高度なGaiaの設定

重要だ:

  • Scalable Platforms (MaestroおよびChassis) では、該当するセキュリティーグループの Gaia Portal に接続する必要があります。

  • Scalable Platforms (MaestroおよびChassis)では、該当するセキュリティグループの Gaia gCLish で該当するコマンドを実行する必要があります。

Gaia PortalのWebサーバを設定する

説明

Gaia Portalを操作するサーバを設定することができます。

  • Gaia PortalのWebサーバを設定するには

    set web
          daemon-enable {on | off}
          session-timeout <Timeout>
          ssl-port <Port>
          ssl3-enabled {on | off}
          table-refresh-rate <Rate>

  • Gaia PortalのWebサーバの設定を表示するには

    show web
          daemon-enable
          session-timeout
          ssl-port
          ssl3-enabled
          table-refresh-rate

重要 -機能を追加、構成、または削除した後、"save config" コマンドを使用して、設定を永続的に保存します。

パラメータ

説明

daemon-enable {on | off}

Gaia Portal Webデーモンを有効または無効にします。

  • 範囲: onまたはoff

  • デフォルト: on

session-timeout <Timeout>

Gaia Portal への HTTPS セッションを終了する時間 (分) を設定します。

  • 範囲: 1 - 720

  • デフォルト: 15

ssl-port <Port>

HTTPSでGaiaポータルにアクセスするためのTCPポート番号を設定します。

  • 範囲: 1 - 65535

  • デフォルト: 443

このコマンドは、初期設定にのみ使用します。

コマンドラインでポート番号を変更すると、SmartConsoleで定義された設定と矛盾が生じる場合があります。SmartConsoleを使用して、ポータルのSSLポートを設定します。

- この設定は、HTTP接続には影響しません。通常、このポートはデフォルトの443のままにしておく必要があります。ポート番号を変更した場合、Gaia Portalへのアクセスに使用する URL をhttps://<Hostname or IP Address>/ から次のように変更する必要があります。https://<Hostname or IP Address>:<PORTNUMBER>

ssl3-enabled {on | off}

Gaia Portal への HTTPS SSLv3 接続を有効または無効にします。

  • 範囲: onまたはoff

  • デフォルト: off

table-refresh-rate <Rate>

Gaia Portalのいくつかのテーブルを更新する際の更新レート(秒)を設定します。

  • 範囲: 10 - 240

  • デフォルト: 10

Security Gatewayのエキスパートモードのパスワードのリセット

Security Gateway、クラスタメンバ、またはScalable Platform Security GroupのExpertモードのパスワードを忘れた場合は、sk106490

サポートされるSSH暗号、MAC、KexAlgorithmsの設定

説明

Gaiaオペレーティングシステムでは、SSHデーモンに対して異なる設定を行うことができます。

これらのSSH設定はGaia Clishで行うことができます。

設定

説明

SSH暗号

SSHはSSH接続で送信するデータのプライバシーのために暗号を使う。

SSHメッセージ認証コード

SSHはメッセージ認証コードを使って、SSH接続で送る各メッセージの完全性を維持する。これはSSHピア間の整合性を提供する。

SSH鍵交換アルゴリズム

SSHは鍵交換アルゴリズムを使用して、SSHピアと共有セッション鍵を安全に交換します。

SSHクライアントのアライブ間隔

SSHv2では、これはタイムアウト間隔(秒単位)であり、SSHクライアントからデータが受信されない場合、sshdデーモンはクライアントからの応答を要求するために暗号化されたチャネルを通してメッセージを送信する。

これは、ClientAliveIntervalsshdデーモンの "" パラメータを制御します。

デフォルトでは、この機能は無効になっている(デフォルト値は0)。

https://linux.die.net/man/5/sshd_configを参照してください。

SSHパスワード認証

パスワード認証を許可するかどうかを指定します。

これは、PasswordAuthenticationsshdデーモンの "" パラメータを制御します。

デフォルトでは、この機能は有効になっている(デフォルト値は "yes" )。

https://linux.die.net/man/5/sshd_configを参照してください。

SSHによるルートログインの許可

root ユーザーが SSH 経由でログインできるかどうかを指定します。

これは、PermitRootLoginsshdデーモンの "" パラメータを制御します。

デフォルトでは、この機能は有効になっている(デフォルト値は "yes" )。

https://linux.die.net/man/5/sshd_configを参照してください。

SSH DNSの使用

sshdデーモンがリモートホスト名を検索し、リモート IP アドレスの解決されたホスト名 が同じ IP アドレスにマップバックされることを確認する必要があるかどうかを指定します。

これは、UseDNSsshdデーモンの "" パラメータを制御します。

デフォルトでは、この機能は無効になっている(デフォルト値は "no" )。

https://linux.die.net/man/5/sshd_configを参照してください。

set ssh server

      cipher <Cipher>{on | off}

      client-alive-interval 0-65535

      kex <Key Exchange Algorithm> {on | off}

      mac <Message Authentication Code> {on | off}

      password-authentication {yes | no}

      permit-root-login {yes | no | without-password | prohibit-password | forced-commands-only}

      use-dns {yes | no}

show ssh server

      cipher enabled

      cipher supported

      client-alive-interval

      kex enabled

      kex supported

      mac enabled

      mac supported

      password-authentication

      permit-root-login

      use-dns

  • サポートされているSSH暗号を表示するには:

    show ssh server cipher supported

    これらはサポートされているSSH暗号です:

    • 3des-cbc

    • aes128-cbc

    • aes128-ctr

    • aes128-gcm@openssh.com

    • aes192-cbc

    • aes192-ctr

    • aes256-cbc

    • aes256-ctr

    • aes256-gcm@openssh.com

    • chacha20-poly1305@openssh.com

    • rijndael-cbc@lysator.liu.se

  • 有効なSSH暗号を表示する:

    show ssh server cipher enabled

    これらはデフォルトで有効になっているSSH暗号である:

    • aes128-ctr

    • aes128-gcm@openssh.com

    • aes192-ctr

    • aes256-ctr

    • aes256-gcm@openssh.com

    • chacha20-poly1305@openssh.com

  • サポートされているSSH暗号を有効または無効にする:

    set ssh server cipher <Cipher> {on | off}

    重要 -機能を追加、構成、または削除した後、"save config" コマンドを使用して、設定を永続的に保存します。

  • サポートされているSSH鍵交換アルゴリズムを表示する:

    show ssh server kex supported

    これらはサポートされているSSH鍵交換アルゴリズムです:

    • curve25519-sha256

    • curve25519-sha256@libssh.org

    • diffie-hellman-group1-sha1

    • diffie-hellman-group14-sha1

    • diffie-hellman-group14-sha256

    • diffie-hellman-group16-sha512

    • diffie-hellman-group18-sha512

    • diffie-hellman-group-exchange-sha1

    • diffie-hellman-group-exchange-sha256

    • ecdh-sha2-nistp256

    • ecdh-sha2-nistp384

    • ecdh-sha2-nistp521

  • 有効なSSH鍵交換アルゴリズムを表示する:

    show ssh server kex enabled

    これらはデフォルトで有効になっているSSH鍵交換アルゴリズムである:

    • curve25519-sha256

    • curve25519-sha256@libssh.org

    • diffie-hellman-group14-sha1

    • diffie-hellman-group14-sha256

    • diffie-hellman-group16-sha512

    • diffie-hellman-group18-sha512

    • diffie-hellman-group-exchange-sha256

    • ecdh-sha2-nistp256

    • ecdh-sha2-nistp384

    • ecdh-sha2-nistp521

  • サポートされているSSH鍵交換アルゴリズムを有効または無効にする:

    set ssh server kex <Key Exchange Algorithm> {on | off}

    重要 -機能を追加、構成、または削除した後、"save config" コマンドを使用して、設定を永続的に保存します。

  • サポートされているSSHメッセージ認証コードを表示するには:

    show ssh server mac supported

    これらはサポートされているSSHメッセージ認証コードである:

    • hmac-md5-96-etm@openssh.com

    • hmac-md5-etm@openssh.com

    • hmac-sha1

    • hmac-sha1-96-etm@openssh.com

    • hmac-sha1-etm@openssh.com

    • hmac-sha2-256

    • hmac-sha2-256-etm@openssh.com

    • hmac-sha2-512

    • hmac-sha2-512-etm@openssh.com

    • umac-64-etm@openssh.com

    • umac-64@openssh.com

    • umac-128-etm@openssh.com

    • umac-128@openssh.com

  • 有効になっているSSHメッセージ認証コードを表示する:

    show ssh server mac enabled

    これらはデフォルトで有効になっているSSHメッセージ認証コードである:

    • hmac-sha1

    • hmac-sha1-etm@openssh.com

    • hmac-sha2-256

    • hmac-sha2-256-etm@openssh.com

    • hmac-sha2-512

    • hmac-sha2-512-etm@openssh.com

    • umac-64-etm@openssh.com

    • umac-64@openssh.com

    • umac-128-etm@openssh.com

    • umac-128@openssh.com

  • サポートされているSSHメッセージ認証コードを有効または無効にする:

    set ssh server mac <Message Authentication Code> {on | off}

    重要 -機能を追加、構成、または削除した後、"save config" コマンドを使用して、設定を永続的に保存します。

  • 現在のインターバルを表示するには

    show ssh server client-alive-interval

  • 必要な間隔を設定するには(秒単位):

    set ssh server client-alive-interval 0-65535

    重要 -機能を追加、構成、または削除した後、"save config" コマンドを使用して、設定を永続的に保存します。

  • 現在の許可を表示するには

    show ssh server password-authentication

  • 必要なパーミッションを設定するには

    set ssh server password-authentication {yes | no}

    重要 -機能を追加、構成、または削除した後、"save config" コマンドを使用して、設定を永続的に保存します。

  • 現在の許可を表示するには

    show ssh server permit-root-login

  • 必要なパーミッションを設定するには

    set ssh server permit-root-login {yes | no | without-password | prohibit-password | forced-commands-only}

    重要 -機能を追加、構成、または削除した後、"save config" コマンドを使用して、設定を永続的に保存します。

  • 現在の許可を表示するには

    show ssh server use-dns

  • 必要なパーミッションを設定するには

    set ssh server use-dns {yes | no}

    重要 -機能を追加、構成、または削除した後、"save config" コマンドを使用して、設定を永続的に保存します。