El documento describe las características de seguridad de OpenSolaris, incluyendo minimización y bastionado de sistemas, perfiles y roles de acceso basados en funciones, controles de acceso a archivos extendidos, servicios criptográficos, filtros de red e IPFilter, virtualización lógica y herramientas de auditoría. También presenta una breve historia de OpenSolaris y explica conceptos como distribuciones binarias, roles y privilegios en el sistema.
SafeConsole - funcionalidades - aTICser v0ATICSER STI
Desde SafeConsole se pueden instalar y mantener automáticamente aplicaciones portables (como clientes VPN, navegadores seguros y clientes webmail), gestionando de forma totalmente segura la autenticación del usuario en la red corporativa a través de Internet. Otra prestación interesante es ZoneBuilder, que permite crear grupos de usuarios de confianza, que pueden compartir el mismo SafeStick sin compartir la contraseña del propietario.
Presentación de Juanjo García Cabrera, Director de Grandes Cuentas de arsys, en el encuentro "Nuevos modelos, servicios y estrategias de SOURCING IT", organizado por iiR Spain el 13 de diciembre. Más información en: http://ow.ly/ga6Pa
Moodle en la Nube, un caso práctico: la Universidad Europea de Madrid - Moodl...Arsys
Presentación Moodle en la Nube, un caso práctico: la Universidad Europea de Madrid, impartida conjuntamente por Vanesa Iglesias, responsable de Educación en Arsys, y David Paniagua Ruano, de la Oficina de Cooperación Universitaria, en MoodleMoot Madrid 2012.
Celebrado del 19 al 21 de septiembre, MoodleMoot Madrid 2012 ha concentrado a numerosos usuarios, desarrolladores y administradores de sistemas Moodle, la conocida plataforma utilizada en por numerosos centros educativos para entornos de teleformación o Campus Virtual.
Más información en http://2012.moodlemoot.net/
SafeConsole - funcionalidades - aTICser v0ATICSER STI
Desde SafeConsole se pueden instalar y mantener automáticamente aplicaciones portables (como clientes VPN, navegadores seguros y clientes webmail), gestionando de forma totalmente segura la autenticación del usuario en la red corporativa a través de Internet. Otra prestación interesante es ZoneBuilder, que permite crear grupos de usuarios de confianza, que pueden compartir el mismo SafeStick sin compartir la contraseña del propietario.
Presentación de Juanjo García Cabrera, Director de Grandes Cuentas de arsys, en el encuentro "Nuevos modelos, servicios y estrategias de SOURCING IT", organizado por iiR Spain el 13 de diciembre. Más información en: http://ow.ly/ga6Pa
Moodle en la Nube, un caso práctico: la Universidad Europea de Madrid - Moodl...Arsys
Presentación Moodle en la Nube, un caso práctico: la Universidad Europea de Madrid, impartida conjuntamente por Vanesa Iglesias, responsable de Educación en Arsys, y David Paniagua Ruano, de la Oficina de Cooperación Universitaria, en MoodleMoot Madrid 2012.
Celebrado del 19 al 21 de septiembre, MoodleMoot Madrid 2012 ha concentrado a numerosos usuarios, desarrolladores y administradores de sistemas Moodle, la conocida plataforma utilizada en por numerosos centros educativos para entornos de teleformación o Campus Virtual.
Más información en http://2012.moodlemoot.net/
Herramienta de penetración y evaluación de seguridad orientado en Ubuntu – Linux proporcionando un conjunto de herramientas de análisis de los sistemas de información de la red. Este Sistema operative, incluye un conjunto completo de herramientas necesarias para el hacking ético y pruebas de seguridad.
Specific tool to audit and track all the administrators user's activity. We can control who is on what system and what is he/she doing.
It can record all the activity in X11/Windows applications and Telnet/SSH sessions, it can control file transfers too.
Es evidente que cada vez es más necesario colocar una central Elastix expuesta a Internet por diversas exigencias del mercado, Anexos remotos o extendidos, centrales virtuales, Cloud Computing, etc. Esto trae como consecuencias estar expuestos a varios riesgos en cuanto a la seguridad. La charla expondrá, cómo es posible extender la seguridad en una implementación en Elastix usando SNORT como sistema de detección y prevención de intrusos, para el control y bloqueo de ataques tanto a nivel SIP como de aplicaciones web, los cuales se enfocan en vulnerar la seguridad de la plataforma. La charla es completamente técnica y se desarrollaran ataques contra maquinas virtuales, con el objetivo de mostrar su bloqueo con snort.
Conferencista: Juan Oliva
Hardening de Servidores Linux Oscar GonzalezOscar Gonzalez
Se explicara, los criterios para crear diferentes tipos de políticas de seguridad, basada en la lógica del negocio de la empresa, y de acuerdo a eso todos los componentes que necesitamos securizar para proteger tanto el sistema operativo linux y su entorno , ya que por defecto no es seguro, de esta manera los sistemas informáticos junto con su información almacenada estén mucho mas protegidos.
Cuanta más información almacenamos en Alfresco, más necesidades de protegerla tenemos. En este webinar haremos un repaso sobre los consejos de seguridad más importantes a tener en cuenta en Alfresco, tanto a nivel de aplicación como a nivel de servidor, red e intrusiones.
Herramienta de penetración y evaluación de seguridad orientado en Ubuntu – Linux proporcionando un conjunto de herramientas de análisis de los sistemas de información de la red. Este Sistema operative, incluye un conjunto completo de herramientas necesarias para el hacking ético y pruebas de seguridad.
Specific tool to audit and track all the administrators user's activity. We can control who is on what system and what is he/she doing.
It can record all the activity in X11/Windows applications and Telnet/SSH sessions, it can control file transfers too.
Es evidente que cada vez es más necesario colocar una central Elastix expuesta a Internet por diversas exigencias del mercado, Anexos remotos o extendidos, centrales virtuales, Cloud Computing, etc. Esto trae como consecuencias estar expuestos a varios riesgos en cuanto a la seguridad. La charla expondrá, cómo es posible extender la seguridad en una implementación en Elastix usando SNORT como sistema de detección y prevención de intrusos, para el control y bloqueo de ataques tanto a nivel SIP como de aplicaciones web, los cuales se enfocan en vulnerar la seguridad de la plataforma. La charla es completamente técnica y se desarrollaran ataques contra maquinas virtuales, con el objetivo de mostrar su bloqueo con snort.
Conferencista: Juan Oliva
Hardening de Servidores Linux Oscar GonzalezOscar Gonzalez
Se explicara, los criterios para crear diferentes tipos de políticas de seguridad, basada en la lógica del negocio de la empresa, y de acuerdo a eso todos los componentes que necesitamos securizar para proteger tanto el sistema operativo linux y su entorno , ya que por defecto no es seguro, de esta manera los sistemas informáticos junto con su información almacenada estén mucho mas protegidos.
Cuanta más información almacenamos en Alfresco, más necesidades de protegerla tenemos. En este webinar haremos un repaso sobre los consejos de seguridad más importantes a tener en cuenta en Alfresco, tanto a nivel de aplicación como a nivel de servidor, red e intrusiones.
En este documento analizamos ciertos conceptos relacionados con la ficha 1 y 2. Y concluimos, dando el porque es importante desarrollar nuestras habilidades de pensamiento.
Sara Sofia Bedoya Montezuma.
9-1.
(PROYECTO) Límites entre el Arte, los Medios de Comunicación y la Informáticavazquezgarciajesusma
En este proyecto de investigación nos adentraremos en el fascinante mundo de la intersección entre el arte y los medios de comunicación en el campo de la informática.
La rápida evolución de la tecnología ha llevado a una fusión cada vez más estrecha entre el arte y los medios digitales, generando nuevas formas de expresión y comunicación.
Continuando con el desarrollo de nuestro proyecto haremos uso del método inductivo porque organizamos nuestra investigación a la particular a lo general. El diseño metodológico del trabajo es no experimental y transversal ya que no existe manipulación deliberada de las variables ni de la situación, si no que se observa los fundamental y como se dan en su contestó natural para después analizarlos.
El diseño es transversal porque los datos se recolectan en un solo momento y su propósito es describir variables y analizar su interrelación, solo se desea saber la incidencia y el valor de uno o más variables, el diseño será descriptivo porque se requiere establecer relación entre dos o más de estás.
Mediante una encuesta recopilamos la información de este proyecto los alumnos tengan conocimiento de la evolución del arte y los medios de comunicación en la información y su importancia para la institución.
Actualmente, y debido al desarrollo tecnológico de campos como la informática y la electrónica, la mayoría de las bases de datos están en formato digital, siendo este un componente electrónico, por tanto se ha desarrollado y se ofrece un amplio rango de soluciones al problema del almacenamiento de datos.
Índice del libro "Big Data: Tecnologías para arquitecturas Data-Centric" de 0...Telefónica
Índice del libro "Big Data: Tecnologías para arquitecturas Data-Centric" de 0xWord escrito por Ibón Reinoso ( https://mypublicinbox.com/IBhone ) con Prólogo de Chema Alonso ( https://mypublicinbox.com/ChemaAlonso ). Puedes comprarlo aquí: https://0xword.com/es/libros/233-big-data-tecnologias-para-arquitecturas-data-centric.html
Las lámparas de alta intensidad de descarga o lámparas de descarga de alta in...espinozaernesto427
Las lámparas de alta intensidad de descarga o lámparas de descarga de alta intensidad son un tipo de lámpara eléctrica de descarga de gas que produce luz por medio de un arco eléctrico entre electrodos de tungsteno alojados dentro de un tubo de alúmina o cuarzo moldeado translúcido o transparente.
lámparas más eficientes del mercado, debido a su menor consumo y por la cantidad de luz que emiten. Adquieren una vida útil de hasta 50.000 horas y no generan calor alguna. Si quieres cambiar la iluminación de tu hogar para hacerla mucho más eficiente, ¡esta es tu mejor opción!
Las nuevas lámparas de descarga de alta intensidad producen más luz visible por unidad de energía eléctrica consumida que las lámparas fluorescentes e incandescentes, ya que una mayor proporción de su radiación es luz visible, en contraste con la infrarroja. Sin embargo, la salida de lúmenes de la iluminación HID puede deteriorarse hasta en un 70% durante 10,000 horas de funcionamiento.
Muchos vehículos modernos usan bombillas HID para los principales sistemas de iluminación, aunque algunas aplicaciones ahora están pasando de bombillas HID a tecnología LED y láser.1 Modelos de lámparas van desde las típicas lámparas de 35 a 100 W de los autos, a las de más de 15 kW que se utilizan en los proyectores de cines IMAX.
Esta tecnología HID no es nueva y fue demostrada por primera vez por Francis Hauksbee en 1705. Lámpara de Nernst.
Lámpara incandescente.
Lámpara de descarga. Lámpara fluorescente. Lámpara fluorescente compacta. Lámpara de haluro metálico. Lámpara de vapor de sodio. Lámpara de vapor de mercurio. Lámpara de neón. Lámpara de deuterio. Lámpara xenón.
Lámpara LED.
Lámpara de plasma.
Flash (fotografía) Las lámparas de descarga de alta intensidad (HID) son un tipo de lámparas de descarga de gas muy utilizadas en la industria de la iluminación. Estas lámparas producen luz creando un arco eléctrico entre dos electrodos a través de un gas ionizado. Las lámparas HID son conocidas por su gran eficacia a la hora de convertir la electricidad en luz y por su larga vida útil.
A diferencia de las luces fluorescentes, que necesitan un recubrimiento de fósforo para emitir luz visible, las lámparas HID no necesitan ningún recubrimiento en el interior de sus tubos. El propio arco eléctrico emite luz visible. Sin embargo, algunas lámparas de halogenuros metálicos y muchas lámparas de vapor de mercurio tienen un recubrimiento de fósforo en el interior de la bombilla para mejorar el espectro luminoso y reproducción cromática. Las lámparas HID están disponibles en varias potencias, que van desde los 25 vatios de las lámparas de halogenuros metálicos autobalastradas y los 35 vatios de las lámparas de vapor de sodio de alta intensidad hasta los 1.000 vatios de las lámparas de vapor de mercurio y vapor de sodio de alta intensidad, e incluso hasta los 1.500 vatios de las lámparas de halogenuros metálicos.
Las lámparas HID requieren un equipo de control especial llamado balasto para funcionar
1. USE IMPROVE EVANGELIZE
Seguridad en OpenSolaris
Víctor M. Fernández Gómez
Comunidad OpenSolaris Hispano
vfernandezg@gmail.com
http://vfernandezg.blogspot.com
2. USE IMPROVE EVANGELIZE
Agenda
● Un poco de historia
● Qué es OpenSolaris?
● Seguridad
− Minimización y bastionado
− Perfiles, roles y privilegios
− ACLs de filesystems
− Servicios criptográficos
− Filtros de red y firewall
− Virtualización lógica
− Herramientas de auditoría
● Recursos e información
2
3. USE IMPROVE EVANGELIZE
Agenda
● Un poco de historia
● Qué es OpenSolaris?
● Seguridad
− Minimización y bastionado
− Perfiles, roles y privilegios
− ACLs de filesystems
− Servicios criptográficos
− Filtros de red y firewall
− Virtualización lógica
− Herramientas de auditoria
● Recursos e información
3
4. USE IMPROVE EVANGELIZE
Un poco de historia
● OpenSolaris nace en Junio de 2005
TM
● Base de desarrollo de Solaris 11 (Nevada)
● Licencia CDDL de código abierto aprobada
por la OSI (Open Source Initiative)
● Creación del portal opensolaris.org
(proyectos: http://www.opensolaris.org/os/projects
comunidades: http://www.opensolaris.org/os/communities)
● Creación de grupos de usuarios locales
● La innovación y el conocimiento están en
marcha
4
5. USE IMPROVE EVANGELIZE
Un poco de historia - Licencia CDDL
5
6. USE IMPROVE EVANGELIZE
Agenda
● Un poco de historia
● Qué es OpenSolaris?
● Seguridad
− Minimización y bastionado
− Perfiles, roles y privilegios
− ACLs de filesystems
− Servicios criptográficos
− Filtros de red y firewall
− Virtualización lógica
− Herramientas de auditoría
● Recursos e información
6
7. USE IMPROVE EVANGELIZE
Que es OpenSolaris?
● Proyecto de código abierto patrocinado
inicialmente por Sun Microsystems
● Esfuerzo por unir a las comunidades de
desarrolladores de cualquier organización de
tipo Open Source
●Cualquiera puede contribuir en el código de
OpenSolaris y mejorar la tecnología de las
distribuciones -> OpenGrok
7
9. USE IMPROVE EVANGELIZE
Distribuciones Binarias
TM
● Solaris 10 5/08
● SXCE Build 87 (Hypervisor xVM <- Xen)
Solaris Express Community Edition
● SXDE 1/08
(xVM, SAMP, CIFS + NetBeans 6, Sun Studio 12 y D-Light)
Solaris Express Developer Edition
● Nexenta
(Solaris kernel + Entorno usuario / paquetes estilo Ubuntu)
● Polaris (PowerPC)
● Belenix, SchilliX y Damm Small (Live CD)
● marTux (Live DVD - Sparc)
9
10. USE IMPROVE EVANGELIZE
Distribuciones Binarias - Indiana
● Producto final de usuario
● Binario compilado por la comunidad
● Live CD/DVD, con posibilidad de instalación
● Actualización via repositorios online
● Nuevo instalador gráfico (Caiman)
● Sistema de paquetes al estilo apt
(IPS: Image Packaging System)
● Distribution Constructor Toolkit
(Contruye tu propia distribucion)
● 100% redistribuíble... GPLv3?
10
11. USE IMPROVE EVANGELIZE
Distribuciones Binarias - Caiman
11
12. USE IMPROVE EVANGELIZE
Distribuciones Binarias - GNOME
12
13. USE IMPROVE EVANGELIZE
Agenda
● Un poco de historia
● Qué es OpenSolaris?
● Seguridad
− Minimización y bastionado
− Perfiles, roles y privilegios
− ACLs de filesystems
− Servicios criptográficos
− Filtros de red y firewall
− Virtualización lógica
− Herramientas de auditoría
● Recursos e información
13
17. USE IMPROVE EVANGELIZE
Procesos de Negocio
● Dentro del marco normativo de un SGSI (ISO
27001/2:2005), es recomendable establecer un
modelo de seguridad basado en las buenas
prácticas de tipo “DoD” (Defense on Deep):
Seguridad
Lógica
17
18. USE IMPROVE EVANGELIZE
Agenda
● Un poco de historia
● Qué es OpenSolaris?
● Seguridad
− Minimización y bastionado
− Perfiles, roles y privilegios
− ACLs de filesystems
− Servicios criptográficos
− Filtros de red y firewall
− Virtualización lógica
− Herramientas de auditoría
● Recursos e información
18
19. USE IMPROVE EVANGELIZE
Minimización y Bastionado
● Minimización: Es la eliminación de los
paquetes innecesarios para el sistema
● Bastionado: Es la modificación de la
configuración del sistema para mejorar su
seguridad
● Premisa: Los paquetes actuales presentan
una mayor granularidad
# pkginfo | grep -i telnet
system SUNWtnetc Telnet Command (client)
system SUNWtnetd Telnet Server Daemon (Usr)
system SUNWtnetr Telnet Server Daemon (Root) 19
20. USE IMPROVE EVANGELIZE
Minimización y Bastionado
● Solaris Security Toolkit (SSE) es una
herramienta de bastionado:
− Permite la configuración de parametros
de seguridad del sistema como:
• Longitud de contraseñas
• Duración de contraseñas
• Numero de intentos fallidos
• Máscara de permisos UNIX...
Y de minimización:
− Permite eliminar paquetes en base a
plantillas customizables 20
21. USE IMPROVE EVANGELIZE
Minimización y Bastionado
● Instalación como paquete
# pkgadd SUNWjass-4.2.0.pkg
● Permite configurar parametros finales del
sistema en /opt/SUNWjass/Drivers/user.init
● Permite la auditoria del sistema (BSM y
BART). Habilitar en hardening.driver y
deshabilitar en undoable-hardening.driver
● Ejecución en base a plantilla customizable
para la función final del sistema
# cd /opt/SUNWjass
# ./jass-execute -d install-Sun_ONE-WS.driver 21
22. USE IMPROVE EVANGELIZE
Minimización y Bastionado
● Plantilla personalizable por dos scripts:
- El script minimize-Sun_ONE-WS.fin
elimina los paquetes innecesarios de
acuerdo a la versión de sistema
- El script install-Sun_ONE-WS.fin extrae
e instala el Sun ONE Web Server 6.0SP2
● La versión 4.2 ya es compatible con Solaris
10, tanto para arquitecturas sparc como para
x86 y x64 (Similar en cuanto a funcionalidad
a productos como CISscan y Titan)
22
23. USE IMPROVE EVANGELIZE
Agenda
● Un poco de historia
● Qué es OpenSolaris?
● Seguridad
− Minimización y bastionado
− Perfiles, roles y privilegios
− ACLs de filesystems
− Servicios criptográficos
− Filtros de red y firewall
− Virtualización lógica
− Herramientas de auditoría
● Recursos e información
23
24. USE IMPROVE EVANGELIZE
Perfiles, roles y privilegios
● Perfiles y roles forman parte del paquete
RBAC (Role-Based Access Control)
● Sintaxis Profile:
# vi /etc/security/prof_attr
Format:::Allow users to run format command::
# vi /etc/security/exec_attr
Format:suser:cmd:::/usr/sbin/format:uid=0
# usermod -P Format pepe
# su – pepe
# pfexec /usr/sbin/format
0. c0d0t0 <DEFAULT cyl 2556
24
25. USE IMPROVE EVANGELIZE
Perfiles, roles y privilegios
●Sintaxis Role:
(No es un parametro, es “casi” un usuario)
# vi /etc/security/prof_attr
Snoop:::Allow users to run snoop command::
# vi /etc/security/exec_attr
Snoop:suser:cmd:::/usr/sbin/snoop:uid=0
# roleadd -P Snoop rolesnoop
# usermod -R rolesnoop pepe
# su – pepe
# su rolesnoop
# /usr/sbin/snoop
25
26. USE IMPROVE EVANGELIZE
Perfiles, roles y privilegios
● Privelege: Parámetro que permite realizar
llamadas directas a funciones del sistema
● Integrado con RBAC (perfiles y roles)
● Integrado con SMF (Service Management
Facility)
● Sintaxis:
# usermod -K defaultpriv=basic,net_privaddr
webservd
# svccfg -s apache2
svc:/network/http:apache2> setprop start/privileges =
astring:basic,net_privaddr
26
27. USE IMPROVE EVANGELIZE
Agenda
● Un poco de historia
● Qué es OpenSolaris?
● Seguridad
− Minimización y bastionado
− Perfiles, roles y privilegios
− ACLs de filesystems
− Servicios criptográficos
− Filtros de red y firewall
− Virtualización lógica
− Herramientas de auditoría
● Recursos e información
27
28. USE IMPROVE EVANGELIZE
ACLs de filesystems
● Por encima de los permisos UNIX (octales o
modales) y de los bits especiales (SUID,
SGID y Sticky)
● Existentes en UFS (Unix FileSystem)
● Sintaxis:
# setfacl -r -m pepe:fichero1:6 fichero1
# getfacl fichero1
...
pepe:fichero1:rw-
# ls -ltr fichero1
- rw-r--r--+ 1 root sys 301 Ene 24 18:15 fichero1
28
29. USE IMPROVE EVANGELIZE
ACLs de filesystems
● Existentes en ZFS (Zettabyte FileSystem)
● Sintaxis:
# chmod A
+everyone@:delete_child/delete:file_inherit/dir_in
herit:deny /mypool/pepe
# cp /etc/motd /mypool/pepe
# ls -l /mypool/pepe/motd
- rw-r--r--+ 1 pepe users 301 Ene 24 18:15 motd
# rm /mypool/pepe/motd
rm: archive/motd not removed: Permission denied
# echo "Hello World" > archive/motd
# zfs get aclmode,aclinherit mypool/pepe
29
30. USE IMPROVE EVANGELIZE
Agenda
● Un poco de historia
● Qué es OpenSolaris?
● Seguridad
− Minimización y bastionado
− Perfiles, roles y privilegios
− ACLs de filesystems
− Servicios criptográficos
− Filtros de red y firewall
− Virtualización lógica
− Herramientas de auditoría
● Recursos e información
30
31. USE IMPROVE EVANGELIZE
Servicios criptográficos
● Permiten crear un certificado de CA
● Realizan peticiones de firma de certificados de
tipo servidor o/y usuario
● Firman las solicitudes con el certificado de CA
Utilidad OpenSSL de serie:
# perl /usr/sfw/CA.pl -newca
# openssl genrsa -out cakey.pem
# openssl req -new -key cakey.pem -out
PEM.csr
# openssl ca -policy policy_anything -cert
cacert.pem -in PEM.csr -out ./PEM.cert
31
33. USE IMPROVE EVANGELIZE
Agenda
● Un poco de historia
● Qué es OpenSolaris?
● Seguridad
− Minimización y bastionado
− Perfiles, roles y privilegios
− ACLs de filesystems
− Servicios criptográficos
− Filtros de red y firewall
− Virtualización lógica
− Herramientas de auditoría
● Recursos e información
33
34. USE IMPROVE EVANGELIZE
Filtros de red y firewall
● Filtros de red denominados Tcp_Wrappers
● Integrados con los servicios de sistema
gestionados por SMF (SSH, TELNET, FTP,
RPC...)
# svccfg -s rpc/bind setprop
config/enable_tcpwrappers=true
# svcadm refresh rpc/bind
# inetadm -m telnet tcp_wrappers=true
# inetadm -l telnet | grep tcp_wrappers
tcp_wrappers=TRUE
# cat “sshd: 10.73.130.15” >> /etc/hosts.allow 34
35. USE IMPROVE EVANGELIZE
Filtros de red y firewall
● IPFilter es un firewall a nivel de módulos de
kernel (no es un proceso)
● Filtrado de tráfico TCP / UDP y traducción
de direcciones IP (NAT) y puertos (NAPT)
● Es un servicio propio de SMF
# vi /etc/ipf/ipf.conf
block in log on pcn0 all
pass in quick on pcn0 proto tcp from 172.16.0.0/16 to
172.16.1.100/32 port = 22
# tail -f /var/adm/ipfilter.log
pcn0 @0:4 b 10.73.130.68,50315 -> 10.73.130.251,22
PR tcp len 20 44 -S IN 35
36. USE IMPROVE EVANGELIZE
Agenda
● Un poco de historia
● Qué es OpenSolaris?
● Seguridad
− Minimización y bastionado
− Perfiles, roles y privilegios
− ACLs de filesystems
− Servicios criptográficos
− Filtros de red y firewall
− Virtualización lógica
− Herramientas de auditoría
● Recursos e información
36
37. USE IMPROVE EVANGELIZE
Virtualización lógica
● Virtualización de entornos operativos (Zona)
● Anfitrión OpenSolaris = zona global
● No globales:
− Invitado OpenSolaris = zona sparse
− Invitado CentOS/RHEL = zona brandz
− Acceso directo a los dispositivos sólo bajo
configuración
− Procesos con menores privilegios que los
que se ejecutan en la zona global
− Alto % de entorno montado en modo lectura
37
38. USE IMPROVE EVANGELIZE
Virtualización lógica
● Zona no global + gestión de recursos de
tipo hardware = Contenedor
● Resource Manager es el gestor de recursos
que actúa bajo situaciones de competencia
● Permite establecer limites de consumo para
cada recurso (CPU, Memoria, Swap...)
● Sintaxis:
# zoneadm list -iv
0 global running / native shared
- zonelx installed /opt/zones/zonelx lx shared
# zonecfg -z zonelx info 38
39. USE IMPROVE EVANGELIZE
Agenda
● Un poco de historia
● Qué es OpenSolaris?
● Distribuciones Binarias
● Seguridad
− Minimización y bastionado
− Perfiles, roles y privilegios
− ACLs de filesystems
− Filtros de red y firewall
− Virtualización lógica
− Herramientas de auditoria
● Recursos e información 39
40. USE IMPROVE EVANGELIZE
Herramientas de auditoría
● BART (Basic Audit Reporting Tool) captura
información acerca de la integridad de un
archivo
# find /etc/security | bart create -I
/etc/security D 512 40755 user::rwx,group::r-x,mask:
r-x,other:r-x 46dcb5b6 0 3
...
● Esa información se almacena en imagenes,
las cuales puedes ser comparadas para
identificar archivos modificados de forma
diferencial entre ellas.
40
41. USE IMPROVE EVANGELIZE
Herramientas de auditoría
# bart compare manifest-before manifest-after
/etc/security/exec_attr: size control:29654 test:29664
mtime control:46e8a76e test:46efee70 contents
control:caf727ccd4de989974c2c81fa7cfdf29
test:071e79250e05b2363415ee5f05d25324
● En este ejemplo se observa como el fichero
/etc/security/exec_attr ha sufrido alguna
modificación en cuanto a la definición de su
tamaño, su fecha de cambio y en su resumen
MD5 (Similar a la funcionalidad de productos
como Tripwire y Aide)
41
42. USE IMPROVE EVANGELIZE
Herramientas de auditoría
●BSM (Basic Security Module) no se
encuentra activo por defecto. Es necesario
habilitarlo (preferiblemente en “Run Level” S)
# bsmconv
●Una vez activo es posible consultar y al
mismo tiempo, visualizar eventos
# auditreduce -u gbrunett -m AUE_su | praudit -s
header,104,2,AUE_su,,sec-b1600-0,2007-09-23 15:29:00.248 -04:00
subject,gbrunett,root,gbrunett,gbrunett,gbrunett,0 0sec-b1600-0
text,success for user root
return,success,0
zone,global
42
43. USE IMPROVE EVANGELIZE
Herramientas de auditoría
● Permite enviar la salida de los eventos de la
auditoría a través del syslog
# tail -f /var/adm/messages
Sep 23 15:29:00 sec-b1600-0 audit: [ID 702911
audit.notice] su ok session
2868335681 by gbrunett as root:gbrunett in global from
sec-b1600-0 text
success for user root
● Además podemos trasformar la información
de auditoría para que puede ser presentada
en ficheros de tipo XML, mediante una sola
instrucción 43
45. USE IMPROVE EVANGELIZE
Agenda
● Un poco de historia
● Qué es OpenSolaris?
● Distribuciones Binarias
● Seguridad
− Minimización y bastionado
− Perfiles, roles y privilegios
− ACLs de filesystems
− Filtros de red y firewall
− Virtualización lógica
− Herramientas de auditoría
● Recursos e información 45
46. USE IMPROVE EVANGELIZE
Recursos e información - ¡ Unete !
● Portal internacional opensolaris.org
=> (http://opensolaris.org)
● kit de inicio OpenSolaris (KIOPS)
=> (http://get.opensolaris.org/)
● Portal OpenSolaris Hispano
=> (http://es.opensolaris.org)
● Lista de distribución OpenSolaris Hispano
(http://mail.opensolaris.org/mailman/listinfo/ug-sposug)
● Canal IRC OpenSolaris Hispano
=> (irc://irc.freenode.net/opensolaris-es)
● OpenSolaris Day 08 y más...
46
47. USE IMPROVE EVANGELIZE
¡ Muchas Gracias !
Víctor M. Fernández Gómez
Comunidad OpenSolaris Hispano
vfernandezg@gmail.com
http://vfernandezg.blogspot.com