Gaia Clishでパスワードポリシーを設定する

これらのコマンドを使用して、ユーザ パスワードを管理するためのポリシーを設定します。

重要だ:

  • Scalable Platforms (MaestroおよびChassis)では、該当するセキュリティグループの Gaia gCLish で該当するコマンドを実行する必要があります。

  • 機能を追加、構成、または削除した後、"save config" コマンドを使用して、設定を永続的に保存します。

パスワードの強度

  • パスワードの強度を設定するには:

    set password-controls

          complexity <1-4>

          min-password-length <6-128>

          palindrome-check {on |off}

  • 設定したパスワードの強度を確認するには:

    show password-controls

          complexity

          min-password-length

          palindrome-check

    show password-controls all

パラメータ

説明

complexity <1-4>

必要な文字タイプの数:

  • 1- チェックしない

  • 2- 2種類の文字が必要(デフォルト)

  • 3- 3種類の文字が必要

  • 4- 4種類の文字が必要

文字の種類は次のとおりです。

  • 英大文字 (A-Z)

  • 英小文字 (a-z)

  • 数字 (0-9)

  • その他(それ以外)

この設定を変更しても、既存のパスワードには影響しません。

  • 範囲1 - 4

  • デフォルト:2

min-password-length <6-128>

Gaia ユーザまたは SNMP ユーザ パスワードの最小文字数。

すでに設定されているパスワードには適用されません。

  • 範囲6 - 128

  • デフォルト:2

palindrome-check {on | off}

回文とは、各方向で同じように読める一連の文字、数字、または文字です。

  • 範囲onまたはoff

  • デフォルト:on

パスワード ヒストリ

  • パスワード履歴を設定するには:

    set password-controls

          history-checking {on | off}

          history-length <1-1000>

  • 設定したパスワード履歴を表示するには:

    show password-controls

          history-checking

          history-length

    show password-controls all

パラメータ

説明

history-checking {on | off}

すべてのユーザのパスワードの再利用を確認します。

パスワード履歴のチェックとパスワード履歴の記録を有効または無効にします。

ユーザのパスワードが変更されると、新しいパスワードがそのユーザの最近のパスワードと照合されます。同一のパスワードは使用できません。記録に保持されるパスワードの数はhistory-lengthで設定します。

SNMP パスワードには適用されません。

  • 範囲onまたはoff

  • デフォルト: on

history-length <1-1000>

ユーザに新しいパスワードが設定されたときに、保持してチェックする以前のパスワードの数。

  • 範囲1 - 1000

  • デフォルト:10

必須のパスワード変更

  • 必須のパスワード変更を設定するには:

    set password-controls

          expiration-lockout-days <1-1827 | never>

          expiration-warning-days <1-366>

          force-change-when {no | password}

          password-expiration <1-1827 | never>

  • 設定した必須のパスワード変更を表示するには:

    show password-controls

          expiration-lockout-days

          expiration-warning-days

          force-change-when

          password-expiration

    show password-controls all

パラメータ

説明

expiration-lockout-days <1-1827 | never>

パスワードの有効期限が切れた後、ユーザをロックアウトします。

ユーザのパスワードの有効期限が切れた後、ユーザはこの日数だけログインしてパスワードを変更できます。

ユーザがその日数以内にパスワードを変更しない場合、ユーザはログインできなくなり、ロックアウトされます。

管理者は、ロックアウトされたユーザのロックをUser Management> Users ページで解除できます。

  • 範囲1 - 1827またはnever

  • デフォルト:never

expiration-warning-days <1-366>

ユーザのパスワードの有効期限が切れる何日前に、ユーザがパスワードを変更する必要があるという警告の生成を開始するか。

ログインしていないユーザには、この警告は表示されません。

  • 範囲1 - 366

  • デフォルト:7

force-change-when {no | password}

ユーザのパスワードがコマンド"set user <UserName> password"を使って変更された、またはGaia Portal User Management > Usersページで変更された後、最初のログインでパスワードを変更するよう求めます。

  • 範囲:

    • no- この機能を無効にする。

    • password- パスワードが変更された後、ユーザーにパスワードの変更を強制する。

  • デフォルト:no

password-expiration <1-1827 | never>

パスワードが有効な日数。その後、パスワードの有効期限が切れます。

ユーザがパスワードを変更すると、カウントが開始されます。

ユーザは、次回ログイン時に期限切れのパスワードを変更する必要があります。

SNMP ユーザには適用しない でください。

  • 範囲1-1827またはnever

  • デフォルト:never

- Gaia OS が特定のユーザのパスワードをいつ変更したかを確認するには、エキスパート モードで次のコマンドを実行します。

date -d @"$(dbget passwd:<username>:lastchg)"

  • コマンド "dbget passwd:<username>:lastchg"は、エポック形式でタイムスタンプを返します。

  • コマンド "date -d @<Epoch Time>"は、ユーザが読めるタイムスタンプに変換します。

例:

[Expert@MyGaia:0] date -d @"$(dbget passwd:admin:lastchg)"

Mon May 24 15:39:46 UTC 2021

[Expert@MyGaia:0]

未使用のアカウントへのアクセスを拒否する

  • 日数に基づいて未使用のアカウントへのアクセス拒否を設定するには:

    set password-controls deny-on-nonuse

          allowed-days <30-1827>

          enable {on | off}

  • 未使用のアカウントへの設定済みのアクセス拒否を表示するには:

    show password-controls deny-on-nonuse

    show password-controls all

パラメータ

説明

deny-on-nonuse allowed-days <30-1827>

未使用のアカウントをロックアウトするまでの未使用の日数を設定します。

これは、"set password-controls deny-on-nonuse enable"が "on"に設定されている場合、適用されます。

  • 範囲30 - 1827

  • デフォルト:365

deny-on-nonuse enable {on | off}

未使用のアカウントへのアクセスを拒否します。設定された時間内にログイン試行が成功しなかった場合、ユーザはロックアウトされ、ログインできなくなります。

  • 範囲onまたはoff

  • デフォルト:off

ログインに失敗した後のアクセス拒否

  • ログイン試行の失敗回数に基づいて、未使用のアカウントへのアクセス拒否を設定するには:

    set password-controls deny-on-fail

          allow-after <60-604800>

          block-admin {on | off}

          enable {on | off}

          failures-allowed <2-1000>

  • 未使用のアカウントへの設定済みのアクセス拒否を表示するには:

    show password-controls deny-on-fail

    show password-controls all

パラメータ

説明

allow-after <60-604800>

ユーザが (ログイン試行の失敗により) ロックアウトされた後、再度アクセスを許可します。

設定された時間内にログインが試行されなかった場合、ユーザは設定された時間後にアクセスを許可されます。

  • 範囲60秒~604800秒

  • デフォルト:1200秒(20分)

例:

  • 60 = 1 分

  • 300 = 5 分

  • 3600 = 1 時間

  • 86400 = 1 日

  • 604800 = 1 週間

block-admin {on | off}

これは、"set password-controls deny-on-fail enable" が "on"に設定されている場合に適用されます。

失敗したログイン試行の設定された制限が adminユーザに到達すると、 adminユーザは設定された時間ロックアウトされます (ログインできません)。

  • 範囲: onまたはoff

  • デフォルト: off

enable {on | off}

設定した制限に達すると、ユーザは設定時間ロックアウトされます (ログインできなくなります)。

警告 - これを有効にすると、「DoS攻撃」の危険にさらされます。攻撃者が頻繁にログイン試行に失敗すると、影響を受けるユーザ アカウントがロックアウトされます。このオプションを有効にする前に、セキュリティ ポリシーに照らして、このオプションの長所と短所を検討してください。

  • 範囲: onまたはoff

  • デフォルト: off

failures-allowed <2-1000>

これは、"set password-controls deny-on-fail enable" が "on"に設定されている場合に適用されます。

ユーザがロックアウトされるまでに許可されるログイン試行の失敗回数。

試行に連続して失敗すると、以降の試行は失敗します。

ログイン試行が 1 回成功すると、失敗した試行のカウントが停止し、カウントがゼロにリセットされます。

  • 範囲:2 - 1000

  • デフォルト:10

ハッシュアルゴリズムの設定

  • ハッシュ アルゴリズムを設定するには、次の手順を実行します。

    set password-controls password-hash-type {SHA256 | SHA512}

  • 設定したハッシュ アルゴリズムを表示するには:

    show password-controls password-hash-type

    show password-controls all

パラメータ

説明

{SHA256 | SHA512}

新しいパスワードを Gaia データベースに保存するためのハッシュ アルゴリズムを設定します。

  • 範囲SHA256またはSHA512

  • デフォルト:SHA512