ネットワークの障害追跡

この節では、ネットワーク障害のデバッグに役立つ Trusted Solaris ツールとコマンドを紹介します。コマンドの詳細については、それぞれのマニュアルページのほか、『Trusted Solaris 管理の手順』の パート III の「ホストおよびネットワーク管理」を参照してください。Trusted Solaris 環境には、snoop(1M)、ipcs(1)、netstat(1M) などの標準のネットワークデバッグコマンドも用意されています。

• データ転送で使用するソースホスト、宛先ホスト、ゲートウェイホストのセキュリティ情報を取得するには、tninfo(1M) コマンドを使用します。これにより、カーネルに保持されている情報が正確かどうかをチェックできます。このコマンドは、ADMIN_HIGH で、実効 UID を 0 にして実行されなくてはなりません。ただし、こうした制約は、file_mac_read、sys_trans_label、file_dac_read の各特権で無効にできます。tninfo の実行可能ファイルは、アクセス権ビット 555、所有者、スーパーユーザー、sys グループが指定された、機密ラベル ADMIN_LOW で管理します。tninfo コマンドの使用方法は次のとおりです。

  • tninfo -h [<hostname>] - すべてのホストまたは指定したホストの IP アドレス、ポート、テンプレートを表示する

  • tninfo -t <templatename> - すべてのテンプレートまたは指定したテンプレートについて、ホストの種類、最下位機密ラベル (ラベル形式と 16 進形式で表示)、最上位機密ラベル (ラベル形式と 16 進形式で表示)、許容された特権、IP ラベルの種類 (RIPSO、CIPSO、ラベルなし) を表示する

  • tninfo -k - ホスト認可チェックの不合格数、ネットワーク認可チェックの不合格数、メモリ割り当てに関する統計など、カーネル統計情報を表示する

• ネットワークセキュリティ情報を変更または確認するにはデータベースマネージャから tnrhtp、tnrhdb、tnidb の各ファイルを表示します。NIS+ テーブルを使用していないネットワークでは、変更内容がファイルに保存されると直ちに反映されます。NIS+ テーブルを使用している場合は、ネットワークデーモンが次にデータベースをポーリングしたとき、またはシステムがリブートされたときに変更が反映されます。少しでも早く反映させたい場合は、更新した情報を必要とするホストで、tnd(1M) コマンドに -p オプションを付けて実行し、ポーリング間隔を短縮します。ただし、変更が反映された後は、必ずポーリング間隔を元に戻してください。

• ネットワークデーモンからデバッグ情報を収集するにはネットワークを起動する際、tnd(1M) コマンドに -d オプションを付けて実行します。すると、デバッグデータがデフォルトで /var/tsol/tndlog ファイルに書き込まれるので、このログファイルを検索して障害やその他の症状を確認します。

• ネットワークがすでに稼動している場合に、ネットワークデーモンからデバッグ情報を収集するには tnctl(1M) コマンドに -d オプションを付けて実行します。すると、デバッグデータがデフォルトで /var/tsol/tndlog ファイルに書き込まれるので、このログファイルを検索して、障害やその他の症状を確認します。

• CIPSO 転送をチェックするにはtninfo コマンドに -h と -t オプションを付けて実行し、ソースホスト、宛先ホスト、ゲートウェイホストの DOI が同じであること、その他すべてのセキュリティ属性が適切であることを確認します。

• RIPSO 転送をチェックするにはtninfo コマンドに -h と -t オプションを付けて実行し、ソースホスト、宛先ホスト、ゲートウェイホストの RIPSO ラベルが同じであること、その他すべてのセキュリティ属性が適切であることを確認します。

• TSIX 転送をチェックするにはtokmapd コマンドに -d オプションを付けて実行するか、tokmapctl -d を実行してログを作成し、適切なデバッグレベルを選択します。デバッグデータは、デフォルトで /var/tsol/tokmapdlog ファイルに書き込まれるので、snoop(1M) を使用して、ソース、宛先のどちらでもトークンをやりとりできることを確認します。

• MSIX 転送をチェックするには/etc/group ディレクトリに「wheel」という名前の特別なグループがあります。tokmapd コマンドに -d オプションを付けて実行するか、 tokmapctl -d を使用してログを作成し、適切なデバッグレベルを選択します。デバッグデータは、デフォルトで /var/tsol/tokmapdlog に書き込まれるので、snoop(1M) を使用して、ソース、宛先のどちらでもトークンをやりとりできることを確認します。