Routes configureren en netwerkinformatie controleren in vertrouwde extensies (taaktoewijzing) – procedures van Oracle Solaris Trusted Extensions Administrator

Routes configureren en netwerkinformatie controleren in vertrouwde extensies (taaktoewijzing)

de volgende taaktoewijzing beschrijft taken om het netwerk te configureren en de configuratie te verifiëren.

taak
omschrijving
voor instructies
statische routes configureren.
beschrijft handmatig de beste route van onehost naar een andere host.
controleer de nauwkeurigheid van de lokale netwerkdatabases.
gebruikt het nchkdb commando om de syntactische geldigheid van de lokale netwerk databases te controleren.
vergelijk de netwerk database entries met de entries in de kernel cache.
gebruikt het ninfo commando om te bepalen of de kernelcache is bijgewerkt met de laatste database informatie.
synchroniseer de kernelcache met de netwerkdatabases.
gebruikt het nctl commando om de kernel cache bij te werken met up-to-date netwerk database informatie op een draaiend systeem.

Routes configureren met beveiligingskenmerken

voordat u begint met

moet u in de rol van Beveiligingsbeheerder zijn in de globale zone.

  1. voeg elke bestemmingshost en gateway toe die u gebruikt om pakketten over het vertrouwde netwerk te routeren.

    de adressen worden toegevoegd aan het lokale /etc/hosts-bestand, of aan het equivalent ervan op de LDAP-server. Gebruik het hulpprogramma Computers en netwerken in de console voor het beheer van de Solaris. De Files scope wijzigt het/etc / hosts bestand. De ldapscope wijzigt de vermeldingen op de LDAP-server. Zie Hosts toevoegen aan het bekende netwerk van het systeem voor meer informatie.

  2. wijs elke bestemmingshost, netwerk en gateway toe aan een beveiligingssjabloon.

    de adressen worden toegevoegd aan het lokale /etc/security/tsol/tnrhdb bestand, of aan het equivalent ervan op de LDAP server. Gebruik het hulpprogramma beveiligingssjablonen in de Console SolarisManagement. Zie een beveiligingssjabloon toewijzen aan een Host of groep Hosts voor meer informatie.

  3. de routes instellen.

    in een terminalvenster gebruikt u de opdracht route toevoegen om routes op te geven.

    de eerste regel stelt een standaardroute in. Het item specificeert agateway ‘ s adres, 192.168.113.1, te gebruiken wanneer er geen specifieke route is gedefinieerd voor de host of de bestemming van het pakket.

    # route add default 192.168.113.1 -static

    voor details, zie de route (1M) manpage.

  4. een of meer netwerkvermeldingen instellen.

    gebruik de vlag-secattr om beveiligingskenmerken op te geven.

    in de volgende lijst met commando ‘ s toont de tweede regel een networktry. De derde regel toont een netwerkingang met een label bereik van publiek tot vertrouwelijk : intern gebruik alleen.

    # route add default 192.168.113.36# route add -net 192.168.102.0 gateway-101# route add -net 192.168.101.0 gateway-102 \-secattr min_sl="PUBLIC",max_sl="CONFIDENTIAL : INTERNAL USE ONLY",doi=1
  5. Stel een of meer host entries in.

    de nieuwe vierde regel toont een hostingang voor de single-label host, gateway-pub. gateway-pub heeft een label bereik van publiek tot publiek.

    # route add default 192.168.113.36# route add -net 192.168.102.0 gateway-101# route add -net 192.168.101.0 gateway-102 \-secattr min_sl="PUBLIC",max_sl="CONFIDENTIAL : INTERNAL USE ONLY",doi=1# route add -host 192.168.101.3 gateway-pub \-secattr min_sl="PUBLIC",max_sl="PUBLIC",doi=1

voorbeeld 13-14 een Route toevoegen met een label bereik van vertrouwelijk: intern gebruik alleen vertrouwelijk : RESTRICTED

het volgende routecommando voegt aan de routeringstabel de hosts toe op192. 168.115.0 met 192.168.118.39 als gateway. Het label bereik is van vertrouwelijk: intern gebruik alleen vertrouwelijk: beperkt, en de DOI is 1.

$ route add -net 192.168.115.0 192.168.118.39 \-secattr min_sl="CONFIDENTIAL : INTERNAL USE ONLY",max_sl="CONFIDENTIAL : RESTRICTED",doi=1

het resultaat van de toegevoegde hosts wordt weergegeven met de netstat-rR command.In het volgende fragment, de andere routes worden vervangen door ellipsen (…).

$ netstat -rRn...192.168.115.0 192.168.118.39 UG 0 0 min_sl=CNF : INTERNAL USE ONLY,max_sl=CNF : RESTRICTED,DOI=1,CIPSO...

Hoe controleert u de syntaxis van vertrouwde Netwerkdatabases

het tnchkdb-Commando controleert of de syntaxis van elke netwerkdatabase accuraat is.De Solaris-beheerconsole voert deze opdracht automatisch uit wanneer u het hulpprogramma beveiligingssjablonen of het hulpprogramma vertrouwde Netwerkzones gebruikt. Normaal gesproken voer je dit commando uit om de syntaxis te controleren van databasebestanden die je configureert voor toekomstig gebruik.

voordat u begint met

moet u zich in de globale zone bevinden in een rol die netwerkinstellingen kan controleren. De rol van Beveiligingsbeheerder en de systeembeheerder rolecan deze instellingen controleren.

  • voer het tnchkdb-commando uit in een terminalvenster.
    $ tnchkdb checking /etc/security/tsol/tnrhtp ...checking /etc/security/tsol/tnrhdb ...checking /etc/security/tsol/tnzonecfg ...

voorbeeld 13-15 het testen van de syntaxis van een Trial netwerk Database

In dit voorbeeld test de security administrator een netwerk database bestand voor mogelijk gebruik. In eerste instantie gebruikt de beheerder de verkeerde optie. De resultaten van de controle worden afgedrukt op de regel voor het tnrhdb-bestand:

$ tnchkdb -h /opt/secfiles/trial.tnrhtpchecking /etc/security/tsol/tnrhtp ...checking /opt/secfiles/trial.tnrhtp ...line 12: Illegal name: min_sl=ADMIN_LOW;max_sl=ADMIN_HIGHline 14: Illegal name: min_sl=ADMIN_LOW;max_sl=ADMIN_HIGHchecking /etc/security/tsol/tnzonecfg ...

wanneer de security administrator het bestand controleert met behulp van de-t optie, bevestigt het commando dat de syntaxis van de trial tnrhtp database isaccurate:

$ tnchkdb -t /opt/secfiles/trial.tnrhtpchecking /opt/secfiles/trial.tnrhtp ...checking /etc/security/tsol/tnrhdb ...checking /etc/security/tsol/tnzonecfg ...

hoe betrouwbare Netwerkdatabase-informatie te vergelijken met de Kernelcache

de netwerkdatabases kunnen informatie bevatten die niet in de cache is opgeslagen in thekernel. Deze procedure controleert of de informatie identiek is. Wanneer u de Solaris Management Console gebruikt om het netwerk bij te werken, is de kernel cache voorzien van netwerk database informatie. Het tninfo commando is handig tijdens het testen en voor debuggen.

voordat u begint met

moet u zich in de globale zone bevinden in een rol die netwerkinstellingen kan controleren. De rol van Beveiligingsbeheerder en de systeembeheerder rolecan deze instellingen controleren.

  • voer het tninfo-commando uit in een terminalvenster.
    • tninfo-h hostname toont het IP-adres en sjabloon voor de opgegeven host.

    • tninfo-t templatename geeft de volgende informatie weer:

      template: template-namehost_type: either CIPSO or UNLABELEDdoi: 1min_sl: minimum-labelhex: minimum-hex-labelmax_sl: maximum-labelhex:maximum-hex-label
    • tninfo-m zone-name toont de multilevel port (MLP) configuratie van een zone.

voorbeeld 13-16 het weergeven van multilevel poorten op een Host

In dit voorbeeld wordt een systeem geconfigureerd met meerdere gelabelde zones. Alle zones delen hetzelfde IP-adres. Sommige zones zijn ook geconfigureerd met zonespecifieke adressen. In deze configuratie is de tcp-poort voor surfen op het web, port8080, een MLP op een gedeelde interface in de publieke zone. De administratie heeft ook telnet, tcp poort 23, opgezet om eenmlp te zijn in de publieke zone. Omdat deze twee MLP ‘ s op een gedeelde interface staan, kan geen enkele andere zone, inclusief de global zone, pakketten ontvangen op de gedeelde interface op poorten 8080 en 23.

bovendien is de tcp-poort voor SSH, poort 22, Een per-zoneMLP in de publieke zone. De SSH-service van de openbare zone kan alle pakketten ontvangen op het zonespecifieke adres binnen het label-bereik van het adres.

het volgende commando toont de MLP ’s voor de publieke zone:

$ tninfo -m publicprivate: 22/tcpshared: 23/tcp;8080/tcp

het volgende commando toont de MLP’ s voor de globale zone. Merk op dat ports 23 en 8080 geen MLP ‘ s kunnen zijn in de globale zone omdat de globale zone hetzelfde adres deelt met de openbare zone:

$ tninfo -m globalprivate: 111/tcp;111/udp;514/tcp;515/tcp;631/tcp;2049/tcp; 6000-6003/tcp;38672/tcp;60770/tcp;shared: 6000-6003/tcp

hoe de Kernelcache te synchroniseren met vertrouwde Netwerkdatabases

als de kernel niet is bijgewerkt met vertrouwde netwerkdatabase-informatie,kunt u op verschillende manieren de kernelcache bijwerken. De Solaris ManagementConsole voert dit commando automatisch uit wanneer u het hulpprogramma beveiligingssjablonen of het hulpprogramma vertrouwde Netwerkzones gebruikt.

voordat u begint met

moet u in de rol van Beveiligingsbeheerder zijn in de globale zone.

  • om de kernelcache met netwerkdatabases te synchroniseren, voert u een van de volgende opdrachten uit:
    • Herstart de tnctl-service.
      voorzichtigheid

      let op: Gebruik deze methode niet op systemen die hun vertrouwde networkdatabase-informatie van een LDAP-server verkrijgen. De lokale databaseinformatie overschrijft de informatie die wordt verkregen van de LDAP-server.

      $ svcadm restart svc:/network/tnctl

      dit commando leest alle informatie van de lokale vertrouwde netwerkdatabases in de kernel.

    • werk de kernelcache bij voor uw recent toegevoegde items.
      $ tnctl -h hostname

      dit commando leest alleen de informatie van de gekozen optie in dekernel. Voor details over de opties, zie voorbeeld 13-17 en de tnctl(1M) manpage.

    • Wijzig de tnd-dienst.

      Opmerking-De TND-service draait alleen als de ldap-service draait.

      • verander het TND-peilinginterval.

        dit werkt de kernelcache niet bij. Echter, je kunt het polling interval verkorten om de kernel cache vaker bij te werken. Voor details, zie het voorbeeld in de TND (1M) man page.

      • vernieuw de tnd.

        dit SMF-Commando (Service Management Facility) activeert een onmiddellijke update van thekernel met recente wijzigingen in vertrouwde netwerkdatabases.

        $ svcadm refresh svc:/network/tnd
      • Herstart de tnd met SMF.
        $ svcadm restart svc:/network/tnd
        voorzichtigheid

        voorzichtig-Vermijd het uitvoeren van het TND commando om de tnd opnieuw op te starten. Dit commando kan communicatie die momenteel succesvol zijn onderbreken.

voorbeeld 13-17 de Kernel bijwerken met de laatste tnrhdb-ingangen

In dit voorbeeld heeft de beheerder drie adressen toegevoegd aan de localtnrhdb-database. Eerst verwijderde de beheerder de 0.0.0.0 jokertekens.

$ tnctl -d -h 0.0.0.0:admin_low

vervolgens bekijkt de beheerder het formaat van de laatste drie ingangen in de database / etc / security / tsol / tnrhdb:

$ tail /etc/security/tsol/tnrhdb#\:\:0:admin_low127.0.0.1:cipso#\:\:1:cipso192.168.103.5:admin_low192.168.103.0:cipso0.0.0.0/32:admin_low

vervolgens werkt de beheerder de kernel cache bij:

$ tnctl -h 192.168.103.5tnctl -h 192.168.103.0tnctl -h 0.0.0.0/32

ten slotte controleert de beheerder of de kernelcache is bijgewerkt. De output voor de eerste vermelding is vergelijkbaar met de volgende:

$ tninfo -h 192.168.103.5IP Address: 192.168.103.5Template: admin_low

voorbeeld 13-18 netwerkinformatie bijwerken in de Kernel

In dit voorbeeld werkt de beheerder het vertrouwde netwerk bij met een publicprint-server en controleert vervolgens of de kernelinstellingen correct zijn.

$ tnctl -h public-print-server$ tninfo -h public-print-serverIP Address: 192.168.103.55Template: PublicOnly$ tninfo -t PublicOnly==================================Remote Host Template Table Entries----------------------------------template: PublicOnlyhost_type: CIPSOdoi: 1min_sl: PUBLIChex: 0x0002-08-08max_sl: PUBLIChex: 0x0002-08-08

Geef een antwoord

Het e-mailadres wordt niet gepubliceerd.