Trusted Extensions 配置和管理

退出打印视图

更新时间: 2014 年 7 月
 
 

查看现有安全模板

如何查看安全模板

您可以查看安全模板列表以及每个模板的内容。此过程中显示的示例使用缺省安全模板。

  1. 列出可用的安全模板。
    # tncfg list
    cipso
    admin_low
    adapt
    netif
  2. 查看已列出的模板的内容。
    # tncfg -t cipso info
    name=cipso
    host_type=cipso
    doi=1
    min_label=ADMIN_LOW
    max_label=ADMIN_HIGH
    host=127.0.0.1/32

    前面的 cipso 安全模板中的 127.0.0.1/32 项将此系统标识为有标签。当对等方将此系统指定给对等方的远程主机模板(host_type 为 cipso)时,这两个系统可以交换有标签包。

    # tncfg -t admin_low info
    name=admin_low
    host_type=unlabeled
    doi=1
    def_label=ADMIN_LOW
    min_label=ADMIN_LOW
    max_label=ADMIN_HIGH
    host=0.0.0.0/0

      前面的 admin_low 安全模板中的 0.0.0.0/0 项允许未显式指定给安全模板的所有主机与此系统联系。这些主机均被标识为无标签。

    • 0.0.0.0/0 项的优点在于可以找到在引导时此系统需要的所有主机(例如服务器和网关)。

    • 0.0.0.0/0 项的缺点在于此系统网络中的所有主机都可以与此系统联系。要限制哪些主机可与此系统联系,请参见如何限定可能会在可信网络上联系的主机

    # tncfg -t adapt info
    name=adapt
    host_type=adapt
    doi=1
    min_label=ADMIN_LOW
    max_label=ADMIN_HIGH
    host=0.0.0.0/0

    adapt 模板标识 adaptive 主机,即标识无法获得缺省标签的不可信系统。相反,该主机的标签由其接收可信系统指定。此标签从接收包的 IP 接口的缺省标签派生,该接口由有标签系统的 netif 模板指定。

    # tncfg -t netif info
    name=netif
    host_type=netif
    doi=1
    def_label=ADMIN_LOW
    min_label=ADMIN_LOW
    max_label=ADMIN_HIGH
    host=127.0.0.1/32

    netif 模板指定可信本地网络接口,而非远程主机。netif 模板的缺省标签必须等于具有专用网络接口(其 IP 地址与该模板中的主机地址匹配)的每个区域的标签。此外,与匹配区域接口对应的较低链路只能指定给共享同一标签的其他区域。

如何向系统的已知网络添加主机

将主机和主机组添加到系统的 /etc/hosts 文件之后,系统将能够识别这些主机。只能将已知的主机添加到安全模板中。

开始之前

您是全局区域中的 root 角色。

  1. 将各个主机添加到 /etc/hosts 文件中。
    # pfedit /etc/hosts
    
    ...
    192.168.111.121   ahost
  2. 将一组主机添加到 /etc/hosts 文件中。
    # pfedit /etc/hosts
    
    ...
    192.168.111.0   111-network