Útvonalak konfigurálása és hálózati információk ellenőrzése megbízható bővítményekben (Feladattérkép) – Oracle Solaris megbízható Bővítmények adminisztrátori eljárásai

útvonalak konfigurálása és hálózati információk ellenőrzése megbízható bővítményekben (Feladattérkép)

a következő feladattérkép a hálózat konfigurálásával és a konfiguráció ellenőrzésével kapcsolatos feladatokat ismerteti.

feladat
leírás
az utasítások
állítsa be a statikus útvonalakat.
manuálisan írja le a legjobb útvonalat a onehostról egy másik gazdagépre.
ellenőrizze a helyi hálózati adatbázisok pontosságát.
használja thetnchkdb parancsot, hogy ellenőrizze a szintaktikai érvényességét a helyi hálózati adatbázisok.
hasonlítsa össze a hálózati adatbázis bejegyzéseit a kernel gyorsítótárában lévő bejegyzésekkel.
a tninfo paranccsal határozza meg, hogy a kernel gyorsítótárát frissítették-e a legfrissebb adatbázis-információkkal.
szinkronizálja a kernel gyorsítótárát a hálózati adatbázisokkal.
a tnctl paranccsal frissíti a kernel gyorsítótárát naprakész hálózati adatbázis-információkkal egy futó rendszeren.

a

biztonsági attribútumokkal rendelkező útvonalak konfigurálása Mielőtt elkezdené a

biztonsági rendszergazdai szerepkört a globális zónában.

  1. adja hozzá az összes használt célállomást és átjárót a megbízható hálózaton keresztüli routepackets-hez.

    a címek hozzáadódnak a helyi /etc/hosts fájlhoz vagy annak EGYENÉRTÉKŰJÉHEZ az LDAP szerveren. Használja a computers and Networks eszközt a Solaris Felügyeleti konzolon. A fájlok hatóköre módosítja az/etc / hosts fájlt. Az LDAPscope módosítja az LDAP-kiszolgáló bejegyzéseit. Részletekért lásd: host hozzáadása a rendszer ismert hálózatához.

  2. rendeljen hozzá minden célállomást, hálózatot és átjárót egy biztonsági sablonhoz.

    a címek hozzáadódnak a helyi /etc/security/tsol/tnrhdb fájlhoz, vagy az LDAP-kiszolgálón lévő itsequivalent fájlhoz. Használja a Solarismanagement konzol biztonsági sablonok eszközét. Részletekért lásd: biztonsági sablon hozzárendelése egy gazdagéphez vagy gazdagépek csoportjához.

  3. állítsa be az útvonalakat.

    egy terminálablakban az útvonal hozzáadása paranccsal adja meg az útvonalakat.

    az első bejegyzés alapértelmezett útvonalat állít be. A bejegyzés megadja az agateway 192.168.113.1 címét, amelyet akkor kell használni, ha nincs meghatározott útvonal a gazdagép vagy a csomag célállomása előtt.

    # route add default 192.168.113.1 -static

    a részleteket lásd az útvonal(1M) man oldalon.

  4. egy vagy több hálózati bejegyzés beállítása.

    a-secattr jelzővel adja meg a biztonsági attribútumokat.

    a következő parancslistában a második sor egy hálózatot mutatpróbát. A harmadik sor egy hálózati bejegyzést mutat a rangeof PUBLIC to CONFIDENTIAL címkével: csak belső használatra.

    # route add default 192.168.113.36# route add -net 192.168.102.0 gateway-101# route add -net 192.168.101.0 gateway-102 \-secattr min_sl="PUBLIC",max_sl="CONFIDENTIAL : INTERNAL USE ONLY",doi=1
  5. állítson be egy vagy több gazdagép bejegyzést.

    az új negyedik sor az egycímkés gazdagép,a gateway-pub gazdagép bejegyzését mutatja. gateway-pub van egy címke tartomány Nyilvános Nyilvános.

    # route add default 192.168.113.36# route add -net 192.168.102.0 gateway-101# route add -net 192.168.101.0 gateway-102 \-secattr min_sl="PUBLIC",max_sl="CONFIDENTIAL : INTERNAL USE ONLY",doi=1# route add -host 192.168.101.3 gateway-pub \-secattr min_sl="PUBLIC",max_sl="PUBLIC",doi=1

13-14. példa: bizalmas címke tartományú útvonal hozzáadása: belső használat csak bizalmas : Korlátozott

a következő útvonalparancs hozzáadja az útválasztási táblához a 192.168.115.0 állomást, amelynek átjárója a 192.168.118.39. A címke tartománya a bizalmas : csak belső használattól a bizalmas: KORLÁTOZOTTIG terjed, a DOI pedig 1.

$ route add -net 192.168.115.0 192.168.118.39 \-secattr min_sl="CONFIDENTIAL : INTERNAL USE ONLY",max_sl="CONFIDENTIAL : RESTRICTED",doi=1

a hozzáadott gazdagépek eredménye a netstat-rR-rel jelenik meg command.In a következő részlet, a többi útvonal helyébe ellipszis (…).

$ netstat -rRn...192.168.115.0 192.168.118.39 UG 0 0 min_sl=CNF : INTERNAL USE ONLY,max_sl=CNF : RESTRICTED,DOI=1,CIPSO...

a megbízható hálózati adatbázisok szintaxisának ellenőrzése

a tnchkdb parancs ellenőrzi, hogy az egyes hálózati adatbázisok szintaxisa pontos-e.A Solaris Management Console automatikusan futtatja ezt a parancsot a biztonsági sablonok eszköz vagy a megbízható hálózati zónák eszköz használatakor. Általában ezt a parancsot futtatja a konfigurált adatbázisfájlok szintaxisának ellenőrzésérekésőbbi használatra.

Mielőtt elkezdené

a globális zónában kell lennie egy olyan szerepkörben, amely képesellenőrizze a hálózati beállításokat. A Biztonsági rendszergazda szerepkör és a rendszergazda szerepellenőrizheti ezeket a beállításokat.

  • egy terminál ablakban futtassa a tnchkdb parancsot. 
    $ tnchkdb checking /etc/security/tsol/tnrhtp ...checking /etc/security/tsol/tnrhdb ...checking /etc/security/tsol/tnzonecfg ...

példa 13-15 Próbahálózati Adatbázis szintaxisának tesztelése

ebben a példában a Biztonsági rendszergazda egy hálózati adatbázisfájlt tesztel a lehetséges használat érdekében. Kezdetben a rendszergazda rossz opciót használ. Az ellenőrzés eredményei a tnrhdb fájl sorára vannak nyomtatva:

$ tnchkdb -h /opt/secfiles/trial.tnrhtpchecking /etc/security/tsol/tnrhtp ...checking /opt/secfiles/trial.tnrhtp ...line 12: Illegal name: min_sl=ADMIN_LOW;max_sl=ADMIN_HIGHline 14: Illegal name: min_sl=ADMIN_LOW;max_sl=ADMIN_HIGHchecking /etc/security/tsol/tnzonecfg ...

amikor a Biztonsági rendszergazda a-t kapcsolóval ellenőrzi a fájlt, a parancs megerősíti, hogy a próbaverziós tnrhtp-adatbázis szintaxisa pontos:

$ tnchkdb -t /opt/secfiles/trial.tnrhtpchecking /opt/secfiles/trial.tnrhtp ...checking /etc/security/tsol/tnrhdb ...checking /etc/security/tsol/tnzonecfg ...

a megbízható hálózati adatbázis információinak összehasonlítása a Kernel gyorsítótárával

a hálózati adatbázisok olyan információkat tartalmazhatnak, amelyek nincsenek gyorsítótárazva a kernelben. Ez az eljárás ellenőrzi, hogy az információ azonos-e. Amikor a Solaris felügyeleti konzolt használja a hálózat frissítéséhez, a rendszermag gyorsítótárát frissítik a hálózati adatbázis információival. A tninfo parancs hasznos a tesztelés során ésa hibakereséshez.

Mielőtt elkezdené

a globális zónában kell lennie egy olyan szerepkörben, amely képesellenőrizze a hálózati beállításokat. A Biztonsági rendszergazda szerepkör és a rendszergazda szerepellenőrizheti ezeket a beállításokat.

  • egy terminál ablakban futtassa a tninfo parancsot.

    • a tninfo-h hostname megjeleníti a megadott állomás IP-címét és sablonját.

    • a tninfo-t templatename a következő információkat jeleníti meg:

      template: template-namehost_type: either CIPSO or UNLABELEDdoi: 1min_sl: minimum-labelhex: minimum-hex-labelmax_sl: maximum-labelhex:maximum-hex-label

    • a tninfo-m zone-name egy zóna többszintű portjának (MLP) konfigurációját jeleníti meg.

példa 13-16 többszintű portok megjelenítése

gazdagépen ebben a példában a rendszer több címkézett zónával van konfigurálva. Az Allzones ugyanazt az IP-címet használja. Néhány zóna is konfigurálva vanzónaspecifikus címek. Ebben a konfigurációban a webböngészéshez használt TCP port, a port8080 egy MLP a nyilvános zónában lévő megosztott felületen. A rendszergazda a Telnet, a 23-as TCP portot is beállította, hogy anMLP legyen a nyilvános zónában. Mivel ez a két MLP az ashared interfészen van, egyetlen másik zóna, beleértve a globális zónát is, nem fogadhat csomagokat a megosztott interfészen a 8080-as és a 23-as porton.

ezenkívül az ssh TCP portja, a 22-es port, egy zónánként vanemlp a nyilvános zónában. A nyilvános zóna ssh szolgáltatása fogadhatjabármely csomag a zónaspecifikus címén a címcímke tartományán belül.

a következő parancs a nyilvános zóna MLP-jét mutatja:

$ tninfo -m publicprivate: 22/tcpshared: 23/tcp;8080/tcp

a következő parancs a globális zóna MLP-jét mutatja. Ne feledje, hogy a 23-as és a 8080-as portok nem lehetnek MLPs-ek a globális zónában, mert a globális zóna ugyanazt a címet osztja meg a nyilvános zónával:

$ tninfo -m globalprivate: 111/tcp;111/udp;514/tcp;515/tcp;631/tcp;2049/tcp; 6000-6003/tcp;38672/tcp;60770/tcp;shared: 6000-6003/tcp

a Kernel gyorsítótárának szinkronizálása megbízható hálózati adatbázisokkal

ha a kernel nem frissült megbízható hálózati adatbázis-információkkal, a kernel gyorsítótárának frissítésére több lehetőség is van. A Solaris ManagementConsole automatikusan futtatja ezt a parancsot a biztonsági sablonok eszköz vagy a megbízható hálózati zónák eszköz használatakor.

Mielőtt elkezdené

biztonsági rendszergazdai szerepkörben kell lennie a globális zónában.

  • a kernel gyorsítótárának hálózati adatbázisokkal történő szinkronizálásához futtassa a következő parancsok egyikét:
    • indítsa újra a tnctl szolgáltatást.
      Vigyázat

      Vigyázat-ne használja ezt a módszert olyan rendszereken, amelyek megbízható networkdatabase információikat LDAP-kiszolgálóról szerzik be. A helyi adatbázis-információk felülírjákaz LDAP-kiszolgálótól kapott információk.

      		 
      $ svcadm restart svc:/network/tnctl

      ez a parancs beolvassa az összes információt a helyi megbízható hálózati adatbázisokbóla kernel.

    • frissítse a kernel gyorsítótárát a legutóbb hozzáadott bejegyzésekhez. 
      $ tnctl -h hostname

      ez a parancs csak a kiválasztott opcióból származó információkat olvassa be a kernelbe. Az opciókkal kapcsolatos részletekért lásd a 13-17. példát és a tnctl (1m) man oldalt.

    • módosítsa a tnd szolgáltatást.

      megjegyzés – a tnd szolgáltatás csak akkor fut, ha az ldap szolgáltatás fut.

      • módosítsa a tnd lekérdezési intervallumot.

        ez nem frissíti a kernel gyorsítótárát. A rendszermag gyorsítótárának gyakrabban történő frissítéséhez azonban lerövidítheti a lekérdezési intervallumot. Részletekért lásd a példát a tnd (1m) man oldalon.

      • frissítse a tnd-t.

        ez a Service Management Facility (SMF) parancs elindítja a kernel azonnali frissítését a megbízható hálózati adatbázisok legutóbbi módosításaival.

        $ svcadm refresh svc:/network/tnd
      • indítsa újra a tnd-t az SMF használatával. 
        $ svcadm restart svc:/network/tnd
        Vigyázat

        Vigyázat-kerülje a TND parancs futtatását a tnd újraindításához. Ez a parancs képesmegszakítja a jelenleg sikeres kommunikációt.

példa 13-17 A Kernel frissítése a legújabb Tnrhdb bejegyzésekkel

ebben a példában a rendszergazda három címet adott hozzá a localtnrhdb adatbázishoz. Először a rendszergazda eltávolította a 0.0.0.0 helyettesítő karakter bejegyzést.

$ tnctl -d -h 0.0.0.0:admin_low

ezután a rendszergazda megtekinti az /etc/security/tsol/tnrhdb adatbázis utolsó három bejegyzésének formátumát:

$ tail /etc/security/tsol/tnrhdb#\:\:0:admin_low127.0.0.1:cipso#\:\:1:cipso192.168.103.5:admin_low192.168.103.0:cipso0.0.0.0/32:admin_low

ezután a rendszergazda frissíti a kernel gyorsítótárát:

$ tnctl -h 192.168.103.5tnctl -h 192.168.103.0tnctl -h 0.0.0.0/32

végül a rendszergazda ellenőrzi, hogy a kernel gyorsítótára frissült-e. Az első bejegyzés kimenete hasonló a következőkhöz:

$ tninfo -h 192.168.103.5IP Address: 192.168.103.5Template: admin_low

példa 13-18 hálózati információk frissítése A kernelben

ebben a példában a rendszergazda frissíti a megbízható hálózatot egy publicprint kiszolgálóval, majd ellenőrzi, hogy a kernel beállításai helyesek-e.

$ tnctl -h public-print-server$ tninfo -h public-print-serverIP Address: 192.168.103.55Template: PublicOnly$ tninfo -t PublicOnly==================================Remote Host Template Table Entries----------------------------------template: PublicOnlyhost_type: CIPSOdoi: 1min_sl: PUBLIChex: 0x0002-08-08max_sl: PUBLIChex: 0x0002-08-08

Vélemény, hozzászólás?

Az e-mail-címet nem tesszük közzé.