|
|
España-Español | |
|
|
 |
|
Utilización de HP-UX: Servidores y estaciones de trabajo HP > Capítulo 7 Seguridad
del sistema
Control de acceso de los sistemas de confianza |
|
|
Si utiliza un sistema de confianza con un nivel de seguridad C2, hay otras formas adicionales de controlar el acceso que se pueden aplicar a los archivos y directorios. Por medio del control de acceso discrecional (DAC), los propietarios de objetos que contengan datos pueden conceder o denegar a discreción el acceso a dichos objetos. Los objetos son archivos, dispositivos o mecanismos de comunicación entre procesos a los que el proceso de otro usuario o un proceso suyo trata de obtener acceso. Los controles son discrecionales en el sentido de que un sujeto con un grado determinado de permiso de acceso tiene capacidad para transmitir dicho permiso de acceso a cualquier otro sujeto. En un sistema HP-UX estándar, puede proteger los objetos, como, por ejemplo, los archivos, al establecer permisos de lectura, escritura y acceso en relación con dichos objetos. Si es el propietario, puede definir permisos de acceso a los objetos de forma que su acceso sea diferente del acceso de los miembros de otro grupo, porque el acceso de los miembros de un grupo a un objeto puede diferir del acceso del resto de la comunidad de usuarios. El propietario puede cambiar estos atributos de protección para que sean más restrictivos (acceso controlado) o más permisivos (acceso público). Puede utilizar los comandos chown y chmod para controlar el acceso a los archivos y directorios. Para obtener más información, consulte las páginas de manual en línea chown(1) y chmod(1). Para aprender a cambiar la selección de grupo actual, consulte también la página de manual newgrp(1). El comando newgrp cambia la identificación del grupo sin cambiar la identificación del usuario y sustituye el shell actual por uno nuevo. En un sistema con nivel de seguridad C2, puede disponer de otros controles discrecionales de acceso a un objeto que le permitan incluir o excluir en los permisos de acceso incluso a usuarios específicos. Puede controlar quién (es decir, usuarios o grupos de usuarios) obtiene acceso a los archivos y directorios asignando permisos en las listas de control de acceso (ACL) opcionales. Tenga en cuenta que el administrador del sistema puede utilizar el comando su(1) para convertirse en otro usuario sin cerrar una sesión. El administrador del sistema o superusuario puede obtener acceso a todos los archivos y desempeñar cualquier tarea en el sistema. Por tanto, los administradores del sistema no tienen limitaciones a la hora de obtener acceso a los archivos. Para obtener más información, consulte la página de manual su(1). Las listas de control de acceso son fundamentales para aplicar el control de acceso discrecional en los sistemas de confianza. Dichas listas aportan un grado de selectividad mayor que los bits de permiso de acceso de HP UX. Una lista de control de acceso es un conjunto de entradas de usuario, grupo y modo asociado a un archivo que especifica los permisos de acceso para todas combinaciones posibles de identificación de usuario o identificación de grupo. acl(5)Para obtener información pormenorizada en relación con las listas de control de acceso y las definiciones de la terminología de seguridad relacionada, consulte la página de manual en línea acl(5). Para consultar quién tiene acceso a determinados archivos y directorios y qué permisos hay concedidos, puede utilizar el comando lsacl:
El sistema presenta un listado con un aspecto parecido al siguiente:
donde (usuario.grupo,modo) es una entrada de una lista de control de acceso y nombre_archivo es el nombre del archivo o directorio para el que desea obtener un listado. Por ejemplo:
donde: (sarah.adm,rw-) significa que la usuaria sarah del grupo adm tiene permisos de acceso de lectura y escritura (rw-) para el archivo filex. (alex.%,r--) significa que el usuario alex de cualquier grupo (%) tiene permiso de acceso de lectura (r--) para el archivo filex. (%.mtg,r--) significa que cualquier usuario (%) del grupo mtg tiene permiso de acceso de lectura (r--) para el archivo filex. (%.%,---) significa que ningún otro usuario de ningún otro grupo tiene permisos de acceso de lectura, escritura ni ejecución para el archivo filex. Al agregar entradas a las listas de control de acceso, puede conceder o denegar el acceso a usuarios individuales o a grupos de usuarios. Puede definir o cambiar las listas de control de acceso con el comando chacl. La sintaxis general del comando chacl es:
donde: usuario es el nombre de inicio de sesión; la presencia
de un signo % en este lugar significa todos los usuarios. Por ejemplo:
crea una nueva entrada en la lista de control de acceso que concede al usuario cyc de cualquier grupo (%) acceso de lectura y escritura (=rw) a miarchivo.
modifica una entrada de la lista de control de acceso para conceder a todos los usuarios (%) de todos los grupos (%) acceso de lectura (+r) al archivo status. Para obtener más información y ejemplos de la definición de las listas de control de acceso, consulte la página de manual chacl(1). Si un archivo contiene listas de control de acceso y usted utiliza el comando chmod para cambiar los permisos de acceso al archivo sin utilizar la opción -A, eliminará todas las entradas opcionales de la lista de control de acceso del archivo. Todo intento de eliminar una entrada básica de una lista de control de acceso imposibilitará el acceso a un archivo. Sólo las utilidades de archivo de archivos fbackup (1M) y frecover(1M) tratan correctamente las listas de control de acceso. Los programas de archivo como, por ejemplo, ar(1), cpio(1), ftio(1), tar(1) y dump(1M) no pueden gestionar listas de control de acceso en archivos que tengan entradas de listas de control de acceso opcionales. En un sistema de confianza, sólo debe utilizar los comandos fbackup(1M) y frecover(1M) para realizar una copia de seguridad de los archivos y recuperarlos de forma selectiva. Dichos comandos retienen las listas de control de acceso que se hayan aplicado en los archivos. El administrador del sistema puede ayudarle con la realización de copias autorizadas de archivos en cinta o disco. Es probable que tenga que obtener un permiso para utilizar la unidad de cinta u otro medio, así como el nombre del dispositivo. Tenga en cuenta que los archivos copiados deben guardarse en un lugar seguro. Ponga etiquetas a las cintas y discos. Asegúrese de que los archivos se copian con los permisos de acceso correctos si los carga en otro sistema. Para obtener más información, consulte las páginas de manual en línea fbackup(1M) y frecover(1M). El comando tar(1) debe utilizarse correctamente para garantizar que se conservan los permisos de control de acceso discrecional cuando se copian archivos en una cinta o desde una cinta. Asegúrese de que utiliza la opción -p al usar el comando tar para copiar archivos a partir de una cinta en el sistema a fin de conservar los permisos de control de acceso discrecional. Para obtener más información, consulte la página de manual tar(1). |
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
 Versión para imprimir |
|
|
|
|
|
|||||||||||||||
|
|||||||||||||||
