Configurarea rutelor și verificarea informațiilor de rețea în extensii de încredere ( hartă de activități) – procedurile administratorului Oracle Solaris Trusted Extensions

Configurarea rutelor și verificarea informațiilor de rețea în extensii de încredere (hartă de activități)

următoarea hartă de activități descrie activitățile pentru configurarea rețelei și Verificarea configurației.

sarcina
descriere
pentru instrucțiuni
configurați rutele statice.
descrie manual cea mai bună rută de la onehost la o altă gazdă.
Verificați acuratețea bazelor de date ale rețelei locale.
utilizează comanda thetnchkdb pentru a verifica validitatea sintactică a bazelor de date din rețeaua locală.
comparați intrările bazei de date de rețea cu intrările din memoria cache a nucleului.
utilizează comanda thetninfo pentru a determina dacă memoria cache a nucleului a fost actualizată cu cele mai recente informații despre baza de date.
sincronizați memoria cache a nucleului cu bazele de date din rețea.
utilizează comanda thetnctl pentru a actualiza memoria cache a nucleului cu informații actualizate despre baza de date a rețelei pe un sistem care rulează.

cum se configurează rutele cu atribute de securitate

înainte de a începe

trebuie să fiți în rolul de administrator de securitate în zona globală.

  1. adăugați fiecare gazdă de destinație și gateway pe care îl utilizați pentru routepackets în rețeaua de încredere.

    adresele sunt adăugate la fișierul local/etc / hosts sau la itsechivalent pe serverul LDAP. Utilizați instrumentul calculatoare și rețele dinconsola de administrare Solaris. Domeniul de aplicare fișiere modifică fișierul/etc / hosts. LDAPscope modifică intrările de pe serverul LDAP. Pentru detalii, consultați Cum se adaugă gazde la rețeaua cunoscută a sistemului.

  2. alocați fiecare gazdă de destinație, rețea și gateway la un șablon de securitate.

    adresele sunt adăugate la fișierul local /etc/security/tsol / tnrhdb sau la itsequivalent pe serverul LDAP. Utilizați instrumentul șabloane de securitate din consola SolarisManagement. Pentru detalii, consultați Cum se atribuie un șablon de securitate unei gazde sau unui grup de gazde.

  3. configurați rutele.

    într-o fereastră terminal, utilizați comanda Adăugare rută pentru a specifica rute.

    prima intrare stabilește o rută implicită. Intrarea specifică adresa agateway, 192.168.113.1, de utilizat atunci când nu este definită nicio rută specifică pentru gazdă sau destinația pachetului.

    # route add default 192.168.113.1 -static

    pentru detalii, consultați pagina manuală a traseului(1m).

  4. configurați una sau mai multe intrări în rețea.

    utilizați semnalizatorul-secattr pentru a specifica atributele de securitate.

    în următoarea listă de comenzi, a doua linie arată o rețeaintrare. A treia linie arată o intrare de rețea cu o etichetă rangeof PUBLIC la confidențial: numai pentru uz intern.

    # route add default 192.168.113.36# route add -net 192.168.102.0 gateway-101# route add -net 192.168.101.0 gateway-102 \-secattr min_sl="PUBLIC",max_sl="CONFIDENTIAL : INTERNAL USE ONLY",doi=1
  5. configurați una sau mai multe intrări gazdă.

    noua a patra linie arată o intrare gazdă pentru gazda cu o singură etichetă, gateway-pub. gateway-pub are o gamă de etichete de la PUBLIC la PUBLIC.

    # route add default 192.168.113.36# route add -net 192.168.102.0 gateway-101# route add -net 192.168.101.0 gateway-102 \-secattr min_sl="PUBLIC",max_sl="CONFIDENTIAL : INTERNAL USE ONLY",doi=1# route add -host 192.168.101.3 gateway-pub \-secattr min_sl="PUBLIC",max_sl="PUBLIC",doi=1

exemplul 13-14 adăugarea unei rute cu o etichetă gama confidențial : uz intern numai la confidențial : Restricționat

următoarea comandă route adaugă la tabelul de rutare gazdele at192.168.115.0 cu 192.168.118.39 ca gateway. Gama de etichete este de la confidențial: numai pentru uz INTERNLA confidențial: restricționat, iar DOI este 1.

$ route add -net 192.168.115.0 192.168.118.39 \-secattr min_sl="CONFIDENTIAL : INTERNAL USE ONLY",max_sl="CONFIDENTIAL : RESTRICTED",doi=1

rezultatul gazdelor adăugate este afișat cu netstat-rR command.In următorul fragment, celelalte rute se înlocuiesc cu elipse (…).

$ netstat -rRn...192.168.115.0 192.168.118.39 UG 0 0 min_sl=CNF : INTERNAL USE ONLY,max_sl=CNF : RESTRICTED,DOI=1,CIPSO...

cum se verifică sintaxa bazelor de date de rețea de încredere

comanda tnchkdb verifică dacă sintaxa fiecărei baze de date de rețea este corectă.Consola de administrare Solaris execută automat această comandă atunci când utilizați instrumentul șabloane de securitate sau instrumentul zone de rețea de încredere. De obicei, rulațiaceastă comandă pentru a verifica sintaxa fișierelor bazei de date pe care le configurațipentru o utilizare viitoare.

înainte de a începe

trebuie să fiți în zona globală într-un rol care poateverificați setările de rețea. Rolul administratorului de securitate și rolul administratorului de Sistempot verifica aceste setări.

  • într-o fereastră terminal, executați comanda tnchkdb. 
    $ tnchkdb checking /etc/security/tsol/tnrhtp ...checking /etc/security/tsol/tnrhdb ...checking /etc/security/tsol/tnzonecfg ...

exemplul 13-15 testarea sintaxei unei baze de date de rețea de încercare

în acest exemplu, administratorul de securitate testează un fișier de bază de date de rețea pentru o posibilă utilizare. Inițial, administratorul folosește opțiunea greșită. Rezultatele verificării sunt tipărite pe linia pentru fișierul tnrhdb:

$ tnchkdb -h /opt/secfiles/trial.tnrhtpchecking /etc/security/tsol/tnrhtp ...checking /opt/secfiles/trial.tnrhtp ...line 12: Illegal name: min_sl=ADMIN_LOW;max_sl=ADMIN_HIGHline 14: Illegal name: min_sl=ADMIN_LOW;max_sl=ADMIN_HIGHchecking /etc/security/tsol/tnzonecfg ...

când administratorul de securitate verifică fișierul utilizând opțiunea-t, comanda confirmă faptul că sintaxa bazei de date Trial tnrhtp isaccurate:

$ tnchkdb -t /opt/secfiles/trial.tnrhtpchecking /opt/secfiles/trial.tnrhtp ...checking /etc/security/tsol/tnrhdb ...checking /etc/security/tsol/tnzonecfg ...

cum se compară informațiile bazei de date de rețea de încredere cu memoria cache a nucleului

bazele de date de rețea pot conține informații care nu sunt memorate în cache în kernel. Această procedură verifică dacă informațiile sunt identice. Când utilizați Consola de administrare Solaris pentru a actualiza rețeaua, memoria cache a nucleului este actualizată cu informații despre baza de date a rețelei. Comanda tninfo este utilă în timpul testării șipentru depanare.

înainte de a începe

trebuie să fiți în zona globală într-un rol care poateverificați setările de rețea. Rolul administratorului de securitate și rolul administratorului de Sistempot verifica aceste setări.

  • într-o fereastră terminal, executați comanda tninfo.

    • tninfo-h hostname afișează adresa IP și șablonul pentru gazda specificată.

    • tninfo-t templatename afișează următoarele informații:

      template: template-namehost_type: either CIPSO or UNLABELEDdoi: 1min_sl: minimum-labelhex: minimum-hex-labelmax_sl: maximum-labelhex:maximum-hex-label

    • tninfo-m zone-name afișează configurația portului pe mai multe niveluri (MLP) a unei zone.

exemplul 13-16 afișarea porturilor pe Mai multe niveluri pe o gazdă

în acest exemplu, un sistem este configurat cu mai multe zone etichetate. Allzones împărtășesc aceeași adresă IP. Unele zone sunt, de asemenea, configurate cuadrese specifice zonei. În această configurație, portul TCP pentru navigarea pe web, port8080, este un MLP pe o interfață partajată în zona publică. Theadministrator a înființat, de asemenea, telnet, portul TCP 23, pentru a fi anMLP în zona publică. Deoarece aceste două MLP-uri sunt pe interfața ashared, nicio altă zonă, inclusiv zona globală, nu poate primi pachete pe interfața partajată pe porturile 8080 și 23.

în plus, portul TCP pentru ssh, portul 22, este o zonăemlp în zona publică. Serviciul ssh al zonei publice poate primiorice pachete pe adresa sa specifică zonei în intervalul de etichete al adresei.

următoarea comandă Arată MSPL pentru zona publică:

$ tninfo -m publicprivate: 22/tcpshared: 23/tcp;8080/tcp

următoarea comandă Arată MLPs pentru zona globală. Rețineți căporturile 23 și 8080 nu pot fi MLP în zona globală, deoarece zona globală împărtășește aceeași adresă cu zona publică:

$ tninfo -m globalprivate: 111/tcp;111/udp;514/tcp;515/tcp;631/tcp;2049/tcp; 6000-6003/tcp;38672/tcp;60770/tcp;shared: 6000-6003/tcp

cum se sincronizează memoria cache a nucleului cu bazele de date de rețea de încredere

când nucleul nu a fost actualizat cu informații de bază de date de rețea de încredere,aveți mai multe moduri de a actualiza memoria cache a nucleului. Solaris ManagementConsole execută această comandă automat atunci când utilizați instrumentul șabloane de securitate sau instrumentul zone de rețea de încredere.

înainte de a începe

trebuie să fiți în rolul de administrator de securitate în zona globală.

  • pentru a sincroniza memoria cache a nucleului cu bazele de date de rețea, executați una dintreurmătoarele comenzi:
    • reporniți serviciul tnctl.
      atenție

      atenție – nu utilizați această metodă pe sistemele care obțin informațiile lor de încredere networkdatabase de la un server LDAP. Informațiile bazei de date locale ar suprascrieinformațiile obținute de la serverul LDAP.

      		 
      $ svcadm restart svc:/network/tnctl

      această comandă Citește toate informațiile din bazele de date locale de rețea de încredere întothe kernel.

    • actualizați memoria cache a nucleului pentru intrările adăugate recent. 
      $ tnctl -h hostname

      această comandă citește numai informațiile din opțiunea aleasă înkernel. Pentru detalii despre opțiuni, consultați exemplul 13-17 și tnctl(1m) manpage.

    • modificați serviciul tnd.

      notă – serviciul tnd rulează numai dacă serviciul LDAP rulează.

      • modificați intervalul de votare tnd.

        aceasta nu actualizează memoria cache a nucleului. Cu toate acestea, puteți scurtaintervalul de polling pentru a actualiza memoria cache a nucleului mai frecvent. Pentru detalii, consultați exemplul din pagina manuală tnd(1m).

      • reîmprospătați tnd.

        această comandă a facilității de gestionare a serviciilor (SMF) declanșează o actualizare imediată a kernel cu modificările recente ale bazelor de date de rețea de încredere.

        $ svcadm refresh svc:/network/tnd
      • reporniți tnd utilizând SMF. 
        $ svcadm restart svc:/network/tnd
        atenție

        atenție-evitați rularea comenzii tnd pentru a reporni tnd. Această comandă poateîntrerupeți comunicațiile care reușesc în prezent.

exemplul 13-17 Actualizarea nucleului cu cele mai recente intrări tnrhdb

în acest exemplu, administratorul a adăugat trei adrese la baza de date localtnrhdb. În primul rând, administratorul a eliminat intrarea wildcard 0.0.0.0.

$ tnctl -d -h 0.0.0.0:admin_low

apoi, administratorul vizualizează formatul ultimelor trei intrări în baza de date/etc/security/tsol / tnrhdb:

$ tail /etc/security/tsol/tnrhdb#\:\:0:admin_low127.0.0.1:cipso#\:\:1:cipso192.168.103.5:admin_low192.168.103.0:cipso0.0.0.0/32:admin_low

apoi, administratorul actualizează memoria cache a nucleului:

$ tnctl -h 192.168.103.5tnctl -h 192.168.103.0tnctl -h 0.0.0.0/32

în cele din urmă, administratorul verifică dacă memoria cache a nucleului este actualizată. Outputfor prima intrare este similar cu următoarele:

$ tninfo -h 192.168.103.5IP Address: 192.168.103.5Template: admin_low

exemplul 13-18 actualizarea informațiilor de rețea în Kernel

în acest exemplu, administratorul actualizează rețeaua de încredere cu un server publicprint, apoi verifică dacă setările kernel-ului sunt corecte.

$ tnctl -h public-print-server$ tninfo -h public-print-serverIP Address: 192.168.103.55Template: PublicOnly$ tninfo -t PublicOnly==================================Remote Host Template Table Entries----------------------------------template: PublicOnlyhost_type: CIPSOdoi: 1min_sl: PUBLIChex: 0x0002-08-08max_sl: PUBLIChex: 0x0002-08-08

Lasă un răspuns

Adresa ta de email nu va fi publicată.