Trusted Extensions 構成と管理

印刷ビューの終了

 
更新: 2014 年 7 月
 
 

セキュリティーテンプレートの作成

このセクションでは、次のネットワーク構成のセキュリティーテンプレートを作成するためのアドバイスや例を示します。

特定の要件に対応するセキュリティーテンプレートの例については、セキュリティーテンプレートへのホストの追加を参照してください。

セキュリティーテンプレートを作成する

始める前に

ネットワークセキュリティーを修正できる役割で、大域ゾーンにいる必要があります。たとえば、Information Security または Network Security の権利プロファイルを割り当てられた役割は、セキュリティー値を修正できます。セキュリティー管理者役割には、これらの権利プロファイルが含まれています。

注 - サポートの目的上、デフォルトのセキュリティーテンプレートは変更したり削除したりしないでください。
  1. (オプション)ADMIN_HIGHADMIN_LOW 以外の任意のラベルの 16 進バージョンを確認します。

    CONFIDENTIAL などのラベルでは、ラベル文字列または 16 進値のいずれかをラベル値として使用できます。tncfg コマンドはどちらの形式も受け入れます。

    # atohexlabel "confidential : internal use only"
0x0004-08-48

    詳細は、ラベルの 16 進値を求めるを参照してください。

  2. セキュリティーテンプレートを作成します。

    tncfg -t コマンドには、新しいテンプレートを作成するための方法が 3 つ用意されています。

    • セキュリティーテンプレートを新規に作成します。

      tncfg コマンドを対話モードで使用します。info サブコマンドは、デフォルトで提供された値を表示します。Tab キーを押すと、部分的なプロパティーや値が補完されます。exit と入力してテンプレートを完成します。

      # tncfg -t newunlabeled
tncfg:newunlabeled> info
name=newunlabeled
host_type=unlabeled
doi=1
def_label=ADMIN_LOW
min_label=ADMIN_LOW
max_label=ADMIN_HIGH
tncfg:newunlabeled> set mTab
set max_label=" set min_label="Auto-complete shows two possible completions
tncfg:newunlabeled> set maTabUser types the letter a
tncfg:newunlabeled> set max_label=ADMIN_LOW
...
tncfg:newunlabeled> commit
tncfg:newunlabeled> exit

      セキュリティーテンプレートの完全な属性リストをコマンド行で指定することもできます。複数の set サブコマンドはセミコロンで区切ります。省略された属性ではデフォルト値が使用されます。ネットワークセキュリティー属性については、Trusted Extensions のネットワークセキュリティー属性を参照してください。

      # tncfg -t newunlabeled set host_type=unlabeled;set doi=1; \
set min_label=ADMIN_LOW;set max_label=ADMIN_LOW
    • 既存のセキュリティーテンプレートをコピーして変更します。
      # tncfg -t cipso
tncfg:cipso> set name=newcipso
tncfg:newcipso> info
name=newcipso
host_type=cipso
doi=1
min_label=ADMIN_LOW
max_label=ADMIN_HIGH

      既存のセキュリティーテンプレートに割り当てられているホストは、新しいテンプレートにコピーされません。

    • export サブコマンドによって作成されたテンプレートファイルを使用します。 
      # tncfg -f unlab_1 -f template-file
tncfg: unlab_1> set host_type=unlabeled
...
# tncfg -f template-file

      インポート用のソーステンプレートの作成例については、tncfg(1M) のマニュアルページを参照してください。

使用例 16-1  1 つのラベルでパケットを処理するゲートウェイ用のセキュリティーテンプレートの作成

この例では、セキュリティー管理者はラベル PUBLIC でのみパケットを通過させることのできるゲートウェイを定義します。

# tncfg -t cipso_public
tncfg:cipso_public> set host_type=cipso
tncfg:cipso_public> set doi=1
tncfg:cipso_public> set min_label="public"
tncfg:cipso_public> set max_label="public"
tncfg:cipso_public> commit
tncfg:cipso_public> exit

次に、セキュリティー管理者はセキュリティーテンプレートにゲートウェイホストを追加します。追加方法については、Example 16–4 を参照してください。

使用例 16-2  ラベル PUBLIC でのラベルなしセキュリティーテンプレートの作成

この例では、セキュリティー管理者は、PUBLIC ラベルでのみパケットを送受信できる信頼できないホストのためのラベルなしテンプレートを作成します。このテンプレートは、Trusted Extensions システムが PUBLIC ラベルでマウントする必要のあるファイルシステムを含むホストに割り当てることができます。

# tncfg -t public
tncfg:public> set host_type=unlabeled
tncfg:public> set doi=1
tncfg:public> set def_label="public"
tncfg:public> set min_sl="public"
tncfg:public> set max_sl="public"
tncfg:public> exit

次に、セキュリティー管理者はセキュリティーテンプレートにホストを追加します。追加方法については、Example 16–15 を参照してください。

Copyright © 1992, 2014, Oracle and/or its affiliates. All rights reserved.  著作権について
前へ
次へ