konfiguration af ruter og kontrol af netværksoplysninger i udvidelser, der er tillid til (opgavekort)
følgende opgavekort beskriver opgaver til konfiguration af netværket og bekræftelse af konfigurationen.
|
Sådan konfigureres ruter med sikkerhedsattributter
før du begynder
skal du være i Sikkerhedsadministratorrollen i det globale område.
- Tilføj hver destinationshost og Port, som du bruger til at routepackets over det betroede netværk.
adresserne føjes til filen local /etc/hosts eller til DENSÆKVIVALENT på LDAP-serveren. Brug Værktøjet computere og netværk i Solaris Management Console. Filomfanget ændrer filen / etc / hosts. LDAPscope ændrer posterne på LDAP-serveren. For detaljer, se Sådan tilføjes værter til systemets kendte netværk.
- Tildel hver destinationshost, netværk og port til en sikkerhedsskabelon.
adresserne føjes til filen local /etc/security/tsol/tnrhdb eller til DENSÆKVIVALENT på LDAP-serveren. Brug Værktøjet Sikkerhedsskabeloner i SolarisManagement Console. Du kan finde flere oplysninger i Sådan tildeles en Sikkerhedsskabelon til en vært eller en gruppe af værter.
- Opsæt ruterne.
i et terminalvindue skal du bruge kommandoen route add til at angive ruter.
den første post opretter en standardrute. Posten angiver agatvejens adresse, 192.168.113.1, der skal bruges, når der ikke er defineret nogen specifik rute for værten eller pakkenes destination.
# route add default 192.168.113.1 -static
for detaljer, se ruten(1m) mand side.
- Indstil en eller flere netværksposter.
brug flaget-secattr til at angive sikkerhedsattributter.
i den følgende liste over kommandoer viser den anden linje et netværkprøv. Den tredje linje viser en netværksindgang med et etiketområde af offentlig til fortrolig : kun intern brug.
# route add default 192.168.113.36# route add -net 192.168.102.0 gateway-101# route add -net 192.168.101.0 gateway-102 \-secattr min_sl="PUBLIC",max_sl="CONFIDENTIAL : INTERNAL USE ONLY",doi=1
- Opret en eller flere værtsindgange.
den nye fjerde linje viser en værtspost for single-label-værten,Port-pub. Port-pub har en etiket vifte af offentlige til offentlige.
# route add default 192.168.113.36# route add -net 192.168.102.0 gateway-101# route add -net 192.168.101.0 gateway-102 \-secattr min_sl="PUBLIC",max_sl="CONFIDENTIAL : INTERNAL USE ONLY",doi=1# route add -host 192.168.101.3 gateway-pub \-secattr min_sl="PUBLIC",max_sl="PUBLIC",doi=1
eksempel 13-14 tilføjelse af en rute med et Etiketområde af fortroligt: intern brug kun til fortroligt : Begrænset
følgende rutekommando tilføjer værterne at192.168.115.0 til rutetabellen med 192.168.118.39 som sin port. Etiketområdet er fra fortroligt: intern brug kun til fortroligt: begrænset, og DOI er 1.
$ route add -net 192.168.115.0 192.168.118.39 \-secattr min_sl="CONFIDENTIAL : INTERNAL USE ONLY",max_sl="CONFIDENTIAL : RESTRICTED",doi=1
resultatet af de tilføjede værter vises med netstat-rR command.In følgende uddrag, de andre ruter erstattes af ellipser (…).
$ netstat -rRn...192.168.115.0 192.168.118.39 UG 0 0 min_sl=CNF : INTERNAL USE ONLY,max_sl=CNF : RESTRICTED,DOI=1,CIPSO...
Sådan kontrolleres syntaksen for pålidelige Netværksdatabaser
kommandoen tnchkdb kontrollerer, at syntaksen for hver netværksdatabase er nøjagtig.Solaris Management Console kører denne kommando automatisk, når du bruger værktøjet sikkerhedsskabeloner eller værktøjet betroede Netværksområder. Typisk kører duDenne kommando for at kontrollere syntaksen for databasefiler, som du konfigurerertil fremtidig brug.
før du begynder
skal du være i det globale område i en rolle, der kanKontroller netværksindstillinger. Sikkerhedsadministratorrollen og systemadministratorrollenkan kontrollere disse indstillinger.
- i et terminalvindue skal du køre kommandoen tnchkdb.
$ tnchkdb checking /etc/security/tsol/tnrhtp ...checking /etc/security/tsol/tnrhdb ...checking /etc/security/tsol/tnzonecfg ...
eksempel 13-15 test af syntaksen for en Prøvenetværksdatabase
i dette eksempel tester sikkerhedsadministratoren en netværksdatabasefiltil mulig brug. I første omgang bruger administratoren den forkerte indstilling. Resultaterne af checken udskrives på linjen for tnrhdb-filen:
$ tnchkdb -h /opt/secfiles/trial.tnrhtpchecking /etc/security/tsol/tnrhtp ...checking /opt/secfiles/trial.tnrhtp ...line 12: Illegal name: min_sl=ADMIN_LOW;max_sl=ADMIN_HIGHline 14: Illegal name: min_sl=ADMIN_LOW;max_sl=ADMIN_HIGHchecking /etc/security/tsol/tnzonecfg ...
når sikkerhedsadministratoren kontrollerer filen ved hjælp af indstillingen-t, bekræfter kommandoen, at syntaksen for trial tnrhtp-databasen er nøjagtig:
$ tnchkdb -t /opt/secfiles/trial.tnrhtpchecking /opt/secfiles/trial.tnrhtp ...checking /etc/security/tsol/tnrhdb ...checking /etc/security/tsol/tnzonecfg ...
sådan sammenlignes pålidelige Netværksdatabaseoplysninger med Kernecachen
netværksdatabaserne kan indeholde oplysninger, der ikke er cachelagret ikernel. Denne procedure kontrollerer, at oplysningerne er identiske. Når du bruger Solaris Management Console til at opdatere netværket, opdateres kernecachen med netværksdatabaseoplysninger. Kommandoen tninfo er nyttig under test ogtil fejlfinding.
før du begynder
skal du være i det globale område i en rolle, der kanKontroller netværksindstillinger. Sikkerhedsadministratorrollen og systemadministratorrollenkan kontrollere disse indstillinger.
- Kør kommandoen tninfo i et terminalvindue.
-
tninfo-h værtsnavn viser IP-adressen og skabelonen for den angivne vært.
-
tninfo-t templatename viser følgende oplysninger:
template: template-namehost_type: either CIPSO or UNLABELEDdoi: 1min_sl: minimum-labelhex: minimum-hex-labelmax_sl: maximum-labelhex:maximum-hex-label
-
tninfo-m-områdenavn viser konfigurationen af et område på flere niveauer (MLP).
-
eksempel 13-16 viser porte på flere niveauer på en vært
i dette eksempel er et system konfigureret med flere mærkede områder. Alle enheder har samme IP-adresse. Nogle områder er også konfigureret medområdespecifikke adresser. I denne konfiguration er TCP-porten til internetsøgning, port8080, en MLP på en delt grænseflade i det offentlige område. Administratoren har også oprettet telnet, TCP port 23, til at være anMLP i det offentlige område. Da disse to MLP ‘ er er på en delt grænseflade, kan intet andet område, herunder det globale område, modtage pakker på den delte grænseflade på portene 8080 og 23.
derudover er TCP-porten til SSH, port 22, en per-områdelp i det offentlige område. Det offentlige områdes ssh-tjeneste kan modtageeventuelle pakker på sin områdespecifikke adresse inden for adressens etiketområde.
følgende kommando viser MLPs for det offentlige område:
$ tninfo -m publicprivate: 22/tcpshared: 23/tcp;8080/tcp
følgende kommando viser MLPs for det globale område. Bemærk, atport 23 og 8080 ikke kan være MLP ‘ er i det globale område, fordi det globale område deler samme adresse med det offentlige område:
$ tninfo -m globalprivate: 111/tcp;111/udp;514/tcp;515/tcp;631/tcp;2049/tcp; 6000-6003/tcp;38672/tcp;60770/tcp;shared: 6000-6003/tcp
Sådan synkroniseres Kernecachen med pålidelige Netværksdatabaser
når kernen ikke er opdateret med pålidelige netværksdatabaseoplysninger,har du flere måder at opdatere kernecachen på. Solaris ManagementConsole kører denne kommando automatisk, når du bruger værktøjet Sikkerhedsskabeloner eller værktøjet betroede Netværksområder.
før du begynder
skal du være i Sikkerhedsadministratorrollen i det globale område.
- for at synkronisere kernelcachen med netværksdatabaser skal du køre en affølgende kommandoer:
- genstart tnctl-tjenesten.
forsigtig-brug ikke denne metode på systemer, der får deres betroede netværksdatabase-oplysninger fra en LDAP-server. De lokale databaseoplysninger overskriverde oplysninger, der opnås fra LDAP-serveren.
$ svcadm restart svc:/network/tnctl
denne kommando læser alle oplysninger fra de lokale pålidelige netværksdatabaser ikernen.
- Opdater kernelcachen for dine nyligt tilføjede poster.
$ tnctl -h hostname
denne kommando læser kun oplysningerne fra den valgte indstilling ind ikernel. For detaljer om indstillingerne, se eksempel 13-17 og tnctl(1m) manpage.
- ændre TND-tjenesten.
Bemærk – TND-tjenesten kører kun, hvis ldap-tjenesten kører.
- Skift TND polling interval.
dette opdaterer ikke kernelcachen. Du kan dog forkortepollinginterval for at opdatere kernelcachen oftere. For detaljer, se eksemplet på TND (1m) man-siden.
- Opdater tnd.
denne Service Management Facility (SMF) kommando udløser en øjeblikkelig opdatering af thekernel med de seneste ændringer til betroede netværksdatabaser.
$ svcadm refresh svc:/network/tnd
- genstart tnd ved hjælp af SMF.
$ svcadm restart svc:/network/tnd
forsigtig-undgå at køre TND-kommandoen for at genstarte tnd. Denne kommando kanafbryde kommunikation, der i øjeblikket lykkes.
- Skift TND polling interval.
- genstart tnctl-tjenesten.
eksempel 13-17 opdatering af kernen med dine seneste Tnrhdb-poster
i dette eksempel har administratoren tilføjet tre adresser til localtnrhdb-databasen. Først fjernede administratoren 0.0.0.0 jokertegn.
$ tnctl -d -h 0.0.0.0:admin_low
derefter ser administratoren formatet for de sidste tre poster i/etc/security/tsol / tnrhdb database:
$ tail /etc/security/tsol/tnrhdb#\:\:0:admin_low127.0.0.1:cipso#\:\:1:cipso192.168.103.5:admin_low192.168.103.0:cipso0.0.0.0/32:admin_low
derefter opdaterer administratoren kernecachen:
$ tnctl -h 192.168.103.5tnctl -h 192.168.103.0tnctl -h 0.0.0.0/32
endelig kontrollerer administratoren, at kernecachen er opdateret. Outputfor den første post svarer til følgende:
$ tninfo -h 192.168.103.5IP Address: 192.168.103.5Template: admin_low
eksempel 13-18 opdatering af netværksoplysninger i kernen
i dette eksempel opdaterer administratoren det betroede netværk med en publicprint-server og kontrollerer derefter, at kerneindstillingerne er korrekte.
$ tnctl -h public-print-server$ tninfo -h public-print-serverIP Address: 192.168.103.55Template: PublicOnly$ tninfo -t PublicOnly==================================Remote Host Template Table Entries----------------------------------template: PublicOnlyhost_type: CIPSOdoi: 1min_sl: PUBLIChex: 0x0002-08-08max_sl: PUBLIChex: 0x0002-08-08