konfigurera rutter och kontrollera nätverksinformation i betrodda tillägg (Task Map)
följande aktivitetskarta beskriver uppgifter för att konfigurera nätverket och toverify konfigurationen.
|
så här konfigurerar du rutter med säkerhetsattribut
innan du börjar
måste du vara i rollen Säkerhetsadministratör i den globala zonen.
- Lägg till varje destinationsvärd och gateway som du använder till routepackets över det betrodda nätverket.
adresserna läggs till i den lokala/etc / hosts-filen eller till dessekvivalent på LDAP-servern. Använd verktyget datorer och nätverk isolaris Management Console. Filernas omfattning ändrar filen/etc / hosts. Ldapscope ändrar posterna på LDAP-servern. Mer information finns i så här lägger du till värdar i systemets kända nätverk.
- tilldela varje destinationsvärd, nätverk och gateway till en säkerhetsmall.
adresserna läggs till i den lokala/etc/security/TSOL / tnrhdb-filen eller till dess ekvivalent på LDAP-servern. Använd verktyget Säkerhetsmallar i Solarismanagement-konsolen. Mer information finns i så här tilldelar du en Säkerhetsmall till en värd eller en grupp värdar.
- Ställ in rutterna.
i ett terminalfönster använder du kommandot route add för att ange rutter.
den första posten ställer in en standardrutt. Posten anger agateways adress, 192.168.113.1, som ska användas när ingen specifik rutt definieras förantingen värd eller paketets destination.
# route add default 192.168.113.1 -static
för detaljer, se route(1m) man sida.
- Ställ in en eller flera nätverksposter.
använd flaggan-secattr för att ange säkerhetsattribut.
i följande lista med kommandon visar den andra raden ett nätverkförsök. Den tredje raden visar en nätverkspost med ett etikettintervall av offentligt till konfidentiellt: endast internt bruk.
# route add default 192.168.113.36# route add -net 192.168.102.0 gateway-101# route add -net 192.168.101.0 gateway-102 \-secattr min_sl="PUBLIC",max_sl="CONFIDENTIAL : INTERNAL USE ONLY",doi=1
- Ställ in en eller flera värdposter.
den nya fjärde raden visar en värdpost för den enda etiketten värd,gateway-pub. gateway-pub har en etikett utbud av allmänheten till allmänheten.
# route add default 192.168.113.36# route add -net 192.168.102.0 gateway-101# route add -net 192.168.101.0 gateway-102 \-secattr min_sl="PUBLIC",max_sl="CONFIDENTIAL : INTERNAL USE ONLY",doi=1# route add -host 192.168.101.3 gateway-pub \-secattr min_sl="PUBLIC",max_sl="PUBLIC",doi=1
exempel 13-14 lägga till en rutt med ett etikettintervall av konfidentiellt: endast internt bruk till konfidentiellt : Begränsad
följande ruttkommando lägger till routingtabellen värdarna at192.168.115.0 med 192.168.118.39 som gateway. Etikettområdet är från konfidentiellt: endast internt bruk till konfidentiellt: begränsat, och DOI är 1.
$ route add -net 192.168.115.0 192.168.118.39 \-secattr min_sl="CONFIDENTIAL : INTERNAL USE ONLY",max_sl="CONFIDENTIAL : RESTRICTED",doi=1
resultatet av de tillagda värdarna visas med netstat-rR command.In följande utdrag, de andra vägar ersätts av ellipser (…).
$ netstat -rRn...192.168.115.0 192.168.118.39 UG 0 0 min_sl=CNF : INTERNAL USE ONLY,max_sl=CNF : RESTRICTED,DOI=1,CIPSO...
så här kontrollerar du syntaxen för betrodda Nätverksdatabaser
kommandot tnchkdb kontrollerar att syntaxen för varje nätverksdatabas är korrekt.Solaris Management Console kör det här kommandot automatiskt när du använder verktyget Säkerhetsmallar eller verktyget betrodda Nätverkszoner. Vanligtvis kör duDetta kommando för att kontrollera syntaxen för databasfiler som du konfigurerarför framtida användning.
innan du börjar
måste du vara i den globala zonen i en roll som kankontrollera nätverksinställningar. Säkerhetsadministratörsrollen och systemadministratörsrollenkan kontrollera dessa inställningar.
- kör kommandot tnchkdb i ett terminalfönster.
$ tnchkdb checking /etc/security/tsol/tnrhtp ...checking /etc/security/tsol/tnrhdb ...checking /etc/security/tsol/tnzonecfg ...
exempel 13-15 testa syntaxen för en Utvärderingsnätverksdatabas
i det här exemplet testar säkerhetsadministratören en nätverksdatabasfilför möjlig användning. Inledningsvis använder administratören fel alternativ. Resultaten av kontrollen skrivs ut på raden för tnrhdb-filen:
$ tnchkdb -h /opt/secfiles/trial.tnrhtpchecking /etc/security/tsol/tnrhtp ...checking /opt/secfiles/trial.tnrhtp ...line 12: Illegal name: min_sl=ADMIN_LOW;max_sl=ADMIN_HIGHline 14: Illegal name: min_sl=ADMIN_LOW;max_sl=ADMIN_HIGHchecking /etc/security/tsol/tnzonecfg ...
när säkerhetsadministratören kontrollerar filen med alternativet-t bekräftar kommandot att syntaxen för tnrhtp-databasen är exakt:
$ tnchkdb -t /opt/secfiles/trial.tnrhtpchecking /opt/secfiles/trial.tnrhtp ...checking /etc/security/tsol/tnrhdb ...checking /etc/security/tsol/tnzonecfg ...
så här jämför du betrodd Nätverksdatabasinformation med Kärncachen
nätverksdatabaserna kan innehålla information som inte är cachad i kernel. Denna procedur kontrollerar att informationen är identisk. När du använder Solaris Management Console för att uppdatera nätverket uppdateras kärncachen med nätverksdatabasinformation. Tninfo-kommandot är användbart under testning ochför felsökning.
innan du börjar
måste du vara i den globala zonen i en roll som kankontrollera nätverksinställningar. Säkerhetsadministratörsrollen och systemadministratörsrollenkan kontrollera dessa inställningar.
- kör kommandot tninfo i ett terminalfönster.
-
tninfo-h värdnamn visar IP-adressen och mallen för den angivna värden.
-
tninfo-t templatename visar följande information:
template: template-namehost_type: either CIPSO or UNLABELEDdoi: 1min_sl: minimum-labelhex: minimum-hex-labelmax_sl: maximum-labelhex:maximum-hex-label
-
tninfo-m zone-name visar konfigurationen för en zon med flera nivåer (MLP).
-
exempel 13-16 Visa Flernivåportar på en värd
i det här exemplet konfigureras ett system med flera märkta zoner. Alla zoner delar samma IP-adress. Vissa zoner är också konfigurerade medzonspecifika adresser. I den här konfigurationen är TCP-porten för surfning, port8080, en MLP på ett delat gränssnitt i den offentliga zonen. Administratören har också inrättat telnet, TCP-port 23, för att vara anMLP i den offentliga zonen. Eftersom dessa två MLP är på ashared gränssnitt, ingen annan zon, inklusive den globala zonen, kan ta emot paket pådelat gränssnitt på portarna 8080 och 23.
dessutom är TCP-porten för SSH, port 22, en per-zoneMLP i den offentliga zonen. Den offentliga zonens SSH-tjänst kan ta emot alla paket på sin zonspecifika adress inom adressens etikettområde.
följande kommando visar MLPs för den offentliga zonen:
$ tninfo -m publicprivate: 22/tcpshared: 23/tcp;8080/tcp
följande kommando visar MLPs för den globala zonen. Observera attportar 23 och 8080 inte kan vara MLPs i den globala zonen eftersom den globala zonen delar samma adress med den offentliga zonen:
$ tninfo -m globalprivate: 111/tcp;111/udp;514/tcp;515/tcp;631/tcp;2049/tcp; 6000-6003/tcp;38672/tcp;60770/tcp;shared: 6000-6003/tcp
så här synkroniserar du Kärncachen med betrodda Nätverksdatabaser
när kärnan inte har uppdaterats med betrodd nätverksdatabasinformation har du flera sätt att uppdatera kärncachen. Solaris ManagementConsole kör det här kommandot automatiskt när du använder verktyget Säkerhetsmallar eller verktyget betrodda Nätverkszoner.
innan du börjar
måste du vara i rollen Säkerhetsadministratör i den globala zonen.
- för att synkronisera kärncachen med nätverksdatabaser, kör en avföljande kommandon:
- starta om tnctl-tjänsten.
Varning-Använd inte den här metoden på system som får sin betrodda nätverkdatabasinformation från en LDAP-server. Den lokala databasinformationen skulle skriva överinformationen som erhålls från LDAP-servern.
$ svcadm restart svc:/network/tnctl
detta kommando läser all information från de lokala betrodda nätverksdatabaserna ikärnan.
- uppdatera kärncachen för dina nyligen tillagda poster.
$ tnctl -h hostname
det här kommandot läser endast informationen från det valda alternativet i kernel. Mer information om alternativen finns i exempel 13-17 och mansidan tnctl(1m).
- ändra TND-tjänsten.
Obs – TND-tjänsten körs endast om LDAP-tjänsten körs.
- ändra TND-omröstningsintervallet.
detta uppdaterar inte kärncachen. Du kan dock förkortapollingintervall för att uppdatera kärncachen oftare. Mer information finns i exemplet på mansidan TND (1M).
- uppdatera tnd.
kommandot Service Management Facility (SMF) utlöser en omedelbar uppdatering av Kernel med de senaste ändringarna i betrodda nätverksdatabaser.
$ svcadm refresh svc:/network/tnd
- starta om tnd med SMF.
$ svcadm restart svc:/network/tnd
Varning-Undvik att köra kommandot tnd för att starta om TND. Detta kommando kanavbryta kommunikation som för närvarande lyckas.
- ändra TND-omröstningsintervallet.
- starta om tnctl-tjänsten.
exempel 13-17 uppdatera kärnan med dina senaste Tnrhdb-poster
i det här exemplet har administratören lagt till tre adresser i localtnrhdb-databasen. Först tog administratören bort 0.0.0.0 wildcard-posten.
$ tnctl -d -h 0.0.0.0:admin_low
därefter ser administratören formatet för de sista tre posterna i/etc/security/TSOL / tnrhdb-databasen:
$ tail /etc/security/tsol/tnrhdb#\:\:0:admin_low127.0.0.1:cipso#\:\:1:cipso192.168.103.5:admin_low192.168.103.0:cipso0.0.0.0/32:admin_low
sedan uppdaterar administratören kärncachen:
$ tnctl -h 192.168.103.5tnctl -h 192.168.103.0tnctl -h 0.0.0.0/32
slutligen verifierar administratören att kärncachen är uppdaterad. Utmatningen för den första posten liknar följande:
$ tninfo -h 192.168.103.5IP Address: 192.168.103.5Template: admin_low
exempel 13-18 uppdatering av nätverksinformation i kärnan
i det här exemplet uppdaterar administratören det betrodda nätverket med en publicprint-server och kontrollerar sedan att kärninställningarna är korrekta.
$ tnctl -h public-print-server$ tninfo -h public-print-serverIP Address: 192.168.103.55Template: PublicOnly$ tninfo -t PublicOnly==================================Remote Host Template Table Entries----------------------------------template: PublicOnlyhost_type: CIPSOdoi: 1min_sl: PUBLIChex: 0x0002-08-08max_sl: PUBLIChex: 0x0002-08-08