신뢰할 수 있는 확장 프로그램에서 경로 구성 및 네트워크 정보 확인(작업 맵)-오라클 솔라리스 신뢰할 수 있는 확장 관리자의 절차

신뢰할 수 있는 확장 프로그램에서 경로 구성 및 네트워크 정보 확인(작업 맵)

다음 작업 맵은 네트워크를 구성하고 구성을 확인하는 작업에 대해 설명합니다.

작업
설명
지침을 위해
정적 경로를 구성합니다.
한 호스트에서 다른 호스트로의 최상의 경로를 수동으로 설명합니다.
로컬 네트워크 데이터베이스의 정확성을 확인하십시오.
로컬 네트워크 데이터베이스의 구문 유효성을 확인합니다.
네트워크 데이터베이스 항목을 커널 캐시의 항목과 비교합니다.
커널 캐시가 최신 데이터베이스 정보로 업데이트되었는지 확인합니다.
커널 캐시를 네트워크 데이터베이스와 동기화합니다.
실행 중인 시스템에서 최신 네트워크 데이터베이스 정보로 커널 캐시를 업데이트합니다.

보안 특성을 가진 경로를 구성하는 방법

시작하기 전에

전역 영역에서 보안 관리자 역할에 있어야 합니다.

  1. 신뢰할 수 있는 네트워크를 통해 패키지를 라우팅하는 데 사용 중인 모든 대상 호스트와 게이트웨이를 추가합니다.

    주소는 로컬/등/호스트 파일에 추가 됩니다. 솔라리스 관리 콘솔에서 컴퓨터 및 네트워크 도구를 사용하십시오. 파일 범위는/등/호스트 파일을 수정합니다. 이 옵션을 선택하면 이 옵션을 사용할 수 없습니다. 자세한 내용은 시스템의 알려진 네트워크에 호스트를 추가하는 방법을 참조하십시오.

  2. 각 대상 호스트,네트워크 및 게이트웨이를 보안 템플릿에 할당합니다.

    주소는 로컬/등/보안/ 파일에 추가 됩니다. 솔라 관리 콘솔에서 보안 템플릿 도구를 사용합니다. 자세한 내용은 호스트 또는 호스트 그룹에 보안 템플릿을 할당하는 방법을 참조하십시오.

  3. 경로를 설정합니다.

    터미널 창에서 경로 추가 명령을 사용하여 경로를 지정합니다.

    첫 번째 항목은 기본 경로를 설정합니다. 이 항목은 호스트 또는 패킷의 대상에 특정 경로가 정의되지 않은 경우에 사용할 아가테웨이의 주소 192.168.113.1 을 지정합니다.

    # route add default 192.168.113.1 -static

    자세한 내용은 경로(1 미터)맨 페이지를 참조하십시오.

  4. 하나 이상의 네트워크 항목을 설정합니다.

    보안 특성을 지정하려면-보안 태그 플래그를 사용합니다.

    다음 명령 목록에서 두 번째 줄에는 네트워크 통신이 표시됩니다. 세 번째 줄에는 공개에서 기밀로의 레이블 범위가 있는 네트워크 항목이 표시됩니다.

    # route add default 192.168.113.36# route add -net 192.168.102.0 gateway-101# route add -net 192.168.101.0 gateway-102 \-secattr min_sl="PUBLIC",max_sl="CONFIDENTIAL : INTERNAL USE ONLY",doi=1
  5. 하나 이상의 호스트 항목을 설정합니다.

    새 네 번째 줄에는 단일 레이블 호스트 게이트웨이 펍에 대한 호스트 항목이 표시됩니다. 게이트웨이-펍 공공 공공의 레이블 범위가 있습니다.

    # route add default 192.168.113.36# route add -net 192.168.102.0 gateway-101# route add -net 192.168.101.0 gateway-102 \-secattr min_sl="PUBLIC",max_sl="CONFIDENTIAL : INTERNAL USE ONLY",doi=1# route add -host 192.168.101.3 gateway-pub \-secattr min_sl="PUBLIC",max_sl="PUBLIC",doi=1

예 13-14 라벨이 기밀 범위인 경로 추가:내부 사용은 비밀로만 사용 : 제한된

다음 경로 명령은 라우팅 테이블에 192.168.115.0 의 호스트를 게이트웨이로 192.168.118.39 로 추가합니다. 라벨 범위는 기밀:내부 사용 만기밀:제한적이며 도이는 1 입니다.

$ route add -net 192.168.115.0 192.168.118.39 \-secattr min_sl="CONFIDENTIAL : INTERNAL USE ONLY",max_sl="CONFIDENTIAL : RESTRICTED",doi=1

추가된 호스트의 결과가 다음과 같이 표시됩니다.command.In 다음 발췌,다른 경로는 타원으로 대체(…).

$ netstat -rRn...192.168.115.0 192.168.118.39 UG 0 0 min_sl=CNF : INTERNAL USE ONLY,max_sl=CNF : RESTRICTED,DOI=1,CIPSO...

신뢰할 수 있는 네트워크 데이터베이스의 구문을 확인하는 방법

각 네트워크 데이터베이스의 구문이 정확한지 확인합니다.보안 템플릿 도구 또는 신뢰할 수 있는 네트워크 영역 도구를 사용할 때 솔라리스 관리 콘솔이 자동으로 이 명령을 실행합니다. 일반적으로 이 명령을 실행하여 나중에 사용할 수 있도록 구성 중인 데이터베이스 파일의 구문을 확인합니다.

시작하기 전에

네트워크 설정을 확인할 수 있는 역할의 전역 영역에 있어야 합니다. 보안 관리자 역할 및 시스템 관리자 역할이러한 설정을 확인할 수 있습니다.

  • 터미널 창에서 명령을 실행합니다.
    $ tnchkdb checking /etc/security/tsol/tnrhtp ...checking /etc/security/tsol/tnrhdb ...checking /etc/security/tsol/tnzonecfg ...

예제 13-15 시험 네트워크 데이터베이스의 구문 테스트

이 예에서 보안 관리자는 가능한 사용을 위해 네트워크 데이터베이스 파일을 테스트하고 있습니다. 처음에는 관리자가 잘못된 옵션을 사용합니다. 이 문서는 기계 번역되었으므로 어휘,구문 또는 문법에서 오류가 있을 수 있습니다:

$ tnchkdb -h /opt/secfiles/trial.tnrhtpchecking /etc/security/tsol/tnrhtp ...checking /opt/secfiles/trial.tnrhtp ...line 12: Illegal name: min_sl=ADMIN_LOW;max_sl=ADMIN_HIGHline 14: Illegal name: min_sl=ADMIN_LOW;max_sl=ADMIN_HIGHchecking /etc/security/tsol/tnzonecfg ...

보안 관리자가 이 옵션을 사용하여 파일을 확인할 때 이 명령은 평가판 데이터베이스의 구문이 정확한지 확인합니다:

$ tnchkdb -t /opt/secfiles/trial.tnrhtpchecking /opt/secfiles/trial.tnrhtp ...checking /etc/security/tsol/tnrhdb ...checking /etc/security/tsol/tnzonecfg ...

신뢰할 수 있는 네트워크 데이터베이스 정보를 커널 캐시와 비교하는 방법

네트워크 데이터베이스에는 커널에 캐시되지 않은 정보가 포함될 수 있습니다. 이 절차는 정보가 동일한지 확인합니다. 네트워크를 업데이트하기 위해 솔라리스 관리 콘솔을 사용하면 커널 캐시가 네트워크 데이터베이스 정보로 업데이트됩니다. 이 명령은 테스트 및 디버깅을 위해 유용합니다.

시작하기 전에

네트워크 설정을 확인할 수 있는 역할의 전역 영역에 있어야 합니다. 보안 관리자 역할 및 시스템 관리자 역할이러한 설정을 확인할 수 있습니다.이 경우 터미널 창에서 다음 명령을 실행합니다.

  • 다음 정보를 표시합니다:

    template: template-namehost_type: either CIPSO or UNLABELEDdoi: 1min_sl: minimum-labelhex: minimum-hex-labelmax_sl: maximum-labelhex:maximum-hex-label
  • 다중 레벨 포트 구성을 표시합니다.

예제 13-16 호스트에 다중 레벨 포트 표시

이 예에서는 시스템이 여러 개의 레이블이 지정된 영역으로 구성됩니다. 모든 영역은 동일한 아이피 주소를 공유합니다. 일부 영역은 다음과 같이 구성됩니다.영역 별 주소. 이 구성에서 웹 브라우징을 위한 포트 8080 은 공용 영역의 공유 인터페이스에 있는 메이저리그입니다. 또한 텔넷을 설정했습니다. 전역 영역을 포함 하 여 다른 영역 포트 8080 및 23 에 공유 인터페이스에 패킷을 받을 수 있습니다.이 포트에 대한 자세한 내용은 포트 22 를 참조하십시오. 주소의 레이블 범위 내에서 해당 영역별 주소의 모든 패킷을 받을 수 있습니다.

다음 명령은 공용 영역에 대한 국토교통부:

$ tninfo -m publicprivate: 22/tcpshared: 23/tcp;8080/tcp

다음 명령은 전역 영역에 대한 국공립대학교를 보여 줍니다. 전역 영역은 공용 영역과 동일한 주소를 공유하므로 전역 영역에서 포트 23 및 8080 이 될 수 없습니다:

$ tninfo -m globalprivate: 111/tcp;111/udp;514/tcp;515/tcp;631/tcp;2049/tcp; 6000-6003/tcp;38672/tcp;60770/tcp;shared: 6000-6003/tcp

커널 캐시를 신뢰할 수 있는 네트워크 데이터베이스와 동기화하는 방법

커널이 신뢰할 수 있는 네트워크 데이터베이스 정보로 업데이트되지 않은 경우 커널 캐시를 업데이트하는 방법은 여러 가지가 있습니다. 보안 템플릿 도구 또는 신뢰할 수 있는 네트워크 영역 도구를 사용할 때 솔라리스 관리 콘솔이 자동으로 이 명령을 실행합니다.

시작하기 전에

전역 영역에서 보안 관리자 역할에 있어야 합니다.

  • 커널 캐시를 네트워크 데이터베이스와 동기화하려면 다음 명령 중 하나를 실행하십시오.
    주의 사항

    주의-신뢰할 수 있는 네트워크 데이터베이스 정보를 얻는 시스템에서는 이 방법을 사용하지 마십시오. 로컬 데이터베이스 정보를 덮어씁니다.

    $ svcadm restart svc:/network/tnctl

    이 명령은 로컬 신뢰할 수있는 네트워크 데이터베이스의 모든 정보를 커널로 읽습니다.

  • 최근에 추가한 항목의 커널 캐시를 업데이트합니다.
    $ tnctl -h hostname

    이 명령은 선택한 옵션의 정보만 커널로 읽습니다. 옵션에 대한 자세한 내용은 예제 13-17 을 참조하십시오.

    • 폴링 간격을 변경합니다.

      커널 캐시를 업데이트하지 않습니다. 그러나 커널 캐시를 더 자주 업데이트하려면 폴링 간격을 줄일 수 있습니다. 자세한 내용은,에서 예를 들끓다(1 엠)맨 페이지.

    • 이 서비스 관리 기능은 신뢰할 수 있는 네트워크 데이터베이스에 대한 최근 변경 사항과 함께 커널의 즉각적인 업데이트를 트리거합니다.

      $ svcadm refresh svc:/network/tnd
    • 를 사용하여 다시 시작하십시오.
      $ svcadm restart svc:/network/tnd
      주의 사항

      주의-이 명령을 실행하여 이 명령을 다시 시작하지 마십시오. 이 명령은 현재 성공 중인 통신을 중단할 수 있습니다.

이 예제에서는 관리자가 로컬 데이터베이스에 3 개의 주소를 추가했습니다. 먼저 관리자는 0.0.0.0 와일드카드 항목을 제거했습니다.

$ tnctl -d -h 0.0.0.0:admin_low

그런 다음 관리자가 마지막 세 항목의 형식을 봅니다.:

$ tail /etc/security/tsol/tnrhdb#\:\:0:admin_low127.0.0.1:cipso#\:\:1:cipso192.168.103.5:admin_low192.168.103.0:cipso0.0.0.0/32:admin_low

그런 다음 관리자가 커널 캐시를 업데이트합니다:

$ tnctl -h 192.168.103.5tnctl -h 192.168.103.0tnctl -h 0.0.0.0/32

마지막으로 관리자는 커널 캐시가 업데이트되었는지 확인합니다. 첫 번째 항목의 출력은 다음과 유사합니다:

$ tninfo -h 192.168.103.5IP Address: 192.168.103.5Template: admin_low

예제 13-18 커널

의 네트워크 정보 업데이트 이 예제에서는 관리자가 퍼블릭 프린트 서버로 신뢰할 수 있는 네트워크를 업데이트한 다음 커널 설정이 올바른지 확인합니다.

$ tnctl -h public-print-server$ tninfo -h public-print-serverIP Address: 192.168.103.55Template: PublicOnly$ tninfo -t PublicOnly==================================Remote Host Template Table Entries----------------------------------template: PublicOnlyhost_type: CIPSOdoi: 1min_sl: PUBLIChex: 0x0002-08-08max_sl: PUBLIChex: 0x0002-08-08

답글 남기기

이메일 주소는 공개되지 않습니다.