[index]
CentreCOM 9600/8600シリーズ コマンドリファレンス 2.2
運用・管理/セキュリティー
対象機種:8624、9606
- セキュリティーモード/ノーマルモード
- モードの変更
- Remote Security Officer(RSO)
- Managerレベルでのセキュリティータイマー
本製品には、次の2つの動作モードがあります。
表 1
| モード |
動作 |
| ノーマルモード |
デフォルトの動作モードです。 |
| セキュリティーモード |
より高いセキュリティーレベルを実現するためのモードです。ログインセキュリティーや管理コマンドの実行権が厳しく制限されます。 |
動作モードによってアクセスレベルの権限が変わります。ノーマルモード時、ManagerレベルとSecurity Officer レベルは同等の権限を持ちますが、セキュリティーモードでは多くの操作にSecurity Officer権限が必要となります。
表 2
| レベル |
デフォルトアカウント |
ノーマルモード時の権限 |
セキュリティーモード時の権限 |
| User |
なし |
ユーザー自身に関する設定などごく一部のコマンドのみ実行可能 |
ユーザー自身に関する設定などごく一部のコマンドのみ実行可能 |
| Manager |
ユーザー名 manager/パスワード friend |
すべてのコマンドを実行可能 |
セキュリティーコマンドを除くすべてのコマンドを実行可能 |
| Security Officer |
なし |
すべてのコマンドを実行可能 |
すべてのコマンドを実行可能 |
セキュリティーモード時には、以下のコマンドの実行にSecurity Officerの権限が必要となります。
セキュリティーモードに移行するためには、あらかじめSecurity Officerレベルのユーザーを作成しておく必要があります。セキュリティーモードに移行すると、Managerレベルは第2位の権限レベルに降格され、セキュリティーに関するコマンドを実行できなくなります。
- Security Officerレベルのユーザーを作成します。
ADD USER=secoff PRIVILEGE=SECURITYOFFICER PASSWORD="top secret" ↓
- セキュリティーモードに移行すると、Telnet接続ではSecurity Officerレベルでログインできなくなる(他のレベルならログイン可)ので、必要に応じて後述するRSO(Remote Security Officer)の設定をしておきます。RSOは、あらかじめ指定したアドレスからのみセキュリティーモード時でもSecurity Officerレベルでのログインを許可する機能です。
ENABLE USER RSO ↓
ADD USER RSO IP=192.168.10.5 ↓
- セキュリティーモードに移行するにはENABLE SYSTEM SECURITY_MODEコマンドを実行します。このコマンドを実行すると、NVS上に「enabled.sec」ファイルが作成されます。システム起動時に本ファイルが存在すればセキュリティーモードとなります。このファイルを削除したり、修正、編集、コピー、リネーム等を行わないでください。
ENABLE SYSTEM SECURITY_MODE ↓
■ 現在の動作モードを確認するにはSHOW SYSTEMコマンドを実行します。「Security Mode」がEnabledならセキュリティーモード、Disabledならノーマルモードです。
■ Security Officerレベルでログインしなおすと、コマンドプロンプトが「SecOff >」に変わります。
■ Security Officerレベルでログインすると、セキュリティータイマーがスタートします。このタイマーはセキュリティー関連コマンドを実行するたびにリセットされます。一定時間セキュリティーコマンドを実行しないとタイマーがタイムアウトし、ログインユーザーの権限はManagerレベルに格下げされます。格下げされた状態でセキュリティーコマンドを実行しようとすると、あらためてSecurity Officerレベルのパスワードを要求されます。
■ セキュリティータイマーのデフォルト値は60秒です。この値を変更するには、SET USERコマンドのSECUREDELAYパラメーターを使用します。
SET USER SECUREDELAY=90 ↓
■ ノーマルモードに戻るにはDISABLE SYSTEM SECURITY_MODEコマンドを実行します。このコマンドを実行すると、「enabled.sec」ファイルが削除されます。
| Remote Security Officer(RSO) |
セキュリティーモードでは、Security OfficerレベルでのTelnetログインが原則として禁止されています。Remote Security Officer(RSO)は、信頼できる特定のIPアドレスに限ってSecurity OfficerレベルでのTelnetログインを許可する機能です。
- RSOアクセス(Security OfficerレベルでのTelnetログイン)を有効にするには、ENABLE USER RSOコマンドを使います。
- Security OfficerレベルでのTelnetログインを許可するアドレス(RSOアドレス)を追加するには、ADD USER RSOコマンドを使います。
ADD USER RSO IP=192.168.10.5 ↓
MASKパラメーターを使えば、許可するアドレスを範囲指定することもできます(サブネットなど)。省略時は32ビットマスク(単一ホストの指定)となります。
ADD USER RSO IP=172.16.10.0 MASK=255.255.255.0 ↓
■ RSOアドレスを削除するにはDELETE USER RSOコマンドを使います。
DELETE USER RSO=172.16.10.0 ↓
■ RSOアドレスの一覧を見るにはSHOW USER RSOコマンドを使います。
■ RSOアクセスを無効にするにはDISABLE USER RSOコマンドを使います。
Managerレベルでログインしているときは、以下のコマンドがセキュリティーコマンドと見なされ、セキュリティーモード時と同様のセキュリティータイマーが適用されます。
これらのコマンドを実行するとセキュリティータイマーはリセットされます。これらのコマンドを一定時間(SET USERコマンドのSECUREDELAYパラメーター)実行しないとタイマーがタイムアウトし、次にこれらのコマンドを実行したときにパスワードの入力が求められます。規定回数(SET USERコマンドのMANPWDFAILパラメーター)ログインに失敗すると、強制的にログアウトさせられます(Telnetの場合はセッションが切断されます)。
Copyright (C) 2000-2002 アライドテレシス株式会社
PN: J613-M0522-00 Rev.C