[index]
CentreCOM 8700SLシリーズ コマンドリファレンス 2.9
運用・管理/セキュリティー
- セキュリティーモード/ノーマルモード
- モードの変更
- Remote Security Officer(RSO)
- Managerレベルでのセキュリティータイマー
本製品には、次の2つの動作モードがあります。
表 1
| モード |
動作 |
| ノーマルモード |
デフォルトの動作モードです。 |
| セキュリティーモード |
より高いセキュリティーレベルを実現するためのモードです。ログインセキュリティーや管理コマンドの実行権が厳しく制限されます。 |
動作モードによってアクセスレベルの権限が変わります。ノーマルモード時、ManagerレベルとSecurity Officerレベルは同等の権限を持ちますが、セキュリティーモードでは多くの操作にSecurity Officer権限が必要となります。
表 2
| レベル |
デフォルトアカウント |
ノーマルモード時の権限 |
セキュリティーモード時の権限 |
| User |
なし |
ユーザー自身に関する設定などごく一部のコマンドのみ実行可能 |
ユーザー自身に関する設定などごく一部のコマンドのみ実行可能 |
| Manager |
ユーザー名 manager/パスワード friend |
すべてのコマンドを実行可能 |
セキュリティーコマンドを除くすべてのコマンドを実行可能 |
| Security Officer |
なし |
すべてのコマンドを実行可能 |
すべてのコマンドを実行可能 |
セキュリティーモード時には、以下のコマンドの実行にSecurity Officerの権限が必要となります。
セキュリティーモードに移行するためには、あらかじめSecurity Officerレベルのユーザーを作成しておく必要があります。セキュリティーモードに移行すると、Managerレベルは第2位の権限レベルに降格され、セキュリティーに関するコマンドを実行できなくなります。
- Security Officerレベルのユーザーを作成します。
ADD USER=secoff PRIVILEGE=SECURITYOFFICER PASSWORD="top secret" ↓
- セキュリティーモードに移行すると、Telnet接続ではSecurity Officerレベルでログインできなくなる(他のレベルならログイン可)ので、必要に応じて後述するRSO(Remote Security Officer)の設定をしておきます。RSOは、あらかじめ指定したアドレスからのみセキュリティーモード時でもSecurity Officerレベルでのログインを許可する機能です。
ENABLE USER RSO ↓
ADD USER RSO IP=192.168.10.5 ↓
- セキュリティーモードに移行するにはENABLE SYSTEM SECURITY_MODEコマンドを実行します。このコマンドを実行すると、NVS上に「enabled.sec」ファイルが作成されます。システム起動時に本ファイルが存在すればセキュリティーモードとなります。このファイルを削除したり、修正、編集、コピー、リネーム等を行わないでください。
ENABLE SYSTEM SECURITY_MODE ↓
■ 現在の動作モードを確認するにはSHOW SYSTEMコマンドを実行します。「Security Mode」がEnabledならセキュリティーモード、Disabledならノーマルモードです。
■ Security Officerレベルでログインしなおすと、コマンドプロンプトが「SecOff >」に変わります。
■ Security Officerレベルでログインすると、セキュリティータイマーがスタートします。このタイマーはセキュリティー関連コマンドを実行するたびにリセットされます。一定時間セキュリティーコマンドを実行しないとタイマーがタイムアウトし、ログインユーザーの権限はManagerレベルに格下げされます。格下げされた状態でセキュリティーコマンドを実行しようとすると、あらためてSecurity Officerレベルのパスワードを要求されます。
■ セキュリティータイマーのデフォルト値は60秒です。この値を変更するには、SET USERコマンドのSECUREDELAYパラメーターを使用します。
SET USER SECUREDELAY=90 ↓
■ セキュリティーモード時にSET CONFIGコマンドで起動スクリプトを変更するときは注意が必要です。たとえば、SET CONFIG=NONEを実行すると、起動スクリプトは空になりますが、動作モードはセキュリティーモードのままになります。この状態でシステムを再起動すると、Security Officerレベルのユーザーが存在しないことになるため、多くのコマンドが実行できなくなります。このような状態になった場合は、DISABLE SYSTEM SECURITY_MODEコマンドを実行するしかありません。
■ ノーマルモードに戻るにはDISABLE SYSTEM SECURITY_MODEコマンドを実行します。このコマンドを実行すると、「enabled.sec」ファイルが削除されます。
| Remote Security Officer(RSO) |
セキュリティーモードでは、Security OfficerレベルでのTelnetログインが原則として禁止されています。Remote Security Officer(RSO)は、信頼できる特定のIPアドレスに限ってSecurity OfficerレベルでのTelnetログインを許可する機能です。
- RSOアクセス(Security OfficerレベルでのTelnetログイン)を有効にするには、ENABLE USER RSOコマンドを使います。
- Security OfficerレベルでのTelnetログインを許可するアドレス(RSOアドレス)を追加するには、ADD USER RSOコマンドを使います。
- たとえば、IPアドレス192.168.10.5を持つホストからのみ、Security OfficerレベルでのTelnetログインを許可するには次のようにします。
ADD USER RSO IP=192.168.10.5 ↓
- また、MASKパラメーターを使えば、許可するIPアドレスを範囲指定することもできます(サブネットなど)。省略時は32ビットマスク(単一ホストの指定)となります。
ADD USER RSO IP=172.16.10.0 MASK=255.255.255.0 ↓
- MASKパラメーターを使わずにIPアドレスの範囲を指定することもできます。この場合は、2つのアドレスをハイフンで区切って指定してください。
ADD USER RSO IP=172.28.28.5-172.28.28.9 ↓
- IPv6によるTelnetログインも同様に制御できます。たとえば、IPv6アドレス2001::1234を持つホストからのみ、Security OfficerレベルでのTelnetログインを許可するには次のようにします。
ADD USER RSO IP=2001::1234 ↓
- IPv6アドレスの後にプレフィックス長を付加することで範囲指定も可能です。
ADD USER RSO IP=2001:1:2:3::/64 ↓
- また、ハイフンによる範囲指定も可能です。
ADD USER RSO IP=3ffe::1-3ffe::7f ↓
■ RSOアドレスを削除するにはDELETE USER RSOコマンドを使います。
DELETE USER RSO=172.16.10.0 ↓
■ RSOアドレスの一覧を見るにはSHOW USER RSOコマンドを使います。
■ RSOアクセスを無効にするにはDISABLE USER RSOコマンドを使います。
Managerレベルでログインしているときは、以下のコマンドがセキュリティーコマンドと見なされ、セキュリティーモード時と同様のセキュリティータイマーが適用されます。
これらのコマンドを実行するとセキュリティータイマーはリセットされます。これらのコマンドを一定時間(SET USERコマンドのSECUREDELAYパラメーター)実行しないとタイマーがタイムアウトし、次にこれらのコマンドを実行したときにパスワードの入力が求められます。規定回数(SET USERコマンドのMANPWDFAILパラメーター)ログインに失敗すると、強制的にログアウトさせられます(Telnetの場合はセッションが切断されます)。
(C) 2003 - 2014 アライドテレシスホールディングス株式会社
PN: J613-M0019-01 Rev.Q