Trusted Solaris 관리 개요

네트워크 문제 해결

이 절에서 설명하는 Trusted Solaris 도구와 명령을 사용하여 네트워크 문제를 쉽게 디버깅할 수 있습니다. 명령에 대한 자세한 설명은 해당 온라인 참조 페이지를 참고하십시오. 또한 Trusted Solaris Administrator's Procedures 설명서의 제3장 "Managing Hosts and Networks"를 참조하십시오. snoop(1M), ipcs(1), netstat(1M) 같은 표준 네트워크 디버깅 명령들도 Trusted Solaris 환경에서 사용할 수 있습니다.

전송할 때 tninfo(1M)을 사용하면 원본, 대상 및 게이트웨이 호스트에 대한 보안 정보를 얻을 수 있으며, 커널이 캐시하는 정보가 정확한지 확인할 수도 있습니다. 이 명령은 ADMIN_HIGH와 유효 사용자 ID 0으로 실행하도록 되어 있습니다. file_mac_read, sys_trans_label 및 file_dac_read 특권은 이 제한을 무시합니다. tninfo 실행 파일은 허용 비트 555, 소유자, 루트 및 그룹 sys와 함께 민감도 레이블 ADMIN_LOW로 유지되어야 합니다. tninfo는 다음과 같이 사용됩니다.
- tninfo -h [<호스트 이름>] 전체 호스트 또는 특정 호스트의 IP 주소, 포트, 템플리트를 표시합니다.
- tninfo -t <템플리트 이름> 전체 템플리트 또는 특정 템플리트에 관한 다음과 같은 정보를 표시합니다. 호스트 종류, 최소 민감도 레이블(레이블과 16진법 형식으로), 최대 민감도 레이블(레이블과 16진법 형식으로), 허용 특권 및 IP 레이블 종류(RIPSO, CIPSO 또는 없음).
- tninfo -k 다음과 같은 커널 통계를 표시합니다. 호스트 인가 확인 실패 횟수, 네트워크 인가 확인 실패 횟수, 메모리 할당 통계.
네트워크 보안 정보를 변경하거나 확인하려면 데이터베이스 관리자를 사용하여 tnrhtp, tnrhdb, tnidb 파일에 액세스합니다. NIS+ 테이블을 사용하지 않는 경우 파일을 저장한 즉시 변경됩니다. NIS+ 테이블을 사용하는 경우 네트워크 대몬이 데이터베이스를 다음에 폴링하거나 시스템이 재부팅될 때 변경됩니다. 신속하게 변경이 수행되게 하려면 갱신된 정보가 필요한 호스트에 -p 옵션의 type="V-ONLY">tnd(1M)를 사용하여 폴링 간격을 줄이면 됩니다. 단, 변경된 후 폴링 간격을 재설정해야 합니다.
네트워크 대몬으로부터 디버깅 정보를 수집하려면 네트워크를 시작할 때 -d 옵션을 사용해서 tnd(1M) 명령을 실행합니다. 디버깅 데이터는 기본적으로 /var/tsol/tndlog 파일에 기록됩니다. 이 로그 파일을 사용하여 실패와 기타 문제점을 찾을 수 있습니다.
네트워크가 이미 실행되고 있을 경우에 네트워크 대몬으로부터 디버깅 정보를 수집하려면 -d 옵션을 사용해서 tnctl(1M) 명령을 실행합니다. 디버깅 데이터는 기본적으로 /var/tsol/tndlog 파일에 기록됩니다. 이 로그 파일을 사용하여 실패와 기타 문제점을 찾을 수 있습니다.
CIPSO 전송을 확인하려면 tninfo -h와 -t를 사용하여 DOI가 원본, 대상 및 게이트웨이에 대해 동일하고, 다른 모든 보안 속성이 순서대로 있는지 확인합니다.
RIPSO 전송을 확인하려면 tninfo -h와 -t를 사용하여 RIPSO 레이블이 원본, 대상, 게이트웨이에 대해 동일하고, 다른 모든 보안 속성이 순서대로 있는지 확인합니다.
TSIX 전송을 확인하려면 tokmapd를 -d 옵션 또는 tokmapctl -d를 사용하여 로그를 작성하고 해당 디버깅 수준을 선택합니다. 디버깅 데이터는 기본적으로 /var/tsol/tokmapdlog 파일에 기록됩니다. snoop(1M)을 사용하여 원본과 대상 모두 토큰을 전송할 수 있는지 확인합니다.
MSIX 전송을 확인하려면 /etc/group에 "wheel"이라는 특수한 그룹이 있는지 확인합니다. tokmapd를 -d 옵션 또는 tokmapctl -d를 사용하여 로그를 작성하고 해당 디버깅 수준을 선택합니다. 디버깅 데이터는 기본적으로 /var/tsol/tokmapdlog 파일에 기록됩니다. snoop(1M)을 사용하여 원본과 대상 모두 토큰을 전송할 수 있는지 확인합니다.