Gaia Clishでシステムパスワードを設定する

重要 -Scalable Platforms (MaestroおよびChassis)では、該当するセキュリティグループの Gaia gCLish で該当するコマンドを実行する必要があります。

ベストプラクティスセキュリティ上の理由から、エキスパートモードとGRUBで異なるパスワードを設定してください。

エキスパートモードのパスワード設定

説明

エキスパートモードのパスワードは、許可されたアクセスに対してエキスパートシェルを保護します。

デフォルトのGaiaシェルは、clishと呼ばれています。

Gaia Clishは制限付きシェル（ロールベース管理でシェルで使用できるコマンドの数を制御）です。

セキュリティ上の理由からGaia Clishの使用が推奨されていますが、Gaia Clishは低レベルのシステム機能へのアクセスを許可するものではありません。

低レベルの設定には、より寛容なExpertモードのシェルを使用します。sk144112も参照してください。

Expertシェルに入るには、Gaia Clishで実行します。expert
Expertシェルを終了してGaia Clishに戻るには、次を実行します。exit

注 - Gaia Clishでコマンドがサポートされている場合、対応するコマンドをエキスパートモードで実行することはサポートされません 。

例えば、インタフェースを操作するために、Gaia Clish はコマンド "show interface" と "set interface"を提供します。

そのため、エキスパートモードでコマンドifconfigを実行することはサポートされません。

注 - エキスパートモードのデフォルトのパスワードはありません 。エキスパートモードのパスワードを使用する前に、パスワードを設定する必要があります。

エキスパートモードのパスワードをプレーンテキストで設定する構文

set expert-password

パスワードは6文字以上でなければならない。

エキスパートモードのパスワードをソルトハッシュとして設定する構文

set expert-password-hash <Hash String>

重要- 新しいエキスパート・モードのパスワードを永久に保存するには、"save config" コマンドを実行する必要があります。

パラメータ

説明

hash <Hash String>

プレーンテキストではなく、MD5、SHA256、またはSHA512 のソルト付きハッシュとしてのパスワード(パスワード文字列には6 文字以上が含まれている必要があります)。

バックアップスクリプトを使用してアップグレードまたは復元する場合は、このオプションを使用します。

パスワードのハッシュは、"cpopenssl" コマンド(cpopenssl passwd -helpを実行) を使用して生成できます。

デフォルトのハッシュアルゴリズムを設定するには、次を参照してください。

パスワード・ハッシュ・アルゴリズム(ガイアポータル内）
ハッシュアルゴリズムの設定(ガイア・クリッシュにて)

ベストプラクティス安全ではないため、MD5ハッシュを使用しません。

注：

フォーマット:

lt;Hash Standard>lt;Salt>lt;Encrypted>

このハッシュ文字列の長さは、128文字未満。
<Hash Standard>

このうちの1桁。
- 1= MD5
- 5= SHA256
- 6= SHA512
<Salt>

次の文字列:

a-z A-Z 0-9 . / [ ] _ ` ^

この文字列の長さは、2文字以上16文字以下。
<Encrypted>

次の文字列:

a-z A-Z 0-9 . / [ ] _ ` ^

この文字列の長さ:
- MD5の場合、22文字以下。
- SHA256の場合、43文字以下。
- SHA512の場合、86文字以下。

GRUBパスワードの設定

説明

GRUBパスワードはGRUBメニューとGRUBターミナルを保護します。

Gaiaはメンテナンスモードで起動し、Gaiaスナップショットを戻すときにこのパスワードを要求します。

重要だ：

メンテナンスモードにブートしたり、Gaiaスナップショットを戻したりする前に、GRUBパスワードを設定する必要があります。
GRUBのパスワードがわからず、Gaiaがノーマルモードで起動しない場合は、以下の連絡先までご連絡ください。Check Point Support。

GRUBパスワードをプレーンテキストで設定する構文

set grub2-password

パスワードは6文字以上でなければならない。

GRUBパスワードをSHA512塩漬けハッシュとして設定する構文

set grub2-password-hash <Hash String>

ユーザー定義のシェルスクリプトを使用してアップグレードまたは復元する場合は、スレートハッシュ構成を使用します。

重要- Gaiaは新しいGRUBパスワードを自動的に保存します。

パラメータ

説明

hash <Hash String>

パスワードはプレーンテキストではなく、SHA512で塩漬けされたハッシュである。

注：

パスワードのハッシュ文字列を取得するには、エキスパート・モードでこのコマンドを実行する：

grub2-mkpasswd-pbkdf2

ハッシュ文字列のフォーマット：

grub.pbkdf2.sha512.<Rounds>.<Salt>.<Checksum>

このハッシュ文字列の長さは282文字以上512文字以下でなければならない。
grub.pbkdf2.sha512

定数文字列。
<Rounds>

10進数形式で格納されている反復回数。Gaia OSでは、この数字は常に10000である。
<Salt>

大文字の16進数でエンコードされたソルト文字列。

この文字列の長さは128文字でなければならない。
<Checksum>

結果として得られる派生キーは、大文字の16進数で符号化される。

この文字列の長さは128文字でなければならない。

例1 - プレーンテキスト

gaia> set grub2-password

Enter new grub2 password: *

Enter new grub2 password (again): *

Password is only 1 characters long; it must be at least 6 characters in length.

Enter new grub2 password: ******

Enter new grub2 password (again): ******

Password is not complex enough; try mixing more different kinds of characters (upper case, lower case, digits, and punctuation).

Enter new grub2 password: *******

Enter new grub2 password (again): *******

gaia>

gaia> show configuration grub2-password

set grub2-password-hash grub.pbkdf2.sha512.10000.B8A(---truncated---)7D0.017(---truncated---)623

gaia>

例2 - 塩漬けSHA512ハッシュ

[Expert@gaia:0]# grub2-mkpasswd-pbkdf2

Enter password: *******

Reenter password: *******

PBKDF2 hash of your password is grub.pbkdf2.sha512.10000.B8A(---truncated---)7D0.017(---truncated---)623

[Expert@gaia:0]#

[Expert@gaia:0]# clish

gaia> set grub2-password-hash grub.pbkdf2.sha512.10000.B8A(---truncated---)7D0.017(---truncated---)623

gaia>

gaia> show configuration grub2-password

set grub2-password-hash grub.pbkdf2.sha512.10000.B8A(---truncated---)7D0.017(---truncated---)623

gaia>