Ir al contenido España-Español
HP.com España principal Productos y Servicios Soporte y Drivers Soluciones Cómo Comprar
» Contactar con HP
Más opciones
HP.com España principal
 Guía del administrador de sistemas HP-UX: Descripción general: HP-UX 11i versión 3 > Capítulo 3 Componentes principales de HP-UX

Seguridad y control del acceso
» 

Documentación técnica

Libro completo en PDF
» Comentarios
Aquí empieza el contenido

 » Tabla de contenido

 » Glosario

 » Índice

spacerspacerspacer
spacer
spacer
  		 
 

HP-UX cuenta con muchas herramientas para la seguridad de los servidores y los datos. Las amenazas contra la seguridad de los servidores y los datos pueden ser intencionadas o accidentales, así como físicas (incendios, terremotos, hardware defectuoso, etcétera). O pueden ser lógicas (software que no funciona correctamente, piratería, etcétera).

Para obtener información sobre las herramientas disponibles para proteger los servidores y los datos contra las amenazas mencionadas anteriormente, consulte la sección «Herramientas de protección de datos».

Control del acceso a los datos mediante la titularidad de archivos y los privilegios Unix heredados

HP-UX tiene la capacidad para controlar el acceso a los directorios y los archivos mediante una combinación de:

  • Titularidad de usuario y grupo sobre los archivos y directorios

  • Modo de archivo y de directorio

Esto permite asignar a un archivo o directorio un propietario, un grupo y una máscara de acceso denominada un modo, los cuales determinan colectivamente:

Archivos

Quién puede leer, escribir o intentar ejecutar el archivo.

Directorios

Quién puede buscar el contenido del directorio, agregar archivos al directorio, eliminarlos del mismo o cambiar el nombre de los archivos del directorio, y quién puede hacer cd para ubicarse en el directorio.

El tema de la titularidad de archivos y privilegios Unix heredados es mucho más amplio y existen otros mecanismos más eficaces que permiten controlar y supervisar con cuidado quién tiene acceso a los archivos y directorios del sistema. Se dedica todo un volumen del juego de la Guía del administrador de sistemas HP-UX al tema de la seguridad. Para obtener un tratamiento amplio del tema del control del acceso a los archivos y directorios del sistema y de otros temas relacionados con la seguridad, consulte la Guía del administrador de sistemas HP-UX: Administración de la seguridad.

Control del acceso a los datos mediante tecnologías de contención de la seguridad

Los mecanismos tradicionales de acceso a los archivos UNIX son suficiente para muchas instalaciones básicas, pero el mundo de hoy día consciente de los problemas relativos a la seguridad y la intimidad exige un control mucho mayor sobre quién tiene acceso a qué datos.

Con los métodos de seguridad tradicionales, un eslabón débil típico del mecanismo es el superusuario (o usuario root). El término superusuario hace referencia a cualquier cuenta con una identificación de usuario (o cualquier programa o proceso con una identificación de usuario vigente) de «0» (cero). Estas cuentas especiales permiten a cualquiera que tenga acceso a ellas completar el acceso a todos los archivos locales de todo el servidor. Si la contraseña de una cuenta de supersusuario cae en las manos equivocadas, la seguridad de todo el servidor queda comprometida.

En muchas instalaciones, no es conveniente conceder acceso a todos los archivos de un servidor a cualquier persona. En concreto, la función del administrador del sistema podría subdividirse en funciones más específicas que se asignan a personas diferentes. Otras personas pueden necesitar administrar aplicaciones específicas o una base de datos u otra entidad. Tal vez, por motivos de seguridad, sea conveniente dar a una persona acceso a determinados archivos o capacidades sólo durante determinadas horas del día.

Tecnologías para un mayor control del acceso

HP-UX 11i versión 3 incorpora tecnologías de seguridad que, cuando se utilizan juntas, aportan un control del acceso significativamente mayor en relación con los archivos de datos y los privilegios de usuario de los servidores cuando HP-UX se ejecuta en modo estándar:[6]

Compartimentos

Los compartimentos aíslan los recursos no vinculados en un servidor para contribuir a prevenir daños catastróficos en el servidor de llegar a entrarse en un compartimento.

Una aplicación, cuando se configura en un compartimento, tiene acceso restringido a los recursos (procesos, archivos binarios, archivos de datos y canales de comunicación utilizados) fuera de su compartimento. Esta restricción la aplica el kernel HP-UX y no puede anularse a menos que se configure específicamente para que ocurra así. Si la aplicación queda comprometida, no podrá dañar otras partes del sistema porque la configuración del compartimento la aísla.

Privilegios expresos

Los privilegios UNIX tradicionales conceden los privilegios administrativos en términos de «todos o ninguno» según el número de identificación de usuario (UID) vigente del proceso que se ejecute. Si el proceso se ejecuta con UID=0 vigente, se conceden todos los privilegios. Con los privilegios expresos, a los procesos se les conceden sólo los privilegios necesarios para la tarea y, de forma opcional, sólo durante el tiempo necesario para completar dicha tarea. Las aplicaciones compatibles con los privilegios pueden elevar sus privilegios al nivel necesario para la operación y rebajarlos después de completar dicha operación.

Role-Based Access Control

Normalmente, los comandos de administración de sistemas UNIX debe ejecutarlos un superusuario (usuario root). De modo parecido al acceso mediante llamada del sistema en el kernel, el acceso suele otorgarse en términos de «todo o nada» según el número de identificación de usuario (UID) vigente.

HP-UX Role-Based Access Control (HP-UX RBAC) permite agrupar en una función las tareas comunes o relacionadas. Por ejemplo, una función común podría ser User y Group Administration (Administración de usuarios y grupos). Después de crear la función, se asigna a usuarios específicos una función o conjunto de funciones que les permitan ejecutar los comandos definidos por dichas funciones.

Al poner en marcha HP-UX RBAC, se permite que los usuarios que no sean root efectúen tareas que antes exigían privilegios de superusuario sin concederles privilegios de superusuario completos.

Auditoría

El sistema de auditoría de HP-UX registra los sucesos relacionados con la seguridad para su posterior análisis. Los administradores utilizan la auditoría para detectar y analizar infracciones de seguridad. La auditoría se facilita tanto en el modo estándar como en el modo de confianza de los sistemas HP-UX.

Base de datos de usuarios

Anteriormente, todos los atributos de seguridad y restricciones de la directiva de contraseñas de HP-UX en modo estándar se definían sistema a sistema. La introducción de la base de datos de usuarios le permite definir los atributos de seguridad usuario a usuario, lo que anula los valores por defecto del sistema.

Ampliación de información

Para obtener más información sobre las características de contención de la seguridad mejoradas presentadas más arriba, consulte los siguientes recursos:

  • Guía del administrador de sistemas HP-UX: Administración de la seguridad

  • HP-UX 11i Security Containment Administrator’s Guide

  • La página de manual de privileges(5)


[6] Dichas tecnologías de seguridad también se facilitan en HP-UX 11i versión 2. Para obtener más información sobre el modo estándar en comparación con el modo de confianza, consulte la sección «Protección contra el acceso no autorizado de los servidores y datos».



Impresión
  		 


Inicio y cierre  
Versión para imprimir
Declaración de privacidad El uso de este sitio implica la aceptación de sus términos de uso
© 2008 Hewlett-Packard Development Company, L.P.