在本节中,通过限制可以访问网络的主机来保护网络。
通过指定在引导时要连接的系统来增加安全性。请参见Example 16–16。
将应用程序服务器配置为接受远程客户机的初始连接。请参见Example 16–18。
将带有标签的 Sun Ray 服务器配置为接受远程客户机的初始连接。请参见Example 16–19。
此过程可保护有标签主机免受任意无标签主机的联系。安装 Trusted Extensions 后,admin_low 缺省安装模板会定义网络中的每台主机。使用此过程可枚举特定的无标签主机。
每个系统上的本地可信网络值用于在引导时联系网络。缺省情况下,未随 cipso 模板提供的每台主机由 admin_low 模板定义。此模板将未另行定义的每台远程主机 (0.0.0.0/0) 指定为具有 admin_low 缺省标签的无标签系统。
开始之前
您必须具有全局区域中的 "Security Administrator"(安全管理员)角色。
要在引导时联系的所有主机都必须存在于 /etc/hosts 文件中。
包括在引导时必须联系的每台无标签主机。
包括此系统必须通过其进行通信的、未在运行 Trusted Extensions 的每个链路上路由器。
删除指定的 0.0.0.0/0。
添加在引导时必须联系的每台有标签主机。
包括此系统必须通过其进行通信的、正在运行 Trusted Extensions 的每个链路上路由器。
确保所有网络接口都已指定给模板。
包括广播地址。
包括在引导时必须联系的有标签主机的范围。
有关数据库样例,请参见Example 16–17。
在此示例中,安全管理员创建一个公共网关系统。管理员从 admin_low 模板中删除 0.0.0.0/0 主机项,并将 0.0.0.0/0 主机项添加到无标签 public 模板中。然后,系统将未专门指定给其他安全模板的任何主机识别为具有 public 安全模板的安全属性的无标签系统。
# tncfg -t admin_low info tncfg:admin_low> remove host=0.0.0.0Wildcard address tncfg:admin_low> exit
# tncfg -t public tncfg:public> set host_type=unlabeled tncfg:public> set doi=1 tncfg:public> set def_label="public" tncfg:public> set min_sl="public" tncfg:public> set max_sl="public" tncfg:public> add host=0.0.0.0Wildcard address tncfg:public> exit示例 16-17 枚举在引导时 Trusted Extensions 系统要联系的系统
在以下示例中,管理员配置具有两个网络接口的 Trusted Extensions 系统的可信网络。此系统与另一个网络以及一些路由器进行通信。将远程主机指定给以下三个模板之一:cipso、admin_low 或 public。对以下命令进行了注释。
# tncfg -t cipso tncfg:admin_low> add host=127.0.0.1Loopback address tncfg:admin_low> add host=192.168.112.111Interface 1 of this host tncfg:admin_low> add host=192.168.113.111Interface 2 of this host tncfg:admin_low> add host=192.168.113.6File server tncfg:admin_low> add host=192.168.112.255Subnet broadcast address tncfg:admin_low> add host=192.168.113.255Subnet broadcast address tncfg:admin_low> add host=192.168.113.1Router tncfg:admin_low> add host=192.168.117.0/24Another Trusted Extensions network tncfg:admin_low> exit
# tncfg -t public tncfg:public> add host=192.168.112.12Specific network router tncfg:public> add host=192.168.113.12Specific network router tncfg:public> add host=224.0.0.2Multicast address tncfg:admin_low> exit
# tncfg -t admin_low tncfg:admin_low> add host=255.255.255.255Broadcast address tncfg:admin_low> exit
指定要在引导时联系的主机后,管理员从 admin_low 模板中删除 0.0.0.0/0 项。
# tncfg -t admin_low tncfg:admin_low> remove host=0.0.0.0 tncfg:admin_low> exit示例 16-18 使主机地址 0.0.0.0/32 成为有效的初始地址
在此示例中,安全管理员将应用程序服务器配置为接受潜在客户机的初始连接请求。
管理员配置服务器的可信网络。对服务器和客户机项进行了注释。
# tncfg -t cipso info name=cipso host_type=cipso doi=1 min_label=ADMIN_LOW max_label=ADMIN_HIGH host=127.0.0.1/32 host=192.168.128.1/32 Application server address host=192.168.128.0/24 Application's client network Other addresses to be contacted at boot time
# tncfg -t admin_low info name=cipso host_type=cipso doi=1 def_label=ADMIN_LOW min_label=ADMIN_LOW max_label=ADMIN_HIGH host=192.168.128.0/24 Application's client network host=0.0.0.0/0 Wildcard address Other addresses to be contacted at boot time
此阶段测试成功后,管理员通过以下方法锁定配置:删除缺省通配符地址 0.0.0.0/0,提交更改,然后添加特定地址。
# tncfg -t admin_low info tncfg:admin_low> remove host=0.0.0.0 tncfg:admin_low> commit tncfg:admin_low> add host=0.0.0.0/32For initial client contact tncfg:admin_low> exit
最终 admin_low 配置类似于以下内容:
# tncfg -t admin_low name=cipso host_type=cipso doi=1 def_label=ADMIN_LOW min_label=ADMIN_LOW max_label=ADMIN_HIGH 192.168.128.0/24 Application's client network host=0.0.0.0/32 For initial client contact Other addresses to be contacted at boot time
0.0.0.0/32 项仅允许应用程序的客户机访问应用服务器。
示例 16-19 为有标签 Sun Ray 服务器配置有效的初始地址在本例中,安全管理员配置 Sun Ray 服务器以接受潜在客户机的初始连接请求。服务器使用专用拓扑和 Sun Ray 服务器缺省设置。
# utadm -a net0
然后,管理员配置服务器的可信网络。对服务器和客户机项进行了注释。
# tncfg -t cipso info name=cipso host_type=cipso doi=1 min_label=ADMIN_LOW max_label=ADMIN_HIGH host=127.0.0.1/32 host=192.168.128.1/32 Sun Ray server address host=192.168.128.0/24 Sun Ray client network Other addresses to be contacted at boot time
# tncfg -t admin_low info name=cipso host_type=cipso doi=1 def_label=ADMIN_LOW min_label=ADMIN_LOW max_label=ADMIN_HIGH host=192.168.128.0/24 Sun Ray client network host=0.0.0.0/0 Wildcard address Other addresses to be contacted at boot time
此阶段测试成功后,管理员通过以下方法锁定配置:删除缺省通配符地址 0.0.0.0/0,提交更改,然后添加特定地址。
# tncfg -t admin_low info tncfg:admin_low> remove host=0.0.0.0 tncfg:admin_low> commit tncfg:admin_low> add host=0.0.0.0/32For initial client contact tncfg:admin_low> exit
最终 admin_low 配置类似于以下内容:
# tncfg -t admin_low name=cipso host_type=cipso doi=1 def_label=ADMIN_LOW min_label=ADMIN_LOW max_label=ADMIN_HIGH 192.168.128.0/24 Sun Ray client network host=0.0.0.0/32 For initial client contact Other addresses to be contacted at boot time
0.0.0.0/32 项仅允许 Sun Ray 客户机访问服务器。