Trusted Extensions 配置和管理

退出打印视图

 
更新时间: 2014 年 7 月
 
 

限制可以访问可信网络的主机

如何限定可能会在可信网络上联系的主机

此过程可保护有标签主机免受任意无标签主机的联系。安装 Trusted Extensions 后,admin_low 缺省安装模板会定义网络中的每台主机。使用此过程可枚举特定的无标签主机。

每个系统上的本地可信网络值用于在引导时联系网络。缺省情况下,未随 cipso 模板提供的每台主机由 admin_low 模板定义。此模板将未另行定义的每台远程主机 (0.0.0.0/0) 指定为具有 admin_low 缺省标签的无标签系统。

Caution

注意  -  缺省 admin_low 模板可能会在 Trusted Extensions 网络上造成安全风险。如果站点安全要求加强保护,安全管理员可以在安装系统后删除 0.0.0.0/0 通配符项。该项必须替换为引导时系统联系的每台主机对应的项。 例如,在删除 0.0.0.0/0 通配符项后,DNS 服务器、起始目录服务器、审计服务器、广播和多播地址以及路由器必须显式添加到模板中。 如果应用程序最初在主机地址 0.0.0.0/32 识别客户机,则必须将 0.0.0.0/32 主机项添加到 admin_low 模板中。例如,要接收来自潜在 Sun Ray 客户机的初始连接请求,Sun Ray 服务器必须包含此项。然后,当服务器识别客户机时,会为客户机提供 IP 地址,这些客户机会作为有标签客户机进行连接。

开始之前

您必须具有全局区域中的 "Security Administrator"(安全管理员)角色。

要在引导时联系的所有主机都必须存在于 /etc/hosts 文件中。

  1. admin_low 模板指定给在引导时必须连接的每台无标签主机。

    • 包括在引导时必须联系的每台无标签主机。

    • 包括此系统必须通过其进行通信的、未在运行 Trusted Extensions 的每个链路上路由器。

    • 删除指定的 0.0.0.0/0

  2. 将主机添加到 cipso 模板中。

      添加在引导时必须联系的每台有标签主机。

    • 包括此系统必须通过其进行通信的、正在运行 Trusted Extensions 的每个链路上路由器。

    • 确保所有网络接口都已指定给模板。

    • 包括广播地址。

    • 包括在引导时必须联系的有标签主机的范围。

    有关数据库样例,请参见Example 16–17

  3. 检验主机指定是否允许系统进行引导。
示例 16-16  更改 0.0.0.0/0 IP 地址的标签

在此示例中,安全管理员创建一个公共网关系统。管理员从 admin_low 模板中删除 0.0.0.0/0 主机项,并将 0.0.0.0/0 主机项添加到无标签 public 模板中。然后,系统将未专门指定给其他安全模板的任何主机识别为具有 public 安全模板的安全属性的无标签系统。

# tncfg -t admin_low info
tncfg:admin_low> remove host=0.0.0.0Wildcard address
tncfg:admin_low> exit
# tncfg -t public
tncfg:public> set host_type=unlabeled
tncfg:public> set doi=1
tncfg:public> set def_label="public"
tncfg:public> set min_sl="public"
tncfg:public> set max_sl="public"
tncfg:public> add host=0.0.0.0Wildcard address
tncfg:public> exit
示例 16-17  枚举在引导时 Trusted Extensions 系统要联系的系统

在以下示例中,管理员配置具有两个网络接口的 Trusted Extensions 系统的可信网络。此系统与另一个网络以及一些路由器进行通信。将远程主机指定给以下三个模板之一:cipsoadmin_lowpublic。对以下命令进行了注释。

# tncfg -t cipso
tncfg:admin_low> add host=127.0.0.1Loopback address
tncfg:admin_low> add host=192.168.112.111Interface 1 of this host
tncfg:admin_low> add host=192.168.113.111Interface 2 of this host
tncfg:admin_low> add host=192.168.113.6File server
tncfg:admin_low> add host=192.168.112.255Subnet broadcast address
tncfg:admin_low> add host=192.168.113.255Subnet broadcast address
tncfg:admin_low> add host=192.168.113.1Router
tncfg:admin_low> add host=192.168.117.0/24Another Trusted Extensions network
tncfg:admin_low> exit
# tncfg -t public
tncfg:public> add host=192.168.112.12Specific network router
tncfg:public> add host=192.168.113.12Specific network router
tncfg:public> add host=224.0.0.2Multicast address
tncfg:admin_low> exit
# tncfg -t admin_low
tncfg:admin_low> add host=255.255.255.255Broadcast address
tncfg:admin_low> exit

指定要在引导时联系的主机后,管理员从 admin_low 模板中删除 0.0.0.0/0 项。

# tncfg -t admin_low
tncfg:admin_low> remove host=0.0.0.0
tncfg:admin_low> exit
示例 16-18  使主机地址 0.0.0.0/32 成为有效的初始地址

在此示例中,安全管理员将应用程序服务器配置为接受潜在客户机的初始连接请求。

管理员配置服务器的可信网络。对服务器和客户机项进行了注释。

# tncfg -t cipso info
name=cipso
host_type=cipso
doi=1
min_label=ADMIN_LOW
max_label=ADMIN_HIGH
host=127.0.0.1/32
host=192.168.128.1/32 Application server address
host=192.168.128.0/24 Application's client network
Other addresses to be contacted at boot time
# tncfg -t admin_low info
name=cipso
host_type=cipso
doi=1
def_label=ADMIN_LOW
min_label=ADMIN_LOW
max_label=ADMIN_HIGH
host=192.168.128.0/24 Application's client network
host=0.0.0.0/0 Wildcard address
Other addresses to be contacted at boot time

此阶段测试成功后,管理员通过以下方法锁定配置:删除缺省通配符地址 0.0.0.0/0,提交更改,然后添加特定地址。

# tncfg -t admin_low info
tncfg:admin_low> remove host=0.0.0.0
tncfg:admin_low> commit
tncfg:admin_low> add host=0.0.0.0/32For initial client contact
tncfg:admin_low> exit

最终 admin_low 配置类似于以下内容:

# tncfg -t admin_low
name=cipso
host_type=cipso
doi=1
def_label=ADMIN_LOW
min_label=ADMIN_LOW
max_label=ADMIN_HIGH
192.168.128.0/24 Application's client network
host=0.0.0.0/32 For initial client contact
Other addresses to be contacted at boot time

0.0.0.0/32 项仅允许应用程序的客户机访问应用服务器。

示例 16-19  为有标签 Sun Ray 服务器配置有效的初始地址

在本例中,安全管理员配置 Sun Ray 服务器以接受潜在客户机的初始连接请求。服务器使用专用拓扑和 Sun Ray 服务器缺省设置。

# utadm -a net0

然后,管理员配置服务器的可信网络。对服务器和客户机项进行了注释。

# tncfg -t cipso info
name=cipso
host_type=cipso
doi=1
min_label=ADMIN_LOW
max_label=ADMIN_HIGH
host=127.0.0.1/32
host=192.168.128.1/32 Sun Ray server address
host=192.168.128.0/24 Sun Ray client network
Other addresses to be contacted at boot time
# tncfg -t admin_low info
name=cipso
host_type=cipso
doi=1
def_label=ADMIN_LOW
min_label=ADMIN_LOW
max_label=ADMIN_HIGH
host=192.168.128.0/24 Sun Ray client network
host=0.0.0.0/0 Wildcard address
Other addresses to be contacted at boot time

此阶段测试成功后,管理员通过以下方法锁定配置:删除缺省通配符地址 0.0.0.0/0,提交更改,然后添加特定地址。

# tncfg -t admin_low info
tncfg:admin_low> remove host=0.0.0.0
tncfg:admin_low> commit
tncfg:admin_low> add host=0.0.0.0/32For initial client contact
tncfg:admin_low> exit

最终 admin_low 配置类似于以下内容:

# tncfg -t admin_low
name=cipso
host_type=cipso
doi=1
def_label=ADMIN_LOW
min_label=ADMIN_LOW
max_label=ADMIN_HIGH
192.168.128.0/24 Sun Ray client network
host=0.0.0.0/32 For initial client contact
Other addresses to be contacted at boot time

0.0.0.0/32 项仅允许 Sun Ray 客户机访问服务器。

版权所有 © 1992, 2014, Oracle 和/或其附属公司。 保留所有权利。 法律声明
上一页
下一页