Trusted Extensionsでのルートの構成とネットワーク情報の確認(タスクマップ)
次のタ
|
はじめる前に
大域ゾーンのセキュリティ管理者ロールに属している必要があります。
- 使用しているすべての宛先ホストとゲートウェイを、信頼されたネットワーク上のroutepacketsに追加します。
アドレスは、ローカルの/etc/hostsファイルに追加されるか、LDAPサーバー上のitsequivalentに追加されます。 Solaris管理コンソールのComputers and Networksツールを使用します。 Filesスコープは/etc/hostsファイルを変更します。 LDAPscopeは、LDAPサーバー上のエントリを変更します。 詳細については、”システムの既知のネットワークにホストを追加する方法”を参照してください。
- 各宛先ホスト、ネットワーク、およびゲートウェイをセキュリティテンプレートに割り当てます。
アドレスは、ローカルの/etc/security/tsol/tnrhdbファイルに追加されるか、LDAPサーバーのitsequivalentに追加されます。 SolarisManagementコンソールのセキュリティテンプレートツールを使用します。 詳細については、”ホストまたはホストのグループにセキュリティテンプレートを割り当てる方法”を参照してください。
- ルートを設定します。
ターミナルウィンドウで、route addコマンドを使用してルートを指定します。
最初のエントリはデフォルトルートを設定します。 このエントリは、ホストまたはパケットの宛先に対して特定のルートが定義されていない場合に使用するagatewayのアドレス192.168.113.1を指定します。詳細は、route(1M)のmanページを参照してください。
- 一つ以上のネットワークエントリを設定します。
セキュリティ属性を指定するには、-secattrフラグを使用します。
次のコマンドのリストでは、二行目はnetworkentryを示しています。 第三の行は、ラベルRANGEOF PUBLIC to CONFIDENTIAL:INTERNAL USE ONLYのネットワークエントリを示しています。
# route add default 192.168.113.36# route add -net 192.168.102.0 gateway-101# route add -net 192.168.101.0 gateway-102 \-secattr min_sl="PUBLIC",max_sl="CONFIDENTIAL : INTERNAL USE ONLY",doi=1
- 1つまたは複数のホストエントリを設定します。
新しい4行目には、単一ラベルのホストgateway-pubのホストエントリが表示されます。 gateway-pubには、PUBLICからPUBLICのラベル範囲があります。
# route add default 192.168.113.36# route add -net 192.168.102.0 gateway-101# route add -net 192.168.101.0 gateway-102 \-secattr min_sl="PUBLIC",max_sl="CONFIDENTIAL : INTERNAL USE ONLY",doi=1# route add -host 192.168.101.3 gateway-pub \-secattr min_sl="PUBLIC",max_sl="PUBLIC",doi=1
例13-14CONFIDENTIAL:INTERNAL USE ONLY to CONFIDENTIALのラベル範囲を持つルートの追加 : RESTRICTED
次のrouteコマンドは、ゲートウェイとして192.168.118.39を持つホストat192.168.115.0をルーティングテーブルに追加します。 ラベルの範囲はCONFIDENTIAL:INTERNAL USE OnlyからCONFIDENTIAL:RESTRICTEDまでで、DOIは1です。
$ route add -net 192.168.115.0 192.168.118.39 \-secattr min_sl="CONFIDENTIAL : INTERNAL USE ONLY",max_sl="CONFIDENTIAL : RESTRICTED",doi=1
追加されたホストの結果はnetstat-rRで表示されますcommand.In 以下の抜粋は、他のルートは省略記号(。..).
$ netstat -rRn...192.168.115.0 192.168.118.39 UG 0 0 min_sl=CNF : INTERNAL USE ONLY,max_sl=CNF : RESTRICTED,DOI=1,CIPSO...
信頼されたネットワークデータベースの構文を確認する方法
tnchkdbコマンドは、各ネットワークデータベースの構文が正確であることを確認します。Solaris管理コンソールでは、Security TemplatesツールまたはTrusted Network Zonesツールを使用すると、このコマンドが自動的に実行されます。 通常、このコマンドを実行して、将来使用するために構成しているデータベースファイルの構文を確認します。
始める前に
ネットワーク設定を確認できる役割で大域ゾーンにいる必要があります。 セキュリティ管理者ロールとシステム管理者ロールは、これらの設定を確認できます。
- ターミナルウィンドウで、tnchkdbコマンドを実行します。
$ tnchkdb checking /etc/security/tsol/tnrhtp ...checking /etc/security/tsol/tnrhdb ...checking /etc/security/tsol/tnzonecfg ...
例13-15トライアルネットワーク-データベースの構文のテスト
この例では、セキュリティ管理者がネットワーク-データベース-ファイルをテストしています。 最初は、管理者は間違ったオプションを使用します。 チェックの結果は、tnrhdbファイルの行に出力されます:
$ tnchkdb -h /opt/secfiles/trial.tnrhtpchecking /etc/security/tsol/tnrhtp ...checking /opt/secfiles/trial.tnrhtp ...line 12: Illegal name: min_sl=ADMIN_LOW;max_sl=ADMIN_HIGHline 14: Illegal name: min_sl=ADMIN_LOW;max_sl=ADMIN_HIGHchecking /etc/security/tsol/tnzonecfg ...
セキュリティ管理者が-tオプションを使用してファイルをチェックすると、このコマンドは試用版のtnrhtpデータベースの構文がisaccurateであることを確認します:
$ tnchkdb -t /opt/secfiles/trial.tnrhtpchecking /opt/secfiles/trial.tnrhtp ...checking /etc/security/tsol/tnrhdb ...checking /etc/security/tsol/tnzonecfg ...
信頼できるネットワークデータベース情報をカーネルキャッシュと比較する方法
ネットワークデータベースには、カーネルにキャッシュされていない情報が含 この手順では、情報が同一であることを確認します。 Solaris管理コンソールを使用してネットワークを更新すると、カーネルキャッシュはネットワークデータベース情報で更新されます。 Tninfoコマンドは、テスト中やデバッグ中に便利です。
始める前に
ネットワーク設定を確認できる役割で大域ゾーンにいる必要があります。 セキュリティ管理者ロールとシステム管理者ロールは、これらの設定を確認できます。
- ターミナルウィンドウで、tninfoコマンドを実行します。
-
tninfo-h hostname指定されたホストのIPアドレスとテンプレートを表示します。
-
tninfo-t templatenameは、次の情報を表示します:
template: template-namehost_type: either CIPSO or UNLABELEDdoi: 1min_sl: minimum-labelhex: minimum-hex-labelmax_sl: maximum-labelhex:maximum-hex-label
-
tninfo-m zone-nameゾーンのマルチレベルポート(MLP)設定を表示します。
-
例13-16ホストでのマルチレベルポートの表示
この例では、システムに複数のラベル付きゾーンが設定されています。 Allzonesは同じIPアドレスを共有します。 一部のゾーンは、ゾーン固有のアドレスで構成されています。 この構成では、web参照用のTCPポートport8080は、パブリックゾーン内の共有インターフェイス上のMLPです。 管理者はまた、telnet、TCPポート23をパブリックゾーンのanMLPに設定しました。 この2つのMlpは共有インターフェイス上にあるため、大域ゾーンを含む他のゾーンは、ポート8080および23の共有インターフェイス上でパケットを受信できません。
また、ssh用のTCPポート、ポート22は、パブリックゾーン内のzoneMLPごとです。 パブリックゾーンのsshサービスは、アドレスのラベル範囲内のゾーン固有のアドレスで任意のパケットを受信できます。
次のコマンドは、パブリックゾーンのMlpを示しています:
$ tninfo -m publicprivate: 22/tcpshared: 23/tcp;8080/tcp
次のコマンドは、大域ゾーンのMlpを示しています。 大域ゾーンはパブリックゾーンと同じアドレスを共有するため、ポート23および8080を大域ゾーン内のMlpにすることはできません:
$ tninfo -m globalprivate: 111/tcp;111/udp;514/tcp;515/tcp;631/tcp;2049/tcp; 6000-6003/tcp;38672/tcp;60770/tcp;shared: 6000-6003/tcp
信頼されたネットワークデータベースとカーネルキャッシュを同期する方法
信頼されたネットワークデータベース情報でカーネルが更新されていない場合、カーネ Solaris ManagementConsoleでは、セキュリティテンプレートツールまたはTrusted Network Zonesツールを使用すると、このコマンドが自動的に実行されます。
始める前に
大域ゾーンのセキュリティ管理者ロールに属している必要があります。
- カーネルキャッシュをネットワークデータベースと同期するには、次のいずれかのコマンドを実行します。
- Tnctlサービスを再起動します。
注意-LDAPサーバーから信頼されたnetworkdatabase情報を取得するシステムでは、この方法を使用しないでください。 ローカルデータベース情報は、LDAPサーバーから取得された情報を上書きします。
$ svcadm restart svc:/network/tnctl
このコマンドは、ローカルの信頼されたネットワークデータベースからカーネルにすべての情報を読み取ります。
- 最近追加したエントリのカーネルキャッシュを更新します。
$ tnctl -h hostname
このコマンドは、選択したオプションの情報のみをカーネルに読み込みます。 オプションの詳細については、例13-17およびtnctl(1M)のマニュアルページを参照してください。
-
注-tndサービスは、ldapサービスが実行されている場合にのみ実行されています。
- tndポーリング間隔を変更します。
これはカーネルキャッシュを更新しません。 ただし、カーネルキャッシュをより頻繁に更新するために、polling間隔を短くすることができます。 詳細については、tnd(1M)のmanページの例を参照してください。
-
このサービス管理機能(SMF)コマンドは、信頼されたネットワークデータベースに対する最近の変更によるカーネルの即時更新をトリガします。
$ svcadm refresh svc:/network/tnd
- SMFを使用してtndを再起動します。
$ svcadm restart svc:/network/tnd
注意–tndを再起動するためにtndコマンドを実行しないでください。 このコマンドは、現在成功している通信を中断することができます。
- tndポーリング間隔を変更します。
- Tnctlサービスを再起動します。
例13-17最新のtnrhdbエントリを使用したカーネルの更新
この例では、管理者がlocaltnrhdbデータベースに三つのアドレスを追加しています。 まず、管理者は0.0.0.0ワイルドカードエントリを削除しました。
$ tnctl -d -h 0.0.0.0:admin_low
次に、管理者は/etc/security/tsol/tnrhdbデータベースの最後の3つのエントリの形式を表示します:
$ tail /etc/security/tsol/tnrhdb#\:\:0:admin_low127.0.0.1:cipso#\:\:1:cipso192.168.103.5:admin_low192.168.103.0:cipso0.0.0.0/32:admin_low
その後、管理者はカーネルキャッシュを更新します:
$ tnctl -h 192.168.103.5tnctl -h 192.168.103.0tnctl -h 0.0.0.0/32
最後に、管理者はカーネルキャッシュが更新されていることを確認します。 最初のエントリの出力は次のようになります:
$ tninfo -h 192.168.103.5IP Address: 192.168.103.5Template: admin_low
例13-18カーネル内のネットワーク情報の更新
この例では、管理者は信頼できるネットワークをpublicprintサーバーで更新し、カーネル設定が正しいことを確認します。
$ tnctl -h public-print-server$ tninfo -h public-print-serverIP Address: 192.168.103.55Template: PublicOnly$ tninfo -t PublicOnly==================================Remote Host Template Table Entries----------------------------------template: PublicOnlyhost_type: CIPSOdoi: 1min_sl: PUBLIChex: 0x0002-08-08max_sl: PUBLIChex: 0x0002-08-08