Konfigurere Ruter Og Sjekke Nettverksinformasjon I Klarerte Utvidelser (Oppgavekart)
følgende oppgavekart beskriver oppgaver for å konfigurere nettverket og verifisere konfigurasjonen.
|
Slik Konfigurerer Du Ruter Med Sikkerhetsattributter
Før Du Begynner
Du må være I Sikkerhetsadministratorrollen i den globale sonen.
- Legg til alle destinasjonsverten og gatewayen Du bruker, til routepackets over det klarerte nettverket.
adressene legges til den lokale/etc / hosts-filen, eller til itsequivalent PÅ LDAP-serveren. Bruk Verktøyet Datamaskiner og Nettverk isolaris Management Console. Filenes omfang endrer / etc / hosts-filen. LDAPscope endrer oppføringene PÅ LDAP-serveren. For detaljer, se Slik Legger Du Til Verter I Systemets Kjente Nettverk.
- Tilordne hver målverten, nettverk og gateway til en sikkerhetsmal.
adressene legges til den lokale/etc/security/tsol / tnrhdb-filen, eller til itsequivalent PÅ LDAP-serveren. Bruk Verktøyet Sikkerhetsmaler i SolarisManagement-Konsollen. Hvis du Vil Ha mer informasjon, Kan Du Se Tilordne En Sikkerhetsmal til En Vert eller En Gruppe Verter.
- Sett opp rutene.
i et terminalvindu bruker du kommandoen route add til å angi ruter.
den første oppføringen setter opp en standardrute. Oppføringen angir agateway adresse, 192.168.113.1, som skal brukes når ingen bestemt rute er definert forher verten eller pakkens destinasjon.
# route add default 192.168.113.1 -static
for detaljer, se siden rute (1m) mann.
- Konfigurer en eller flere nettverksoppføringer.
Bruk-secattr-flagget til å angi sikkerhetsattributter.
i den følgende listen over kommandoer viser den andre linjen et nettverk. Den tredje linjen viser en nettverksoppføring med et etikettområde FRA OFFENTLIG TIL KONFIDENSIELL: KUN INTERN BRUK.
# route add default 192.168.113.36# route add -net 192.168.102.0 gateway-101# route add -net 192.168.101.0 gateway-102 \-secattr min_sl="PUBLIC",max_sl="CONFIDENTIAL : INTERNAL USE ONLY",doi=1
- Sett opp en eller flere vertsoppføringer.
den nye fjerde linjen viser en vertsoppføring for single-label host,gateway-pub. gateway-pub har et etikettområde FRA OFFENTLIG TIL OFFENTLIG.
# route add default 192.168.113.36# route add -net 192.168.102.0 gateway-101# route add -net 192.168.101.0 gateway-102 \-secattr min_sl="PUBLIC",max_sl="CONFIDENTIAL : INTERNAL USE ONLY",doi=1# route add -host 192.168.101.3 gateway-pub \-secattr min_sl="PUBLIC",max_sl="PUBLIC",doi=1
Eksempel 13-14 Legge Til En Rute MED ET Etikettområde CONFIDENTIAL: KUN INTERN BRUK TIL CONFIDENTIAL : BEGRENSET
følgende rutekommando legger til rutingstabellen vertene at192.168.115.0 med 192.168.118.39 som gateway. Etikettområdet er FRA CONFIDENTIAL: INTERN BRUK ONLYto CONFIDENTIAL: RESTRICTED, OG DOI er 1.
$ route add -net 192.168.115.0 192.168.118.39 \-secattr min_sl="CONFIDENTIAL : INTERNAL USE ONLY",max_sl="CONFIDENTIAL : RESTRICTED",doi=1
resultatet av de ekstra vertene vises med netstat-rR command.In følgende utdrag, de andre rutene er erstattet av ellipser (…).
$ netstat -rRn...192.168.115.0 192.168.118.39 UG 0 0 min_sl=CNF : INTERNAL USE ONLY,max_sl=CNF : RESTRICTED,DOI=1,CIPSO...
Slik Kontrollerer Du Syntaksen For Klarerte Nettverksdatabaser
kommandoen tnchkdb kontrollerer at syntaksen for hver nettverksdatabase er nøyaktig.Solaris Management Console kjører denne kommandoen automatisk når du bruker verktøyet for Sikkerhetsmaler eller Verktøyet Klarerte Nettverkssoner. Vanligvis kjører dudenne kommandoen for å sjekke syntaksen til databasefiler som du konfigurererfor fremtidig bruk.
Før Du Begynner
Må du være i den globale sonen i en rolle som cancheck nettverksinnstillinger. Sikkerhetsadministratorrollen Og Systemadministratorrollenkan sjekke disse innstillingene.
- kjør kommandoen tnchkdb i et terminalvindu.
$ tnchkdb checking /etc/security/tsol/tnrhtp ...checking /etc/security/tsol/tnrhdb ...checking /etc/security/tsol/tnzonecfg ...
Eksempel 13-15 Teste Syntaksen For En Nettverksdatabase For Prøveversjon
i dette eksemplet tester sikkerhetsadministratoren en nettverksdatabasefil for mulig bruk. I utgangspunktet bruker administratoren feil alternativ. Resultatene av sjekken skrives ut på linjen for tnrhdb-filen:
$ tnchkdb -h /opt/secfiles/trial.tnrhtpchecking /etc/security/tsol/tnrhtp ...checking /opt/secfiles/trial.tnrhtp ...line 12: Illegal name: min_sl=ADMIN_LOW;max_sl=ADMIN_HIGHline 14: Illegal name: min_sl=ADMIN_LOW;max_sl=ADMIN_HIGHchecking /etc/security/tsol/tnzonecfg ...
når sikkerhetsadministratoren sjekker filen ved hjelp av-t-alternativet,bekrefter kommandoen at syntaksen til trial tnrhtp-databasen isaccurate:
$ tnchkdb -t /opt/secfiles/trial.tnrhtpchecking /opt/secfiles/trial.tnrhtp ...checking /etc/security/tsol/tnrhdb ...checking /etc/security/tsol/tnzonecfg ...
Slik Sammenligner Du Klarerte Nettverksdatabaseinformasjon Med Kjernebufferen
nettverksdatabasene kan inneholde informasjon som ikke er bufret ikjernen. Denne prosedyren kontrollerer at informasjonen er identisk. Når Du bruker Solaris Management Console til å oppdatere nettverket, er kjernebufferen oppdatert med nettverksdatabaseinformasjon. Kommandoen tninfo er nyttig under testing ogfor feilsøking.
Før Du Begynner
Må du være i den globale sonen i en rolle som cancheck nettverksinnstillinger. Sikkerhetsadministratorrollen Og Systemadministratorrollenkan sjekke disse innstillingene.
- kjør tninfo-kommandoen i et terminalvindu.
-
tninfo-h vertsnavn viser IP-adressen og malen for den angitte verten.
-
tninfo – t templatename viser følgende informasjon:
template: template-namehost_type: either CIPSO or UNLABELEDdoi: 1min_sl: minimum-labelhex: minimum-hex-labelmax_sl: maximum-labelhex:maximum-hex-label
-
tninfo-m zone-name viser MLP-konfigurasjonen (multilevel port) for en sone.
-
Eksempel 13-16 Vise Flernivåporter På En Vert
i dette eksemplet er et system konfigurert med flere merkede soner. Allzones deler SAMME IP-adresse. Noen soner er også konfigurert medsone-spesifikke adresser. I denne konfigurasjonen ER TCP-porten for nettlesing, port8080, EN MLP på et delt grensesnitt i den offentlige sonen. Theadministrator har også satt opp telnet, TCP port 23, for å være anMLP i den offentlige sonen. Fordi Disse To Mlpene er på ashared-grensesnittet, kan ingen annen sone, inkludert global zone, motta pakker på det delte grensesnittet på porter 8080 og 23.
I tillegg ER TCP-porten for ssh, port 22, en per-zoneMLP i den offentlige sonen. Den offentlige sonens ssh-tjeneste kan mottanoen pakker på sin sonespesifikke adresse innenfor adressens etikettområde.
følgende kommando viser MLPs for den offentlige sonen:
$ tninfo -m publicprivate: 22/tcpshared: 23/tcp;8080/tcp
følgende kommando viser MLPs for den globale sonen. Merk atport 23 og 8080 kan ikke Være MLPs i den globale sonen fordi den globale sonen deler samme adresse med den offentlige sonen:
$ tninfo -m globalprivate: 111/tcp;111/udp;514/tcp;515/tcp;631/tcp;2049/tcp; 6000-6003/tcp;38672/tcp;60770/tcp;shared: 6000-6003/tcp
Slik Synkroniserer Du Kjernebufferen Med Klarerte Nettverksdatabaser
når kjernen ikke er oppdatert med klarerte nettverksdatabaseinformasjon, har du flere måter å oppdatere kjernebufferen på. Solaris ManagementConsole kjører denne kommandoen automatisk når Du bruker Verktøyet Sikkerhetsmaler eller Verktøyet Klarerte Nettverkssoner.
Før Du Begynner
Må Du være I Sikkerhetsadministratorrollen i den globale sonen.
- hvis du vil synkronisere kjernebufferen med nettverksdatabaser, kjører du en av følgende kommandoer:
- Start tnctl-tjenesten på nytt.
Forsiktig – ikke bruk denne metoden på systemer som henter sin klarerte networkdatabase-informasjon fra EN LDAP-server. Den lokale databaseinformasjonen vil overskriveinformasjonen som er hentet fra LDAP-serveren.
$ svcadm restart svc:/network/tnctl
denne kommandoen leser all informasjon fra de lokale klarerte nettverksdatabasene inn i kjernen.
- Oppdater kjernebufferen for oppføringene du nylig har lagt til.
$ tnctl -h hostname
denne kommandoen leser bare informasjonen fra det valgte alternativet inn ikjerne. For detaljer om alternativene, se Eksempel 13-17 og tnctl (1m) manpage.
- Endre tnd-tjenesten.
Merk – tnd-tjenesten kjører bare hvis ldap-tjenesten kjører.
- Endre tnd-avstemningsintervallet.
dette oppdaterer ikke kjernebufferen. Du kan imidlertid forkorte pollingintervallet for å oppdatere kjernebufferen oftere. For detaljer, seeksemplet på tnd (1m) man-siden.
- Oppdater tnd.
Denne Kommandoen Service Management Facility (SMF) utløser en umiddelbar oppdatering av kjernen med nylige endringer i klarerte nettverksdatabaser.
$ svcadm refresh svc:/network/tnd
- Start tnd på NYTT ved HJELP AV SMF.
$ svcadm restart svc:/network/tnd
Forsiktig-Unngå å kjøre tnd-kommandoen for å starte tnd på nytt. Denne kommandoen kanavbryte kommunikasjon som for øyeblikket lykkes.
- Endre tnd-avstemningsintervallet.
- Start tnctl-tjenesten på nytt.
Eksempel 13-17 Oppdatere Kjernen Med De Nyeste Tnrhdb-Oppføringene
i dette eksemplet har administratoren lagt til tre adresser i localtnrhdb-databasen. Først fjernet administratoren 0.0.0.0 wildcard-oppføringen.
$ tnctl -d -h 0.0.0.0:admin_low
deretter ser administratoren formatet på de siste tre oppføringene i/etc/security/tsol / tnrhdb-databasen:
$ tail /etc/security/tsol/tnrhdb#\:\:0:admin_low127.0.0.1:cipso#\:\:1:cipso192.168.103.5:admin_low192.168.103.0:cipso0.0.0.0/32:admin_low
deretter oppdaterer administratoren kjernebufferen:
$ tnctl -h 192.168.103.5tnctl -h 192.168.103.0tnctl -h 0.0.0.0/32
til Slutt verifiserer administratoren at kjernebufferen er oppdatert. Utgangen for den første oppføringen ligner på følgende:
$ tninfo -h 192.168.103.5IP Address: 192.168.103.5Template: admin_low
Eksempel 13-18 Oppdatere Nettverksinformasjon I Kjernen
i dette eksemplet oppdaterer administratoren det klarerte nettverket med en publicprint-server, og kontrollerer deretter at kjerneinnstillingene er riktige.
$ tnctl -h public-print-server$ tninfo -h public-print-serverIP Address: 192.168.103.55Template: PublicOnly$ tninfo -t PublicOnly==================================Remote Host Template Table Entries----------------------------------template: PublicOnlyhost_type: CIPSOdoi: 1min_sl: PUBLIChex: 0x0002-08-08max_sl: PUBLIChex: 0x0002-08-08