ナビゲーションリンクをスキップ | |
印刷ビューの終了 | |
Trusted Extensions 構成と管理 Oracle Solaris 11.1 Information Library (日本語) |
パート I Trusted Extensions の初期構成
1. Trusted Extensions のセキュリティー計画
2. Trusted Extensions の構成ロードマップ
3. Oracle Solaris への Trusted Extensions 機能の追加 (タスク)
4. Trusted Extensions の構成 (タスク)
5. Trusted Extensions のための LDAP の構成 (タスク)
8. Trusted Extensions システムのセキュリティー要件 (概要)
9. Trusted Extensions での一般的なタスクの実行
10. Trusted Extensions でのユーザー、権利、および役割 (概要)
11. Trusted Extensions でのユーザー、権利、役割の管理 (タスク)
12. Trusted Extensions でのリモート管理 (タスク)
13. Trusted Extensions でのゾーンの管理
14. Trusted Extensions でのファイルの管理とマウント
16. Trusted Extensions でのネットワークの管理 (タスク)
マルチレベル Trusted Extensions ネットワークで IPsec 保護を適用する
トラステッドネットワークのトラブルシューティング (タスクマップ)
Trusted Extensions ネットワークをデバッグする
17. Trusted Extensions と LDAP (概要)
18. Trusted Extensions でのマルチレベルメール (概要)
20. Trusted Extensions のデバイス (概要)
21. Trusted Extensions でのデバイス管理 (タスク)
22. Trusted Extensions での監査 (概要)
23. Trusted Extensions のソフトウェア管理
サイトのセキュリティーポリシーと Trusted Extensions
B. Trusted Extensions の構成チェックリスト
Trusted Extensions を構成するためのチェックリスト
Trusted Extensions による Oracle Solaris インタフェースの拡張
Trusted Extensions の厳密なセキュリティーデフォルト
Trusted Extensions で制限されるオプション
D. Trusted Extensions マニュアルページのリスト
Trusted Extensions マニュアルページ (アルファベット順)
Trusted Extensions システムは、そのシステム上でほかのホストのセキュリティー属性が定義されたあとではじめて、それらのホストに接続できるようになります。リモートホストのセキュリティー属性は互いに似ている可能性があるため、Trusted Extensions には、ホストの追加先として使用可能なセキュリティーテンプレートが用意されています。
リモートホストとネットワークにラベルを付ける前に、提供されているセキュリティーテンプレートを読み、リモートホストとネットワークに到達できることを確認します。手順については、次を参照してください。
セキュリティーテンプレートを表示します – 「セキュリティーテンプレートを表示する」
サイトにはカスタマイズしたセキュリティーテンプレートが必要かどうかを判断します – 「サイト固有のセキュリティーテンプレートが必要かどうかを判断する」
システムとネットワークをトラステッドネットワークに追加します – 「システムの既知のネットワークにホストを追加する」
セキュリティーテンプレートの一覧と各テンプレートの内容を表示できます。この手順で示す例は、デフォルトのセキュリティーテンプレートです。
# tncfg list cipso admin_low adapt netif
# tncfg -t cipso info name=cipso host_type=cipso doi=1 min_label=ADMIN_LOW max_label=ADMIN_HIGH host=127.0.0.1/32
この cipso セキュリティーテンプレートの 127.0.0.1/32 エントリにより、このシステムがラベル付きとして識別されます。ピアが host_type cipso のリモートホストテンプレートにこのシステムを割り当てた場合、その 2 つのシステムはラベル付きパケットを交換できます。
# tncfg -t admin_low info name=admin_low host_type=unlabeled doi=1 def_label=ADMIN_LOW min_label=ADMIN_LOW max_label=ADMIN_HIGH host=0.0.0.0/0
この admin_low セキュリティーテンプレートの 0.0.0.0/0 エントリは、セキュリティーテンプレートに明示的に割り当てられていないすべてのホストがこのシステムに接続できるようにします。これらのホストはラベルなしとして認識されます。
0.0.0.0/0 エントリの利点は、サーバーやゲートウェイなど、ブート時にこのシステムで必要となるすべてのホストを検出できることです。
0.0.0.0/0 エントリの欠点は、このシステムのネットワーク上の任意のホストがこのシステムに接続できることです。このシステムに接続できるホストを制限するには、「トラステッドネットワーク上で接続できるホストを制限する」を参照してください。
# tncfg -t adapt info name=adapt host_type=adapt doi=1 min_label=ADMIN_LOW max_label=ADMIN_HIGH host=0.0.0.0/0
adapt テンプレートは適応型ホストを示します。これはデフォルトのラベルを持つことができない信頼できないシステムです。代わりに、そのラベルは受信側のトラステッドシステムによって割り当てられます。ラベルは、ラベル付きシステムの netif テンプレートで指定されている、パケットを受信する IP インタフェースのデフォルトラベルから派生します。
# tncfg -t netif info name=netif host_type=netif doi=1 def_label=ADMIN_LOW min_label=ADMIN_LOW max_label=ADMIN_HIGH host=127.0.0.1/32
netif テンプレートは、リモートホストではなく、信頼できるローカルネットワークインタフェースを指定します。netif テンプレートのデフォルトラベルは、そのテンプレート内のホストアドレスと一致する IP アドレスを持つ専用ネットワークインタフェースを備えているすべてのゾーンのラベルと等しくなければなりません。また、一致するゾーンインタフェースに対応する下位リンクは、同じラベルを共有するほかのゾーンにのみ割り当てることができます。
ホスト、またはホストのグループのラベル範囲を制限します。
ADMIN_LOW 以外のラベルのシングルラベルホストを作成します。
ADMIN_LOW でないラベルなしホストにデフォルトのラベルを要求します。
限定された一連のラベルを認識するホストを作成します。
1 以外の DOI を使用します。
指定されたラベルなしホストから信頼できるネットワークインタフェースに情報を送信して、ラベルなしホストからのパケットに正しいラベルを割り当てます。
ホストやホストのグループをシステムの /etc/hosts ファイルに追加すると、それらのホストはシステムに認識されます。セキュリティーテンプレートに追加できるのは、既知のホストだけです。
始める前に
大域ゾーンで root 役割になっています。
# pfedit /etc/hosts ... 192.168.111.121 ahost
# pfedit /etc/hosts ... 192.168.111.0 111-network
このセクションでは、次のネットワーク構成のセキュリティーテンプレートを作成するためのアドバイスや例を示します。
DOI は 1 以外の値です – 「異なる解釈ドメインを構成する方法」
信頼できるリモートホストに、特定のラベルが割り当てられます – 例 16-1
信頼できないリモートホストに、特定のラベルが割り当てられます – 例 16-2
特定の要件に対応するセキュリティーテンプレートの例については、「セキュリティーテンプレートへのホストの追加 (タスク)」を参照してください。
始める前に
ネットワークセキュリティーを修正できる役割で、大域ゾーンにいる必要があります。たとえば、Information Security または Network Security の権利プロファイルを割り当てられた役割は、セキュリティー値を修正できます。セキュリティー管理者役割には、これらの権利プロファイルが含まれています。
PUBLIC などのラベルでは、ラベル文字列、0x0002-08-08 などの 16 進値のどちらも、ラベル値として使用できます。tncfg コマンドはどちらの形式も受け入れます。
# atohexlabel "confidential : internal use only" 0x0004-08-48
詳細は、「ラベルの 16 進値を求める」を参照してください。
サポートの目的上、デフォルトのセキュリティーテンプレートは削除しないでください。
これらのテンプレートは、コピーして変更できます。
そして、これらのテンプレートに割り当てられたホストを削除したりホストを追加したりできます。例については、「トラステッドネットワーク上で接続できるホストを制限する」を参照してください。
tncfg -t コマンドには、新しいテンプレートを作成するための方法が 3 つ用意されています。
tncfg コマンドを対話モードで使用します。info サブコマンドは、デフォルトで提供された値を表示します。Tab キーを使用すると、部分的なプロパティーや値が補完されます。exit と入力してテンプレートを完成します。
# tncfg -t newunlabeled tncfg:newunlabeled> info name=newunlabeled host_type=unlabeled doi=1 def_label=ADMIN_LOW min_label=ADMIN_LOW max_label=ADMIN_HIGH tncfg:newunlabeled> set m<Tab> set max_label=" set min_label=" tncfg:newunlabeled> set ma<Tab> tncfg:newunlabeled> set max_label=ADMIN_LOW ... tncfg:newunlabeled> commit tncfg:newunlabeled> exit
セキュリティーテンプレートの完全な属性リストをコマンド行で指定することもできます。複数の set サブコマンドはセミコロンで区切ります。省略されたプロパティーではデフォルト値が使用されます。
# tncfg -t newunlabeled set host_type=unlabeled;set doi=1; \ set min_label=ADMIN_LOW;set max_label=ADMIN_LOW
# tncfg -t cipso tncfg:cipso> set name=newcipso tncfg:newcipso> info name=newcipso host_type=cipso doi=1 min_label=ADMIN_LOW max_label=ADMIN_HIGH
既存のセキュリティーテンプレートに割り当てられているホストは、新しいテンプレートにコピーされません。
# tncfg -f unlab_1 -f template-file tncfg: unlab_1> set host_type=unlabeled ... # tncfg -f template-file
インポート用のソーステンプレートの作成例については、tncfg(1M) のマニュアルページを参照してください。
例 16-1 1 つのラベルでパケットを処理するゲートウェイ用のセキュリティーテンプレートの作成
この例では、セキュリティー管理者はラベル PUBLIC でのみパケットを通過させることのできるゲートウェイを定義します。
# tncfg -t cipso_public tncfg:cipso_public> set host_type=cipso tncfg:cipso_public> set doi=1 tncfg:cipso_public> set min_label="public" tncfg:cipso_public> set max_label="public" tncfg:cipso_public> commit tncfg:cipso_public> exit
次に、セキュリティー管理者はセキュリティーテンプレートにゲートウェイホストを追加します。追加方法については、例 16-3 を参照してください。
例 16-2 ラベル PUBLIC でのラベルなしセキュリティーテンプレートの作成
この例では、セキュリティー管理者は、PUBLIC ラベルでのみパケットを送受信できる信頼できないホストのためのラベルなしテンプレートを作成します。このテンプレートは、Trusted Extensions システムが PUBLIC ラベルでマウントする必要のあるファイルシステムを含むホストに割り当てることができます。
# tncfg -t public tncfg:public> set host_type=unlabeled tncfg:public> set doi=1 tncfg:public> set def_label="public" tncfg:public> set min_sl="public" tncfg:public> set max_sl="public" tncfg:public> exit
次に、セキュリティー管理者はセキュリティーテンプレートにホストを追加します。追加方法については、例 16-12 を参照してください。
このセクションでは、セキュリティーテンプレートにホストを追加するためのアドバイスや例を示します。不連続な IP アドレスの場合は、「セキュリティーテンプレートにホストを追加する」を参照してください。ホストの範囲の場合は、「セキュリティーテンプレートにホストの範囲を追加する」を参照してください。
このセクションの例では、次のようなリモートホストのラベルの割り当てを示しています。
信頼できるリモートゲートウェイが PUBLIC トラフィックを処理します – 例 16-3
信頼できないリモートホストがシングルラベルのルーターとして動作します – 例 16-4
信頼できるリモートホストがトラフィックを狭いラベル範囲に制限します – 例 16-5
信頼できるリモートホストに、限定された一連のラベルが割り当てられます – 例 16-6
信頼できるリモートホストに、残りのネットワークとは無関係なラベルが割り当てられます – 例 16-7
信頼できる netif ホストが adapt システムからのパケットにラベルを付けます – 例 16-8
信頼できない adapt ホストが netif ホストにパケットを送信します – 例 16-9
信頼できる同機種ネットワークがマルチキャストアドレスを特定のラベルで追加します – 例 16-10
セキュリティーテンプレートからホストが削除されます – 例 16-11
信頼できないリモートホストとネットワークにラベルが割り当てられます – 例 16-12
始める前に
次のことが必要になります。
IP アドレスが /etc/hosts ファイル内に存在しているか、DNS で解決可能である必要があります。
hosts ファイルについては、「システムの既知のネットワークにホストを追加する」を参照してください。
DNS については、『Oracle Solaris 11.1 でのネームサービスおよびディレクトリサービスの作業』の第 3 章「DNS の管理 (タスク)」を参照してください。
ラベルのエンドポイントが一致する必要があります。規則については、「Trusted Extensions のルーティングの概要」を参照してください。
大域ゾーンでセキュリティー管理者役割になります。
この例では、192.168.1.2 に到達できることを確認します。
# arp 192.168.1.2 gateway-2.example.com (192.168.1.2) at 0:0:0:1:ad:cd
arp コマンドは、このホストがシステムの /etc/hosts ファイルに定義されているか、あるいは DNS で解決可能であることを検査します。
たとえば、IP アドレス 192.168.1.2 を追加します。
# tncfg -t cipso tncfg:cipso> add host=192.168.1.2
別のテンプレートに以前追加されたホストを追加した場合、そのセキュリティーテンプレート割り当てが置換されるという旨の通知が表示されます。例:
# tncfg -t cipso tncfg:cipso> add host=192.168.1.2 192.168.1.2 previously matched the admin_low template tncfg:cipso> info ... host=192.168.1.2/32 tncfg:cipso> exit
たとえば、cipso テンプレートに追加されたアドレス 192.168.1.2 を次に示します。
tncfg:cipso> info ... host=192.168.1.2/32
接頭辞長 /32 は、このアドレスが厳密なアドレスであることを示しています。
tncfg:cipso> commit tncfg:cipso> exit
ホストのエントリを削除する場合は、例 16-11 を参照してください。
例 16-3 1 つのラベルでパケットを処理するゲートウェイの作成
例 16-1 では管理者が、ラベル PUBLIC のパケットのみを通過させることのできるゲートウェイを定義したセキュリティーテンプレートを作成します。この例では、セキュリティー管理者はゲートウェイホストの IP アドレスが解決可能であることを確認します。
# arp 192.168.131.75 gateway-1.example.com (192.168.131.75) at 0:0:0:1:ab:cd
arp コマンドは、このホストがシステムの /etc/hosts ファイルに定義されているか、あるいは DNS で解決可能であることを検査します。
次に、管理者は gateway-1 ホストをセキュリティーテンプレートに追加します。
# tncfg -t cipso_public tncfg:cipso_public> add host=192.168.131.75 tncfg:cipso_public> exit
システムはすぐに、gateway-1 経由で public パケットの送受信を行えます。
例 16-4 ラベル付きパケットの経路指定を行うラベルなしルーターの作成
IP ルーターは、明示的にラベルをサポートしていない場合でも、CALIPSO または CIPSO ラベルの付いたメッセージを転送できます。このようなラベルなしルーターには、ルーターへの接続 (多くの場合ルーター管理のため) を処理するレベルを定義するデフォルトラベルが必要です。この例では、セキュリティー管理者が、任意のラベルでトラフィックを転送できるルーターを作成しますが、ルーターとの直接の通信はデフォルトラベル PUBLIC で処理されます。
セキュリティー管理者はテンプレートを新規に作成します。
# tncfg -t unl_public_router tncfg:unl_public_router> set host_type=unlabeled tncfg:unl_public_router> set doi=1 tncfg:unl_public_router> set def_label="PUBLIC" tncfg:unl_public_router> set min_label=ADMIN_LOW tncfg:unl_public_router> set max_label=ADMIN_HIGH tncfg:unl_public_router> exit
次に、管理者はルーターをセキュリティーテンプレートに追加します。
# tncfg -t unl_public_router tncfg:unl_public_router> add host=192.168.131.82 tncfg:unl_public_router> exit
システムはすぐに、router-1 経由ですべてのラベルのパケットの送受信を行えます。
例 16-5 制限されたラベル範囲を持つゲートウェイの作成
この例では、セキュリティー管理者はパケットを狭いラベル範囲に制限するゲートウェイを作成し、そのゲートウェイを追加します。
# arp 192.168.131.78 gateway-ir.example.com (192.168.131.78) at 0:0:0:3:ab:cd
# tncfg -t cipso_iuo_rstrct tncfg:cipso_iuo_rstrct> set host_type=cipso tncfg:cipso_iuo_rstrct> set doi=1 tncfg:cipso_iuo_rstrct> set min_label=0x0004-08-48 tncfg:cipso_iuo_rstrct> set max_label=0x0004-08-78 tncfg:cipso_iuo_rstrct> add host=192.168.131.78 tncfg:cipso_iuo_rstrct> exit
システムはすぐに、ラベル internal または restricted の付いたパケットの送受信を gateway-ir 経由で行えます。
例 16-6 不連続なラベルのホストの作成
この例では、セキュリティー管理者は confidential : internal use only と confidential : restricted の 2 つのラベルのみを認識するセキュリティーテンプレートを作成します。その他のトラフィックはすべて拒否されます。
まず、セキュリティー管理者は各ホストの IP アドレスが解決可能であることを確認します。
# arp 192.168.132.21 host-auxset1.example.com (192.168.132.21) at 0:0:0:4:ab:cd # arp 192.168.132.22 host-auxset2.example.com (192.168.132.22) at 0:0:0:5:ab:cd # arp 192.168.132.23 host-auxset3.example.com (192.168.132.23) at 0:0:0:6:ab:cd # arp 192.168.132.24 host-auxset4.example.com (192.168.132.24) at 0:0:0:7:ab:cd
次に、管理者は注意しながらラベルを正確に入力します。ソフトウェアは、ラベルで大文字と小文字のどちらが使用されていても、また短縮名が使用されていてもラベルを認識しますが、空白が不正確なラベルは認識しません。たとえば、ラベル cnf :restricted は有効なラベルではありません。
# tncfg -t cipso_int_and_rst tncfg:cipso_int_and_rst> set host_type=cipso tncfg:cipso_int_and_rst> set doi=1 tncfg:cipso_int_and_rst> set min_label="cnf : internal use only" tncfg:cipso_int_and_rst> set max_label="cnf : internal use only" tncfg:cipso_int_and_rst> set aux_label="cnf : restricted" tncfg:cipso_int_and_rst> exit
次に、管理者は接頭辞長を使用して、IP アドレスの範囲をセキュリティーテンプレートに割り当てます。
# tncfg -t cipso_int_rstrct tncfg:cipso_int_rstrct> set host=192.168.132.0/24
例 16-7 開発者用のラベル付きホストの作成
この例では、セキュリティー管理者は cipso_sandbox テンプレートを作成します。このセキュリティーテンプレートは、トラステッドソフトウェアの開発者が使うシステムに割り当てられます。開発者のテストがほかのラベル付きホストに影響を与えることはありません。SANDBOX ラベルはネットワーク上のほかのラベルから独立しているからです。
# tncfg -t cipso_sandbox tncfg:cipso_sandbox> set host_type=cipso tncfg:cipso_sandbox> set doi=1 tncfg:cipso_sandbox> set min_sl="SBX" tncfg:cipso_sandbox> set max_sl="SBX" tncfg:cipso_sandbox> add host=196.168.129.102 tncfg:cipso_sandbox> add host=196.168.129.129 tncfg:cipso_sandbox> exit
196.168.129.102 システムと 196.168.129.129 システムを使用する開発者は、 SANDBOX ラベルで相互に通信できます。
例 16-8 netif ホスト用のセキュリティーテンプレートの作成
この例では、セキュリティー管理者は netif セキュリティーテンプレートを作成します。このテンプレートは、IP アドレス 10.121.10.3 を含んでいるラベル付きネットワークインタフェースに割り当てられます。この割り当てにより、Trusted Extensions IP モジュールは、adaptive ホストから届くすべての着信パケットにデフォルトラベル PUBLIC を追加します。
# tncfg -t netif_public tncfg:netif_public> set host_type=netif tncfg:netif_public> set doi=1 tncfg:netif_public> set def_label="PUBLIC" tncfg:netif_public> add host=10.121.10.3 tncfg:netif_public> commit tncfg:netif_public> exit
例 16-9 適応型ホスト用のセキュリティーテンプレートの作成
この例では、セキュリティー管理者が前もって計画を立てます。管理者は、公開情報を保持するネットワークおよび内部情報を保持するネットワークとして、異なるサブネットを作成します。次に、管理者は 2 つの adapt ホストを定義します。公開サブネット内のシステムには PUBLIC ラベルが割り当てられます。内部ネットワーク内のシステムには IUO ラベルが割り当てられます。このネットワークは前もって計画されたため、各ネットワークが特定のラベルで情報を保持および送信します。もう 1 つの利点は、想定したインタフェースにパケットが配信されない場合に、ネットワークを簡単にデバッグできることです。
# tncfg -t adpub_192_168_10 tncfg:adapt_public> set host_type=adapt tncfg:adapt_public> set doi=1 tncfg:adapt_public> set min_label="public" tncfg:adapt_public> set max_label="public" tncfg:adapt_public> add host=192.168.10.0 tncfg:adapt_public> commit tncfg:adapt_public> exit
# tncfg -t adiuo_192_168_20 tncfg:adapt_public> set host_type=adapt tncfg:adapt_public> set doi=1 tncfg:adapt_public> set min_label="iuo" tncfg:adapt_public> set max_label="iuo" tncfg:adapt_public> add host=192.168.20.0 tncfg:adapt_public> commit tncfg:adapt_public> exit
例 16-10 ラベル付きマルチキャストメッセージの送信
ラベル付きの同機種 LAN で、管理者はラベル PUBLIC でパケットを送信するために使用できるマルチキャストアドレスを選択します。
# tncfg -t cipso_public tncfg:cipso_public> add host=224.4.4.4 tncfg:cipso_public> exit
例 16-11 セキュリティーテンプレートからのいくつかのホストの削除
この例では、セキュリティー管理者は cipso セキュリティーテンプレートからいくつかのホストを削除します。管理者は、info サブコマンドを使用してホストを表示したあと、remove と入力し、4 つの host= エントリをコピー & ペーストします。
# tncfg -t cipso info name=cipso host_type=cipso doi=1 min_label=ADMIN_LOW max_label=ADMIN_HIGH host=127.0.0.1/32 host=192.168.1.2/32 host=192.168.113.0/24 host=192.168.113.100/25 host=2001:a08:3903:200::0/56
# tncfg -t cipso tncfg:cipso> remove host=192.168.1.2/32 tncfg:cipso> remove host=192.168.113.0/24 tncfg:cipso> remove host=192.168.113.100/25 tncfg:cipso> remove host=2001:a08:3903:200::0/56 tncfg:cipso> info ... max_label=ADMIN_HIGH host=127.0.0.1/32 host=192.168.75.0/24
管理者は、ホストを削除したあとで変更をコミットし、セキュリティーテンプレートを終了します。
tncfg:cipso> commit tncfg:cipso> exit #
始める前に
要件については、「セキュリティーテンプレートにホストを追加する」を参照してください
たとえば、2 つの IPv4 サブネットを cipso テンプレートに追加したあと、このセキュリティーテンプレートを表示します。
# tncfg -t cipso tncfg:cipso> add host=192.168.75.0 tncfg:cipso> add host=192.168.113.0 tncfg:cipso> info ... host=192.168.75.0/24 host=192.168.113.0/24 tncfg:cipso> exit
接頭辞長 /24 は、.0 で終わるこのアドレスがサブネットであることを示しています。
注 - 別のテンプレートに以前追加されたホスト範囲を追加する場合、そのセキュリティーテンプレート割り当てが置換されるという旨の通知が表示されます。
# tncfg -t cipso tncfg:cipso> add host=192.168.113.100/25 192.168.113.100/25 previously matched the admin_low template
次の例の接頭辞長 /25 は、192.168.113.0 から 192.168.113.127 までの連続する IPv4 アドレスをカバーしています。このアドレスには、192.168.113.100 が含まれます。
# tncfg -t cipso tncfg:cipso> add host=192.168.113.100/25 tncfg:cipso> exit
次の例の接頭辞長 /56 は、2001:a08:3903:200::0 から 2001:a08:3903:2ff:ffff:ffff:ffff:ffff までの連続する IPv6 アドレスをカバーしています。このアドレスには、2001:a08:3903:201:20e:cff:fe08:58c が含まれます。
# tncfg -t cipso tncfg:cipso> add host=2001:a08:3903:200::0/56 tncfg:cipso> info ... host=2001:a08:3903:200::0/56 tncfg:cipso> exit
アドレスから :200 を省略するなど、エントリを間違って入力した場合は、次のようなメッセージが表示されます。
# tncfg -t cipso tncfg:cipso> add host=2001:a08:3903::0/56 Invalid host: 2001:a08:3903::0/56
別のテンプレートに以前追加されたホストを追加した場合、そのセキュリティーテンプレート割り当てが置換されるという旨の通知が表示されます。例:
# tncfg -t cipso tncfg:cipso> add host=192.168.113.100/32 192.168.113.100/32 previously matched the admin_low template tncfg:cipso> info ... host=192.168.113.100/32 tncfg:cipso> exit
「トラステッドネットワーク代替メカニズム」で説明したように、以前の割り当てがこの明示的な割り当てでオーバーライドされることが、Trusted Extensions の代替メカニズムによって保証されます。
例 16-12 ラベル PUBLIC でのラベルなしサブネットワークの作成
例 16-2 では、管理者は信頼できないホストにラベル PUBLIC を割り当てるセキュリティーテンプレートを作成します。この例で、セキュリティー管理者はあるサブネットワークを PUBLIC ラベルに割り当てます。割り当て側のシステム上のユーザーは、このサブネットワーク内のホストのファイルシステムを PUBLIC ゾーンにマウントできます。
# tncfg -t public tncfg:public> add host=10.10.0.0/16 tncfg:public> exit
このサブネットワークにはラベル PUBLIC ですぐに到達できます。
このセクションでは、ネットワークに到達できるホストを制限することにより、ネットワークを保護します。
ブート時に接続するシステムを指定することにより、セキュリティーを向上させます – 例 16-13
リモートクライアントからの初期接続を受け入れるようにアプリケーションサーバーを構成します – 例 16-15
リモートクライアントからの初期接続を受け入れるようにラベル付き Sun Ray サーバーを構成します – 例 16-16
この手順では、任意のラベルなしホストによる接続から、ラベル付きホストを保護します。Trusted Extensions をインストールすると、admin_low デフォルトセキュリティーテンプレート内にネットワーク上のすべてのホストが定義されています。この手順を使って、特定のラベルなしホストを列挙します。
各システム上のローカルのトラステッドネットワーク値は、ブート時のネットワーク接続に使用されます。デフォルトでは、cipso テンプレートで提供されない各ホストは admin_low テンプレートで定義されます。このテンプレートは、ほかで定義されていない各リモートホスト (0.0.0.0/0) を、admin_low のデフォルトラベルでラベルなしシステムとして割り当てます。
始める前に
大域ゾーンでセキュリティー管理者役割になります。
ブート時に接続されるすべてのホストは、/etc/hosts ファイル内に存在している必要があります。
ブート時に接続する必要のあるすべてのラベルなしホストを含めます。
このシステムが通信時に経由する必要のある、Trusted Extensions を実行していないオンリンクルーターをすべて追加します。
0.0.0.0/0 の割り当てを削除します。
ブート時に接続する必要のある各ラベル付きホストを追加します。
このシステムが通信時に経由する必要のある、Trusted Extensions を実行しているオンリンクルーターをすべて追加します。
すべてのネットワークインタフェースがテンプレートに割り当てられていることを確認します。
ブロードキャストアドレスを追加します。
ブート時に接続する必要のあるラベル付きホストの範囲を含めます。
サンプルデータベースについては、例 16-14 を参照してください。
例 16-13 IP アドレス 0.0.0.0/0 のラベルの変更
この例では、管理者は公共ゲートウェイシステムを作成します。管理者は、admin_low テンプレートから 0.0.0.0/0 ホストエントリを削除し、ラベルなし public テンプレートに 0.0.0.0/0 ホストエントリを追加します。システムは、別のセキュリティーテンプレートに明示的に割り当てられていないすべてのホストを、public セキュリティーテンプレートのセキュリティー属性を持つラベルなしシステムとして認識するようになります。
# tncfg -t admin_low info tncfg:admin_low> remove host=0.0.0.0Wildcard address tncfg:admin_low> exit
# tncfg -t public tncfg:public> set host_type=unlabeled tncfg:public> set doi=1 tncfg:public> set def_label="public" tncfg:public> set min_sl="public" tncfg:public> set max_sl="public" tncfg:public> add host=0.0.0.0Wildcard address tncfg:public> exit
例 16-14 Trusted Extensions システムがブート時に接続するシステムの列挙
この例では、管理者は 2 つのネットワークインタフェースを備えた Trusted Extensions システムのトラステッドネットワークを構成します。システムは、ほかのネットワークおよびルーターと通信します。リモートホストは、3 つのテンプレート cipso、admin_low、public のいずれかに割り当てられます。次のコマンドには注釈を付けています。
# tncfg -t cipso tncfg:admin_low> add host=127.0.0.1Loopback address tncfg:admin_low> add host=192.168.112.111Interface 1 of this host tncfg:admin_low> add host=192.168.113.111Interface 2 of this host tncfg:admin_low> add host=192.168.113.6File server tncfg:admin_low> add host=192.168.112.255Subnet broadcast address tncfg:admin_low> add host=192.168.113.255Subnet broadcast address tncfg:admin_low> add host=192.168.113.1Router tncfg:admin_low> add host=192.168.117.0/24Another Trusted Extensions network tncfg:admin_low> exit
# tncfg -t public tncfg:public> add host=192.168.112.12Specific network router tncfg:public> add host=192.168.113.12Specific network router tncfg:public> add host=224.0.0.2Multicast address tncfg:admin_low> exit
# tncfg -t admin_low tncfg:admin_low> add host=255.255.255.255Broadcast address tncfg:admin_low> exit
管理者は、ブート時に接続するホストを指定し終わると、admin_low テンプレートから 0.0.0.0/0 エントリを削除します。
# tncfg -t admin_low tncfg:admin_low> remove host=0.0.0.0 tncfg:admin_low> exit
例 16-15 ホストアドレス 0.0.0.0/32 を有効な初期アドレスにする
この例では、セキュリティー管理者は潜在的なクライアントからの初期接続要求を受け入れるようにアプリケーションサーバーを構成します。
管理者は、サーバーのトラステッドネットワークを構成します。サーバーとクライアントのエントリには注釈を付けています。
# tncfg -t cipso info name=cipso host_type=cipso doi=1 min_label=ADMIN_LOW max_label=ADMIN_HIGH host=127.0.0.1/32 host=192.168.128.1/32 Application server address host=192.168.128.0/24 Application's client network Other addresses to be contacted at boot time
# tncfg -t admin_low info name=cipso host_type=cipso doi=1 def_label=ADMIN_LOW min_label=ADMIN_LOW max_label=ADMIN_HIGH host=192.168.128.0/24 Application's client network host=0.0.0.0/0 Wildcard address Other addresses to be contacted at boot time
テストがこの段階まで成功すると、管理者は構成をロックダウンするために、デフォルトのワイルドカードアドレス 0.0.0.0/0 を削除して変更をコミットしたあと、特定のアドレスを追加します。
# tncfg -t admin_low info tncfg:admin_low> remove host=0.0.0.0 tncfg:admin_low> commit tncfg:admin_low> add host=0.0.0.0/32For initial client contact tncfg:admin_low> exit
admin_low の最終的な構成は、次のようになります。
# tncfg -t admin_low name=cipso host_type=cipso doi=1 def_label=ADMIN_LOW min_label=ADMIN_LOW max_label=ADMIN_HIGH 192.168.128.0/24 Application's client network host=0.0.0.0/32 For initial client contact Other addresses to be contacted at boot time
0.0.0.0/32 エントリは、アプリケーションのクライアントのみがアプリケーションサーバーに到達できるようにします。
例 16-16 ラベル付き Sun Ray サーバーの有効な初期アドレスの構成
この例では、セキュリティー管理者は潜在的なクライアントからの初期接続リクエストを受け入れるように Sun Ray サーバーを構成します。サーバーは非公開トポロジと Sun Ray サーバーのデフォルトを使用しています。
# utadm -a net0
次に、管理者はサーバーのトラステッドネットワークを構成します。サーバーとクライアントのエントリには注釈を付けています。
# tncfg -t cipso info name=cipso host_type=cipso doi=1 min_label=ADMIN_LOW max_label=ADMIN_HIGH host=127.0.0.1/32 host=192.168.128.1/32 Sun Ray server address host=192.168.128.0/24 Sun Ray client network Other addresses to be contacted at boot time
# tncfg -t admin_low info name=cipso host_type=cipso doi=1 def_label=ADMIN_LOW min_label=ADMIN_LOW max_label=ADMIN_HIGH host=192.168.128.0/24 Sun Ray client network host=0.0.0.0/0 Wildcard address Other addresses to be contacted at boot time
テストがこの段階まで成功すると、管理者は構成をロックダウンするために、デフォルトのワイルドカードアドレス 0.0.0.0/0 を削除して変更をコミットしたあと、特定のアドレスを追加します。
# tncfg -t admin_low info tncfg:admin_low> remove host=0.0.0.0 tncfg:admin_low> commit tncfg:admin_low> add host=0.0.0.0/32For initial client contact tncfg:admin_low> exit
admin_low の最終的な構成は、次のようになります。
# tncfg -t admin_low name=cipso host_type=cipso doi=1 def_label=ADMIN_LOW min_label=ADMIN_LOW max_label=ADMIN_HIGH 192.168.128.0/24 Sun Ray client network host=0.0.0.0/32 For initial client contact Other addresses to be contacted at boot time
0.0.0.0/32 エントリは、Sun Ray クライアントのみがサーバーに到達できるようにします。