跳过导航链接 | |
退出打印视图 | |
Oracle Solaris Trusted Extensions 管理员规程 Oracle Solaris 10 8/11 Information Library (简体中文) |
3. Trusted Extensions 管理员入门(任务)
4. Trusted Extensions 系统上的安全要求(概述)
5. 在 Trusted Extensions 中管理安全要求(任务)
6. Trusted Extensions 中的用户、权限和角色(概述)
7. 在 Trusted Extensions 中管理用户、权限和角色(任务)
8. Trusted Extensions 中的远程管理(任务)
9. Trusted Extensions 和 LDAP(概述)
10. 在 Trusted Extensions 中管理区域(任务)
11. 在 Trusted Extensions 中管理和挂载文件(任务)
13. 在 Trusted Extensions 中管理网络(任务)
14. Trusted Extensions 中的多级别邮件(概述)
16. Trusted Extensions 中的设备(概述)
17. 管理 Trusted Extensions 的设备(任务)
以下任务列表介绍了配置网络以及检验配置的任务。
|
开始之前
您必须具有全局区域中的 "Security Administrator"(安全管理员)角色。
地址将被添加到本地 /etc/hosts 文件,或添加到 LDAP 服务器上的等效项。使用 Solaris Management Console 中的计算机和网络工具。文件作用域修改 /etc/hosts 文件。LDAP 作用域修改 LDAP 服务器上的项。有关详细信息,请参见如何向系统的已知网络添加主机。
地址将被添加到本地 /etc/security/tsol/tnrhdb 文件,或添加到 LDAP 服务器上的等效项。使用 Solaris Management Console 中的安全模板工具。有关详细信息,请参见如何将安全模板指定给向一台主机或一组主机。
在终端窗口中,使用 route add 命令指定路由。
第一项设置缺省路由。该项指定在没有为主机或包目的地定义特定路由时要使用的网关地址 192.168.113.1。
# route add default 192.168.113.1 -static
有关详细信息,请参见route(1M) 手册页。
使用 -secattr 标志指定安全属性。
在下面的命令列表中,第二行显示一个网络项。第三行显示标签范围为 PUBLIC 到 CONFIDENTIAL : INTERNAL USE ONLY 的网络项。
# route add default 192.168.113.36 # route add -net 192.168.102.0 gateway-101 # route add -net 192.168.101.0 gateway-102 \ -secattr min_sl=“PUBLIC”,max_sl=”CONFIDENTIAL : INTERNAL USE ONLY”,doi=1
新的第四行显示单标签主机 gateway-pub 对应的主机项。gateway-pub 的标签范围为 PUBLIC 到 PUBLIC。
# route add default 192.168.113.36 # route add -net 192.168.102.0 gateway-101 # route add -net 192.168.101.0 gateway-102 \ -secattr min_sl="PUBLIC",max_sl="CONFIDENTIAL : INTERNAL USE ONLY",doi=1 # route add -host 192.168.101.3 gateway-pub \ -secattr min_sl="PUBLIC",max_sl="PUBLIC",doi=1
示例 13-14 添加标签范围为 CONFIDENTIAL : INTERNAL USE ONLY 到 CONFIDENTIAL : RESTRICTED 的路由
以下 route 命令将 IP 地址为 192.168.115.0,网关为 192.168.118.39 的主机添加到路由表。标签范围为 CONFIDENTIAL : INTERNAL USE ONLY 到 CONFIDENTIAL : RESTRICTED,DOI 为 1。
$ route add -net 192.168.115.0 192.168.118.39 \ -secattr min_sl="CONFIDENTIAL : INTERNAL USE ONLY",max_sl="CONFIDENTIAL : RESTRICTED",doi=1
可使用 netstat -rR 命令显示所添加主机的结果。在下面的摘录中,用省略号 (...) 代替了其他路由。
$ netstat -rRn ... 192.168.115.0 192.168.118.39 UG 0 0 min_sl=CNF : INTERNAL USE ONLY,max_sl=CNF : RESTRICTED,DOI=1,CIPSO ...
tnchkdb 命令可检查每个网络数据库的语法是否准确。在使用安全模板工具或可信网络区域工具时,Solaris Management Console 会自动运行此命令。通常,您运行此命令来检查要配置为供将来使用的数据库文件的语法。
开始之前
您必须位于全局区域中,并充当可以检查网络设置的角色。安全管理员角色和 "Security Administrator"(安全管理员)角色可以检查这些设置。
$ tnchkdb [-h tnrhdb-path] [-t tnrhtp-path] [-z tnzonecfg-path] checking /etc/security/tsol/tnrhtp ... checking /etc/security/tsol/tnrhdb ... checking /etc/security/tsol/tnzonecfg ...
示例 13-15 测试某个试用网络数据库的语法
在此示例中,安全管理员在测试一个网络数据库文件的可能用途。最初,管理员使用了错误的选项。检查的结果显示在 tnrhdb 文件的行上:
$ tnchkdb -h /opt/secfiles/trial.tnrhtp checking /etc/security/tsol/tnrhtp ... checking /opt/secfiles/trial.tnrhtp ... line 12: Illegal name: min_sl=ADMIN_LOW;max_sl=ADMIN_HIGH line 14: Illegal name: min_sl=ADMIN_LOW;max_sl=ADMIN_HIGH checking /etc/security/tsol/tnzonecfg ...
当安全管理员使用 -t 选项检查该文件时,该命令确认试用 tnrhtp 数据库的语法准确无误:
$ tnchkdb -t /opt/secfiles/trial.tnrhtp checking /opt/secfiles/trial.tnrhtp ... checking /etc/security/tsol/tnrhdb ... checking /etc/security/tsol/tnzonecfg ...
网络数据库包含的信息可能未缓存在内核中。此过程可检查相应信息是否完全相同。使用 Solaris Management Console 更新网络时,会用网络数据库信息更新内核高速缓存。tninfo 命令在测试期间以及进行调试时很有用。
开始之前
您必须位于全局区域中,并充当可以检查网络设置的角色。安全管理员角色和 "Security Administrator"(安全管理员)角色可以检查这些设置。
tninfo -h hostname 显示指定主机的 IP 地址和模板。
tninfo -t templatename 显示以下信息:
template: template-name host_type: either CIPSO or UNLABELED doi: 1 min_sl: minimum-label hex: minimum-hex-label max_sl: maximum-label hex:maximum-hex-label
tninfo -m zone-name 显示区域的多级别端口 (multilevel port, MLP) 配置。
示例 13-16 显示主机的多级别端口
在本示例中,系统配置有多个有标签区域。所有区域共用同一 IP 地址。某些区域还配置有特定于区域的地址。在此配置中,用于 Web 浏览的 TCP 端口(端口 8080)是公共区域中共享接口上的一个 MLP。管理员还将 telnet TCP 端口 23 设置为公共区域中的一个 MLP。由于这两个 MLP 位于共享接口上,所以其他区域(包括全局区域)都不能在端口 8080 和 23 的共享接口上接收包。
此外,ssh TCP 端口(端口 22)是公共区域中的每区域 MLP。公共区域的 ssh 服务可以在地址标签范围内特定于区域的地址接收任何包。
以下命令显示公共区域的 MLP:
$ tninfo -m public private: 22/tcp shared: 23/tcp;8080/tcp
以下命令显示全局区域的 MLP。请注意,端口 23 和 8080 不能为全局区域中的 MLP,因为全局区域与公共区域共用同一地址。
$ tninfo -m global private: 111/tcp;111/udp;514/tcp;515/tcp;631/tcp;2049/tcp; 6000-6003/tcp;38672/tcp;60770/tcp; shared: 6000-6003/tcp
尚未用可信网络数据库信息更新内核时,您可以采用多种方式更新内核高速缓存。在使用安全模板工具或可信网络区域工具时,Solaris Management Console 会自动运行此命令。
开始之前
您必须具有全局区域中的 "Security Administrator"(安全管理员)角色。
注意 - 请勿对从 LDAP 服务器获取可信网络数据库信息的系统使用此方法。本地数据库信息将会覆盖从 LDAP 服务器获取的信息。 |
$ svcadm restart svc:/network/tnctl
此命令将来自本地可信网络数据库的所有信息读入到内核中。
$ tnctl -h hostname
此命令仅将来自所选择选项的信息读入到内核中。有关选项的详细信息,请参见示例 13-17 和 tnctl(1M) 手册页。
注 - tnd 服务仅在 ldap 服务运行的情况下才运行。
这不会更新内核高速缓存。但是,您可以缩短轮询间隔以更频繁地更新内核高速缓存。有关详细信息,请参见 tnd(1M) 手册页中的示例。
此服务管理工具 (Service Management Facility, SMF) 命令可出发使用对可信网络数据库进行的最近更改对内核进行立即更新。
$ svcadm refresh svc:/network/tnd
$ svcadm restart svc:/network/tnd
注意 - 避免运行 tnd 命令来重新启动 tnd。此命令可能会中断当前成功进行的通信。 |
示例 13-17 使用最新的 tnrhdb 项更新内核
在此示例中,管理员向本地 tnrhdb 数据库添加了三个地址。首先,管理员删除了 0.0.0.0 通配符项。
$ tnctl -d -h 0.0.0.0:admin_low
接着,管理员查看 /etc/security/tsol/tnrhdb 数据库中最后三项的格式:
$ tail /etc/security/tsol/tnrhdb #\:\:0:admin_low 127.0.0.1:cipso #\:\:1:cipso 192.168.103.5:admin_low 192.168.103.0:cipso 0.0.0.0/32:admin_low
然后,管理员更新内核高速缓存:
$ tnctl -h 192.168.103.5 tnctl -h 192.168.103.0 tnctl -h 0.0.0.0/32
最后,管理员检验内核高速缓存是否已更新。第一项的输出类似如下:
$ tninfo -h 192.168.103.5 IP Address: 192.168.103.5 Template: admin_low
示例 13-18 更新内核中的网络信息
在此示例中,管理员使用公共打印服务器更新可信网络,然后检查内核设置是否正确。
$ tnctl -h public-print-server $ tninfo -h public-print-server IP Address: 192.168.103.55 Template: PublicOnly $ tninfo -t PublicOnly ================================== Remote Host Template Table Entries ---------------------------------- template: PublicOnly host_type: CIPSO doi: 1 min_sl: PUBLIC hex: 0x0002-08-08 max_sl: PUBLIC hex: 0x0002-08-08