Trusted Extensionsでのルートの構成とネットワーク情報の確認(タスクマップ)-Oracle Solaris Trusted Extensions管理者の手順

Trusted Extensionsでのルートの構成とネットワーク情報の確認(タスクマップ)

次のタ

タスク
説明
指示のため
静的ルートを設定します。
onehostから別のホストへの最適なルートを手動で記述します。
ローカルネットワークデータベースの精度を確認します。
ローカルネットワークデータベースの構文の有効性を確認するには、tnchkdbコマンドを使用します。
ネットワークデータベースエントリとカーネルキャッシュ内のエントリを比較します。
カーネルキャッシュが最新のデータベース情報で更新されているかどうかを判断するには、ninfoコマンドを使用します。
カーネルキャッシュをネットワークデータベースと同期させます。
実行中のシステム上の最新のネットワークデータベース情報でカーネルキャッシュを更新するには、tnctlコマンドを使用します。

はじめる前に

大域ゾーンのセキュリティ管理者ロールに属している必要があります。

  1. 使用しているすべての宛先ホストとゲートウェイを、信頼されたネットワーク上のroutepacketsに追加します。

    アドレスは、ローカルの/etc/hostsファイルに追加されるか、LDAPサーバー上のitsequivalentに追加されます。 Solaris管理コンソールのComputers and Networksツールを使用します。 Filesスコープは/etc/hostsファイルを変更します。 LDAPscopeは、LDAPサーバー上のエントリを変更します。 詳細については、”システムの既知のネットワークにホストを追加する方法”を参照してください。

  2. 各宛先ホスト、ネットワーク、およびゲートウェイをセキュリティテンプレートに割り当てます。

    アドレスは、ローカルの/etc/security/tsol/tnrhdbファイルに追加されるか、LDAPサーバーのitsequivalentに追加されます。 SolarisManagementコンソールのセキュリティテンプレートツールを使用します。 詳細については、”ホストまたはホストのグループにセキュリティテンプレートを割り当てる方法”を参照してください。

  3. ルートを設定します。

    ターミナルウィンドウで、route addコマンドを使用してルートを指定します。

    最初のエントリはデフォルトルートを設定します。 このエントリは、ホストまたはパケットの宛先に対して特定のルートが定義されていない場合に使用するagatewayのアドレス192.168.113.1を指定します。詳細は、route(1M)のmanページを参照してください。

  4. 一つ以上のネットワークエントリを設定します。

    セキュリティ属性を指定するには、-secattrフラグを使用します。

    次のコマンドのリストでは、二行目はnetworkentryを示しています。 第三の行は、ラベルRANGEOF PUBLIC to CONFIDENTIAL:INTERNAL USE ONLYのネットワークエントリを示しています。

    # route add default 192.168.113.36# route add -net 192.168.102.0 gateway-101# route add -net 192.168.101.0 gateway-102 \-secattr min_sl="PUBLIC",max_sl="CONFIDENTIAL : INTERNAL USE ONLY",doi=1
  5. 1つまたは複数のホストエントリを設定します。

    新しい4行目には、単一ラベルのホストgateway-pubのホストエントリが表示されます。 gateway-pubには、PUBLICからPUBLICのラベル範囲があります。

    # route add default 192.168.113.36# route add -net 192.168.102.0 gateway-101# route add -net 192.168.101.0 gateway-102 \-secattr min_sl="PUBLIC",max_sl="CONFIDENTIAL : INTERNAL USE ONLY",doi=1# route add -host 192.168.101.3 gateway-pub \-secattr min_sl="PUBLIC",max_sl="PUBLIC",doi=1

例13-14CONFIDENTIAL:INTERNAL USE ONLY to CONFIDENTIALのラベル範囲を持つルートの追加 : RESTRICTED

次のrouteコマンドは、ゲートウェイとして192.168.118.39を持つホストat192.168.115.0をルーティングテーブルに追加します。 ラベルの範囲はCONFIDENTIAL:INTERNAL USE OnlyからCONFIDENTIAL:RESTRICTEDまでで、DOIは1です。

$ route add -net 192.168.115.0 192.168.118.39 \-secattr min_sl="CONFIDENTIAL : INTERNAL USE ONLY",max_sl="CONFIDENTIAL : RESTRICTED",doi=1

追加されたホストの結果はnetstat-rRで表示されますcommand.In 以下の抜粋は、他のルートは省略記号(。..).

$ netstat -rRn...192.168.115.0 192.168.118.39 UG 0 0 min_sl=CNF : INTERNAL USE ONLY,max_sl=CNF : RESTRICTED,DOI=1,CIPSO...

信頼されたネットワークデータベースの構文を確認する方法

tnchkdbコマンドは、各ネットワークデータベースの構文が正確であることを確認します。Solaris管理コンソールでは、Security TemplatesツールまたはTrusted Network Zonesツールを使用すると、このコマンドが自動的に実行されます。 通常、このコマンドを実行して、将来使用するために構成しているデータベースファイルの構文を確認します。

始める前に

ネットワーク設定を確認できる役割で大域ゾーンにいる必要があります。 セキュリティ管理者ロールとシステム管理者ロールは、これらの設定を確認できます。

  • ターミナルウィンドウで、tnchkdbコマンドを実行します。 
    $ tnchkdb checking /etc/security/tsol/tnrhtp ...checking /etc/security/tsol/tnrhdb ...checking /etc/security/tsol/tnzonecfg ...

例13-15トライアルネットワーク-データベースの構文のテスト

この例では、セキュリティ管理者がネットワーク-データベース-ファイルをテストしています。 最初は、管理者は間違ったオプションを使用します。 チェックの結果は、tnrhdbファイルの行に出力されます:

$ tnchkdb -h /opt/secfiles/trial.tnrhtpchecking /etc/security/tsol/tnrhtp ...checking /opt/secfiles/trial.tnrhtp ...line 12: Illegal name: min_sl=ADMIN_LOW;max_sl=ADMIN_HIGHline 14: Illegal name: min_sl=ADMIN_LOW;max_sl=ADMIN_HIGHchecking /etc/security/tsol/tnzonecfg ...

セキュリティ管理者が-tオプションを使用してファイルをチェックすると、このコマンドは試用版のtnrhtpデータベースの構文がisaccurateであることを確認します:

$ tnchkdb -t /opt/secfiles/trial.tnrhtpchecking /opt/secfiles/trial.tnrhtp ...checking /etc/security/tsol/tnrhdb ...checking /etc/security/tsol/tnzonecfg ...

信頼できるネットワークデータベース情報をカーネルキャッシュと比較する方法

ネットワークデータベースには、カーネルにキャッシュされていない情報が含 この手順では、情報が同一であることを確認します。 Solaris管理コンソールを使用してネットワークを更新すると、カーネルキャッシュはネットワークデータベース情報で更新されます。 Tninfoコマンドは、テスト中やデバッグ中に便利です。

始める前に

ネットワーク設定を確認できる役割で大域ゾーンにいる必要があります。 セキュリティ管理者ロールとシステム管理者ロールは、これらの設定を確認できます。

  • ターミナルウィンドウで、tninfoコマンドを実行します。

    • tninfo-h hostname指定されたホストのIPアドレスとテンプレートを表示します。

    • tninfo-t templatenameは、次の情報を表示します:

      template: template-namehost_type: either CIPSO or UNLABELEDdoi: 1min_sl: minimum-labelhex: minimum-hex-labelmax_sl: maximum-labelhex:maximum-hex-label

    • tninfo-m zone-nameゾーンのマルチレベルポート(MLP)設定を表示します。

例13-16ホストでのマルチレベルポートの表示

この例では、システムに複数のラベル付きゾーンが設定されています。 Allzonesは同じIPアドレスを共有します。 一部のゾーンは、ゾーン固有のアドレスで構成されています。 この構成では、web参照用のTCPポートport8080は、パブリックゾーン内の共有インターフェイス上のMLPです。 管理者はまた、telnet、TCPポート23をパブリックゾーンのanMLPに設定しました。 この2つのMlpは共有インターフェイス上にあるため、大域ゾーンを含む他のゾーンは、ポート8080および23の共有インターフェイス上でパケットを受信できません。

また、ssh用のTCPポート、ポート22は、パブリックゾーン内のzoneMLPごとです。 パブリックゾーンのsshサービスは、アドレスのラベル範囲内のゾーン固有のアドレスで任意のパケットを受信できます。

次のコマンドは、パブリックゾーンのMlpを示しています:

$ tninfo -m publicprivate: 22/tcpshared: 23/tcp;8080/tcp

次のコマンドは、大域ゾーンのMlpを示しています。 大域ゾーンはパブリックゾーンと同じアドレスを共有するため、ポート23および8080を大域ゾーン内のMlpにすることはできません:

$ tninfo -m globalprivate: 111/tcp;111/udp;514/tcp;515/tcp;631/tcp;2049/tcp; 6000-6003/tcp;38672/tcp;60770/tcp;shared: 6000-6003/tcp

信頼されたネットワークデータベースとカーネルキャッシュを同期する方法

信頼されたネットワークデータベース情報でカーネルが更新されていない場合、カーネ Solaris ManagementConsoleでは、セキュリティテンプレートツールまたはTrusted Network Zonesツールを使用すると、このコマンドが自動的に実行されます。

始める前に

大域ゾーンのセキュリティ管理者ロールに属している必要があります。

  • カーネルキャッシュをネットワークデータベースと同期するには、次のいずれかのコマンドを実行します。
    • Tnctlサービスを再起動します。
      注意

      注意-LDAPサーバーから信頼されたnetworkdatabase情報を取得するシステムでは、この方法を使用しないでください。 ローカルデータベース情報は、LDAPサーバーから取得された情報を上書きします。

      		 
      $ svcadm restart svc:/network/tnctl

      このコマンドは、ローカルの信頼されたネットワークデータベースからカーネルにすべての情報を読み取ります。

    • 最近追加したエントリのカーネルキャッシュを更新します。 
      $ tnctl -h hostname

      このコマンドは、選択したオプションの情報のみをカーネルに読み込みます。 オプションの詳細については、例13-17およびtnctl(1M)のマニュアルページを参照してください。

    • 注-tndサービスは、ldapサービスが実行されている場合にのみ実行されています。

      • tndポーリング間隔を変更します。

        これはカーネルキャッシュを更新しません。 ただし、カーネルキャッシュをより頻繁に更新するために、polling間隔を短くすることができます。 詳細については、tnd(1M)のmanページの例を参照してください。

      • このサービス管理機能(SMF)コマンドは、信頼されたネットワークデータベースに対する最近の変更によるカーネルの即時更新をトリガします。

        $ svcadm refresh svc:/network/tnd
      • SMFを使用してtndを再起動します。 
        $ svcadm restart svc:/network/tnd
        注意

        注意–tndを再起動するためにtndコマンドを実行しないでください。 このコマンドは、現在成功している通信を中断することができます。

例13-17最新のtnrhdbエントリを使用したカーネルの更新

この例では、管理者がlocaltnrhdbデータベースに三つのアドレスを追加しています。 まず、管理者は0.0.0.0ワイルドカードエントリを削除しました。

$ tnctl -d -h 0.0.0.0:admin_low

次に、管理者は/etc/security/tsol/tnrhdbデータベースの最後の3つのエントリの形式を表示します:

$ tail /etc/security/tsol/tnrhdb#\:\:0:admin_low127.0.0.1:cipso#\:\:1:cipso192.168.103.5:admin_low192.168.103.0:cipso0.0.0.0/32:admin_low

その後、管理者はカーネルキャッシュを更新します:

$ tnctl -h 192.168.103.5tnctl -h 192.168.103.0tnctl -h 0.0.0.0/32

最後に、管理者はカーネルキャッシュが更新されていることを確認します。 最初のエントリの出力は次のようになります:

$ tninfo -h 192.168.103.5IP Address: 192.168.103.5Template: admin_low

例13-18カーネル内のネットワーク情報の更新

この例では、管理者は信頼できるネットワークをpublicprintサーバーで更新し、カーネル設定が正しいことを確認します。

$ tnctl -h public-print-server$ tninfo -h public-print-serverIP Address: 192.168.103.55Template: PublicOnly$ tninfo -t PublicOnly==================================Remote Host Template Table Entries----------------------------------template: PublicOnlyhost_type: CIPSOdoi: 1min_sl: PUBLIChex: 0x0002-08-08max_sl: PUBLIChex: 0x0002-08-08

コメントを残す

メールアドレスが公開されることはありません。