útvonalak konfigurálása és hálózati információk ellenőrzése megbízható bővítményekben (Feladattérkép)
a következő feladattérkép a hálózat konfigurálásával és a konfiguráció ellenőrzésével kapcsolatos feladatokat ismerteti.
|
a
biztonsági attribútumokkal rendelkező útvonalak konfigurálása Mielőtt elkezdené a
biztonsági rendszergazdai szerepkört a globális zónában.
- adja hozzá az összes használt célállomást és átjárót a megbízható hálózaton keresztüli routepackets-hez.
a címek hozzáadódnak a helyi /etc/hosts fájlhoz vagy annak EGYENÉRTÉKŰJÉHEZ az LDAP szerveren. Használja a computers and Networks eszközt a Solaris Felügyeleti konzolon. A fájlok hatóköre módosítja az/etc / hosts fájlt. Az LDAPscope módosítja az LDAP-kiszolgáló bejegyzéseit. Részletekért lásd: host hozzáadása a rendszer ismert hálózatához.
- rendeljen hozzá minden célállomást, hálózatot és átjárót egy biztonsági sablonhoz.
a címek hozzáadódnak a helyi /etc/security/tsol/tnrhdb fájlhoz, vagy az LDAP-kiszolgálón lévő itsequivalent fájlhoz. Használja a Solarismanagement konzol biztonsági sablonok eszközét. Részletekért lásd: biztonsági sablon hozzárendelése egy gazdagéphez vagy gazdagépek csoportjához.
- állítsa be az útvonalakat.
egy terminálablakban az útvonal hozzáadása paranccsal adja meg az útvonalakat.
az első bejegyzés alapértelmezett útvonalat állít be. A bejegyzés megadja az agateway 192.168.113.1 címét, amelyet akkor kell használni, ha nincs meghatározott útvonal a gazdagép vagy a csomag célállomása előtt.
# route add default 192.168.113.1 -static
a részleteket lásd az útvonal(1M) man oldalon.
- egy vagy több hálózati bejegyzés beállítása.
a-secattr jelzővel adja meg a biztonsági attribútumokat.
a következő parancslistában a második sor egy hálózatot mutatpróbát. A harmadik sor egy hálózati bejegyzést mutat a rangeof PUBLIC to CONFIDENTIAL címkével: csak belső használatra.
# route add default 192.168.113.36# route add -net 192.168.102.0 gateway-101# route add -net 192.168.101.0 gateway-102 \-secattr min_sl="PUBLIC",max_sl="CONFIDENTIAL : INTERNAL USE ONLY",doi=1
- állítson be egy vagy több gazdagép bejegyzést.
az új negyedik sor az egycímkés gazdagép,a gateway-pub gazdagép bejegyzését mutatja. gateway-pub van egy címke tartomány Nyilvános Nyilvános.
# route add default 192.168.113.36# route add -net 192.168.102.0 gateway-101# route add -net 192.168.101.0 gateway-102 \-secattr min_sl="PUBLIC",max_sl="CONFIDENTIAL : INTERNAL USE ONLY",doi=1# route add -host 192.168.101.3 gateway-pub \-secattr min_sl="PUBLIC",max_sl="PUBLIC",doi=1
13-14. példa: bizalmas címke tartományú útvonal hozzáadása: belső használat csak bizalmas : Korlátozott
a következő útvonalparancs hozzáadja az útválasztási táblához a 192.168.115.0 állomást, amelynek átjárója a 192.168.118.39. A címke tartománya a bizalmas : csak belső használattól a bizalmas: KORLÁTOZOTTIG terjed, a DOI pedig 1.
$ route add -net 192.168.115.0 192.168.118.39 \-secattr min_sl="CONFIDENTIAL : INTERNAL USE ONLY",max_sl="CONFIDENTIAL : RESTRICTED",doi=1
a hozzáadott gazdagépek eredménye a netstat-rR-rel jelenik meg command.In a következő részlet, a többi útvonal helyébe ellipszis (…).
$ netstat -rRn...192.168.115.0 192.168.118.39 UG 0 0 min_sl=CNF : INTERNAL USE ONLY,max_sl=CNF : RESTRICTED,DOI=1,CIPSO...
a megbízható hálózati adatbázisok szintaxisának ellenőrzése
a tnchkdb parancs ellenőrzi, hogy az egyes hálózati adatbázisok szintaxisa pontos-e.A Solaris Management Console automatikusan futtatja ezt a parancsot a biztonsági sablonok eszköz vagy a megbízható hálózati zónák eszköz használatakor. Általában ezt a parancsot futtatja a konfigurált adatbázisfájlok szintaxisának ellenőrzésérekésőbbi használatra.
Mielőtt elkezdené
a globális zónában kell lennie egy olyan szerepkörben, amely képesellenőrizze a hálózati beállításokat. A Biztonsági rendszergazda szerepkör és a rendszergazda szerepellenőrizheti ezeket a beállításokat.
- egy terminál ablakban futtassa a tnchkdb parancsot.
$ tnchkdb checking /etc/security/tsol/tnrhtp ...checking /etc/security/tsol/tnrhdb ...checking /etc/security/tsol/tnzonecfg ...
példa 13-15 Próbahálózati Adatbázis szintaxisának tesztelése
ebben a példában a Biztonsági rendszergazda egy hálózati adatbázisfájlt tesztel a lehetséges használat érdekében. Kezdetben a rendszergazda rossz opciót használ. Az ellenőrzés eredményei a tnrhdb fájl sorára vannak nyomtatva:
$ tnchkdb -h /opt/secfiles/trial.tnrhtpchecking /etc/security/tsol/tnrhtp ...checking /opt/secfiles/trial.tnrhtp ...line 12: Illegal name: min_sl=ADMIN_LOW;max_sl=ADMIN_HIGHline 14: Illegal name: min_sl=ADMIN_LOW;max_sl=ADMIN_HIGHchecking /etc/security/tsol/tnzonecfg ...
amikor a Biztonsági rendszergazda a-t kapcsolóval ellenőrzi a fájlt, a parancs megerősíti, hogy a próbaverziós tnrhtp-adatbázis szintaxisa pontos:
$ tnchkdb -t /opt/secfiles/trial.tnrhtpchecking /opt/secfiles/trial.tnrhtp ...checking /etc/security/tsol/tnrhdb ...checking /etc/security/tsol/tnzonecfg ...
a megbízható hálózati adatbázis információinak összehasonlítása a Kernel gyorsítótárával
a hálózati adatbázisok olyan információkat tartalmazhatnak, amelyek nincsenek gyorsítótárazva a kernelben. Ez az eljárás ellenőrzi, hogy az információ azonos-e. Amikor a Solaris felügyeleti konzolt használja a hálózat frissítéséhez, a rendszermag gyorsítótárát frissítik a hálózati adatbázis információival. A tninfo parancs hasznos a tesztelés során ésa hibakereséshez.
Mielőtt elkezdené
a globális zónában kell lennie egy olyan szerepkörben, amely képesellenőrizze a hálózati beállításokat. A Biztonsági rendszergazda szerepkör és a rendszergazda szerepellenőrizheti ezeket a beállításokat.
- egy terminál ablakban futtassa a tninfo parancsot.
-
a tninfo-h hostname megjeleníti a megadott állomás IP-címét és sablonját.
-
a tninfo-t templatename a következő információkat jeleníti meg:
template: template-namehost_type: either CIPSO or UNLABELEDdoi: 1min_sl: minimum-labelhex: minimum-hex-labelmax_sl: maximum-labelhex:maximum-hex-label
-
a tninfo-m zone-name egy zóna többszintű portjának (MLP) konfigurációját jeleníti meg.
-
példa 13-16 többszintű portok megjelenítése
gazdagépen ebben a példában a rendszer több címkézett zónával van konfigurálva. Az Allzones ugyanazt az IP-címet használja. Néhány zóna is konfigurálva vanzónaspecifikus címek. Ebben a konfigurációban a webböngészéshez használt TCP port, a port8080 egy MLP a nyilvános zónában lévő megosztott felületen. A rendszergazda a Telnet, a 23-as TCP portot is beállította, hogy anMLP legyen a nyilvános zónában. Mivel ez a két MLP az ashared interfészen van, egyetlen másik zóna, beleértve a globális zónát is, nem fogadhat csomagokat a megosztott interfészen a 8080-as és a 23-as porton.
ezenkívül az ssh TCP portja, a 22-es port, egy zónánként vanemlp a nyilvános zónában. A nyilvános zóna ssh szolgáltatása fogadhatjabármely csomag a zónaspecifikus címén a címcímke tartományán belül.
a következő parancs a nyilvános zóna MLP-jét mutatja:
$ tninfo -m publicprivate: 22/tcpshared: 23/tcp;8080/tcp
a következő parancs a globális zóna MLP-jét mutatja. Ne feledje, hogy a 23-as és a 8080-as portok nem lehetnek MLPs-ek a globális zónában, mert a globális zóna ugyanazt a címet osztja meg a nyilvános zónával:
$ tninfo -m globalprivate: 111/tcp;111/udp;514/tcp;515/tcp;631/tcp;2049/tcp; 6000-6003/tcp;38672/tcp;60770/tcp;shared: 6000-6003/tcp
a Kernel gyorsítótárának szinkronizálása megbízható hálózati adatbázisokkal
ha a kernel nem frissült megbízható hálózati adatbázis-információkkal, a kernel gyorsítótárának frissítésére több lehetőség is van. A Solaris ManagementConsole automatikusan futtatja ezt a parancsot a biztonsági sablonok eszköz vagy a megbízható hálózati zónák eszköz használatakor.
Mielőtt elkezdené
biztonsági rendszergazdai szerepkörben kell lennie a globális zónában.
- a kernel gyorsítótárának hálózati adatbázisokkal történő szinkronizálásához futtassa a következő parancsok egyikét:
- indítsa újra a tnctl szolgáltatást.
Vigyázat-ne használja ezt a módszert olyan rendszereken, amelyek megbízható networkdatabase információikat LDAP-kiszolgálóról szerzik be. A helyi adatbázis-információk felülírjákaz LDAP-kiszolgálótól kapott információk.
$ svcadm restart svc:/network/tnctl
ez a parancs beolvassa az összes információt a helyi megbízható hálózati adatbázisokbóla kernel.
- frissítse a kernel gyorsítótárát a legutóbb hozzáadott bejegyzésekhez.
$ tnctl -h hostname
ez a parancs csak a kiválasztott opcióból származó információkat olvassa be a kernelbe. Az opciókkal kapcsolatos részletekért lásd a 13-17. példát és a tnctl (1m) man oldalt.
- módosítsa a tnd szolgáltatást.
megjegyzés – a tnd szolgáltatás csak akkor fut, ha az ldap szolgáltatás fut.
- módosítsa a tnd lekérdezési intervallumot.
ez nem frissíti a kernel gyorsítótárát. A rendszermag gyorsítótárának gyakrabban történő frissítéséhez azonban lerövidítheti a lekérdezési intervallumot. Részletekért lásd a példát a tnd (1m) man oldalon.
- frissítse a tnd-t.
ez a Service Management Facility (SMF) parancs elindítja a kernel azonnali frissítését a megbízható hálózati adatbázisok legutóbbi módosításaival.
$ svcadm refresh svc:/network/tnd
- indítsa újra a tnd-t az SMF használatával.
$ svcadm restart svc:/network/tnd
Vigyázat-kerülje a TND parancs futtatását a tnd újraindításához. Ez a parancs képesmegszakítja a jelenleg sikeres kommunikációt.
- módosítsa a tnd lekérdezési intervallumot.
- indítsa újra a tnctl szolgáltatást.
példa 13-17 A Kernel frissítése a legújabb Tnrhdb bejegyzésekkel
ebben a példában a rendszergazda három címet adott hozzá a localtnrhdb adatbázishoz. Először a rendszergazda eltávolította a 0.0.0.0 helyettesítő karakter bejegyzést.
$ tnctl -d -h 0.0.0.0:admin_low
ezután a rendszergazda megtekinti az /etc/security/tsol/tnrhdb adatbázis utolsó három bejegyzésének formátumát:
$ tail /etc/security/tsol/tnrhdb#\:\:0:admin_low127.0.0.1:cipso#\:\:1:cipso192.168.103.5:admin_low192.168.103.0:cipso0.0.0.0/32:admin_low
ezután a rendszergazda frissíti a kernel gyorsítótárát:
$ tnctl -h 192.168.103.5tnctl -h 192.168.103.0tnctl -h 0.0.0.0/32
végül a rendszergazda ellenőrzi, hogy a kernel gyorsítótára frissült-e. Az első bejegyzés kimenete hasonló a következőkhöz:
$ tninfo -h 192.168.103.5IP Address: 192.168.103.5Template: admin_low
példa 13-18 hálózati információk frissítése A kernelben
ebben a példában a rendszergazda frissíti a megbízható hálózatot egy publicprint kiszolgálóval, majd ellenőrzi, hogy a kernel beállításai helyesek-e.
$ tnctl -h public-print-server$ tninfo -h public-print-serverIP Address: 192.168.103.55Template: PublicOnly$ tninfo -t PublicOnly==================================Remote Host Template Table Entries----------------------------------template: PublicOnlyhost_type: CIPSOdoi: 1min_sl: PUBLIChex: 0x0002-08-08max_sl: PUBLIChex: 0x0002-08-08