跳过导航链接 | |
退出打印视图 | |
Oracle Solaris Trusted Extensions 管理员规程 Oracle Solaris 10 8/11 Information Library (简体中文) |
3. Trusted Extensions 管理员入门(任务)
4. Trusted Extensions 系统上的安全要求(概述)
5. 在 Trusted Extensions 中管理安全要求(任务)
6. Trusted Extensions 中的用户、权限和角色(概述)
7. 在 Trusted Extensions 中管理用户、权限和角色(任务)
8. Trusted Extensions 中的远程管理(任务)
9. Trusted Extensions 和 LDAP(概述)
10. 在 Trusted Extensions 中管理区域(任务)
11. 在 Trusted Extensions 中管理和挂载文件(任务)
13. 在 Trusted Extensions 中管理网络(任务)
在 Trusted Extensions 中配置路由并检查网络信息(任务列表)
14. Trusted Extensions 中的多级别邮件(概述)
16. Trusted Extensions 中的设备(概述)
17. 管理 Trusted Extensions 的设备(任务)
Trusted Extensions 软件包含 tnrhtp 和 tnrhdb 数据库。这些数据库提供联系系统的远程主机的标签。Solaris Management Console 提供用于管理这些数据库的 GUI。
以下任务列表介绍了创建安全模板并将其应用于主机的任务。
|
开始之前
您必须具有全局区域中的 "Security Administrator"(安全管理员)角色。
阅读本地主机上的 tnrhtp 文件。该文件中的注释很有帮助。您也可以在 Solaris Management Console 中查看安全模板工具中的安全属性值。
缺省模板可匹配任何安装。每个模板的标签范围为 ADMIN_LOW 到 ADMIN_HIGH。
cipso 模板定义 DOI 为 1 的 CIPSO 主机类型。该模板的标签范围为 ADMIN_LOW 到 ADMIN_HIGH。
admin_low 模板定义 DOI 为 1 的无标签主机。该模板的缺省标签为 ADMIN_LOW。该模板的标签范围为 ADMIN_LOW 到 ADMIN_HIGH。在缺省配置中,将地址 0.0.0.0 指定给此模板。因此,所有非 CIPSO 主机会被视为以 ADMIN_LOW 安全标签运行的主机。
出于支持目的,请勿删除或修改缺省模板。您可以更改已指定给这些缺省模板的主机。例如,请参见如何限定可能会在可信网络上联系的主机。
限定某台主机或一组主机的标签范围。
创建单标签主机。
创建识别几个独立标签的主机。
使用异于 1 的不同 DOI。
需要无标签主机的非 ADMIN_LOW 缺省标签。
有关详细信息,请参见如何构造远程主机模板。
开始之前
您必须位于全局区域中,并充当可以修改网络安全设置的角色。例如,已指定信息安全或网络安全权限配置文件的角色可以修改安全设置。安全管理员角色拥有这些配置文件。
要使用 LDAP 工具箱,必须已完成《Oracle Solaris Trusted Extensions 配置指南》中的"为 LDAP 配置 Solaris Management Console(任务列表)"。
有关详细信息,请参见《Oracle Solaris Trusted Extensions 配置指南》中的"在 Trusted Extensions 中初始化 Solaris Management Console 服务器"。
要修改模板,请使用安全模板工具。
当前定义的所有模板会显示在右窗格中。选择或创建模板时,左窗格中会提供联机帮助。
要将一个主机指定给一个模板,请使用安全模板工具。
要创建可指定给模板的主机,请使用计算机和网络工具。
要将一个标签指定给一个区域,请使用可信网络区域工具。有关 Trusted Extensions 中的区域的更多信息,请参见第 10 章。
开始之前
您必须位于全局区域中,并充当可以修改网络安全设置的角色。例如,已指定信息安全或网络安全权限配置文件的角色可以修改安全设置。安全管理员角色拥有这些配置文件。
有关步骤,请参见如何打开可信网络工具。
现有模板将显示在 "View"(视图)窗格中。这些模板描述了此系统可以联系的主机的安全属性。这些主机包括正在运行 Trusted Extensions 的 CIPSO 主机和无标签主机。
查看已将该模板指定给哪些主机和哪些网络。
查看已将该模板指定给哪些主机和哪些网络。
如果提供的模板不能充分描述可与此系统通信的主机,请选择“从操作中添加模板”菜单。
使用联机帮助来获得帮助。在将主机指定给这些模板之前,请创建站点需要的所有模板。
双击该模板,并使用联机帮助来获得帮助。您可以更改已指定的主机,也可以更改已指定的网络。
示例 13-1 创建具有不同 DOI 值的安全模板
在此示例中,安全管理员的网络具有值异于 1 的 DOI。最初配置系统的团队已完成《Oracle Solaris Trusted Extensions 配置指南》中的"配置系统解释域"。
首先,安全管理员确认 /etc/system 文件中的 DOI 值。
# grep doi /etc/system set default_doi = 4
然后,在安全模板工具中,针对管理员创建的每个模板,将 doi 的值设置为 4。对于示例 13-2 中所述的单标签系统,安全管理员会创建以下模板:
template: CIPSO_PUBLIC host_type: CIPSO doi: 4 min_sl: PUBLIC max_sl: PUBLIC
示例 13-2 创建具有单标签的安全模板
在此示例中,安全管理员要创建一个只能在单标签 PUBLIC 中传递包的网关。管理员在 Solaris Management Console 中使用安全模板工具,创建一个模板并将网关主机指定给该模板。
首先,将网关主机和 IP 地址添加到计算机和网络工具。
gateway-1 192.168.131.75
然后,在安全模板工具中创建模板。模板中的值如下:
template: CIPSO_PUBLIC host_type: CIPSO doi: 1 min_sl: PUBLIC max_sl: PUBLIC
该工具为 PUBLIC 提供十六进制值 0X0002-08-08。
最后,按名称和 IP 地址将 gateway-1 主机指定给该模板。
gateway-1 192.168.131.75
在本地主机上,tnrhtp 项的显示类似如下:
cipso_public:host_type=cipso;doi=1;min_sl=0X0002-08-08;max_sl=0X0002-08-08;
在本地主机上,tnrhdb 项的显示类似如下:
# gateway-1 192.168.131.75:cipso_public
示例 13-3 为无标签路由器创建安全模板
任何 IP 路由器都可以通过 CIPSO 标签转发消息,即使该路由器不显式支持标签也是如此。此类无标签路由器需要一个缺省标签来定义需要在哪一个级别上处理与该路由器的连接(或许是用于路由器管理)。在此示例中,安全管理员创建一个可以任何标签转发通信的路由器,但与该路由器的所有直接通信都是以缺省标签 PUBLIC 处理的。
在 Solaris Management Console 中,管理员创建一个模板并将网关主机指定给该模板。
首先,将路由器及其 IP 地址添加到计算机和网络工具。
router-1 192.168.131.82
然后,在安全模板工具中创建模板。模板中的值如下:
Template Name: UNL_PUBLIC Host Type: UNLABELED DOI: 1 Default Label: PUBLIC Minimum Label: ADMIN_LOW Maximum Label: ADMIN_HIGH
该工具为标签提供十六进制值。
最后,按名称和 IP 地址将 router-1 路由器指定给该模板。
router-1 192.168.131.82
示例 13-4 创建具有有限标签范围的安全模板
在此示例中,安全管理员要创建一个将包限定于较窄标签范围的网关。在 Solaris Management Console 中,管理员创建一个模板并将网关主机指定给该模板。
首先,将主机及其 IP 地址添加到计算机和网络工具。
gateway-ir 192.168.131.78
然后,在安全模板工具中创建模板。模板中的值如下:
Template Name: CIPSO_IUO_RSTRCT Host Type: CIPSO DOI: 1 Minimum Label: CONFIDENTIAL : INTERNAL USE ONLY Maximum Label: CONFIDENTIAL : RESTRICTED
该工具为标签提供十六进制值。
最后,按名称和 IP 地址将 gateway-ir 网关指定给该模板。
gateway-ir 192.168.131.78
示例 13-5 创建具有安全标签集合的安全模板
在此示例中,安全管理员要创建一个仅识别两个标签的安全模板。在 Solaris Management Console 中,管理员创建一个模板并将网关主机指定给该模板。
首先,将每个要使用此模板的主机和 IP 地址添加到计算机和网络工具。
host-slset1 192.168.132.21 host-slset2 192.168.132.22 host-slset3 192.168.132.23 host-slset4 192.168.132.24
然后,在安全模板工具中创建模板。模板中的值如下:
Template Name: CIPSO_PUB_RSTRCT Host Type: CIPSO DOI: 1 Minimum Label: PUBLIC Maximum Label: CONFIDENTIAL : RESTRICTED SL Set: PUBLIC, CONFIDENTIAL : RESTRICTED
该工具为标签提供十六进制值。
最后,使用通配符按钮和一个前缀将 IP 地址范围指定给该模板。
192.168.132.0/17
示例 13-6 在标签 PUBLIC 上创建无标签模板
在此示例中,安全管理员允许 Oracle Solaris 系统的子网在可信网络中拥有 PUBLIC 标签。该模板具有以下值:
Template Name: public Host Type: Unlabeled Default Label: Public Minimum Label: Public Maximum Label: Public DOI: 1 Wildcard Entry: 10.10.0.0 Prefix: 16
10.10.0.0 子网上的所有系统均在标签 PUBLIC 上进行处理。
示例 13-7 为开发者创建有标签的模板
在此示例中,安全管理员创建一个 SANDBOX 模板。会将此模板指定给可信软件开发者所使用的系统。指定给此模板的两个系统会创建并测试带标签的程序。但是,它们的测试不会影响其他有标签系统,因为标签 SANDBOX 与网络上的其他标签不相交。
Template Name: cipso_sandbox Host Type: CIPSO Minimum Label: SANDBOX Maximum Label: SANDBOX DOI: 1 Hostname: DevMachine1 IP Address: 196.168.129.129 Hostname: DevMachine2 IP Address: 196.168.129.102
使用这些系统的开发者可以在标签 SANDBOX 中彼此进行通信。
Solaris Management Console 中的计算机工具与 Oracle Solaris OS 中的计算机工具相同。此处提供此过程是为了便于您使用。主机已知后,您可以将这些主机指定给安全模板。
开始之前
您必须拥有可以管理网络的管理员身份。例如,拥有网络管理或系统管理员权限配置文件的角色可以管理网络。
有关详细信息,请参见如何打开可信网络工具。
您必须添加此系统可能联系的每台主机,包括任何静态路由器和任何审计服务器。
使用联机帮助通过网络 IP 地址添加主机组。
开始之前
您必须具有全局区域中的 "Security Administrator"(安全管理员)角色。
要指定给模板的所有主机必须在计算机和网络工具中存在。有关详细信息,请参见如何向系统的已知网络添加主机。
有关详细信息,请参见如何打开可信网络工具。
示例 13-8 将 IPv4 网络作为通配符项添加
在以下示例中,安全管理员将多个 IPv4 子网指定给同一个安全模板。在 "Hosts Assigned to Template"(指定给模板的主机)选项卡中,管理员添加以下通配符项:
IP Address: 192.168.113.0 IP address: 192.168.75.0
示例 13-9 将 IPv4 主机列表作为通配符项添加
在以下示例中,安全管理员将不沿八位字节边界的连续 IPv4 地址指定给同一安全模板。在 "Hosts Assigned to Template"(指定给模板的主机)选项卡中,管理员添加以下通配符项:
IP Address: 192.168.113.100 Prefix Length: 25
此通配符项包含地址范围 192.168.113.0 到 192.168.113.127。该地址包括 192.168.113.100。
示例 13-10 将 IPv6 主机列表作为通配符项添加
在以下示例中,安全管理员将连续的 IPv6 地址指定给同一安全模板。在 "Hosts Assigned to Template"(指定给模板的主机)选项卡中,管理员添加以下通配符项:
IP Address: 2001:a08:3903:200::0 Prefix Length: 56
此通配符项包含地址范围 2001:a08:3903:200::0 到 2001:a08:3903:2ff:ffff:ffff:ffff:ffff。该地址包括 2001:a08:3903:201:20e:cff:fe08:58c。
此过程可保护有标签主机免受任意无标签主机的联系。安装 Trusted Extensions 时,此缺省模板会定义网络上的每台主机。使用此过程可枚举特定的无标签主机。
每个系统上的本地 tnrhdb 文件用于在引导时联系网络。缺省情况下,未随 CIPSO 模板提供的每台主机由 admin_low 模板定义。此模板将未另行定义的每个系统 (0.0.0.0) 指定为具有 admin_low 缺省标签的无标签系统。
开始之前
您必须具有全局区域中的 "Security Administrator"(安全管理员)角色。
要在引导时联系的所有主机必须在计算机和网络工具中存在。
文件作用域可在引导期间保护系统。要访问安全模板工具,请参见如何打开可信网络工具。
引导期间可能会在标签 ADMIN_LOW 中联系所添加的每台主机。
引导期间可能会在标签 ADMIN_LOW 中联系所添加的每台主机。
有关详细信息,请参见如何将安全模板指定给向一台主机或一组主机。
包括此主机必须通过其进行通信的、未在运行 Trusted Extensions 的每个链路上路由器。
引导期间可能会联系所添加的每台主机。
引导期间可能会在标签 ADMIN_LOW 中联系所添加的每台主机。
有关详细信息,请参见如何将安全模板指定给向一台主机或一组主机。
包括 LDAP 服务器。
包括此主机必须通过其进行通信的、正在运行 Trusted Extensions 的每个链路上路由器。
确保所有网络接口都已指定给模板。
包括广播地址。
示例 13-11 更改 0.0.0.0 tnrhdb 项的标签
在此示例中,安全管理员创建一个公共网关系统。管理员从 admin_low 模板中删除 0.0.0.0 项,并将该项指定给名为 public 的无标签模板。然后,系统将未在其 tnrhdb 文件中列出的任何系统识别为具有 public 安全模板的安全属性的无标签系统。
下面描述了一个专为公共网关创建的无标签模板。
Template Name: public Host Type: Unlabeled Default Label: Public Minimum Label: Public Maximum Label: Public DOI: 1
示例 13-12 在 tnrhdb 数据库中枚举引导期间要联系的计算机
以下示例显示本地 tnrhdb 数据库,其中包含具有两个网络接口的 LDAP 客户机对应的项。该客户机与另一个网络以及一些路由器进行通信。
127.0.0.1:cipso Loopback address 192.168.112.111:cipso Interface 1 of this host 192.168.113.111:cipso Interface 2 of this host 10.6.6.2:cipso LDAP server 192.168.113.6:cipso Audit server 192.168.112.255:cipso Subnet broadcast address 192.168.113.255:cipso Subnet broadcast address 192.168.113.1:cipso Router 192.168.117.0:cipso Another Trusted Extensions network 192.168.112.12:public Specific network router 192.168.113.12:public Specific network router 224.0.0.2:public Multicast address 255.255.255.255:admin_low Broadcast address
示例 13-13 使主机地址 0.0.0.0 成为一个有效的 tnrhdb 项
在此示例中,安全管理员配置 Sun Ray 服务器以接受来自潜在客户机的初始连接请求。该服务器使用一个专用拓扑,并在使用缺省值:
# utadm -a bge0
首先,管理员确定 Solaris Management Console 域名:
SMCserver # /usr/sadm/bin/dtsetup scopes Getting list of managable scopes... Scope 1 file:/machine1.ExampleCo.COM/machine1.ExampleCo.COM
然后,管理员将客户机初始连接项添加到 Sun Ray 服务器的 tnrhdb 数据库。由于管理员正在进行测试,所以缺省通配符地址仍将用于所有未知地址:
SunRayServer # /usr/sadm/bin/smtnrhdb \ add -D file:/machine1.ExampleCo.COM/machine1.ExampleCo.COM \ -- -w 0.0.0.0 -p 32 -n admin_low Authenticating as user: root Please enter a string value for: password :: ... from machine1.ExampleCo.COM was successful.
执行此命令之后,tnhrdb 数据库的显示类似如下。将会突出显示 smtnrhdb 命令的结果:
## tnrhdb database ## Sun Ray server address 192.168.128.1:cipso ## Sun Ray client addresses on 192.168.128 network 192.168.128.0/24:admin_low ## Initial address for new clients 0.0.0.0/32:admin_low ## Default wildcard address 0.0.0.0:admin_low Other addresses to be contacted at boot
# tnchkdb -h /etc/security/tsol/tnrhdb
此阶段的测试成功之后,管理员通过删除缺省通配符地址使该配置更加安全,检查 tnrhdb 数据库的语法,然后再次进行测试。最终 tnhrdb 数据库的显示类似如下:
## tnrhdb database ## Sun Ray server address 192.168.128.1:cipso ## Sun Ray client addresses on 192.168.128 network 192.168.128.0/24:admin_low ## Initial address for new clients 0.0.0.0/32:admin_low ## 0.0.0.0:admin_low - no other systems can enter network at admin_low Other addresses to be contacted at boot