejecutando la acci n Install Zone zone name Install Zone Preparing to insta
155. ina 54 Cree espacio para una instant nea de ZFS de Solaris Si tiene previsto utilizar una instant nea de ZFS de Solaris para clonar zonas cree la agrupaci n ZFS Realice esta tarea si va a clonar la primera zona para crear el resto de las zonas con etiquetas Creaci n de agrupaci n ZFS para clonar zonas en la p gina 56 Reinicie e inicie sesi n Al iniciar sesi n se encuentra en la zona global que es un entorno que reconoce y aplica el control de acceso obligatorio MAC Reinicie e inicie sesi n en Trusted Extensions en la p gina 57 Inicialice Solaris Trusted Extensions agrega herramientas a Solaris Inicializaci n del servidor de Solaris Management Console Management Console para la administraci n de los Management Console en Trusted Extensions usuarios los roles las zonas y la red en la p gina 59 Configure LDAP Si est utilizando el servicio de nombres LDAP configure Cap tulo 5 Configuraci n de LDAP para el servicio LDAP Trusted Extensions tareas Si configur el servicio LDAP convierta este sistema en un cliente LDAP Conversi n de la zona global en un cliente LDAP en Trusted Extensions en la p gina 62 50 v Revisi n e instalaci n del archivo de codificaciones de etiquetas El archivo de codificaciones debe ser compatible con cualquier host de Trusted Extensions con el que se est comunicando Nota Trusted Ext
156. inistraci n remota Habilitaci n de comunicaciones de red en Solaris Management Console en la p gina 130 Cree la caja de Cree la caja de herramientas LDAP en Solaris Edici n de la caja de herramientas LDAP herramientas LDAP Management Console para Trusted Extensions en Solaris Management Console en la p gina 131 Verifique las Verifique que los hosts de Trusted Extensions puedan Verificaci n de que Solaris Management comunicaciones convertirse en clientes LDAP Console contenga la informaci n de Trusted Extensions en la p gina 132 v Registro de las credenciales LDAP en Solaris Management Console Antesde Debe ser el usuario root en un servidor LDAP en el que se est ejecutando Trusted Extensions empezar F servidor puede ser un servidor proxy Su Sun Java System Directory Server debe estar configurado Ha realizado una de las siguientes configuraciones Configuraci n de un servidor LDAP en un host de Trusted Extensions mapa de tareas en la p gina 115 m Configuraci n de un servidor proxy LDAP en un host de Trusted Extensions mapa de tareas en la p gina 116 1 Registre las credenciales administrativas LDAP LDAP Server usr sadm bin dtsetup storeCred Administrator DN Type the value for cn on your system Password Type the Directory Manager password Password confirm Retype the password 2 Muestre los mbitos en el servidor de directorios LDAP Server usr sadm bin
157. io escribe la contrase a o selecciona una contrase a insegura El software de Trusted Extensions ofrece protecci n contra contrase as inseguras pero no puede evitar que un usuario divulgue su contrase a o la escriba Lea la informaci n en el cuadro de di logo Last Login Last Login Thu Oct 09 17 05 25 2006 on console Message Of The Day Sun Microsystems Inc Sun0S 5 11 Oct 10 2006 Solaris Trusted Extensions SU py 22222 2zgzgzgz2z2z ug Session Attributes for Lokanath Das Rights All Roles root admin Minimum Label PUBLIC Clearance CONFIDENTIAL INTERNAL USE ONLY Current Desktop Solaris Trusted Extensions CIE Idle Time before session lock 30 minutes I Restrict Session To A Single Label ma A continuaci n haga clic en OK para cerrar el cuadro Lea el generador de etiquetas Haga clic en OK para aceptar la etiqueta predeterminada Gu a de configuraci n de Oracle Solaris Trusted Extensions Agosto de 2011 Configuraci n de la zona global en Trusted Extensions Antes de empezar Una vez que se haya completado el proceso de inicio de sesi n aparecer brevemente la pantalla Trusted Extensions y se abrir una sesi n de escritorio con cuatro espacios de trabajo El s mbolo Trusted Path se muestra en la banda de confianza Nota Antes de alejarse del sistema debe cerrar sesi n o bloquear la pantalla De lo contrario una persona puede
158. ions Causa Es posible que las zonas con etiquetas no puedan acceder al servidor X por cualquiera de los siguientes motivos La zona no se ha inicializado y est esperando que finalice el proceso sysidcfg El servicio de nombres que se ejecuta en la zona global no reconoce el nombre del host de la zona con etiquetas No se especific ninguna interfaz all zones La interfaz de red de la zona con etiquetas est inactiva Las consultas de nombres de LDAP fallaron Los montajes de NFS no funcionan Pasos para la resoluci n del problema Realice lo siguiente 1 3 Inicie sesi n en la zona Puede utilizar el comando zlogin o la acci n Zone Terminal Console zlogin z zone name Si no puede iniciar sesi n como superusuario utilice el comando zlogin S para omitir la autenticaci n Compruebe que la zona se est ejecutando zoneadm list Si una zona tiene el estado running la zona est ejecutando al menos un proceso Solucione cualquier problema que impida el acceso de las zonas con etiquetas al servidor X a Jnicialice la zona mediante la finalizaci n del proceso sysidcfg Ejecute el programa sysidcfg de manera interactiva Responda a las peticiones de datos en Zone Terminal Console o en la ventana de terminal en la que ejecut el comando zlogin 108 Gu a de configuraci n de Oracle Solaris Trusted Extensions Agosto de 2011 Resoluci n de los problemas de configuraci n de Trusted Extension
159. ions desarrolladores Oracle Solaris Trusted Extensions Describe c mo desarrollar aplicaciones con Trusted Extensions Desarrolladores y Developers Guide administradores Oracle Solaris Trusted Extensions Label Proporciona informaci n sobre c mo especificar componentes Administradores Administration de etiquetas en el archivo de codificaciones de etiqueta Compartmented Mode Workstation Describe la sintaxis utilizada en el archivo de codificaciones de Administradores Labeling Encodings Format etiqueta La sintaxis aplica distintas reglas para dar un formato correcto a las etiquetas de un sistema Prefacio Gu as de instalaci n relacionadas Las siguientes gu as contienen informaci n que resulta til en el momento de realizar los preparativos para el software de Trusted Extensions Oracle Solaris 10 8 11 Installation Guide Basic Installations ofrece indicaciones sobre las opciones de instalaci n para el SO Solaris Oracle Solaris 10 8 11 Installation Guide Custom JumpStart and Advanced Installations proporciona indicaciones sobre m todos de instalaci n y opciones de configuraci n Oracle Solaris 10 8 11 Installation Guide Planning for Installation and Upgrade proporciona indicaciones sobre la instalaci n de una actualizaci n del SO Solaris Referencias relacionadas Documento de la pol tica de seguridad del sitio describe la pol tica y los procedimientos de seguridad de seguridad del sitio Entorno de escritorio
160. ios de cipso Este valor debe ser igual al valor default_doi del archivo etc system cipso host_type cipso doi 1 min_sl ADMIN_LOW max_sl ADMIN_HIGH cipso host _type cipso doi n min_sl ADMIN_LOW max_sl ADMIN_HIGH e Cambie el valor doi para la entrada admin_low Httadmin_low host_type unlabeled min sl ADMIN_LOW max_sl ADMIN_HIGH doi 1 def label ADMIN_LOW admin_low host_type unlabeled min_sl ADMIN _LOW max_sl ADMIN_HIGH doi m def label ADMIN LOW Una vez que todos los valores doi de todas las entradas de la base de datos tnrhtp sean iguales habr terminado Cap tulo 4 Configuraci n de Trusted Extensions tareas 55 Configuraci n de la zona global en Trusted Extensions 56 Errores m s frecuentes V ase tambi n Antes de empezar Si el archivo etc system establece un valordefault_doi distinto de 1 y una plantilla de seguridad para este sistema define un valor que no coincide con este valor default_doi aparecer n mensajes similares a los siguientes en la consola del sistema durante la configuraci n de la interfaz NOTICE erl0 failed 10 17 1 12 has wrong DOI 4 instead of 1 Failed to configure IPv4 interface s erl0 Un error en la configuraci n de la interfaz puede dar como resultado un error en el inicio de sesi n m Hostname unknown m unknown console login root m Oct 10 10 10 20 unknown login pam_unix_cred cannot load hostname Error 0 Para corregir el problema inicie el sistema en modo de usuario n
161. ios que puedan asumir roles 96 99 administraci n remota por parte de un rol 137 139 agrupaciones ZFS creaci n para clonar zonas 56 57 archivo etc system modificaci n para dominio de interpretaci n distinto de 1 54 56 modificaci n para la red IPv6 54 archivo de codificaciones Ver archivo label_encodings archivo label_encodings comprobaci n 50 54 instalaci n 50 54 localizaci n 22 23 modificaci n 50 54 archivo resolv conf carga durante la configuraci n 65 66 181 ndice archivo tsol_ldap tbx 131 132 archivos copia desde medios extra bles 112 resolv conf 65 66 archivos de configuraci n copia 110 112 archivos de registro protecci n de los registros del servidor de directorios 123 124 asignaci n de dispositivos para la copia de datos 110 112 unidad de cinta 113 asignaci n de nombres zonas 72 74 157 159 asociaci n de interfaces de red con zonas mediante acciones de CDE mapa de tareas 153 156 auditor a planificaci n 27 C cajas de herramientas adici n del servidor LDAP a tsol_1ldap tbx 131 132 carga en Trusted Extensions 59 62 Scope LDAP 129 130 Cannot reach global zone 107 110 comando chk_encodings 53 54 comando lpaddent 104 106 comando roleadd 95 comando useradd 98 99 comprobaci n archivo label_encodings 50 54 funcionamiento de roles 99 100 configuraci n acceso a Trusted Extensions sin perif ricos 135 144 como un rol o como un superusuario 45 interfaces de r
162. ir de la versi n Solaris 10 10 08 puede configurar cada zona no global con una ruta predeterminada nica que no utilice la zona global Zonas de Trusted Extensions y zonas de Oracle Solaris Las zonas con etiquetas difieren de las zonas t picas de Oracle Solaris Las zonas con etiquetas se usan principalmente para separar datos En Trusted Extensions los usuarios comunes no pueden iniciar sesi n de manera remota en una zona con etiquetas La nica manera de acceder a una interfaz interactiva con una zona con etiquetas es mediante la consola de zona S lo el usuario root puede acceder a la consola de zona Gu a de configuraci n de Oracle Solaris Trusted Extensions Agosto de 2011 Planificaci n de la seguridad en Trusted Extensions Creaci n de zonas en Trusted Extensions Para crear una zona con etiquetas es necesario copiar todo el SO Oracle Solaris y a continuaci n iniciar los servicios para el SO Oracle Solaris en cada zona El proceso puede durar bastante tiempo Un proceso m s r pido es crear una zona y a continuaci n copiar dicha zona o clonar su contenido En la siguiente tabla se describen las opciones para la creaci n de zonas en Trusted Extensions M todo de creaci n de zona Esfuerzo necesario Caracter sticas de este m todo Cree cada zona con etiquetas desde el principio Cree m s zonas con etiquetas a partir de una copia de la primera zona con etiquetas Cree m s zonas con etiquetas a parti
163. ite integrar eficazmente la pol tica de seguridad del sitio con SO Oracle Solaris Por lo tanto debe comprender muy bien el alcance de su pol tica y la manera en que el software de Trusted Extensions puede implementar dicha pol tica Una configuraci n bien planificada debe proporcionar un equilibrio entre la coherencia con la pol tica de seguridad del sitio y la comodidad para los usuarios que trabajan en el sistema Trusted Extensions est configurado de manera predeterminada seg n los criterios comunes para la evaluaci n de la seguridad inform tica ISO IEC 15408 con un nivel de seguridad EAL4 en los siguientes perfiles de protecci n m Perfil de protecci n de seguridad mediante etiquetas Perfil de protecci n de acceso controlado m Perfil de protecci n de control de acceso basado en roles Gu a de configuraci n de Oracle Solaris Trusted Extensions Agosto de 2011 Planificaci n de la seguridad en Trusted Extensions Para alcanzar estos niveles de evaluaci n debe configurar LDAP como el servicio de nombres Tenga en cuenta que la configuraci n podr a dejar de cumplir con los criterios de la evaluaci n si realiza cualquiera de las siguientes acciones Cambiar la configuraci n de la conmutaci n de n cleo en el archivo etc system m Desactivar la auditor a o la asignaci n de dispositivos Cambiar las entradas predeterminadas en los siguientes archivos configurables m usr openwin server etc m usr dt app
164. itidos en su sitio 136 Gu a de configuraci n de Oracle Solaris Trusted Extensions Agosto de 2011 Configuraci n de un sistema sin perif ricos en Trusted Extensions mapa de tareas Pasos siguientes Habilitaci n del inicio de sesi n remoto por parte del usuario root en Trusted Extensions Como en el SO Solaris el usuario root puede iniciar una sesi n de manera remota desde un sistema con etiquetas cuando la entrada CONSOLE est inhabilitada Si tiene previsto administrar un sistema remoto mediante la edici n archivos locales utilice este procedimiento En el editor de confianza quite el comentario de la l nea CONSOLE en el archivo etc default login usr dt bin trusted_edit etc default login La l nea editada tiene el siguiente aspecto HCONSOLE dev console Permita que el usuario root inicie sesi n mediante una conexi n ssh Modifique el archivo etc ssh sshd_config De manera predeterminada el comando ssh est habilitado en los sistemas Solaris usr dt bin trusted_edit etc ssh sshd_config La l nea editada tiene el siguiente aspecto PermitRootLogin yes Para iniciar sesi n como usuario root desde un sistema sin etiquetas tambi n debe completar la secci n Habilitaci n del inicio de sesi n remoto desde un sistema sin etiquetas en la p gina 139 Para habilitar el inicio de sesi n remoto por parte de un rol contin e con Habilitaci n del inicio de sesi n remoto por par
165. l siguiente zfs snapshot zone publicesnapshot Para cada zona que desee crear haga doble clic en la acci n Clone Zone Responda a las peticiones de datos New Zone Name Type name of source zone ZFS Snapshot Type name of snapshot Lea la informaci n del cuadro de di logo Zone label is lt LABEL gt zone name is ready for booting Select Close or Exit from the window menu to close this window Para cada zona ejecute la acci n Start Zone Inicie cada zona antes de ejecutar la acci n para otra zona Una vez que se hayan creado las zonas compruebe el estado de cada zona a Haga doble clic en la acci n Zone Terminal Console Ap ndice B Uso de acciones de CDE para instalar zonas en Trusted Extensions 167 Creaci n de zonas con etiquetas mediante acciones de CDE mapa de tareas b Complete la secci n Verificaci n del estado de la zona en la p gina 77 168 Gu a de configuraci n de Oracle Solaris Trusted Extensions Agosto de 2011 AP NDICE C Lista de comprobaci n de configuraci n de Trusted Extensions Esta lista de comprobaci n ofrece una visi n general de las principales tareas de configuraci n para Trusted Fxtensions Las tareas m s peque as se detallan dentro de las tareas principales La lista de comprobaci n no sustituye los siguientes pasos en esta gu a Lista de comprobaci n para la configuraci n de Trusted Extensions En la siguiente lista se resume qu se r
166. l software asumiendo el rol adecuado El proceso de configuraci n es auditado En una etapa temprana del proceso de configuraci n el usuario root crea un usuario local y roles Este usuario tambi n configura la auditor a para auditar los eventos ejecutados por los roles Una vez que se asignan los roles al usuario local y se reinicia el equipo el software aplica la divisi n de tareas por rol La pista de auditor a proporciona un registro del proceso de configuraci n Una persona habilita y configura el software asumiendo el rol adecuado El proceso de configuraci n no es auditado Mediante esta estrategia no se conserva ning n registro del proceso de configuraci n a Elusuario root habilita y configura el software El proceso de configuraci n es auditado El equipo configura la auditor a para auditar todos los eventos que realice el usuario root durante la configuraci n Con esta estrategia el equipo debe determinar qu eventos se auditar n La pista de auditor a no incluye el nombre del usuario que est actuando como usuario root Elusuario root habilita y configura el software En la figura siguiente se muestra la divisi n de tareas por rol El administrador de la seguridad configura la auditor a protege los sistemas de archivos establece la pol tica de dispositivos Cap tulo 1 Planificaci n de la seguridad para Trusted Extensions 29 Planificaci n de la seguridad en Trusted Extensions determina qu
167. la secuencia de comandos txzonemgr en la p gina 67 Gu a de configuraci n de Oracle Solaris Trusted Extensions Agosto de 2011 Creaci n de zonas con etiquetas Errores m s frecuentes v Antes de empezar Desde Labeled Zone Manager seleccione Install y haga clic en OK Precauci n Este proceso demora alg n tiempo en completarse No realice otras tareas mientras se est realizando esta tarea El sistema copia paquetes de la zona global a la zona no global Esta tarea instala un sistema operativo virtual con etiquetas en la zona Para continuar con el ejemplo esta tarea instala la zona public La interfaz gr fica de usuario muestra un resultado similar al siguiente Labeled Zone Manager Installing zone name zone Preparing to install zone lt zonename gt Creating list of files to copy from the global zone Copying lt total gt files to the zone Initializing zone product registry Determining zone package initialization order Preparing to initialize lt subtotal gt packages on the zone Initializing package lt number gt of lt subtotal gt percent complete percent Initialized lt subtotal gt packages on zone Zone lt zonename gt is initialized The file zone internal root var sadm system logs install_log contains a log of the zone installation Nota Los mensajes como cannot create ZFS dataset zone nombre_zona dataset already exists son s lo informativos La zona utiliza el conjunto de dato
168. las p ginas del comando man label_encodings 4 y policy conf 4 TABLA 1 2 Valores predeterminados de seguridad de Trusted Extensions para las cuentas de usuario Nombre del archivo Palabra clave Valor etc security policy conf IDLECMD lock logout IDLETIME 30 CRYPT_ALGORITHMS _ALLOW 1 2a md5 5 6 CRYPT_DEFAULT unix LOCK_AFTER_RETRIES no yes PRIV_DEFAULT basic PRIV_LIMIT all AUTHS_GRANTED solaris device cdrw PROFS_GRANTED Basic Solaris User Secci n de DEFINICIONES LOCALES Acreditaci n de usuario CNF INTERNAL USE ONLY de predeterminada etc security tsol label_encodings Etiqueta de sensibilidad de usuario PUBLIC predeterminado Nota Las variables IDLECMD e IDLETIME se aplican a la sesi n del usuario de inicio de sesi n Si el usuario de inicio de sesi n asume un rol los valores IDLECMD e IDLETIME del usuario est n en vigencia para ese rol El administrador del sistema puede configurar una plantilla de usuario est ndar que defina los valores predeterminados del sistema adecuados para cada usuario Por ejemplo de manera predeterminada el shell inicial de cada usuario es Bourne El administrador del sistema puede configurar una plantilla que ofrezca a cada usuario un shell C Para obtener m s informaci n consulte la ayuda en pantalla de Solaris Management Console para las cuentas de usuario Gu a de configuraci n de Oracle Solaris Trusted Extensions Agosto de 2011 Planificaci n de la seguridad en Trusted E
169. le Solaris Trusted Extensions Agosto de 2011 Configuraci n de la zona global en Trusted Extensions Antes de empezar Elimine el punto de montaje zone rmdir zone Comente la entrada zone en el archivo vfstab a Evite que la entrada zone sea le da Abra el archivo vfstab en un editor Agregue un signo de comentario delante de la entrada zone dev dsk cntndnsn dev dsk cntndnsn zone ufs 2 yes b Copie el segmento de disco cn tndn sn en el portapapeles c Guarde el archivo y cierre el editor Utilice el segmento de disco para volver a crear zone como una agrupaci n ZFS zpool create f zone cntndnsn Por ejemplo si la entrada zone utiliza el segmento de disco cot0d0s5 el comando es el siguiente zpool create f zone cO0t0d0s5 Verifique que la agrupaci n ZFS se encuentre en buen estado Utilice uno de los siguientes comandos zpool status x zone pool zone is healthy zpool list NAME SIZE USED AVAIL CAP HEALTH ALTROOT zone 5 84G 80K 5 84G 7 ONLINE En este ejemplo el equipo de configuraci n inicial reserv una partici n de 6 000 MB para las zonas Para obtener m s informaci n consulte la p gina del comando man zpool 1M Reinicie e inicie sesi n en Trusted Extensions En la mayor a de los sitios dos o m s administradores que conforman el equipo de configuraci n inicial est n presentes durante la configuraci n del sistema Antes de iniciar sesi n por primera ve
170. lenn M and Christoph L Toward Systemically Secure IT Architectures Hacia arquitecturas de TI seguras desde el punto de vista sistem tico Sun Microsystems Inc junio de 2005 Kaufman Charlie Radia Perlman y Mike Speciner Network Security Private Communication in a Public World 2nd Edition Seguridad de la red Comunicaci n privada en un mundo p blico 2 edici n Prentice Hall 2002 Pfleeger Charles P y Shari Lawrence Pfleeger Security in Computing Seguridad en el rea inform tica Prentice Hall PTR 2006 Privacy for Pragmatists A Privacy Practitioner s Guide to Sustainable Compliance Privacidad para pragm ticos Una gu a pr ctica sobre la privacidad para la conformidad sostenible Sun Microsystems Inc agosto de 2005 Ap ndice A Pol tica de seguridad del sitio 151 Referencias de seguridad adicionales Rhodes Ousley Mark Roberta Bragg y Keith Strassberg Network Security The Complete Reference Seguridad de la red La referencia completa McGraw Hill Osborne 2004 Stoll Cliff The Cuckoo s Egg El huevo del cuco Doubleday 1989 Publicaciones generales de UNIX Bach Maurice J The Design of the UNIX Operating System El dise o del sistema operativo UNIX Prentice Hall Englewood Cliffs NJ 1986 Nemeth Evi Garth Snyder y Scott Seebas UNIX System Administration Handbook Manual de administraci n del sistema UNIX Prentice Hall Englewood Cliffs NJ 1989 152 Gu a de configuraci
171. licen la acci n Create LDAP Client Responda a las siguientes las peticiones de datos Domain Name Type the domain name Hostname of LDAP Server Type the name of the server IP Address of LDAP Server Type the IP address LDAP Proxy Password Type the password to the server 64 Gu a de configuraci n de Oracle Solaris Trusted Extensions Agosto de 2011 Configuraci n de la zona global en Trusted Extensions Ejemplo 4 2 Profile Name Type the profile name e Haga clic en OK Aparece el siguiente mensaje de finalizaci n global zone will be LDAP client of LDAP server System successfully configured Select Close or Exit from the window menu to close this window f Cierre la ventana de la acci n En una ventana de terminal establezca el par metro enableShadowUpdate en TRUE ldapclient v mod a enableShadowUpdate TRUE Y gt a adminDN cn admin ou profile dc domain dc suffix System successfully configured La acci n Create LDAP Client y la secuencia de comandos txzonemgr ejecutan s lo el comando ldapclient init En Trusted Extensions tambi n debe modificar un cliente LDAP inicializado para habilitar actualizaciones de shadow Verifique que la informaci n del servidor es correcta a Abra una ventana de terminal y consulte el servidor LDAP ldapclient list El resultado es similar al siguiente NS_LDAP_FILE VERSION 2 0 NS_LDAP_BINDDN cn proxyagent ou profile dc domain name NS_LDAP_BIND_TI
172. ll zone lt zone name gt Creating list of files to copy from the global zone Gu a de configuraci n de Oracle Solaris Trusted Extensions Agosto de 2011 Creaci n de zonas con etiquetas mediante acciones de CDE mapa de tareas Copying lt total gt files to the zone Initializing zone product registry Determining zone package initialization order Preparing to initialize lt subtotal gt packages on the zone Initializing package lt number gt of lt subtotal gt percent complete percent Initialized lt subtotal gt packages on zone Zone lt zone name gt is initialized The file zone internal root var sadm system logs install_log contains a log of the zone installation Select Close or Exit from the window menu to close this window b Abra una consola para supervisar los eventos de la zona instalada i Haga doble clic en la acci n Zone Terminal Console ii Escriba el nombre de la zona que se acaba de instalar 2 Inicialice la zona Si est utilizando LDAP haga doble clic en la acci n Initialize Zone for LDAP Zone name Type the name of the installed zone Host name for the zone Type the host name for this zone Por ejemplo en un sistema con una interfaz l gica compartida los valores ser an parecidos a los siguientes Zone name public Host name for the zone machinel zones Esta acci n convierte a la zona con etiquetas en un cliente LDAP del mismo servidor LDAP que presta servicio a la
173. lo tanto el sistema que se est configurando debe tener una entrada en la base de datos tnrhdb del servidor LDAP o debe estar incluido en una entrada de comod n antes de realizar este procedimiento Si un servidor LDAP en el que est configurado Trusted Extensions no existe debe completar los procedimientos del Cap tulo 5 Configuraci n de LDAP para Trusted Extensions tareas antes de realizar este procedimiento Si est utilizando DNS modifique el archivo nsswitch 1dap a Guarde una copia del archivo nsswitch 1dap original El archivo de cambio de servicio de nombres est ndar para LDAP es demasiado restrictivo para Trusted Extensions cd etc cp nsswitch ldap nsswitch ldap orig b Cambie las entradas del archivo nsswitch ldap para los siguientes servicios Las entradas correctas son similares a las siguientes hosts files dns ldap ipnodes files dns ldap networks ldap files protocols ldap files rpc ldap files ethers ldap files netmasks ldap files bootparams ldap files publickey ldap files services files Tenga en cuenta que Trusted Extensions a ade dos entradas tnrhtp files ldap tnrhdb files ldap c Copieelarchivo nsswitch ldap modificado en nsswitch conf cp nsswitch ldap nsswitch conf Cap tulo 4 Configuraci n de Trusted Extensions tareas 63 Configuraci n de la zona global en Trusted Extensions 2 Realice uno de los siguientes pasos para crear un cliente LDAP m
174. lobal es posible que deba configurar una interfaz all zones compartida Esta configuraci n permite la conexi n de una zona con etiquetas al servidor X de la zona global Si desea restringir las conexiones remotas al servidor X de la zona global puede usar vni0 como direcci n all zones Si no desea configurar una interfazall zones debe proporcionar una ruta al servidor X de la zona global para cada zona Estas rutas se deben configurar en la zona global La interfaz de red de la zona con etiquetas est inactiva ifconfig a Cap tulo 4 Configuraci n de Trusted Extensions tareas 109 Tareas adicionales de configuraci n de Trusted Extensions Utilice el comando ifconfig para verificar que la interfaz de red de la zona con etiquetas tenga los indicadores UP y RUNNING Las consultas de nombres de LDAP fallaron Utilice el comando ldaplist para verificar que cada zona pueda comunicarse con el servidor LDAP o el servidor proxy LDAP En el servidor LDAP compruebe que la zona aparezca en la base de datos tnrhdb Los montajes de NFS no funcionan Como superusuario reinicie automount en la zona O bien agregue una entrada crontab para ejecutar el comando automount cada cinco minutos Tareas adicionales de configuraci n de Trusted Extensions 110 Antes de empezar 1 Las dos tareas siguientes permiten transferir copias exactas de los archivos de configuraci n a todos los sistemas Trusted Extensions d
175. los antiguos productos de Sun Recursos de software de Oracle Oracle Technology Network http www oracle com technetwork index html ofrece diversos recursos relacionados con el software Oracle Para discutir problemas t cnicos y sus soluciones utilice los foros de discusi n http forums oracle com Para practicar procedimientos paso a paso utilice Oracle By Example http ww oracle com technetwork tutorials index html m Puede descargar c digo de muestra http www oracle com technology sample_code index html Convenciones tipogr ficas La siguiente tabla describe las convenciones tipogr ficas utilizadas en este manual TABLAP 1 Convenciones tipogr ficas Tipos de letra Significado Ejemplo AaBbCc123 Los nombres de los comandos los archivos los Edite el archivo login directorios y los resultados que el equipo y E AEE Utilice el comando ls a para muestra en pantalla mostrar todos los archivos nombre _sistema tiene correo AaBbCc123 Lo que se escribe en contraposici n con la salida nombre_sistema su del equipo en pantalla E Contrase a aabbcc123 Marcador de posici n sustituir por un valoro El comando necesario para eliminar nombre real un archivo es rm nombrearchivo Prefacio TABLAP 1 Convenciones tipogr ficas Continuaci n Tipos de letra Significado Ejemplo AaBbCc123 T tulos de los manuales t rminos nuevos y Consulte el cap tulo 6 de la Gu a del palabras destaca
176. m s informaci n consulte la p gina del comando man netmasks 4 Gu a de configuraci n de Oracle Solaris Trusted Extensions Agosto de 2011 Adici n de interfaces de red y rutas a zonas con etiquetas En la zona global conecte las interfaces f sicas espec ficas de la zona a Identifique las interfaces f sicas que ya est n conectadas ifconfig a b Configure las direcciones de la zona global en cada interfaz ifconfig interface nameN1 plumb ifconfig interface nameN1 10 10 8 3 up ifconfig interface nameN2 plumb ifconfig interface nameN2 10 10 9 3 up c Para cada direcci n de zona global cree un archivo hostname nombre_interfazN etc hostname interface nameNl 10 10 8 3 etc hostname interface nameN2 10 10 9 3 Las direcciones de la zona global se configuran inmediatamente cuando se inicia el sistema Las direcciones espec ficas de la zona se configuran cuando se inicia la zona Asigne una plantilla de seguridad a cada interfaz de red espec fica de la zona Si la puerta de enlace a la red no est configurada con etiquetas asigne la plantilla de seguridad admin_low Si la puerta de enlace a la red tiene etiquetas asigne una plantilla de seguridad cipso Puede crear plantillas de seguridad de tipo de host cipso que reflejen la etiqueta de cada red Para ver los procedimientos para crear y asignar plantillas consulte Configuraci n de bases de datos de red de confianza mapa de tareas de Pro
177. m s restrictivos que perfiles son m s restrictivos que los perfiles aplican la separaci n de tareas los perfiles predeterminados predeterminados para gestionar a los usuarios en la p gina 90 Cree un rol de administrador Crea un rol de administrador de la seguridad que maneja las Creaci n del rol de administrador de la de la seguridad tareas relacionadas con la seguridad seguridad en Trusted Extensions en la p gina 93 Cree un rol de administrador Crea un rol de administrador del sistema y le asigna un Creaci n de un rol de administrador del del sistema que no pueda perfil de derechos de administraci n del sistema sistema restringido en la p gina 96 definir una contrase a de restringido usuario Cree usuarios para que Crea uno o varios usuarios que puedan asumir roles Creaci n de usuarios que puedan asuman roles asumir roles en Trusted Extensions administrativos en la p gina 96 Verifique que los roles Pone a los roles a prueba en diferentes situaciones Verificaci n del funcionamiento de los puedan realizar sus tareas roles de Trusted Extensions en la p gina 99 Habilite a los usuarios para Inicia el servicio zones para que los usuarios comunes Habilitaci n de los usuarios para que que puedan iniciar sesi n en puedan iniciar sesi n inicien sesi n en una zona con etiquetas una zona con etiquetas en la p gina 101 v Creaci n de perfiles de derechos que aplican la separaci n de
178. ma de varias etiquetas Este archivo contiene una lista de archivos de inicio como cshrco mozilla que el entorno de usuario o las aplicaciones de usuario requieren para que el sistema o la aplicaci n funcionen bien Los archivos que aparecen en link_files se enlazan al directorio principal del usuario en etiquetas superiores cuando se crean dichos directorios Consulte tambi n archivo copy_files 173 archivo label_encodings archivo label_encodings asignaci n asignaci n de dispositivos atributo de seguridad autorizaci n banda de confianza base de datos tnrhdb base de datos tnrhtp bases de datos de la red de confianza bits de permiso caja de herramientas 174 Archivo en el que se definen la etiqueta de sensibilidad completa los rangos de acreditaci n la vista de las etiquetas la visibilidad predeterminada de las etiquetas las acreditaciones de usuario predeterminadas y otros aspectos de las etiquetas Un mecanismo mediante el que se controla el acceso a un dispositivo Consulte asignaci n de dispositivos Un mecanismo para impedir el acceso a la informaci n almacenada en un dispositivo asignable a todos menos al usuario que asigna el dispositivo Nadie excepto el usuario que asign el dispositivo puede acceder a la informaci n relacionada con el dispositivo hasta que se anula la asignaci n de ste Para que un usuario pueda asignar un dispositivo el administrador de la seguridad le
179. mbi n implica la planificaci n de la configuraci n de etiquetas Despu s de habilitar el servicio Trusted Extensions tendr que decidir si el sistema debe permitir a los usuarios iniciar sesi n en varias etiquetas o si el sistema se puede configurar con s lo una etiqueta de usuario Por ejemplo un servidor LDAP es un buen candidato para tener una zona etiquetada Para la administraci n local del servidor se crear a una zona en la etiqueta m nima Para administrar el sistema el administrador inicia sesi n y desde el espacio de trabajo del usuario asume el rol adecuado Para obtener m s informaci n consulte Oracle Solaris Trusted Extensions Label Administration Tambi n puede consultar Compartmented Mode Workstation Labeling Encodings Format Para clientes internacionales de Trusted Extensions Al localizar un archivo label_encodings los clientes internacionales deben localizar s lo los nombres de las etiquetas Los nombres de las etiquetas administrativas ADMIN_HIGH y ADMIN_LOW no se deben localizar Todos los hosts con etiquetas que contacte de cualquier proveedor deber n tener nombres de etiqueta que coincidan con los nombres de etiqueta incluidos en el archivo label_encodings Trusted Extensions admite menos configuraciones regionales que SO Oracle Solaris Cuando se trabaja en una configuraci n regional que Trusted Extensions no admite el texto que es Gu a de configuraci n de Oracle Solaris Trusted Extensions Ag
180. me admin Role Change Password Allocate Device Query Window Label Suspend System Help Desde el men asuma el rol En Trusted JDS haga clic en su nombre de usuario en la banda de confianza En la siguiente banda de confianza el nombre de usuario es tester Trusted gt tester EXTENSA De la lista de roles asignados seleccione un rol En el espacio de trabajo del rol inicie Solaris Management Console usr sbin smc Seleccione el mbito adecuado para el rol que est probando Haga clic en System Services y navegue hasta Users Se le solicitar una contrase a a Escriba la contrase a del rol Cap tulo 4 Configuraci n de Trusted Extensions tareas 99 Creaci n de roles y usuarios en Trusted Extensions 6 7 100 b Haga doble clic en User Accounts Haga clic en un usuario El rol de administrador del sistema deber a poder modificar los campos de las fichas General Home Directory y Group Si configur los roles para aplicar la separaci n de tareas el rol de administrador del sistema no puede establecer la contrase a inicial del usuario El rol de administrador de la seguridad deber a poder modificar los campos de todas las fichas Si configur los roles para aplicar la separaci n de tareas el rol de administrador de la seguridad no puede crear un usuario El rol de administrador principal deber a poder modificar los campos de todas las fichas Opcional Si est apli
181. mo crear perfiles de derechos para autorizaciones convenientes de Procedimientos de administradores de Oracle Solaris Trusted Extensions b Personalice los archivos de inicializaci n de usuario Consulte el Cap tulo 7 Gesti n de usuarios derechos y roles en Trusted Extensions tareas de Procedimientos de administradores de Oracle Solaris Trusted Extensions Consulte tambi n Gesti n de usuarios y derechos con Solaris Management Console mapa de tareas de Procedimientos de administradores de Oracle Solaris Trusted Extensions c Cree archivos de copia y enlace de varias etiquetas En un sistema de varias etiquetas los usuarios y los roles se pueden configurar mediante archivos que contienen los archivos de inicializaci n de usuario que se copiar n o enlazar n a otras etiquetas Para obtener m s informaci n consulte Archivos copy_files y link_files de Procedimientos de administradores de Oracle Solaris Trusted Extensions Uso del comando useradd para crear un usuario local En este ejemplo el usuario root crea un usuario local que pueda asumir el rol de administrador de la seguridad Para obtener detalles consulte las p ginas del comando man useradd 1M y atohexlabel 1M En primer lugar el usuario root determina el formato hexadecimal de la etiqueta m nima y la etiqueta de acreditaci n del usuario atohexlabel public 0x0002 08 08 atohexlabel c confidential restricted 0x0004 08 78 Lue
182. monfiles cp etc security policy conf Y etc security audit_control Y etc security audit_startup Y etc security tsol tnrhtp Y etc resolv conf X etc nsswitch conf Y export commonfiles Utiliza Device Allocation Manager para asignar un disquete en la zona global y transfiere los archivos al disquete En un disquete aparte con etiqueta ADMIN_HIGH coloca el archivo label_encodings para el sitio Cap tulo 4 Configuraci n de Trusted Extensions tareas 111 Tareas adicionales de configuraci n de Trusted Extensions 112 Antes de empezar 1 Cuando copia los archivos en un sistema modifica las entradas dir en el archivo etc security audit_control para ese sistema C mo copiar archivos desde medios port tiles en Trusted Extensions Es una pr ctica segura cambiar el nombre del archivo de Trusted Extensions original antes de sustituir el archivo Al configurar un sistema el rol root copia los archivos administrativos y les cambia el nombre Para copiar los archivos administrativos debe ser superusuario o un rol en la zona global Asigne el dispositivo adecuado Para obtener m s informaci n consulte C mo asignar un dispositivo en Trusted Extensions de Gu a del usuario de Oracle Solaris Trusted Extensions a En Solaris Trusted Extensions CDE un gestor de archivos muestra el contenido del medio port til a Fn Solaris Trusted Extensions JDS un explorador de archivos muestra el contenido En e
183. n de Oracle Solaris Trusted Extensions Agosto de 2011 AP NDICE B Uso de acciones de CDE para instalar zonas en Trusted Extensions En este ap ndice se trata c mo configurar las zonas con etiquetas en Trusted Extensions utilizando acciones de Trusted CDE Si est ejecutando la versi n Solaris 10 11 06 sin los parches o si est familiarizado con estas acciones utilice las acciones de Trusted CDE Para utilizar la secuencia de comandos txzonemgr consulte Creaci n de zonas con etiquetas en la p gina 66 m Asociaci n de interfaces de red con zonas mediante acciones de CDE mapa de tareas en la p gina 153 m Preparaci n para crear zonas mediante acciones de CDE mapa de tareas en la p gina 156 m Creaci n de zonas con etiquetas mediante acciones de CDE mapa de tareas en la p gina 159 Asociaci n de interfaces de red con zonas mediante acciones de CDE mapa de tareas Realice s lo una de las siguientes tareas Para las compensaciones consulte Planificaci n de acceso de varios niveles en la p gina 26 Tarea Descripci n Para obtener instrucciones Comparta una interfaz l gica Asigne la zona global a una direcci n IP y asigne las zonas con etiquetas a una direcci n IP distinta Especificaci n de dos direcciones IP para el sistema mediante una acci n de CDE en la p gina 154 Comparta una interfaz f sica Asigne todas las zonas a una direcci n IP
184. na Cree la primera zona con etiquetas Instale los paquetes convierta la zona en un cliente LDAP e inicie todos los servicios en la zona Instalaci n inicializaci n e inicio de una zona con etiquetas mediante acciones de CDE en la p gina 160 2 Personalice la zona Elimine los servicios no deseados Si va a copiar o a clonar la zona elimine la informaci n espec fica de la zona Personalizaci n de una zona iniciada en Trusted Extensions en la p gina 164 Ap ndice B Uso de acciones de CDE para instalar zonas en Trusted Extensions 159 Creaci n de zonas con etiquetas mediante acciones de CDE mapa de tareas Tarea 3 Cree las otras zonas Descripci n Para obtener instrucciones Utilice uno de los siguientes m todos para crear las otras zonas Seleccion el m todo en Toma de decisiones relacionadas con el sistema y la seguridad antes de habilitar Trusted Extensions en la p gina 44 Cree cada zona desde el principio Instalaci n inicializaci n e inicio de una zona con etiquetas mediante acciones de CDE en la p gina 160 Resoluci n de enrutamiento de zona local a zona global en Trusted CDE en la p gina 163 Personalizaci n de una zona iniciada en Trusted Extensions en la p gina 164 Copie la primera zona con etiquetas en otra Uso del m todo de copia de zona en Trusted etiqueta Repita el procedimiento para todas las Extensions en la p g
185. na NIC f sica nica en la zona global Por ejemplo el siguiente resultado muestra la interfaz f sica compartida hme0 en la interfaz de red 192 168 0 11 para todas las zonas lo0 flags 2001000849 lt UP LOOPBACK RUNNING MULTICAST IPv4 VIRTUAL gt mtu 8232 index 1 inet 127 0 0 1 netmask ff000000 ether 0 0 00 00 00 0 hme0 flags 1000843 lt BROADCAST RUNNING MULTICAST IPv4 gt mtu 1500 index 2 all zones inet 192 168 0 11 netmask fffffe00 broadcast 192 168 0 255 A partir de la versi n Solaris 10 10 08 la interfaz de bucle de retorno 100 tambi n es una interfaz all zones lo0 flags 2001000849 lt UP LOOPBACK RUNNING MULTICAST IPv4 VIRTUAL gt mtu 8232 index 1 all zones inet 127 0 0 1 netmask ff000000 ether 0 0 00 00 00 0 Preparaci n para crear zonas mediante acciones de CDE mapa de tareas En el mapa de tareas siguiente se describen las tareas que le permitir n preparar el sistema para la creaci n de zonas Para ver una explicaci n de los m todos de creaci n de zonas consulte Planificaci n de zonas en Trusted Extensions en la p gina 24 Tarea Descripci n Para obtener instrucciones 1 Asigne un nombre a cada zona Asigne un nombre a cada zona con etiquetas con una Especificaci n de nombres y etiquetas de y enlace el nombre de la zona ala versi n de su etiqueta y luego asocie el nombre con la zona mediante una acci n de CDE etiqueta de la zona etiqueta en Solaris Management Console en
186. na global La zona global se puede utilizar como un servidor de varios niveles a Seleccione Create Logical Interface y haga clic en OK Cierre el cuadro de di logo que confirma la creaci n de una interfaz l gica nueva b Seleccione Set IP address y haga clic en OK c En la petici n de datos especifique el nombre de host para la interfaz l gica y haga clic en OK Por ejemplo especifique machinel services como nombre de host para la interfaz l gica El nombre indica que este host ofrece servicios de varios niveles d Enla petici n de datos especifique la direcci n IP para la interfaz l gica y haga clic en OK Por ejemplo especifique 10 10 9 2 como la direcci n IP de la interfaz l gica e Seleccione la interfaz l gica de nuevo y haga clic en OK f Seleccione Bring Up y haga clic en OK La interfaz aparece como Up eri0 global 10 10 9 1 cipso Up eri0 1 global 10 10 9 2 cipso Up g Comparta la interfaz f sica i Seleccione la interfaz f sica y haga clic en OK Gu a de configuraci n de Oracle Solaris Trusted Extensions Agosto de 2011 Creaci n de zonas con etiquetas Ejemplo 4 3 Ejemplo 4 4 ii Seleccione Share y haga clic en OK eri0 all zones 10 10 9 1 cipso Up eri0 1 global 10 10 9 2 cipso Up Si realiz todo correctamente al menos una interfaz ser all zones Visualizaci n del archivo etc hosts en un sistema con una interfaz l gica compartida En un sistema en el que la zona
187. na zona con etiquetas 101 red IPv6 54 servicio dpadm 120 servicio dsadm 120 servicio labeld 46 47 Trusted Extensions en un sistema Solaris 46 47 herramienta Trusted Network Zones asignaci n de etiquetas a zonas con nombre 73 158 resoluci n de problemas 159 l impresi n planificaci n 26 27 informaci n de seguridad planificaci n para Trusted Extensions 30 inhabilitaci n Trusted Extensions 113 114 inicializaci n Solaris Management Console 59 62 zonas 161 zonas para LDAP 160 162 inicio zonas 75 77 162 inicio de sesi n en un servidor de directorio principal 103 104 mediante el comando rlogin 142 144 remoto 137 139 inicios de sesiones remotos habilitaci n para roles 137 139 instalaci n archivo label_encodings 50 54 SO Solaris para Trusted Extensions 39 47 Sun Java System Directory Server 117 127 zonas 74 75 160 162 IPv6 entrada en el archivo etc system 54 resoluci n de problemas 54 L Labeled Zone Manager Ver secuencia de comandos txzonemgr 184 Gu a de configuraci n de Oracle Solaris Trusted Extensions LDAP habilitaci n de administraci n desde un cliente 130 131 planificaci n 27 listas de comprobaci n para el equipo de configuraci n inicial 169 172 los usuarios creaci n de usuarios iniciales 96 99 M Mapa de tareas configuraci n de Trusted Extensions 35 37 Mapa de tareas preparaci n de un sistema Solaris para Trusted Extensions 33 Mapa de tareas pre
188. nada una tarjeta de informaci n de red virtual VNIC se crea para cada zona etiquetada Un refinamiento de esta configuraci n consiste en asignar una tarjeta de informaci n de red NIC por separado a cada zona Una configuraci n de ese tipo se utiliza para separar f sicamente las redes de una sola etiqueta que est n asociadas a cada NIC Pila IP compartida se asigna una direcci n all zones En esta configuraci n el sistema no puede ser un servidor NFS de varios niveles Una o varias zonas pueden tener direcciones espec ficas de la zona Un sistema que re na las dos condiciones siguientes no puede proporcionar servicios de varios niveles m Se asigna una direcci n IP compartida entre la zona global y las zonas con etiquetas Noseasigna ninguna direcci n espec fica de la zona Consejo Silos usuarios de las zonas con etiquetas supuestamente no tienen acceso a una impresora local de varios niveles y usted no necesita exportaciones NFS de los directorios principales entonces puede asignar una direcci n IP a un sistema en el que haya configurado Trusted Extensions En un sistema de este tipo no se admite la impresi n de varios niveles y los directorios principales no se pueden compartir Generalmente esta configuraci n se utiliza en equipos port tiles Gu a de configuraci n de Oracle Solaris Trusted Extensions Agosto de 2011 Planificaci n de la seguridad en Trusted Extensions Planificaci n del servicio
189. nd Training Program Programa de formaci n y consciencia sobre la seguridad de la tecnolog a de la informaci n SP 800 61 enero de 2004 Incluye un glosario til a Grace Tim Karen Kent y Brian Kim Computer Security Incident Handling Guidelines Directrices para el manejo de incidentes relacionados con la seguridad inform tica SP 800 50 septiembre de 2002 La secci n E 7 se refiere a la configuraci n segura de LDAP para el correo Scarfone Karen Wayne Jansen y Miles Tracy Guide to General Server Security Gu a para la seguridad general del servidor SP 800 123 julio de 2008 Souppaya Murugiah John Wack y Karen Kent Security Configuration Checklists Program for IT Products Programa de listas de comprobaci n de configuraci n de seguridad para productos de TI SP 800 70 mayo de 2005 Publicaciones de seguridad de UNIX Ingenieros de seguridad de Sun Microsystems Solaris 10 Security Essentials Prentice Hall 2009 Chirillo John y Edgar Danielyan Sun Certified Security Administration for Solaris 9 amp 10 Study Guide Gu a de estudio de administraci n de seguridad certificada por Sun para Solaris 9 y 10 McGraw Hill Osborne 2005 Garfinkel Simson Gene Spafford y Alan Schwartz Practical UNIX and Internet Security 3rd Edition Seguridad pr ctica para Internet y UNIX 3 edici n O Reilly amp Associates Inc Sebastopol CA 2006 Publicaciones sobre seguridad inform tica general Brunette G
190. nera predeterminada la interfaz 100 es una interfaz all zones Para que dhcp funcione con Trusted Extensions a n se aplican otras instrucciones de equipos port tiles 34 Gu a de configuraci n de Oracle Solaris Trusted Extensions Agosto de 2011 Mapa de tareas configuraci n de Trusted Extensions Mapa de tareas configuraci n de Trusted Extensions Para un proceso de configuraci n seguro cree roles en una etapa temprana del proceso Cuando los roles configuran el sistema el orden de las tareas se muestra en el siguiente mapa de tareas 1 Configure la zona global Tareas Para obtener instrucciones Proteja el hardware del equipo mediante la solicitud de una contrase a para cambiar la configuraci n del hardware Controlling Access to System Hardware de System Administration Guide Security Services Configure etiquetas Las etiquetas se deben configurar para el sitio Si tiene previsto utilizar el archivo label_encodings predeterminado puede omitir esta tarea Revisi n e instalaci n del archivo de codificaciones de etiquetas en la p gina 50 Si est ejecutando una red IPv6 puede modificar el archivo etc system para permitirle a la IP reconocer los paquetes con etiquetas Habilitaci n de redes IPv6 en Trusted Extensions en la p gina 54 Si el dominio de interpretaci n DOI CIPSO de los nodos de la red es distinto de 1 especifique el dominio de interpretaci n en el
191. nes esta secci n se ver similar a la siguiente Solaris Management Console definition for Account management smcconsole account requisite pam_roles so 1 allow_remote smcconsole account required pam unix _account so 1 smcconsole account required pam_tsol_account so 1 allow unlabeled Uso de una consola Solaris Management Console remota para administrar dentro del mbito Files Si no est utilizando LDAP y desea utilizar Solaris Management Console en un sistema remoto debe habilitar la conexi n remota a la consola Este procedimiento no es suficiente para permitir el acceso al mbito LDAP Para habilitar el acceso al mbito LDAP debe completar todos los procedimientos de la secci n Configuraci n de Solaris Management Console para LDAP mapa de tareas en la p gina 128 Ambos sistemas son sistemas con etiquetas Gu a de configuraci n de Oracle Solaris Trusted Extensions Agosto de 2011 Configuraci n de un sistema sin perif ricos en Trusted Extensions mapa de tareas Debe haber completado los siguientes procedimientos a Tnicializaci n del servidor de Solaris Management Console en Trusted Extensions en la p gina 59 m Habilitaci n del inicio de sesi n remoto por parte de un rol en Trusted Extensions en la p gina 137 Complete la secci n Habilitaci n de comunicaciones de red en Solaris Management Console en la p gina 130 En el sistema de escritorio convi rtase en un usuario
192. nes m s seguras generalmente son cuartos interiores que no se encuentran en la planta baja Supervise y documente el acceso a los sistemas en los que est configurado Trusted Extensions Sujete el equipo inform tico a objetos grandes como mesas y escritorios para impedir robos Cuando fije un equipo a un objeto de madera aumente la solidez del objeto agregando placas de metal Eval e la posibilidad de utilizar medios de almacenamiento extra bles para la informaci n confidencial Bloquee todos los medios extra bles cuando no se est n utilizando Almacene los archivos y las copias de seguridad del sistema en una ubicaci n segura separada de la ubicaci n de los sistemas Restrinja el acceso f sico a los medios de archivo y las copias de seguridad en la misma forma en que restringe el acceso a los sistemas Instale una alarma de alta temperatura en la instalaci n inform tica para indicar si la temperatura est fuera del rango de las especificaciones del fabricante Un rango sugerido es de 10 C a 32 C 50 F a 90 E Instale una alarma de agua en la instalaci n inform tica para que indique si hay agua en el piso en la cavidad del subsuelo y en el techo Instale una alarma de humo para indicar la presencia de fuego y un sistema de extinci n de fuego Instale una alarma de humedad para indicar si hay mucha o poca humedad Si las m quinas no lo tienen tenga en cuenta el aislamiento TEMPEST El aislamiento TEMPEST puede
193. nfiguraci n de Trusted Extensions Si est interesado en la localizaci n de su sitio consulte Para clientes internacionales de Trusted Extensions en la p gina 22 Si est interesado en la ejecuci n de una configuraci n evaluada consulte Comprensi n de la pol tica de seguridad del sitio en la p gina 20 Comprensi n de Trusted Extensions La habilitaci n y configuraci n de Trusted Extensions implica m s que cargar archivos ejecutables especificar los datos del sitio y definir variables de configuraci n Es preciso tener un nivel considerable de conocimientos previos El software de Trusted Extensions proporciona un entorno con etiquetas que se basa en dos funciones de Oracle Solaris m Las capacidades que en la mayor a de los entornos UNIX se asignan a superusuarios aqu son manejadas por roles administrativos discretos Lacapacidad de ignorar la pol tica de seguridad se puede asignar a usuarios y aplicaciones espec ficos En Trusted Extensions el acceso alos datos se controla mediante marcas de seguridad especiales Estas marcas se denominan etiquetas Las etiquetas se asignan a usuarios procesos y objetos como archivos de datos y directorios Estas etiquetas proporcionan control de acceso obligatorio MAC Mandatory Access Control adem s permisos UNIX o control de acceso discrecional DAC Discretionary Access Control Comprensi n de la pol tica de seguridad del sitio Trusted Extensions le perm
194. nfiguraci n de una antememoria de servicio de nombres en cada zona servicio de nombres en cada zona con zona con etiquetas etiquetas en la p gina 88 Antes de empezar 82 Adici n de una interfaz de red para enrutar una zona con etiquetas existente Este procedimiento agrega interfaces de red espec ficas de la zona a las zonas con etiquetas existentes Esta configuraci n se puede realizar en entornos en los que cada zona con etiquetas est conectada a una red f sica independiente Las zonas con etiquetas utilizan la ruta de red que proporciona la zona global Nota La zona global debe configurar una direcci n IP para cada subred en la que est configurada una direcci n de zona no global Debe ser superusuario de la zona global Para cada zona debe haber completado las tareas de la secci n Creaci n de zonas con etiquetas en la p gina 66 En la zona global escriba las direcciones IP y los nombres de host para las interfaces de red adicionales en el archivo etc hosts Utilice una convenci n de denominaci n est ndar como la adici n de nombre_zona al nombre del host Jetc hosts in global zone 10 10 8 2 hostname zone namel 10 10 8 3 hostname global namel 10 10 9 2 hostname zone name2 10 10 9 3 hostname global name2 Para la red para cada interfaz agregue entradas al archivo etc netmasks Jetc netmasks in global zone 10 10 8 0 255 255 255 0 10 10 9 0 255 255 255 0 Para obtener
195. nicio indican que la configuraci n de IPv6 es incorrecta corrija la entrada m Compruebe que la entrada est escrita correctamente Compruebe que el sistema se haya reiniciado despu s de haber agregado la entrada correcta al archivo etc system a Siinstala Trusted Extensions en un sistema Solaris que actualmente tiene IPv6 habilitado pero no agrega la entrada de IP en etc system ver el siguiente mensaje de error t_optmgmt System error Cannot assign requested address indicaci n de hora a Siinstala Trusted Extensions en un sistema Solaris que no tiene IPv6 habilitado y no agrega la entrada de IP en etc system ver los siguientes tipos de mensajes de error m WARNING IPv6 not enabled via etc system m Failed to configure IPv6 interface s hme0 m rpcbind Unable to join IPv6 multicast group for rpc broadcast n mero de difusi n Configuraci n del dominio de interpretaci n Todas las comunicaciones en las que participe un sistema en el que est configurado Trusted Extensions deben seguir las reglas de etiquetado de un solo dominio de interpretaci n de CIPSO El dominio de interpretaci n que se usa en cada mensaje se identifica mediante un n mero entero en el encabezado de la opci n de IP de CIPSO De manera predeterminada el dominio de interpretaci n en Trusted Extensions es 1 Gu a de configuraci n de Oracle Solaris Trusted Extensions Agosto de 2011 Configuraci n de la zona global en Trusted Extensions
196. ninguna etiqueta asignada ii F jese en el nombre de la zona y a continuaci n haga clic en Edit iii En el generador de etiquetas haga clic sobre la etiqueta adecuada para el nombre de zona Si hace clic en la etiqueta incorrecta haga clic de nuevo en la etiqueta para anular la selecci n y a continuaci n haga clic en la etiqueta correcta iv Guarde la asignaci n Haga clic en OK en el generador de etiquetas y a continuaci n haga clic en OK en el cuadro de di logo Trusted Network Zones Properties Habr terminado una vez que todas las zonas que desea aparezcan en el panel o cuando la opci n de men Add Zone Configuration abra un cuadro de di logo que no tenga un valor para el nombre de zona Siutilizaelarchivolabel_encodings predeterminado utilice Labeled Zone Manager Haga clic en la opci n de men Select Label y a continuaci n en OK para mostrar la lista de etiquetas disponibles a Seleccione la etiqueta para la zona Para una zona que se denomina public tendr a que seleccionar la etiqueta PUBLIC de la lista b Haga clic en OK Aparecer una lista de tareas v Instalaci n de la zona con etiquetas Antes de empezar Debe ser superusuario de la zona global La zona debe estar configurada y tener asignada una interfaz de red Aparece el cuadro de di logo Labeled Zone Manager con el subt tulo nombre_zona configured Para abrir esta interfaz gr fica de usuario consulte Ejecuci n de
197. o Prefacig cocos imitaciones tine dt cid cta 13 1 Planificaci n de la seguridad para Trusted Extensions oococicicnicionicnicnononnnnnnncnncnnnncancnnonnanos 19 Planificaci n de la seguridad en Trusted Extensions ccccioninnnoncnnnnnnnnnncncncnncncnrcnrcnnr cenas 19 Comprensi n de Trusted Extensions econ cerrar cerrar coran 20 Comprensi n de la pol tica de seguridad del SitiO ooonininninnnninnsrrerress 20 Dise o de una estrategia de administraci n para Trusted Extensions cncnnananesmsmss 21 Dise o de una estrategia de Etiqueta iii ias 22 Planificaci n del hardware y la capacidad del sistema para Trusted Extensi0Ns 23 Planificaci n dela red de COMA diia de a a Planificaci n de zonas en Trusted Extensions Planificaci n de acceso de Varios niveles ocooniononicnininnnncnneccccee renacer rra Planificaci n del servicio de nombres LDAP en Trusted Extensions occcncncinninanncinnancnninnss 27 Planificaci n de la auditor a en Trusted Extensions cocicncinnioninnionconconconncnnnnconcnnconrnnroncanccricnnos 27 Planificaci n de la seguridad del usuario en Trusted Extensions ooccccinninnocanioncnnenanconcananioss 27 Dise o de una estrategia de configuraci n para Trusted Extensions ooccncinninnonnninncnnononconoss 29 Resoluci n de problemas adicionales antes de habilitar Trusted Extensions coociccinnoncnns 30 Realizaci n de copia de seguridad del sistema antes de habilitar Trusted Extensions
198. o home internal xk myNFSserver_FQDN zone internal root export home 8 setup files auto home _needtoknow S myNFSserver_FQDN zone needtoknow root export home 8 setup files auto home restricted myNFSserver_FQDN zone restricted root export home 8 7 Agregue todos los sistemas de la red al archivo setup files tnrhdb Aqu no se puede utilizar ning n mecanismo comod n Las direcciones IP de todos los sistemas con los que se establecer contacto incluidas las direcciones IP de las zonas con etiquetas deben estar en este archivo a Abrael editor de confianza y edite setup files tnrhdb b Agregue todas las direcciones IP de un sistema con etiquetas al dominio de Trusted Extensions Los sistemas con etiquetas son del tipo cipso Adem s el nombre de la plantilla de seguridad para los sistemas con etiquetas es cipso Por lo tanto en la configuraci n predeterminada una entrada cipso es similar a la siguiente 192 168 25 2 cipso 126 Gu a de configuraci n de Oracle Solaris Trusted Extensions Agosto de 2011 Creaci n de un proxy de Trusted Extensions para un servidor Sun Java System Directory Server existente Nota Esta lista incluye las direcciones IP de las zonas globales y las zonas con etiquetas c Agregue todos los sistemas sin etiquetas con los que el dominio puede comunicarse Los sistemas sin etiquetas son del tipo unlabeled El nombre de la plantilla de seguridad para los sistemas sin etiquetas es admin_l
199. obal Cada zona con etiquetas debe poder conectarse con la zona global para utilizar el servidor X Por lo tanto para poder utilizar una zona es necesario que las redes de la zona funcionen Para acceder a informaci n b sica consulte Planificaci n de acceso de varios niveles en la p gina 26 Verifique que la zona se haya iniciado por completo a Ennombre_zona Zone Terminal Console inicie sesi n como usuario root hostname console login root Password Type root password b En Zone Terminal Console verifique que los servicios fundamentales est n en ejecuci n SVCS xv svc application print server default LP print server State Reason See See disabled since Tue Oct 10 10 10 10 2006 Disabled by an administrator http sun com msg SMF 8000 05 lpsched 1M Los servicios sendmail y print no son servicios fundamentales c Verifique que la zona tenga una direcci n IP v lida ifconfig a Por ejemplo el siguiente resultado muestra una direcci n IP para la interfaz hme hme0 flags 1000843 lt BROADCAST RUNNING MULTICAST IPv4 gt mtu 1500 index 2 all zones inet 192 168 0 11 netmask fffffe00 broadcast 192 168 0 255 d Opcional Verifique que la zona puede comunicarse con la zona global i Defina la variable DISPLAY para que haga referencia al servidor X DISPLAY global zone hostname n n export DISPLAY Cap tulo 4 Configuraci n de Trusted Extensions tareas 77 Creaci
200. odos los procesos incluidos los procesos de ventana Gu a de configuraci n de Oracle Solaris Trusted Extensions Agosto de 2011 Habilitaci n del servicio de Trusted Extensions Antes de empezar Errores m s frecuentes Todaslas comunicaciones de red Debe haber completado las tareas de Instalaci n o actualizaci n del SO Solaris para Trusted Extensions en la p gina 40 y Recopilaci n de informaci n y toma de decisiones antes de habilitar Trusted Extensions en la p gina 43 En un sistema Solaris habilite el servicio labeld svcadm enable s svc system labeld default El servicio labeld agrega etiquetas al sistema e inicia la asignaci n de dispositivos y el servicio de auditor a de Solaris No realice ninguna otra tarea hasta que el cursor haya vuelto a la pregunta Compruebe que el servicio est habilitado svcs x labeld svc system labeld default Trusted Extensions State online since weekday month date hour minute second year See labeld 1M Impact None Nota Las etiquetas aparecer n una vez que haya reiniciado el sistema La secci n Configuraci n de la zona global en Trusted Extensions en la p gina 49 incluye las tareas que quiz s desee llevar a cabo antes de reiniciar El siguiente mensaje indica que no est ejecutando una versi n de Solaris que admite Trusted Extensions como un servicio svcs Pattern labeld doesn t match any instances Para ejecutar Trusted Extensi
201. olaris Trusted Extensions Adici n de una interfaz de red que no utiliza la zona global para enrutar una zona con etiquetas existente Este procedimiento establece rutas predeterminadas espec ficas de la zona para las zonas con etiquetas existentes En esta configuraci n las zonas con etiquetas no utilizan la zona global para el enrutamiento La zona con etiquetas debe estar conectada a la zona global antes de que se inicie la zona Sin embargo para aislar la zona con etiquetas de la zona global cuando se inicie la zona la interfaz debe estar en el estado down Para obtener m s informaci n v ase el Cap tulo 17 Non Global Zone Configuration Overview de System Administration Guide Oracle Solaris Containers Resource Management and Oracle Solaris Zones Nota Se debe configurar una nica ruta predeterminada para cada zona no global que se inicie Debe ser superusuario de la zona global Para cada zona debe haber completado las tareas de la secci n Creaci n de zonas con etiquetas en la p gina 66 Est utilizando la interfaz vni0 o la interfaz 100 para conectar las zonas con etiquetas a la zona global Gu a de configuraci n de Oracle Solaris Trusted Extensions Agosto de 2011 Adici n de interfaces de red y rutas a zonas con etiquetas Para cada interfaz de red determine la direcci n IP la m scara de red y el enrutador predeterminado Utilice el comando ifconfig a para determinar la direcci n IP y l
202. oles y posiblemente otros usuarios locales para que asuman estos roles 16 Cree directorios principales en el servidor NFS m Cree directorios principales para cada usuario en cada etiqueta a la que puede acceder el usuario Opcional Evite que los usuarios lean los directorios principales de nivel inferior 17 Configure las opciones de impresi n Consulte Gesti n de impresi n en Trusted Extensions mapa de tareas de Procedimientos de administradores de Oracle Solaris Trusted Extensions 18 Configure los dispositivos Consulte Control de dispositivos en Trusted Extensions mapa de tareas de Procedimientos de administradores de Oracle Solaris Trusted Extensions a Asigne el perfil de gesti n de dispositivos o el perfil de administrador del sistema a un rol b Para poder utilizar los dispositivos realice una de las siguientes acciones m Por sistema permita la asignaci n de los dispositivos Asignela autorizaci n Allocate Device a los usuarios y roles seleccionados Ap ndice C Lista de comprobaci n de configuraci n de Trusted Extensions 171 Lista de comprobaci n para la configuraci n de Trusted Extensions 19 Configure las funciones de Oracle Solaris m Configure las opciones de auditor a m Configure los valores de seguridad m Permita que determinados clientes LDAP sean sistemas de administraci n LDAP m Configure los usuarios en LDAP m Configure los roles de red en LDAP m Monte y comp
203. olicy TSOL Cap tulo 5 Configuraci n de LDAP para Trusted Extensions tareas 133 Configuraci n de Solaris Management Console para LDAP mapa de tareas 134 Errores m s frecuentes En System Configuration navegue hasta Computers and Networks y luego hasta Security Templates Compruebe que se hayan aplicado las plantillas y etiquetas correctas a los sistemas remotos Nota Si intenta acceder a la informaci n de la base de datos de la red desde un sistema distinto del servidor LDAP la operaci n fallar La consola le permite iniciar sesi n en el host remoto y abrir la caja de herramientas Sin embargo si intenta acceder a la informaci n o modificarla el siguiente mensaje de error le indicar que ha seleccionado Scope LDAP en un sistema distinto del servidor LDAP Management server cannot perform the operation requested Error extracting the value from tool The keys received from the client were machine domain Scope Problem with Scope Para resolver problemas de configuraci n de LDAP consulte el Cap tulo 13 LDAP Troubleshooting Reference de System Administration Guide Naming and Directory Services DNS NIS and LDAP Gu a de configuraci n de Oracle Solaris Trusted Extensions Agosto de 2011 CAP TULO 6 Configuraci n de Trusted Extensions en un sistema sin perif ricos tareas Para configurar y administrar el software de Trusted Extensions en sistemas sin perif ricos como
204. ons en un sistema Solaris que no admite el servicio Label d siga las instrucciones de la gu a Solaris Trusted Extensions Installation and Configuration Cap tulo 3 Adici n del software de Trusted Extensions al SO Solaris tareas 47 48 CAP TULO 4 Configuraci n de Trusted Extensions tareas En este cap tulo se explica c mo configurar Trusted Extensions en un sistema con un supervisor Para que el software de Trusted Extensions funcione correctamente es necesario configurar los elementos siguientes etiquetas zonas red usuarios que puedan asumir roles roles y herramientas Configuraci n de la zona global en Trusted Extensions en la p gina 49 Creaci n de zonas con etiquetas en la p gina 66 Opcional Adici n de interfaces de red y rutas a zonas con etiquetas en la p gina 81 Creaci n de roles y usuarios en Trusted Extensions en la p gina 90 Creaci n de directorios principales en Trusted Extensions en la p gina 101 Adici n de usuarios y hosts a una red de confianza existente en la p gina 104 Resoluci n de los problemas de configuraci n de Trusted Extensions en la p gina 106 Tareas adicionales de configuraci n de Trusted Extensions en la p gina 110 Para otras tareas de configuraci n consulte Procedimientos de administradores de Oracle Solaris Trusted Extensions Configuraci n de la zona global en Trusted Extensions Antes de configurar la zona global se
205. oquea La etiqueta m nima del usuario es PUBLIC La etiqueta en la que trabaja el usuario es INTERNAL por lo que se agrega Cap tulo 4 Configuraci n de Trusted Extensions tareas 105 Resoluci n de los problemas de configuraci n de Trusted Extensions jan a la base de datos auto _home_internal La base de datos auto home internal monta autom ticamente el directorio principal de jan con permisos de lectura y escritura En el servidor LDAP el administrador extrae la informaci n del usuario de las bases de datos NIS ypcat k aliases grep jan doe gt aliases jan ypcat passwd grep Jan Doe gt passwd jan ypcat k auto_home grep jan doe gt auto_home_internal Luego el administrador cambia el formato de las entradas para LDAP sed s g aliases jan gt aliases nawk F print 1 x 3 4 5 6 7 passwd jan gt passwd nawk F print 1 2 6445 passwd jan gt shadow A continuaci n el administrador crea una entrada user_attr para Trusted Extensions nawk F print 1 lock_after_retries no profiles Media User labelview internal showsl min_label 0x0002 08 08 clearance 0x0004 08 78 type normal roles oper auths solaris device allocate passwd jan gt user_attr Luego el administrador copia los archivos en el directorio tmp jan cp aliases auto_home_internal passwd shadow user_attr tmp jan Por ltimo el administrador rellena el servidor con los archi
206. orio principal en Trusted Extensions ccccnincinnonenninnnonnananss 101 V Habilitaci n de los usuarios para que accedan a sus directorios principales en Trusted EXtOTSIONS iii epaiei iasau sia ia inasa Ki aa 103 Adici n de usuarios y hosts a una red de confianza existente 104 Y Adici n de un usuario NIS al servidor LDAP cocicicicncnninninnss 104 Resoluci n de los problemas de configuraci n de Trusted Extensions cccncnnnnninnononcncincinncnns 106 netservices limited se ejecut despu s de que se habilit Trusted Extensions 107 No se puede abrir la ventana de consola en una zona con etiquetas coocccicconcnninninconenncnnnananos 107 La zona con etiquetas no puede acceder al servidor X ssssss ssssessrssrsesssssrrrrsrsssrrreersssssrrreerssss 107 Tareas adicionales de configuraci n de Trusted Extensions occcoccnnnnnnnnnnncnncnncancnnnoconcnnnnn conocen 110 Y C mo copiar archivos en medios port tiles en Trusted Extensions ociconininnnnncnm 110 Y C mo copiar archivos desde medios port tiles en Trusted Extensions ccicicinnonnommnm 112 V C mo eliminar Trusted Extensions del sistema ococionicicionnninnnnenenmeeccnccccrcrrcans 113 Configuraci n de LDAP para Trusted Extensions tareas oonnciiniininnnnnnnncancacincs 115 Configuraci n de un servidor LDAP en un host de Trusted Extensions mapa de tareas 115 Configuraci n de un servidor proxy LDAP en un host de Trusted Extensions mapa de LAS ia i
207. osto de 2011 Planificaci n de la seguridad en Trusted Extensions espec fico de Trusted Extensions como los mensajes de error acerca de las etiquetas no se traduce en su configuraci n regional El software Oracle Solaris permanece traducido en su configuraci n regional Planificaci n del hardware y la capacidad del sistema para Trusted Extensions El hardware del sistema incluye el sistema en s y los dispositivos conectados Estos dispositivos incluyen unidades de cinta micr fonos unidades de CD ROM y paquetes de discos La capacidad del hardware incluye la memoria del sistema las interfaces de red y el espacio en el disco m Siga las recomendaciones para la instalaci n de una versi n de Oracle Solaris como se describe en System Requirements and Recommendations de Solaris 10 5 09 Installation Guide Basic Installations Las funciones de Trusted Extensions se pueden agregar a esas recomendaciones m Fn los siguientes sistemas se requiere una memoria mayor al m nimo sugerido m Sistemas en los que se ejecuta Solaris Management Console se requiere una interfaz gr fica de usuario administrativa m Sistemas en los que se ejecuta en m s de una etiqueta de sensibilidad m Sistemas utilizados por usuarios que pueden asumir un rol administrativo m Fn los siguientes sistemas se necesitar m s espacio en el disco m Sistemas donde se almacenan archivos en m s de una etiqueta m Sistemas cuyos usuarios pueden asumir un
208. ource Management and Oracle Solaris Zones d Inicie la zona con etiquetas zoneadm z zone name boot e En la zona global verifique que la zona con etiquetas tenga una ruta a la puerta de enlace para la subred netstat rn Aparece una tabla de enrutamiento El destino y la interfaz para la zona con etiquetas es diferente de la entrada para la zona global Para eliminar la ruta predeterminada seleccione la direcci n IP de la zona y a continuaci n elimine la ruta zonecfg z zone name zonecfg zone name gt select net address zone IP address zonecfg zone name net gt remove net defrouter zone default route zonecfg zone name net gt info net net Gu a de configuraci n de Oracle Solaris Trusted Extensions Agosto de 2011 Adici n de interfaces de red y rutas a zonas con etiquetas Ejemplo 4 5 address zone IP address physical zone network interface defrouter not specified Definici n de una ruta predeterminada para una zona con etiquetas En este ejemplo el administrador enruta la zona Secret a una subred f sica independiente El tr fico desde y hacia la zona Secret no se enruta por medio de la zona global El administrador utiliza Labeled Zone Manager y el comando zonecfg y a continuaci n verifica que el enrutamiento funcione El administrador determina que qfel y qfe1 0 actualmente no est n en uso y crea una asignaci n para dos zonas con etiquetas qfel es la interfaz designada para la zona S
209. ow Por lo tanto en la configuraci n predeterminada una entrada para un sistema sin etiquetas es similar a la siguiente 192 168 35 2 admin_low d Guarde el archivo y salga del editor e Compruebe la sintaxis del archivo tnchkdb h setup files tnrhdb f Antes de continuar corrija todos los errores 8 Copieelarchivo setup files tnrhdb en el archivo etc security tsol tnrhdb 9 Utilice el comando 1dapaddent para rellenar el servidor de directorios con cada archivo del rea temporal Por ejemplo el siguiente comando rellena el servidor del archivo hosts del rea temporal usr sbin ldapaddent D cn directory manager w dirmgr123 a simple f setup files hosts hosts 10 Siejecut el comando 1dapclient en el servidor de directorios Trusted Extensions deshabilite el cliente en ese sistema En la zona global ejecute el comando l1dapclient uninit Utilice el resultado detallado para verificar que el sistema ya no sea un cliente LDAP ldapclient v uninit Para obtener m s informaci n consulte la p gina del comando man 1dapclient 1M Creaci n de un proxy de Trusted Extensions para un servidor Sun Java System Directory Server existente En primer lugar debe agregar las bases de datos de Trusted Extensions al servidor de directorios existente en un sistema Solaris En segundo lugar debe habilitar los sistemas Trusted Extensions para el acceso al servidor de directorios y a continuaci n configurar un sistem
210. pal a iva a clonar zonas aseg rese de utilizar un instant nea de ZFS de Solaris que tenga directorios principales vacios Cap tulo 4 Configuraci n de Trusted Extensions tareas 101 Creaci n de directorios principales en Trusted Extensions 5 102 Debido a que los usuarios necesitan un directorio principal en cada etiqueta en la que pueden iniciar sesi n cree todas las zonas en las que el usuario puede iniciar sesi n Por ejemplo si utiliza el archivo predeterminado label_encodings debe crear una zona para la etiqueta PUBLIC Si est utilizando UFS y no ZFS de Solaris habilite el servidor NFS para que se preste servicio a s mismo b En la zona global modifique la entrada automount en el archivo nsswitch conf Utilice el editor de confianza para editar el archivo etc nsswitch conf Para conocer el procedimiento consulte C mo editar archivos administrativos en Trusted Extensions de Procedimientos de administradores de Oracle Solaris Trusted Extensions automount files En la zona global ejecute el comando automount Para cada zona con etiquetas siga el procedimiento de montaje autom tico en C mo montar archivos en NFS en una zona con etiquetas de Procedimientos de administradores de Oracle Solaris Trusted Extensions A continuaci n regrese a este procedimiento Verifique que se hayan creado los directorios principales Cierre la sesi n del servidor de directorio principal Como
211. para la zona Para asegurarse de que la zona personalizada todav a se pueda utilizar seleccione la opci n Boot de Labeled Zone Manager La acci n Zone Terminal Console realiza un seguimiento del progreso del inicio de la zona En la consola aparecen mensajes similares a los siguientes Connected to zone public console NOTICE Zone booting up Hostname zonename Presione la tecla de retorno para acceder a la petici n de datos de inicio de sesi n Puede iniciar sesi n como usuario root Copia o clonaci n de una zona en Trusted Extensions Debe haber completado Personalizaci n de la zona con etiquetas en la p gina 78 Aparece el cuadro de di logo Labeled Zone Manager Para abrir esta interfaz gr fica de usuario consulte Ejecuci n de la secuencia de comandos txzonemgr en la p gina 67 Cree la zona Para obtener detalles consulte Asignaci n de nombre y etiquetado de zona en la p gina 72 Contin e con la estrategia de creaci n de zona seleccionando uno de los siguientes m todos Deber repetir estos pasos para cada zona nueva m Copie la zona que acaba de etiquetar a En Labeled Zone Manager seleccione Copy y haga clic en OK b Seleccione la plantilla de zona y haga clic en OK Aparece una ventana en la que se muestra el proceso de copia Una vez que termine el proceso la zona estar instalada Si Labeled Zone Manager muestra nombre_zona configured contin e con el paso siguient
212. paraci n para Trusted Extensions y activaci n del producto 33 34 medios extra bles copia de archivos desde 112 mensajes de error resoluci n de problemas 47 107 110 men de instalaci n creaci n de una zona nueva 72 80 81 Zone Console 76 modificaci n archivo label _encodings 50 54 N No route available 107 110 nombres especificaci n para zonas 72 74 157 159 o opciones de instalaci n de Solaris requisitos 40 41 P pantallas visualizaci n inicial 59 planificaci n Ver tambi n uso de Trusted Extensions auditor a 27 configuraci n de equipo port til 26 Agosto de 2011 ndice planificaci n Continuaci n creaci n de cuenta 27 estrategia de administraci n 21 22 estrategia de configuraci n de Trusted Extensions 29 30 etiquetas 22 23 hardware 23 impresi n 26 27 red 23 24 servicio de nombres LDAP 27 servidor NFS 26 27 Trusted Extensions 19 31 zonas 24 26 planificaci n del hardware 23 pol tica de seguridad del sitio comprensi n 20 21 decisiones de la configuraci n de Trusted Extensions 146 infracciones comunes 149 150 recomendaciones 147 recomendaciones de acceso f sico 148 149 recomendaciones para el personal 149 tareas implicadas 145 152 preparaci n para crear zonas mediante acciones de CDE mapa de tareas 156 159 publicaciones seguridad y UNIX 150 152 R recopilaci n de informaci n antes de habilitar Trusted Extensions 44 para el servicio LDAP 117
213. peta export clientfiles Para cada archivo realice lo siguiente a Resalte el icono para el archivo b Arrastre el archivo hasta el explorador de archivos para el medio port til Desasigne el dispositivo Para obtener detalles consulte C mo desasignar un dispositivo en Trusted Extensions de Gu a del usuario de Oracle Solaris Trusted Extensions En el explorador de archivos para el medio port til seleccione Eject en el men File Nota Recuerde agregar f sicamente una etiqueta a los medios con la etiqueta de sensibilidad de los archivos copiados Mantenimiento de los mismos archivos de configuraci n en todos los sistemas El administrador del sistema debe asegurarse de que todos los equipos est n configurados con los mismos valores Por lo tanto en el primer equipo que configura crea un directorio que no se puede suprimir entre reinicios En ese directorio el administrador coloca los archivos que deben ser id nticos o muy similares en todos los sistemas Por ejemplo copia la caja de herramientas de Trusted Extensions que Solaris Management Console utiliza para el mbito LDAP var sadm smc toolboxes tsol_ldap tsol_ldap tbx El administrador personaliz las plantillas de host remoto en el archivo tnrhtp tiene una lista de servidores DNS y archivos de configuraci n de auditor a Asimismo modific el archivo policy conf para su sitio Entonces copia los archivos al directorio permanente mkdir export com
214. prop ERROR max file count 30 dsconf set log prop ERROR max size 500M dsconf set log prop ERROR min free disk space 500M dsconf set log prop ERROR verbose enabled on Opcional Configure m s valores para los registros Tambi n puede configurar los siguientes valores de configuraci n para cada log dsconf set log prop LOG_TYPE rotation min file size undefined dsconf set log prop LOG_TYPE rotation time undefined Para obtener informaci n sobre el comando dsconf consulte la p gina del comando man dsconf 1M Configuraci n de puerto de varios niveles para Sun Java System Directory Server Para trabajar en Trusted Extensions el puerto de servidor del servidor de directorios debe estar configurado como un puerto de varios niveles MLP en la zona global Inicie Solaris Management Console usr sbin smc Seleccione la caja de herramientas This Computer este host Scope Files Policy TSOL Haga clic en System Configuration y a continuaci n en Computers and Networks Se le solicitar la contrase a Escriba la contrase a correspondiente Haga doble clic en Trusted Network Zones Haga doble clic en la zona global Agregue un puerto de varios niveles en el protocolo TCP a Haga clic en Add para Multilevel Ports for Zone s IP Addresses b Escriba 389 para el n mero de puerto y haga clic en OK Gu a de configuraci n de Oracle Solaris Trusted Extensions Agosto de 2011 Configuraci n de Sun Java Sy
215. proxy LDAP en un sistema Trusted Extensions Nota si no utiliza este servidor LDAP como un servidor NFS o como un servidor para clientes Sun Ray no necesita instalar ninguna zona con etiquetas en este servidor v Recopilaci n de informaci n para el servidor de directorios para LDAP O Determine los valores para los siguientes elementos Los elementos se muestran en el orden en el que aparecen en el asistente de instalaci n de Sun Java Enterprise System Petici n de datos del asistente de instalaci n Acci n o informaci n Sun Java System Directory Server versi n ID de usuario de administrador El valor predeterminado es admin Contrase a de administrador Cree una contrase a como admin123 DN del gestor de directorios El valor predeterminado es cn Directory Manager Contrase a del gestor de Cree una contrase a como dirmgr89 directorios Root de servidor de directorios El valor predeterminado es var Sun mps Esta ruta tambi n se utiliza posteriormente si se intala el software de proxy Identificador del servidor El valor predeterminado es el sistema local Cap tulo 5 Configuraci n de LDAP para Trusted Extensions tareas 117 Configuraci n de Sun Java System Directory Server en un sistema Trusted Extensions 118 Petici n de datos del asistente de instalaci n Acci n o informaci n Puerto del servidor Si tiene previsto usar el servidor de directorios para proporcionar servicios de nombr
216. pueden enviar y recibir paquetes que coincidan con cualquiera de las etiquetas del conjunto de etiquetas El tipo de acceso que es otorgado o denegado por el propietario de un archivo o un directorio seg n el criterio del propietario Trusted Extensions proporciona dos tipos de control de acceso discrecional DAC listas de control de acceso ACL y bits de permiso de UNIX 175 control de acceso obligatorio control de acceso obligatorio DAC direcci n IP dispositivo dominio dominio de interpretaci n DOI editor de confianza equipo de configuraci n inicial escritorio de varios niveles 176 Control de acceso que se basa en la comparaci n de la etiqueta de sensibilidad de un archivo directorio o dispositivo con la etiqueta de sensibilidad del proceso que est intentando acceder a l La regla de MAC lectura en el mismo nivel y en sentido descendente se aplica cuando un proceso de una etiqueta intenta leer un archivo de una etiqueta inferior La regla MAC escritura en el mismo nivel y lectura en sentido descendente se aplica cuando un proceso de una etiqueta intenta escribir en un directorio de otra etiqueta Consulte control de acceso discrecional Direcci n de protocolo de Internet Un n mero nico que identifica un sistema en red para que ste pueda comunicarse por medio de protocolos de Internet En IPv4 la direcci n est compuesta por cuatro n meros separados por puntos La mayor a de las
217. que est definido de la misma manera en ambos sistemas En el sistema de escritorio asuma el rol que se define de la misma manera en ambos sistemas En el sistema de escritorio inicie Solaris Management Console usr sbin smc En el cuadro de di logo del servidor escriba el nombre del sistema sin perif ricos A continuaci n seleccione la caja de herramientas Scope Files This Computer sistema remoto Scope Files Policy TSOL Habilitaci n de la visualizaci n remota de interfaces gr ficas de usuario administrativas El procedimiento para la visualizaci n remota en un escritorio es id ntico al procedimiento en un sistema Solaris en el que no est configurado Trusted Extensions Este procedimiento se coloca aqu para su comodidad En el sistema de escritorio habilite la visualizaci n de los procesos del sistema sin perif ricos a Habilite el acceso del sistema sin perif ricos al servidor X en el sistema de escritorio desktop xhost headless host b Determine el valor de la variable DISPLAY del escritorio desktop echo DISPLAY in n En el sistema sin perif ricos establezca la variable DISPLAY en el sistema de escritorio headless DISPLAY desktop n n headless export DISPLAY n n Cap tulo6 Configuraci n de Trusted Extensions en un sistema sin perif ricos tareas 141 Configuraci n de un sistema sin perif ricos en Trusted Extensions mapa de tareas 142 v Uso delos comandos rlogin o ss
218. quetes Gu a de configuraci n de Oracle Solaris Trusted Extensions Agosto de 2011 Creaci n de zonas con etiquetas mediante acciones de CDE mapa de tareas v Resoluci n de enrutamiento de zona local a zona global en Trusted CDE Para cada zona que acceda a Trusted CDE se debe resolver la variable DISPLAY En Trusted CDE para resolver la variable el nombre de nodo de la zona con etiquetas el nombre de nodo de la zona global y el nombre de nodo de una interfaz all zones se deben resolver con el mismo nombre Antes de empezar 1 Est utilizando Trusted CDE y est inicializando manualmente una zona con etiquetas Habilite Trusted CDE para que aparezca en la etiqueta de una zona utilizando uno de los m todos siguientes M todo 1 Habilite el tr fico del servidor X con otros sistemas En esta configuraci n las zonas con etiquetas pueden alcanzar otros sistemas mediante el servidor X en la zona global Aseg rese de que el archivo etc nodename especifique el nombre del sistema etc nodename machinel Aseg rese de que el archivo etc hosts especifique el nombre del sistema Jetc hosts 192 168 2 3 machinel loghost Para que funcionen los servicios de ToolTalk el nombre del sistema debe estar en la misma l nea que loghost Aseg rese de que el archivo etc hostname interface especifique el nombre del sistema En esta configuraci n machinel es la interfaz all zones para Trusted CDE etc
219. r en la p gina 124 Configure Solaris Management Console para que funcione con el servidor proxy LDAP Configure de forma manual una caja de herramientas LDAP para Solaris Management Console La caja de herramientas se puede utilizar para modificar los atributos de Trusted Extensions en objetos de red Configuraci n de Solaris Management Console para LDAP mapa de tareas en la p gina 128 Configure los dem s sistemas Trusted Extensions como clientes del servidor proxy LDAP Al configurar Trusted Extensions en otro sistema convierta el sistema en un cliente del servidor proxy LDAP Conversi n de la zona global en un cliente LDAP en Trusted Extensions en la p gina 62 116 Gu a de configuraci n de Oracle Solaris Trusted Extensions Agosto de 2011 Configuraci n de Sun Java System Directory Server en un sistema Trusted Extensions Configuraci n de Sun Java System Directory Server en un sistema Trusted Extensions El servicio de nombres LDAP es el servicio de nombres admitido para Trusted Extensions Si en su sitio a n no se est ejecutado el servicio de nombres LDAP configure un Sun Java System Directory Server servidor de directorios en un sistema en el que est configurado Trusted Extensions Si en su sitio ya se est ejecutando un servidor de directorios debe agregar las bases de datos de Trusted Extensions al servidor Para acceder al servidor de directorios debe configurar un
220. r este host Scope Files Policy TSOL Cap tulo 4 Configuraci n de Trusted Extensions tareas 93 Creaci n de roles y usuarios en Trusted Extensions Para crear el rol en el servicio LDAP utilice This Computer servidor ldap Scope LDAP Policy TSOL 3 Haga clic en System Configuration y a continuaci n en Users Se le solicitar la contrase a 4 Escriba la contrase a correspondiente 5 Haga doble clic en Administrative Roles 6 Enel men Action seleccione Add Administrative Role 7 Creeelrol de administrador de la seguridad Utilice la siguiente informaci n como gu a Role name secadmin Full name Security Administrator Description oficial de seguridad del sitio aqu no se introduce informaci n de propiedad exclusiva Role ID Number gt 100 Role shell Bourne del administrador shell de perfil Create a role mailing list deje la casilla de verificaci n seleccionada Password and confirm asigne una contrase a de al menos 6 caracteres alfanum ricos Al igual que todas las contrase as la contrase a del rol de administrador de la seguridad debe ser dif cil de adivinar a fin de reducir la posibilidad de que un adversario obtenga acceso no autorizado al intentar adivinar la contrase a Nota Para todos los roles administrativos elija la opci n Always Available para la cuenta y no establezca fechas de caducidad para las contrase as Available and Granted Rights Information Securi
221. r a otra etiqueta ser igual a otra etiqueta o estar separada de otra etiqueta Por ejemplo la etiqueta Top Secret domina a la etiqueta Secret Para dos sistemas con el mismo dominio de interpretaci n DOI la etiqueta Top Secret en un sistema es igual a la etiqueta Top Secret en el otro sistema Un rol es como un usuario con la excepci n de que un rol no puede iniciar sesi n Generalmente un rol se utiliza para asignar capacidades administrativas Los roles se limitan a un conjunto determinado de comandos autorizaciones y acciones de CDE Consulte rol administrativo Un rol que ofrece las autorizaciones los comandos con privilegios las acciones con privilegios y el atributo de seguridad Trusted Path necesarios para permitir que el rol lleve a cabo tareas administrativas Los roles tienen un subconjunto de capacidades de superusuario de Solaris por ejemplo realizan las copias de seguridad o la auditor a Consulte rol administrativo En CDE la ruta de b squeda es utilizada por el sistema para encontrar aplicaciones y cierta informaci n de la configuraci n La ruta de b squeda de aplicaciones es controlada por un rol de confianza En un sistema Solaris en el que est configurado Trusted Extensions la ruta de confianza es una manera confiable y segura de interactuar con el sistema La ruta de confianza se utiliza para asegurarse de que las funciones administrativas no se puedan ver afectadas Las funciones de usuario que se deben prot
222. r de una instant nea de ZFS de la primera zona con etiquetas Configure inicialice C instale personalice e inicie cada zona con etiquetas 1 Configure inicialice C instale y personalice una zona Utilice esta zona como plantilla para obtener m s las zonas con etiquetas Configure una agrupaci n m ZFS a partir de una partici n que dej a un lado durante la instalaci n de Oracle Solaris Configure inicialice instale y personalice una T m zona Utilice esta zona como una instant nea de ZFS para obtener m s las zonas con etiquetas n Cap tulo 1 Planificaci n de la seguridad para Trusted Extensions Este m todo se admite y resulta til para crear una o dos zonas adicionales Las zonas se pueden actualizar Este m todo puede llevar bastante tiempo Este m todo se admite y es m s r pido que crear zonas desde el principio Las zonas se pueden actualizar Utilice el m todo de copia de zona si desea que Oracle Support lo ayude a resolver cualquier dificultad relacionada con la zona Este m todo utiliza UFS UFS no ofrece el aislamiento adicional para las zonas que ofrece Oracle Solaris ZFS Este m todo utiliza Oracle Solaris ZFS y es el m todo m s r pido Este m todo convierte a cada zona en un sistema de archivos y por lo tanto proporciona m s aislamiento que UFS ZFS utiliza mucho menos espacio en el disco Si est probando Trusted Extensions y puede volver a instalar las
223. r la sintaxis del archivo Los resultados se muestran en el cuadro de di logo Check Encodings Lea el contenido de este cuadro de di logo y realice una de las siguientes acciones m Corrija los errores Sila acci n Check Encodings informa errores stos se deben corregir antes de continuar Para obtener ayuda consulte el Cap tulo 3 Making a Label Encodings File Tasks de Oracle Solaris Trusted Extensions Label Administration m Haga clicen Yes para convertir el archivo en el archivo label_encodings activo La acci n Check Encodings crea una copia de seguridad del archivo original y a continuaci n instala la versi n comprobada en etc security tsol label_encodings La acci n luego reinicia el daemon de etiqueta Precauci n Para poder continuar su archivo label_encodings debe aprobar la prueba de comprobaci n de codificaciones 4 Compruebe la sintaxis del archivo y convi rtalo en el archivo label_encodings activo Use la l nea de comandos a Abra una ventana de terminal b Ejecute el comando chk_encodings usr sbin chk_encodings full pathname of label encodings file Lea el resultado y realice una de las siguientes acciones Corrija los errores Si el comando informa errores stos se deben corregir antes de continuar Para obtener ayuda consulte el Cap tulo 3 Making a Label Encodings File Tasks de Oracle Solaris Trusted Extensions Label Administration 52 Gu a de configuraci
224. r usuarios y roles consulte Creaci n de roles y usuarios en Trusted Extensions en la p gina 90 Para ponerse en contacto con una consola Solaris Management Console remota realice las siguientes operaciones en ambos sistemas a Agregue la direcci n IP y el nombre de host del otro sistema al archivo etc hosts usr dt bin trusted_edit etc hosts 127 0 0 1 localhost 192 168 66 66 local system name loghost 192 168 66 12 remote system name b Para permitirla asunci n de roles remotos modifique el archivo pam conf para flexibilizar la pol tica de m dulos de autentificaci n enlazables PAM Plugable Authentication Modules i Copieelarchivo etc pam conf en etc pam conf orig cp etc pam conf etc pam conf orig ii En el editor de confianza abra el archivo pam conf usr dt bin trusted_edit etc pam conf iii Copie las entradas predeterminadas en la secci n de gesti n de cuentas iv En cada entrada copiada cambie other por smcconsole Gu a de configuraci n de Oracle Solaris Trusted Extensions Agosto de 2011 Configuraci n de un sistema sin perif ricos en Trusted Extensions mapa de tareas Ejemplo 6 1 Antes de empezar v Alaentrada copiada pam_roles so 1 agr guele allow_remote Utilice la tecla Tab entre los campos Esta secci n ahora tiene un aspecto similar al siguiente Solaris Management Console definition for Account management smcconsole account requisite pam_roles
225. ra la zona global es el nombre del host La direcci n IP de una zona con etiquetas tiene un nombre de host diferente Adem s la direcci n IP de las zonas con etiquetas se comparte con la zona global Cuando se utiliza esta configuraci n las zonas con etiquetas se pueden conectar con una impresora de red Consejo Utilice una convenci n de denominaci n est ndar para las zonas con etiquetas Por ejemplo agregue zonas al nombre del host Opcional En una ventana de terminal verifique los resultados de la acci n ifconfig a Gu a de configuraci n de Oracle Solaris Trusted Extensions Agosto de 2011 Asociaci n de interfaces de red con zonas mediante acciones de CDE mapa de tareas Por ejemplo el siguiente resultado muestra una interfaz l gica compartida hme0 3 en la interfaz de red 192 168 0 12 para las zonas con etiquetas La interfaz hme0 es la direcci n IP nica de la zona global lo0 flags 2001000849 lt UP LOOPBACK RUNNING MULTICAST IPv4 VIRTUAL gt mtu 8232 index 1 inet 127 0 0 1 netmask ff000000 ether 0 0 00 00 00 0 hme0 flags 1000843 lt BROADCAST RUNNING MULTICAST IPv4 gt mtu 1500 index 2 inet 192 168 0 11 netmask fffffe00 broadcast 192 168 0 255 hme0 3 flags 1000843 lt BROADCAST RUNNING MULTICAST IPv4 gt mtu 1500 index 2 all zones inet 192 168 0 12 netmask fffffe00 broadcast 192 168 0 255 A partir de la versi n Solaris 10 10 08 la interfaz de bucle de retorno 100 tambi n es una interfaz all
226. rales que se aplican a todos los usuarios del sistema Informe al personal de gesti n y administraci n sobre la pol tica de seguridad del sitio Todo el personal que participa en la gesti n y administraci n del sitio debe estar familiarizado con la pol tica de seguridad Las pol ticas de seguridad no se deben poner a disposici n de los usuarios comunes porque esta informaci n de la pol tica est directamente relacionada con la seguridad de los sistemas inform ticos Informe a los usuarios sobre la pol tica de seguridad y el software de Trusted Extensions Todos los usuarios deben estar familiarizados con la Gu a del usuario de Oracle Solaris Trusted Extensions Debido a que los usuarios generalmente son los primeros en saber cu ndo un sistema no est funcionando normalmente el usuario debe familiarizarse con el 145 Pol tica de seguridad del sitio y Trusted Extensions sistema e informar sobre los problemas a un administrador del sistema Un entorno seguro requiere que los usuarios notifiquen a los administradores del sistema inmediatamente si notan alguna de las siguientes irregularidades Una discrepancia en la fecha y hora del ltimo inicio de sesi n que se informa al principio de cada sesi n Un cambio poco com n en los datos de un archivo Una copia impresa legible perdida o robada La incapacidad de utilizar una funci n de usuario Aplique la pol tica de seguridad Si la pol tica de seguridad no se resp
227. rface Create Logical Interface Create an interface to use for sharing m Siel sistema tiene una direcci n IP vaya al Paso 4 m Siel sistema tiene dos direcciones IP vaya al Paso 5 En un sistema con una direcci n IP comparta la interfaz f sica En esta configuraci n la direcci n IP del host se aplica a todas las zonas Por lo tanto la direcci n del host es la direcci n all zones Este host no se puede utilizar como un servidor de Cap tulo 4 Configuraci n de Trusted Extensions tareas 69 Creaci n de zonas con etiquetas 70 varios niveles Por ejemplo los usuarios no pueden compartir archivos de este sistema El sistema no puede ser un servidor proxy LDAP un servidor de directorio principal NES ni un servidor de impresi n a Seleccione Share y haga clic en OK b Haga clic en OK en el cuadro de di logo que muestra la interfaz compartida eri0 all zones 10 10 9 8 cipso Up Si realiz todo correctamente la interfaz f sica ser una interfaz all zones Contin e con Asignaci n de nombre y etiquetado de zona en la p gina 72 En un sistema con dos direcciones IP cree una interfaz l gica A continuaci n comparta la interfaz f sica sta es la configuraci n de red de Trusted Extensions m s sencilla En esta configuraci n la direcci n IP principal puede ser utilizada por otros sistemas para llegar a cualquier zona de este sistema y la interfaz l gica es espec fica de la zona para la zo
228. rimer n mero es un parche para SPARC El segundo n mero es un parche para X86 138874 05 138875 05 parche de conmutaci n de servicio de nombres LDAP PAM nativo 119313 35 119314 36 parche de WBEM 121308 21 121308 21 parche de Solaris Management Console 119315 20 119316 20 parche de las aplicaciones de gesti n de Solaris Encuentre los paquetes de Sun Java System Directory Server en el sitio web de Oracle Sun a Enla p gina de la puerta de enlace de software de Sun http www oracle com solaris haga clic en la ficha Get It b Haga clic en la casilla de verificaci n correspondiente a Sun Java Identity Management Suite c Haga clic en el bot n Submit d Sino est registrado reg strese e Inicie sesi n para descargar el software f Haga clic en Download Center en la parte superior izquierda de la pantalla g En Identity Management descargue el software m s reciente adecuado para su plataforma Instale los paquetes del servidor de directorios Responda a las preguntas utilizando la informaci n de Recopilaci n de informaci n para el servidor de directorios para LDAP en la p gina 117 Para obtener una lista completa de las Cap tulo 5 Configuraci n de LDAP para Trusted Extensions tareas 119 Configuraci n de Sun Java System Directory Server en un sistema Trusted Extensions 120 preguntas los valores predeterminados y las respuestas sugeridas consulte el Cap tulo 11 Confi
229. rio administrativas que se ejecutan en el sistema sin perif ricos en el sistema de escritorio Habilitaci n de la visualizaci n remota de interfaces gr ficas de usuario administrativas en la p gina 141 Opcional Habilite la inform tica en red virtual VNC Virtual Network Computing Desde cualquier cliente utiliza el servidor Xvnc en el sistema Trusted Extensions remoto para mostrar una sesi n de varios niveles al cliente C mo utilizar Xvnc para acceder de manera remota a un sistema Trusted Extensions de Procedimientos de administradores de Oracle Solaris Trusted Extensions Seleccione una configuraci n y un m todo de administraci n para configurar el sistema sin perif ricos Asuma un rol o convi rtase en superusuario para administrar el sistema remoto Uso de los comandos rlogin o ssh para iniciar sesi n y administrar un sistema sin perif ricos en Trusted Extensions en la p gina 142 Utilice Solaris Management Console en el sistema sin perif ricos Uso de una consola Solaris Management Console remota para administrar dentro del mbito Files en la p gina 140 Si no tiene ning n sistema de ventanas puede utilizar el inicio de sesi n en serie como superusuario Este procedimiento no es seguro No es necesario realizar ninguna configuraci n Nota Consulte su pol tica de seguridad para determinar qu m todos de administraci n remota est n perm
230. ris 8 el software de Solaris 10 y el software de Trusted Extensions En esta versi n el documento Novedades de SO Solaris proporciona una descripci n general de los cambios de Trusted Extensions Manual de referencia de Solaris Trusted Obsoleto Proporciona p ginas del comando man de Trusted Todos Extensions Extensions para las versiones Solaris 10 11 06 y Solaris 10 8 07 de Trusted Extensions Para esta versi n se incluyen p ginas del comando man de Trusted Extensions con las p ginas del comando man de Solaris Gu a del usuario de Oracle Solaris Describe las funciones b sicas de Trusted Extensions Esta gu a Usuarios finales Trusted Extensions contiene un glosario administradores y desarrolladores Solaris Trusted Extensions Installation Obsoleto Describe c mo planificar instalar y configurar Trusted Administradores y and Configuration for Solaris 10 11 06 Extensions para las versiones Solaris 10 11 06 y Solaris 108 07 de desarrolladores and Solaris 10 8 07 Releases Trusted Extensions Gu a de configuraci n de Oracle Solaris A partir de la versi n Solaris 10 5 08 describe c mo habilitar y Administradores y Trusted Extensions configurar inicialmente Trusted Extensions Sustituye Solaris desarrolladores Trusted Extensions Installation and Configuration Procedimientos de administradores de Muestra c mo realizar tareas de administraci n espec ficas Administradores y Oracle Solaris Trusted Extens
231. rnment customers are commercial computer software or commercial technical data pursuant to the applicable Federal Acquisition Regulation and agency specific supplemental regulations As such the use duplication disclosure modification and adaptation shall be subject to the restrictions and license terms set forth in the applicable Government contract and to the extent applicable by the terms of the Government contract the additional rights set forth in FAR 52 227 19 Commercial Computer Software License December 2007 Oracle America Inc 500 Oracle Parkway Redwood City CA 94065 Este software o hardware se ha desarrollado para uso general en diversas aplicaciones de gesti n de la informaci n No se ha dise ado ni est destinado para utilizarse en aplicaciones de riesgo inherente incluidas las aplicaciones que pueden causar da os personales Si utiliza este software o hardware en aplicaciones de riesgo usted ser responsable de tomar todas las medidas apropiadas de prevenci n de fallos copia de seguridad redundancia o de cualquier otro tipo para garantizar la seguridad en el uso de este software o hardware Oracle Corporation y sus subsidiarias declinan toda responsabilidad derivada de los da os causados por el uso de este software o hardware en aplicaciones de riesgo Oracle y Java son marcas comerciales registradas de Oracle y o sus subsidiarias Todos los dem s nombres pueden ser marcas comerciales de sus respectivos propietarios
232. robar e instalar antes de iniciar otras tareas de configuraci n Si su sitio no tiene un archivo label_encodings puede usar el archivo predeterminado que suministra Sun Sun tambi n suministra otros archivos label_encodings que puede encontrar en el directorio etc security tsol Los archivos de Sun son archivos de demostraci n Es posible que no sean adecuados para los sistemas de producci n Para personalizar un archivo para su sitio consulte Oracle Solaris Trusted Extensions Label Administration A partir de la lista de etiquetas del archivo label_encodings realice una lista de las zonas con etiquetas que necesita crear En la siguiente tabla se muestran los nombres de etiqueta y los nombres de zona sugeridos para el archivo label_encodings predeterminado Etiqueta Nombre de zona PUBLIC public CONFIDENTIAL INTERNAL internal CONFIDENTIAL NEED TO KNOW needtoknow CONFIDENTIAL RESTRICTED restricted Para facilitar el montaje de NFS el nombre de zona de una etiqueta determinada debe ser id ntico en todos los sistemas En algunos sistemas como los servidores de impresi n de varios niveles no es necesario instalar zonas con etiquetas No obstante si instala zonas con etiquetas en un servidor de impresi n los nombres de zona deben ser id nticos a los nombres de zona que figuran en los dem s sistemas de la red Decida cu ndo crear roles Seg n la pol tica de seguridad del sitio es posible que deba asumir un rol p
233. s Para ejecutar el proceso sysidcfg de manera no interactiva puede realizar una de las siguientes acciones a Especifique la opci n Initialize para la secuencia de comandos usr sbin txzonemgr La opci n Initialize permite proporcionar valores predeterminados para las preguntas de sysidcfg m Escriba su propia secuencia de comandos sysidcfg Para obtener m s informaci n consulte la p gina del comando man sysidcfg 4 Verifique que el servidor X est disponible para la zona Inicie sesi n en la zona con etiquetas Defina la variable DISPLAY para que apunte al servidor X y abra una ventana DISPLAY global zone hostname n n export DISPLAY usr openwin bin xclock Si no aparece una ventana con etiquetas la configuraci n de las redes de zona no se realiz correctamente para esa zona con etiquetas Nota Si est ejecutando Trusted CDE a partir de la versi n Solaris 10 5 09 consulte Resoluci n de enrutamiento de zona local a zona global en Trusted CDE en la p gina 163 a Configure el nombre de host de la zona con el servicio de nombres El archivo etc hosts local de la zona no se utiliza En su lugar se debe especificar informaci n equivalente en la zona global o en el servidor LDAP La informaci n debe incluir la direcci n IP del nombre de host asignado a la zona Nose especific ninguna interfaz all zones A menos que todas las zonas tengan direcciones IP en la misma subred que la zona g
234. s Si tiene pensado clonar zonas cree una partici n de 2000 MB para la agrupaci n ZFS Para los archivos de auditor a es recomendable crear una partici n dedicada v Preparaci n de un sistema Solaris instalado para Trusted Extensions Antes de empezar Esta tarea se aplica a los sistemas Solaris que se han estado utilizando y en los que tiene previsto ejecutar Trusted Extensions Adem s para ejecutar Trusted Extensions en un sistema Solaris actualizado siga este procedimiento Otras tareas que pueden modificar un sistema Solaris instalado se pueden realizar durante la configuraci n de Trusted Extensions Trusted Extensions no se puede habilitar en algunos entornos Solaris m Siel sistema forma parte de un cl ster Trusted Extensions no se puede habilitar en el sistema Nose admite la habilitaci n de Trusted Extensions en un entorno de inicio alternativo EI Trusted Extensions s lo se puede habilitar en el entorno de inicio actual Si hay zonas no globales instaladas en el sistema elim nelas O bien puede volver a instalar el SO Solaris Si va a volver a instalar el SO Solaris siga las instrucciones de Instalaci n de un sistema Solaris para la compatibilidad con Trusted Extensions en la p gina 40 Trusted Extensions utiliza las zonas con marca Si el sistema no tiene una contrase a de usuario root cree una Las herramientas de administraci n de Trusted Extensions requieren contrase as Si
235. s cree una zona para la etiqueta SANDBOX PLAYGROUND Como SANDBOX PLAYGROUND se define como una etiqueta separada para los desarrolladores s lo los sistemas que utilizan los desarrolladores necesitan una zona para esta etiqueta a No cree una zona para la etiqueta MAX LABEL que se define como una acreditaci n b Haga clicen OK El cuadro de di logo muestra nombre_zona configured encima de un lista de tareas 2 Para etiquetar la zona elija una de las siguientes opciones m Siest utilizando un archivo label_encodings personalizado etiquete la zona con la herramienta Trusted Network Zones a Abra la herramienta Trusted Network Zones en Solaris Management Console i Inicie Solaris Management Console usr sbin smc ii Abra la caja de herramientas de Trusted Extensions para el sistema local Seleccione Console gt Open Toolbox Seleccione la caja de herramientas que se denomina This Computer este host Scope Files Policy TSOL Haga clic en Open iii En System Configuration navegue hasta Computers and Networks Escriba una contrase a cuando se le solicite Cap tulo 4 Configuraci n de Trusted Extensions tareas 73 Creaci n de zonas con etiquetas 74 iv Haga doble clic en la herramienta Trusted Network Zones b Asocie la etiqueta correspondiente al nombre de zona de cada zona i Elija Action gt Add Zone Configuration El cuadro de di logo muestra el nombre de una zona que no tiene
236. s de datos de Trusted Extensions se puedan ver en el servidor proxy ldaplist l database Para conocer estrategias de resoluci n de problemas de configuraci n LDAP consulte el Cap tulo 13 LDAP Troubleshooting Reference de System Administration Guide Naming and Directory Services DNS NIS and LDAP Configuraci n de Solaris Management Console para LDAP mapa de tareas Solaris Management Console es la interfaz gr fica de usuario para administrar la red de los sistemas que ejecutan Trusted Extensions Tarea Descripci n Para obtener instrucciones Inicialice Solaris Inicialice Solaris Management Console Este Tnicializaci n del servidor de Solaris Management Console procedimiento se realiza una vez por sistema en la zona Management Console en Trusted global Extensions en la p gina 59 128 Gu a de configuraci n de Oracle Solaris Trusted Extensions Agosto de 2011 Configuraci n de Solaris Management Console para LDAP mapa de tareas Tarea Descripci n Para obtener instrucciones Registre las credenciales Autentique Solaris Management Console en el servidor LDAP Registro de las credenciales LDAP en Solaris Management Console en la p gina 129 Habilite la administraci n remota en un sistema De manera predeterminada un cliente de Solaris Management Console no se puede comunicar con un servidor de consola de otro sistema Debe habilitar expl citamente la adm
237. s existente Cuando se complete la instalaci n se le solicitar el nombre del host Se proporciona un nombre Acepte el nombre del host El cuadro de di logo muestra nombre_zona installed encima de una lista de tareas Si aparecen advertencias similares a la siguiente Installation of these packages generated errors SUNWnombre_paquete lea el registro de instalaci n y termine de instalar los paquetes Inicie la zona con etiquetas Debe ser superusuario de la zona global La zona debe estar instalada y tener asignada una interfaz de red Aparece el cuadro de di logo Labeled Zone Manager con el subt tulo nombre_zona installed Para abrir esta interfaz gr fica de usuario consulte Ejecuci n de la secuencia de comandos txzonemgr en la p gina 67 Cap tulo 4 Configuraci n de Trusted Extensions tareas 75 Creaci n de zonas con etiquetas 76 Errores m s frecuentes En Labeled Zone Manager seleccione Zone Console y haga clic en OK Aparece una ventana de consola independiente para la zona con etiquetas actual Seleccione Boot Zone Terminal Console realiza un seguimiento del progreso del inicio de la zona Si la zona se crea desde el principio en la consola aparecen mensajes similares a los siguientes Connected to zone public console NOTICE Zone booting up Hostname zone name Loading smf 5 service descriptions number total Creating new rsa public private host key pair Creating new dsa
238. s requisitos para Trusted Extensions Para las opciones de configuraci n que afectan a Trusted Extensions consulte Preparaci n de un sistema Solaris instalado para Trusted Extensions en la p gina 41 Instalaci n de un sistema Solaris para la compatibilidad con Trusted Extensions Esta tarea se aplica a las instalaciones realizadas desde cero del SO Solaris Si va a realizar una actualizaci n consulte Preparaci n de un sistema Solaris instalado para Trusted Extensions en la p gina 41 O Alinstalar el SO Solaris realice la acci n recomendada en las siguientes opciones de instalaci n Las opciones siguen el orden de las preguntas de instalaci n de Solaris Las preguntas de instalaci n que no se mencionan en esta tabla no afectan a Trusted Extensions Opci n de Solaris Comportamiento de Trusted Extensions Acci n recomendada Servicio de nombres NIS Servicio de nombres NIS Trusted Extensions admite archivos y LDAP para un servicio de nombres Para la resoluci n de nombre de host se puede utilizar DNS No elija NIS ni NIS Puede no elegir ninguno lo que equivale a elegir archivos M s adelante puede configurar LDAP para que funcione con Trusted Extensions Actualizar Trusted Extensions instala zonas con etiquetas con caracter sticas de seguridad espec ficas Si va a realizar una actualizaci n vaya a Preparaci n de un sistema Solaris instalado para Trusted Extensions
239. satisfactoriamente la secci n Adici n de una interfaz de red para enrutar una zona con etiquetas existente en la p gina 82 Gu a de configuraci n de Oracle Solaris Trusted Extensions Agosto de 2011 Adici n de interfaces de red y rutas a zonas con etiquetas Para utilizar esta configuraci n es necesario tener conocimientos avanzados sobre redes Si tiene el servicio de nombres LDAP debe establecer la conexi n de cliente LDAP a cada zona con etiquetas El daemon nscd almacena la informaci n del servicio de nombres en la antememoria pero no la env a Si est utilizando LDAP verifique una ruta al servidor LDAP desde la zona con etiquetas En una ventana de terminal de cada zona con etiquetas ejecute el siguiente comando zone name netstat rn En la zona global inicie Labeled Zone Manager usr sbin txzonemgr Seleccione la opci n Configure per zone name service y haga clic en OK Esta opci n est dise ada que ser utilizada una vez durante configuraci n inicial del sistema Configure el servicio nscd de cada zona Para obtener ayuda consulte las p ginas del comando man nscd 1M y nscd conf 4 Reinicie el sistema Para cada zona verifique la ruta y el daemon de servicio de nombres a En la consola de zona muestre el servicio nscd zone name svcs x name service cache svc system name service cache default name service cache State online since October 10 2010 10 10 10 AM PDT See nscd 1
240. segunda direcci n IP para zonas con etiquetas getent hosts machinel zones 192 168 0 12 machinel zones Recopile la informaci n de la configuraci n de LDAP Para el servidor LDAP que est ejecutando el software de Trusted Extensions se necesita la siguiente informaci n a El nombre del dominio de Trusted Extensions al que presta servicio el servidor LDAP a Ladirecci n IP del servidor LDAP El nombre del perfil LDAP que se cargar Para un servidor proxy LDAP tambi n necesita la contrase a para el proxy LDAP Toma de decisiones relacionadas con el sistema y la seguridad antes de habilitar Trusted Extensions En cada sistema en el que se va a configura Trusted Extensions tome estas decisiones de configuraci n antes de habilitar el software Decida el grado de seguridad con el que se debe proteger el hardware del sistema En un sitio seguro este paso se realiza para cada sistema Solaris instalado m Para los sistemas basados en SPARC se ha proporcionado una contrase a y un nivel de seguridad PROM m Para los sistemas x86 el BIOS est protegido Gu a de configuraci n de Oracle Solaris Trusted Extensions Agosto de 2011 Recopilaci n de informaci n y toma de decisiones antes de habilitar Trusted Extensions a En todos los sistemas el usuario root est protegido con una contrase a Prepare el archivo label_encodings Si tiene un archivo label_encodings espec fico del sitio el archivo se debe comp
241. so 1 allow remote smcconsole account required pam_unix_account so 1 smcconsole account required pam tsol_account so 1 Default definition for Account management Used when service name is not explicitly mentioned for account management other account requisite pam_roles so 1 other account required pam_unix_account so 1 other account required pam tsol_account so 1 vi Guarde el archivo y salga del editor vii Opcional Copie el archivo en etc pam conf site cp etc pam conf etc pam conf site Si actualiza el sistema a una versi n posterior deber evaluar si debe copiar los cambios del archivo etc pam conf site en el archivo pam conf Creaci n de una definici n temporal de un tipo de host de Trusted Extensions En este ejemplo el administrador desea empezar a configurar un sistema Trusted Extensions remoto antes de que se configuren las definiciones de tipo de host Para ello el administrador utiliza el comando tnct1 en el sistema remoto con el objetivo de definir de manera temporal el tipo de host del sistema de escritorio remote TX tnctl h desktop TX cipso M s tarde el administrador desea acceder al sistema Trusted Extensions remoto desde un sistema de escritorio en el que no est configurado Trusted Extensions En este caso el administrador utiliza el comando tnctl en el sistema remoto para definir de manera temporal el tipo de host del sistema de escritorio como un sistema sin etiquetas que se ejecuta en l
242. st n definidos correctamente m Description aqu no se introduce informaci n de propiedad exclusiva ma Password and confirm asigne una contrase a de al menos 6 caracteres alfanum ricos Nota Cuando el equipo de configuraci n inicial elige una contrase a debe seleccionar una contrase a que sea dif cil de adivinar De esta manera se reduce la posibilidad de que un adversario obtenga acceso no autorizado al intentar adivinar las contrase as a Account Availability Always Available m Trusted Extensions Attributes los valores predeterminados son correctos Para un sistema de una sola etiqueta en el que las etiquetas no deben estar visibles elija Hide para Label Show or Hide Account Usage defina Idle time y Idle action Lock account defina No para cualquier usuario que pueda asumir un rol Cierre Solaris Management Console Personalice el entorno de usuario a Asigne autorizaciones convenientes Despu s de comprobar la pol tica de seguridad del sitio es posible que desee otorgar a los primeros usuarios el perfil de derechos de autorizaciones convenientes Con este perfil puede permitir que los usuarios asignen dispositivos impriman archivos PostScript impriman sin etiquetas inicien sesi n de manera remota y cierren el sistema Para crear el Cap tulo 4 Configuraci n de Trusted Extensions tareas 97 Creaci n de roles y usuarios en Trusted Extensions 98 Ejemplo 4 7 perfil consulte C
243. sta secci n se detalla la planificaci n que se necesita antes de habilitar y configurar el software de Trusted Extensions Comprensi n de Trusted Extensions en la p gina 20 Comprensi n de la pol tica de seguridad del sitio en la p gina 20 Dise o de una estrategia de administraci n para Trusted Extensions en la p gina 21 Dise o de una estrategia de etiqueta en la p gina 22 Planificaci n del hardware y la capacidad del sistema para Trusted Extensions en la p gina 23 Planificaci n de la red de confianza en la p gina 23 Planificaci n de zonas en Trusted Extensions en la p gina 24 Planificaci n de acceso de varios niveles en la p gina 26 Planificaci n del servicio de nombres LDAP en Trusted Extensions en la p gina 27 Planificaci n de la auditor a en Trusted Extensions en la p gina 27 Planificaci n de la seguridad del usuario en Trusted Extensions en la p gina 27 Dise o de una estrategia de configuraci n para Trusted Extensions en la p gina 29 Resoluci n de problemas adicionales antes de habilitar Trusted Extensions en la p gina 30 Realizaci n de copia de seguridad del sistema antes de habilitar Trusted Extensions en la p gina 31 Planificaci n de la seguridad en Trusted Extensions 20 Para obtener una lista de comprobaci n de las tareas de configuraci n de Trusted Extensions consulte el Ap ndice C Lista de comprobaci n de co
244. ste procedimiento el explorador de archivos se utiliza para hacer referencia a esta interfaz gr fica de usuario Inserte el medio que contiene los archivos administrativos Si el sistema tiene un archivo con el mismo nombre copie el archivo original y as gnele un nombre nuevo Por ejemplo agregue orig al final del archivo original cp etc security tsol tnrhtp etc security tsol tnrhtp orig Abra un explorador de archivos Navegue hasta el directorio de destino deseado por ejemplo etc security tsol Para cada archivo que desee copiar realice lo siguiente a Enelexplorador de archivos para los medios montados resalte el icono del archivo b Acontinuaci n arrastre el archivo hasta el directorio de destino en el segundo explorador de archivos Gu a de configuraci n de Oracle Solaris Trusted Extensions Agosto de 2011 Tareas adicionales de configuraci n de Trusted Extensions 7 Ejemplo 4 10 Desasigne el dispositivo Para obtener detalles consulte C mo desasignar un dispositivo en Trusted Extensions de Gu a del usuario de Oracle Solaris Trusted Extensions Cuando se le solicite expulse y retire el medio Carga de archivos de configuraci n de auditor a en Trusted Extensions En este ejemplo los roles a n no est n configurados en el sistema El usuario root necesita copiar archivos de configuraci n en el medio port til El contenido de los medios luego se copiar a otros sistemas Estos arc
245. stem Directory Server en un sistema Trusted Extensions 10 Antes de empezar Agregue un puerto de varios niveles para el protocolo UDP a Haga clic en Add para Multilevel Ports for Zone s IP Addresses b Escriba 389 para el n mero de puerto c Seleccione el protocolo udp y haga clic en OK Haga clic en OK para guardar la configuraci n Actualice el n cleo tnctl fz etc security tsol tnzonecfg Rellenado de Sun Java System Directory Server Se han creado o modificado varias bases de datos LDAP para contener los datos de Trusted Extensions sobre la configuraci n de etiquetas los usuarios y los sistemas remotos Mediante este procedimiento se rellenan las bases de datos del servidor de directorios con la informaci n de Trusted Extensions Debe rellenar la base de datos desde un cliente LDAP en el que est habilitada la actualizaci n de shadow Para conocer los requisitos previos consulte Creaci n de un cliente LDAP para el servidor de directorios en la p gina 121 Si la seguridad del sitio requiere la separaci n de tareas realice lo siguiente antes de llenar el servidor de directorios m Creaci n de perfiles de derechos que aplican la separaci n de tareas en la p gina 90 m Creaci n del rol de administrador de la seguridad en Trusted Extensions en la p gina 93 m Creaci n de un rol de administrador del sistema restringido en la p gina 96 Cree un rea temporal para los archivos que pi
246. suarios dejan las puertas de acceso sin traba Ap ndice A Pol tica de seguridad del sitio 149 Referencias de seguridad adicionales Losusuarios pierden sus llaves m Losusuarios no bloquean los medios de almacenamiento extra bles Las pantallas de los equipos se pueden ver a trav s de ventanas exteriores Los cables de red tienen derivaciones Unaintercepci n electr nica captura las se ales emitidas por el equipo inform tico Interrupciones sobrevoltaje y picos de energ a el ctrica destruyen los datos Terremotos inundaciones tornados huracanes y rel mpagos destruyen los datos La interferencia de la radiaci n electromagn tica externa como una mancha solar desordena los archivos Referencias de seguridad adicionales 150 En las publicaciones del gobierno se describen detalladamente las normas las pol ticas los m todos y la terminolog a relacionados con la seguridad inform tica Otras publicaciones que se muestran aqu son las gu as para administradores de sistemas UNIX y son muy tiles para entender cabalmente los problemas y las soluciones de seguridad de UNIX La Web tambi n proporciona recursos En particular el sitio web de CERT http www cert org alerta a las empresas y los usuarios sobre brechas de seguridad en el software El sitio de SANS Institute http www sans org ofrece formaci n un amplio glosario de t rminos y una lista actualizada de las principales amenaz
247. sulte la p gina del comando man txzonemgr 1M Cap tulo 1 Planificaci n de la seguridad para Trusted Extensions 31 Resultados de la habilitaci n de Trusted Extensions desde la perspectiva de un administrador a Un editor de confianza permite alos administradores modificar los archivos administrativos locales En Trusted CDE la acci n Admin Editor invoca a un editor de confianza a Device Allocation Manager gestiona los dispositivos conectados Solaris Management Console proporciona herramientas basadas en Java para gestionar bases de datos administrativas locales y de red El uso de estas herramientas es necesario para gestionar la red las zonas y los usuarios de confianza 32 Gu a de configuraci n de Oracle Solaris Trusted Extensions Agosto de 2011 CAP TULO 2 Gu a b sica de configuraci n de Trusted Extensions En este cap tulo se detallan las tareas para habilitar y configurar el software de Trusted Extensions Mapa de tareas preparaci n de un sistema Solaris para Trusted Extensions Aseg rese de que el SO Solaris en el que tiene previsto ejecutar Trusted Extensions admita las funciones de Trusted Extensions que piensa utilizar Complete una de las dos tareas que se describen en el siguiente mapa de tareas Tarea Para obtener instrucciones Prepare la instalaci n de un sistema Solaris existente o actualizado para Trusted Extensions Preparaci n de un sistema Solaris instal
248. t net address 192 168 6 22 zonecfg secret net gt set defrouter 192 168 6 2 zonecfg secret net gt end zonecfg secret gt verify zonecfg secret gt commit zonecfg secret gt info net net address 192 168 6 22 physical qfel defrouter 192 168 6 2 zonecfg secret gt exit El administrador inicia la zona zoneadm z secret boot En una ventana de terminal independiente en la zona global el administrador verifica el env o y la recepci n de paquetes netstat rn Routing Table IPv4 Destination Gateway Flags Ref Use Interface default 192 168 5 15 UG dl 2664 qfe0 192 168 6 2 192 168 6 22 UG 1 240 qfel 192 168 3 3 192 168 3 33 U 1 183 qfel 0 127 0 0 1 127 0 0 1 UH 1 380 lo0 Configuraci n de una antememoria de servicio de nombres en cada zona con etiquetas Este procedimiento permite configurar por separado un daemon de servicio de nombres nscd en cada zona con etiquetas Esta configuraci n admite entornos en los que cada zona se conecta a una subred que se ejecuta en la etiqueta de la zona y la subred dispone de su propio servidor de nombres para esa etiqueta Nota Esta configuraci n no cumple con los criterios de una configuraci n evaluada En una configuraci n evaluada el daemon nscd s lo se ejecuta en la zona global Las puertas de cada zona con etiquetas conectan la zona al daemon nscd global Debe ser superusuario de la zona global El usuario root todav a no debe ser un rol Debe haber completado
249. taci n de Trusted Extensions en la p gina 46 Configure el sistema Para un sistema con un monitor consulte Mapa de tareas configuraci n de Trusted Extensions en la p gina 35 Para un sistema sin perif ricos consulte Configuraci n de un sistema sin perif ricos en Trusted Extensions mapa de tareas en la p gina 135 Para Sun Ray consulte la Sun Ray Server Software 4 1 Installation and Configuration Guide for the Solaris Operating System Para la versi n Sun Ray 5 consulte el sitio web de la documentaci n de Sun Ray Server 4 2 y Sun Ray Connector 2 2 http wikis sun com display SRS Home Juntos este servidor y cliente componen el paquete Sun Ray 5 Para configurar la comunicaci n inicial de cliente servidor consulte Configuraci n de bases de datos de red de confianza mapa de tareas de Procedimientos de administradores de Oracle Solaris Trusted Extensions Para un equipo port til vaya a la p gina web de seguridad de la comunidad de OpenSolaris http hub opensolaris org bin view Community Group security Haga clic en Trusted Extensions En la p gina de Trusted Extensions en la secci n Laptop Configurations haga clic en Laptop instructions Para evitar que las redes se comuniquen con la zona global configure la interfaz vni0 Para ver un ejemplo consulte Laptop instructions A partir de la versi n Solaris 10 10 08 no es necesario configurar la interfaz vni0 De ma
250. te de un rol en Trusted Extensions en la p gina 137 Habilitaci n del inicio de sesi n remoto por parte de un rol en Trusted Extensions Siga este procedimiento s lo si debe administrar un sistema sin perif ricos mediante el comando rlogino ssh Los errores de configuraci n se pueden depurar de manera remota Cap tulo6 Configuraci n de Trusted Extensions en un sistema sin perif ricos tareas 137 Configuraci n de un sistema sin perif ricos en Trusted Extensions mapa de tareas Antes de empezar 138 Si est utilizando archivos locales para administrar el sistema remoto debe haber completado la secci n Habilitaci n del inicio de sesi n remoto por parte del usuario root en Trusted Extensions en la p gina 137 Porlo tanto como usuario root realice esta tarea en ambos sistemas En ambos sistemas identifique al otro sistema como un sistema con etiquetas El sistema de escritorio y el sistema sin perif ricos deben poder identificar que ambos est n utilizando la misma plantilla de seguridad Para conocer el procedimiento consulte C mo asignar una plantilla de seguridad a un host o a un grupo de hosts de Procedimientos de administradores de Oracle Solaris Trusted Extensions Para asignar una etiqueta temporal consulte el Ejemplo 6 1 En ambos sistemas cree usuarios y roles id nticos Los nombres y los ID deben ser id nticos y el rol debe ser asignado al usuario en ambos sistemas Para crea
251. te el servidor LDAP La plantilla del host remoto de la red de confianza Esta base de datos define el conjunto de caracter sticas de etiquetas que se pueden asignar a un host remoto Se puede acceder a la base de datos mediante un archivo en etc security tsol tnrhtp o mediante el servidor LDAP tnrhtp la plantilla del host remoto de la red de confianza y tnrhdb la base de datos del host remoto de la red de confianza definen con qu host remoto se puede comunicar un sistema Trusted Extensions Un tipo de control de acceso discrecional en el que el propietario especifica un conjunto de bits para indicar qui n puede leer escribir o ejecutar un archivo o directorio Se asignan tres conjuntos de permisos a cada archivo o directorio uno para el propietario uno para el grupo del propietario y uno para todos los dem s Una recopilaci n de programas en Solaris Management Console En un host de Trusted Extensions los administradores utilizan cajas de herramientas Policy TSOL Cada caja de herramientas tiene programas que se pueden utilizar en el mbito de la caja de herramientas Por ejemplo la herramienta Trusted Network Zones que maneja la base de datos tnzonecfg del sistema s lo existe en la caja de herramientas Files porque su mbito siempre es local El programa de cuentas de usuario existe en todas las cajas de herramientas Para crear un usuario local el administrador utiliza la caja de herramientas Files y para crear un usuario de red
252. tensions Configuraci n de Trusted Extensions tareas oooonoinicidninininionncnnnmocncnnccrcrarrercanenns 49 Configuraci n de la zona global en Trusted Extensions coccion 49 Revisi n e instalaci n del archivo de codificaciones de etiquetas oconociononinnnnnmmmss 50 Y Habilitaci n de redes IPv6 en Trusted Extensi0WS sissiirisisiririiicenisiiisiiiiaisiiii 54 Y Configuraci n del dominio de interpretaci n coccion racer corren 54 W Creaci n de agrupaci n ZFS para clonar ZONAS conccionionionncnnonannnnnnnncin naaa raras 56 Y Reinicie e inicie sesi n en Trusted Extensions oocccnconioninnnnnnnnonnncncnnnncn ronca conan cn ronrnrcnncnns 57 Y Inicializaci n del servidor de Solaris Management Console en Trusted Extensions 59 Y Conversi n de la zona global en un cliente LDAP en Trusted Extensions oocicconconioninncnionioss 62 Creaci n de zonas Con Et QUEtaS did n aaea A a 66 Y Ejecuci n de la secuencia de comandos TXZONMeMQT sisiisisisssieriiisiesiisirisierinsiraiiisiisiiinieias 67 Y Configuraci n de las interfaces de red en Trusted Extensions omccononinnincnnncncacenancnss 68 Y Asignaci n de nombre y etiquetado de zona coccoinonnccnnononannenancanonenanenaconacincennneronerariees 72 Y Instalaci n de la z na CON EtIQUEt S viciicidonin iii iii inicia 74 y Inicie lla zona com etiquetas aii ao tdi 75 Y Verificaci n delest do dela Zna siii e jalo ina prada 77 V Personalizaci n de la zona CON etiQUEtaS cocoa carnero conca
253. tin e con Creaci n de roles y usuarios en Trusted Extensions en la p gina 90 Si ya ha creado roles contin e con Creaci n de directorios principales en Trusted Extensions en la p gina 101 Adici n de interfaces de red y rutas a zonas con etiquetas Las siguientes tareas se pueden realizar en entornos en los que cada zona est conectada a una red f sica independiente Tarea Descripci n Para obtener instrucciones PUEDE la agregar una interfaz de red a cada zona con etiquetas y utilizar la zona global para llegar a la red externa Conecta cada zona con etiquetas a una red f sica independiente Las zonas con etiquetas utilizan la ruta de red que proporciona la zona global Adici n de una interfaz de red para enrutar una zona con etiquetas existente en la p gina 82 Cap tulo 4 Configuraci n de Trusted Extensions tareas 81 Adici n de interfaces de red y rutas a zonas con etiquetas Tarea Descripci n Para obtener instrucciones O 1b agregar una interfaz de Conecta cada zona a una red f sica independiente Las Adici n de una interfaz de red que no red a cada zona con etiquetas zonas con etiquetas no utilizan la zona global para el utiliza la zona global para enrutar una con una ruta enrutamiento zona con etiquetas existente predeterminada en la p gina 84 2 Cree una antememoria de Configura un daemon de servicio de nombres para cada Co
254. tiquetas En un sistema Solaris en el que est configurado Trusted Extensions el editor de confianza se utiliza para crear y modificar los archivos administrativos El nombre de archivo no puede ser cambiado por el editor Asimismo el uso del editor se audita ylos comandos de escape de shell est n inhabilitados En Trusted CDE la acci n Admin Editor inicia el editor de confianza En Trusted JDS el comando usr dt bin trusted edit inicia el editor confianza Un equipo de al menos dos personas que juntas supervisan la habilitaci n y configuraci n del software de Trusted Extensions Un miembro del equipo es el responsable de las decisiones relacionada con la seguridad y el otro es el responsable de las decisiones relacionadas con la administraci n del sistema En un sistema Solaris en el que est configurado Trusted Extensions los usuarios pueden ejecutar un escritorio en una etiqueta determinada Si el usuario est autorizado para trabajar en m s de una etiqueta el usuario puede crear un espacio de trabajo independiente para trabajar en cada etiqueta En este escritorio de varios niveles los usuarios autorizados pueden cortar y pegar entre las ventanas en diferentes etiquetas recibir correo en diferentes etiquetas y ver y utilizar ventanas con etiquetas en los espacios de trabajo de una etiqueta diferente Gu a de configuraci n de Oracle Solaris Trusted Extensions Agosto de 2011 nombre de host etiqueta etiqueta CIPSO
255. tory Server existente puede crear un servidor proxy LDAP en un sistema que est ejecutando Trusted Extensions El servidor proxy de varios niveles maneja las comunicaciones con el servidor LDAP sin etiquetas m Sino tiene un servidor LDAP puede configurar un sistema que ejecute el software de Trusted Extensions como servidor LDAP de varios niveles Decida otras cuestiones de seguridad para cada sistema y para la red Por ejemplo quiz s desee tener en cuenta los siguientes problemas de seguridad m Determinar qu dispositivos se pueden conectar al sistema y asignar para su uso m Identificar a qu impresoras de qu etiquetas se puede acceder desde el sistema ma Identificar los sistemas que tienen un rango de etiquetas limitado como un sistema de puerta de enlace o un quiosco p blico m Identificar qu sistemas con etiquetas se pueden comunicar con determinados sistemas sin etiquetas Habilitaci n del servicio de Trusted Extensions 46 A partir de la versi n Solaris 10 5 08 Trusted Extensions es un servicio gestionado por la utilidad de gesti n de servicios SMF Service Management Facility El nombre del servicio es svc system labeld default De manera predeterminada el servicio labeld est inhabilitado Habilitaci n de Trusted Extensions El servicio label d anexa etiquetas a puntos finales de comunicaci n Por ejemplo se etiqueta lo siguiente m Todas las zonas y los directorios y archivos de cada zona m T
256. ty User Security Sila seguridad del sitio no requiere la separaci n de tareas seleccione el perfil de derechos de seguridad de la informaci n y el perfil de derechos predeterminado de seguridad de usuarios m ila seguridad del sitio requiere la separaci n de tareas seleccione el perfil de derechos de seguridad de la informaci n y el perfil de derechos de seguridad de usuarios personalizada Home Directory Server servidor de directorio de inicio Home Directory Path ruta de montaje 94 Gu a de configuraci n de Oracle Solaris Trusted Extensions Agosto de 2011 Creaci n de roles y usuarios en Trusted Extensions Ejemplo 4 6 Assign Users este campo se rellena autom ticamente al asignar un rol a un usuario Despu s de crear el rol compruebe que los valores sean correctos Seleccione el rol y a continuaci n haga doble clic en l Revise los valores de los siguientes campos Available Groups si es necesario agregue grupos Trusted Extensions Attributes los valores predeterminados son correctos Para un sistema de una sola etiqueta en el que las etiquetas no deben estar visibles elija Hide para Label Show or Hide a Audit Excluded and Included establezca indicadores auditor a s lo silos indicadores de auditor a del rol son excepciones a la configuraci n del sistema en el archivo audit_control Para crear otros roles utilice el rol de administrador de la seguridad como gu a Para obtener
257. uraci n de LDAP para Trusted Extensions tareas proporciona instrucciones sobre la configuraci n de LDAP para Trusted Extensions En el Cap tulo 6 Configuraci n de Trusted Extensions en un sistema sin perif ricos tareas se describe c mo configurar y administrar el software de Trusted Extensions en un sistema sin perif ricos En el Ap ndice A Pol tica de seguridad del sitio se aborda la pol tica de seguridad del sitio y se coloca a Trusted Extensions en el contexto de una seguridad de sitio y organizativa m s amplia En el Ap ndice B Uso de acciones de CDE para instalar zonas en Trusted Extensions se describe c mo configurar zonas con etiquetas con acciones de Trusted CDE El Ap ndice C Lista de comprobaci n de configuraci n de Trusted Extensions proporciona una lista de comprobaci n de configuraci n para el equipo de configuraci n inicial En el Glosario se definen los t rminos y las frases que se utilizan en esta gu a 14 Gu a de configuraci n de Oracle Solaris Trusted Extensions Agosto de 2011 Prefacio C mo se organizan las gu as de Trusted Extensions En la siguiente tabla se muestran los temas que se tratan en las gu as de Trusted Extensions y los destinatarios de cada gu a T tulo de la gu a Temas Destinatarios Solaris Trusted Extensions Transition Obsoleto Proporciona una descripci n general de las diferencias Todos Guide entre el software de Trusted Sola
258. utenticarse en el dep sito LDAP Con pam_unix las operaciones de contrase a y por consiguiente las directivas de contrase a son determinadas por el cliente En concreto la pol tica establecida por el servidor LDAP no se utiliza Para los par metros de contrase a que puede establecer en el cliente consulte Gesti n de informaci n de contrase as de Gu a de administraci n del sistema servicios de seguridad Para obtener informaci n sobre pam_unix consulte la p gina del comando man pam conf 4 Gu a de configuraci n de Oracle Solaris Trusted Extensions Agosto de 2011 Configuraci n de Sun Java System Directory Server en un sistema Trusted Extensions Nota El uso de pam_ldap en un cliente LDAP no es una configuraci n evaluada para Trusted Extensions Antes de instalar los paquetes del servidor de directorios agregue el nombre de dominio completo FQDN a la entrada del nombre de host del sistema El FQDN es el nombre de dominio completo Este nombre es una combinaci n del nombre de host y el dominio de administraci n como en el siguiente ejemplo etc hosts 192 168 5 5 myhost myhost example domain com En un sistema que se ejecute en una versi n anterior a Solaris 10 8 07 agregue entradas IPv4 e IPv6 en el archivo etc inet ipnodes Las entradas de un sistema deben ser contiguas en el archivo Si no est ejecutando la ltima versi n del SO Solaris debe tener los siguientes parches instalados El p
259. veces cada parte de la direcci n IP es un n mero entre 0 y 225 Sin embargo el primer n mero debe ser menor que 224 y el ltimo n mero no puede ser 0 Las direcciones IP se dividen l gicamente en dos partes la red y el sistema de la red El n mero de red es similar a un c digo de rea de tel fono En relaci n con la red el n mero de sistema es similar a un n mero de tel fono Entre los dispositivos se incluyen impresoras equipos unidades de cinta unidades de disquete unidades de CD ROM unidades de DVD dispositivos de audio y dispositivos pseudoterminales internos Los dispositivos est n sujetos a la pol tica MAC de lectura y escritura en el mismo nivel El acceso a los dispositivos extra bles como las unidades de DVD est controlado por la asignaci n de dispositivos Parte de la jerarqu a de nombres de Internet Representa un grupo de sistemas de una red local que comparten los archivos administrativos En un sistema Solaris en el que est configurado Trusted Extensions el dominio de interpretaci n se utiliza para distinguir los distintos archivos label_encodings que pueden tener etiquetas similares definidas El DOI es un conjunto de reglas que convierte los atributos de seguridad de los paquetes de red en la representaci n de esos atributos de seguridad seg n el archivo local label_encodings Cuando los sistemas tienen el mismo DOI comparten el mismo conjunto de reglas y pueden traducir los paquetes de red con e
260. vo Solaris Trusted Extensions se ejecuta en el SO Solaris Como el software de Trusted Extensions puede modificar el SO Solaris Trusted Extensions puede necesitar una configuraci n espec fica para las opciones de instalaci n de Solaris Para obtener detalles consulte el Cap tulo 3 Adici n del software de Trusted Extensions al SO Solaris tareas Adem s las gu as de Trusted Extensions complementan las gu as de Solaris Como administrador necesita tener acceso a las gu as de Solaris y a las gu as de Trusted Extensions Organizaci n de este manual En el Cap tulo 1 Planificaci n de la seguridad para Trusted Extensions se describen los problemas de seguridad que debe tener en cuenta al configurar el software de Trusted Extensions en uno o varios sistemas de Solaris El Cap tulo 2 Gu a b sica de configuraci n de Trusted Extensions contiene mapas de tareas para agregar el software de Trusted Extensions a los sistemas de Solaris El Cap tulo 3 Adici n del software de Trusted Extensions al SO Solaris tareas proporciona instrucciones para la preparaci n de un sistema de Solaris para el software de Trusted Extensions Tambi n incluye instrucciones sobre la habilitaci n de Trusted Extensions El Cap tulo 4 Configuraci n de Trusted Extensions tareas proporciona instrucciones sobre la configuraci n del software de Trusted Extensions en un sistema con un supervisor El Cap tulo 5 Config
261. vos del directorio tmp jan usr sbin ldapaddent D cn directory manager w a2b3c4d5e6 Y a simple f tmp jan aliases aliases usr sbin ldapaddent D cn directory manager w a2b3c4d5e6 Y a simple f tmp jan auto_home_internal auto_home_internal usr sbin ldapaddent D cn directory manager w a2b3c4d5e6 Y a simple f tmp jan passwd passwd usr sbin ldapaddent D cn directory manager w a2b3c4d5e6 Y a simple f tmp jan shadow shadow usr sbin ldapaddent D cn directory manager w a2b3c4d5e6 Y a simple f tmp jan user_attr user_attr Resoluci n de los problemas de configuraci n de Trusted Extensions 106 En Trusted Extensions las zonas con etiquetas se comunican con el servidor X mediante la zona global Por lo tanto las zonas con etiquetas debe tener rutas utilizables a la zona global Adem s las opciones que se seleccionaron durante una instalaci n de Solaris pueden impedir que Trusted Extensions utilice interfaces para acceder a la zona global Gu a de configuraci n de Oracle Solaris Trusted Extensions Agosto de 2011 Resoluci n de los problemas de configuraci n de Trusted Extensions netservices limited se ejecut despu s de que se habilit Trusted Extensions Descripci n En lugar de ejecutar el comando netservices limited antes de habilitar Trusted Extensions ejecut el comando en la zona global posteriormente Por lo tanto las zonas con etiquetas no se pueden conectar al servidor
262. xtensions Dise o de una estrategia de configuraci n para Trusted Extensions Permitir que el usuario root configure el software de Trusted Extensions no es una estrategia segura A continuaci n se describen las estrategias de configuraci n de la estrategia m s segura a la menos segura m Un equipo de dos personas configura el software El proceso de configuraci n es auditado Dos personas est n en el equipo cuando se habilita el software En una fase temprana del proceso de configuraci n este equipo crea roles y usuarios locales que pueden asumir dichos roles El equipo tambi n configura la auditor a para auditar los eventos ejecutados por los roles Una vez que se asignan los roles a los usuarios y se reinicia el equipo el software aplica la divisi n de tareas por rol La pista de auditor a proporciona un registro del proceso de configuraci n Para ver una ilustraci n de un proceso de configuraci n seguro consulte la Figura 1 1 Nota Si la seguridad del sitio requiere la separaci n de tareas un administrador de confianza completa la secci n Creaci n de perfiles de derechos que aplican la separaci n de tareas en la p gina 90 antes de crear usuarios o roles En esta configuraci n personalizada un rol gestiona la seguridad incluidos los atributos de seguridad de los usuarios El otro rol gestiona los atributos no relacionados con la seguridad de los sistemas y los usuarios Una persona habilita y configura e
263. z familiar cese con las opciones de etiqueta y el escritorio de Trusted Extensions Para obtener detalles consulte el Cap tulo 2 Inicio de sesi n en Trusted Extensions tareas de Gu a del usuario de Oracle Solaris Trusted Extensions Reinicie el sistema usr sbin reboot Cap tulo 4 Configuraci n de Trusted Extensions tareas 57 Configuraci n de la zona global en Trusted Extensions 58 3 Si el sistema no tiene una visualizaci n gr fica vaya al Cap tulo 6 Configuraci n de Trusted Extensions en un sistema sin perif ricos tareas Inicie sesi n como superusuario en el escritorio de Solaris Trusted Extensions CDE o Solaris Trusted Extensions JDS a Enla ventana de inicio de sesi n seleccione uno de los escritorios de confianza El escritorio de Trusted CDE contiene acciones que son tiles para la configuraci n del sistema A partir de la versi n Solaris 10 10 08 la secuencia de comandos txzonemgr es el programa preferido para la configuraci n del sistema b En el cuadro de di logo de inicio de sesi n escriba el usuario root y la contrase a de usuario root Los usuarios no deben revelar sus contrase as a otra persona ya que esa persona podr a acceder a los datos del usuario sin que se la pueda identificar claramente ni responsabilizar Tenga en cuenta que la divulgaci n puede ser directa si el usuario revela su contrase a deliberadamente a otra persona o indirecta si el usuar
264. zona global La acci n se habr completado una vez que aparezca la siguiente informaci n zone name zone will be LDAP client of IP address zone name is ready for booting Zone label is LABEL Select Close or Exit from the window menu to close this window Si no utiliza LDAP inicialice la zona manualmente realizando uno de los siguientes pasos El procedimiento manual en Trusted Extensions es id ntico al procedimiento para SO Solaris Si el sistema tiene al menos una interfaz all zones el nombre de host para todas las zonas debe coincidir con el nombre de host de la zona global En general las respuestas a las preguntas durante la inicializaci n de la zona son las mismas que las respuestas para la zona global Ap ndice B Uso de acciones de CDE para instalar zonas en Trusted Extensions 161 Creaci n de zonas con etiquetas mediante acciones de CDE mapa de tareas 162 Errores m s frecuentes Proporcione la informaci n del host realizando una de las siguientes acciones m Despu s de iniciar la zona en el Paso 3 responda a las preguntas sobre las caracter sticas del sistema en Zone Terminal Console Las respuestas se utilizan para rellenar el archivo sysidcfg en la zona Nota Debe asegurarse de que exista una ruta para el escritorio Trusted CDE desde la zona con etiquetas hasta la zona global Para conocer el procedimiento consulte Resoluci n de enrutamiento de zona local a zona global en Trusted CDE
265. zonas en lugar de actualizarlas este m todo puede ser una buena elecci n Este m todo puede ser til en los sistemas cuyo contenido no es vol til puesto que el sistema se puede volver a instalar r pidamente con un estado utilizable Este m todo no se admite Las zonas que se creen con este m todo no se podr n actualizar cuando surja una versi n posterior del sistema operativo 25 Planificaci n de la seguridad en Trusted Extensions 26 Las zonas de Oracle Solaris afectan la instalaci n del paquete y la aplicaci n de parches Para obtener m s informaci n consulte las siguientes referencias El Cap tulo 25 About Packages and Patches on a Solaris System With Zones Installed Overview de System Administration Guide Oracle Solaris Containers Resource Management and Oracle Solaris Zones m Preguntas frecuentes sobre zonas y contenedores de Solaris http hub opensolaris org bin view community group zones faq Planificaci n de acceso de varios niveles Normalmente los servicios de impresi n y NFS est n configurados como servicios de varios niveles Para acceder a los servicios de varios niveles un sistema bien configurado requiere que cada zona pueda acceder a una o varias direcciones de red Las siguientes configuraciones proporcionan servicios de varios niveles m Pila IP exclusiva como en el SO Oracle Solaris se asigna una direcci n IP a cada zona incluida la zona global De manera predetermi
266. zones lo0 flags 2001000849 lt UP LOOPBACK RUNNING MULTICAST IPv4 VIRTUAL gt mtu 8232 index 1 all zones inet 127 0 0 1 netmask ff000000 ether 0 0 00 00 00 0 v Especificaci n de una direcci n IP para el sistema mediante una acci n de CDE En esta configuraci n la direcci n del host se aplica a todas las zonas incluidas las zonas con etiquetas Antesde Debe ser superusuario de la zona global Se encuentra en un espacio de trabajo de Trusted CDE empezar 1 Navegue hasta la carpeta Trusted_Extensions a Haga clic con el tercer bot n del mouse en el fondo b Desde el men Workspace seleccione Applications gt Application Manager c Haga doble clic en el icono de la carpeta Trusted_Extensions Esta carpeta contiene acciones que configuran interfaces clientes LDAP y zonas con etiquetas 2 Haga doble clic en la acci n Share Physical Interface Esta acci n configura un host con una direcci n IP La zona global no tiene una direcci n nica Este sistema no se puede utilizar como un servidor NFS ni como un servidor de impresi n de varios niveles Ap ndice B Uso de acciones de CDE para instalar zonas en Trusted Extensions 155 Preparaci n para crear zonas mediante acciones de CDE mapa de tareas Opcional En una ventana de terminal verifique los resultados de la acci n ifconfig a La acci n Share Physical Interface configura todas las zonas para que tengan NIC l gicas Estas NIC l gicas comparten u
Download Pdf Manuals
Related Search