viosecure コマンド
目的
セキュリティー強化規則を活動化、非活動化、および表示します。ファイアウォールの設定を構成、
構成解除、または、表示します。
構文
viosecure -level LEVEL [-apply] | [-nonint] -view
viosecure -firewall on [-force] | off
viosecure -firewall allow | deny -port number [-interface ifname] [-address IPaddress] [-timeout Timeout] [-remote]
viosecure -firewall view [-fmt delimiter]
説明
viosecure は、セキュリティー強化規則を活動化、非活動化、および表示します。デフォルトでは、インストール後に、セキュリティー強化フィーチャーが活動化されることはありません。
viosecure コマンドを実行すると、
ユーザーはコマンドによってガイドされ、高位 - 中位 - 低位の範囲の適切なセキュリティー設定値を設定できます。この最初の選択が終わると、メニューが表示され、
選択したセキュリティー・レベルに関連したセキュリティー構成オプションが 10 ずつのセットで箇条書きにリストされます。これらのオプションは、全体として受け入れることも、個別に受け入れることも、無視することもできます。どの変更を行った場合でも、viosecure は、
セキュリティー設定値をコンピューター・システムに適用し続けます。
また、viosecure コマンドは、
ネットワークのファイアウォール設定値を構成、構成解除、および表示します。
viosecure コマンドを使用することによって、ユーザーは、
特定のポートを活動化あるいは非活動化し、さらに、接続が許可されるインターフェースおよび IP アドレスを指定できます。
フラグ
| -apply |
LEVEL セキュリティー設定値のすべてをシステムに適用します。ユーザーが選択できるオプションはありません。 |
| -firewall allow -port Port [-interface ifname ] [-address IPaddress ] [-timeout Timeout] [-source] |
ポートごとの IP アクティビティーを、インターフェース、IP アドレス、
およびそのアクティビティーが有効な時刻に合わせたオプション・パラメーターを指定して、許可します。
Port 引数は、/etc/services
ファイルにある数値またはサービス名のどちらでもかまいません。
remote オプションは、
ポートがリモート・ポートであることを指定します。そのリモート・ポートとの間のすべての IP アクティビティーが許可されます。デフォルトでは、リモート・ポートとの間のすべての IP アクティビティーが許可されます。タイムアウト期間は、数値 (秒数)、または、
秒数の後に m (分数)、h (時間数)、または d (日数) を続けた数値として指定できます。
最大タイムアウト期間は 30 日です。 |
| -firewall deny -port Port [-interface Ifname] [-address IPaddress] [-timeout Timeout] [-source] |
前のファイアウォール -allow 設定値を取り外します。Port 引数は、/etc/services
ファイルにある数値またはサービス名のどちらでもかまいません。
-port 0 が指定された場合は、すべての allow 設定値が取り外されます。
remote オプションは、
ポートがリモート・ポートであることを指定します。デフォルトはローカル・ポートです。タイムアウト期間は、数値 (秒数)、または、
秒数の後に m (分数)、h (時間数)、
または d (日数) を続けた数値として指定できます。 最大タイムアウト期間は 30 日です。 |
| -firewall off |
デフォルトのファイアウォール設定値を構成解除します。 |
| -firewall on [-force ] |
デフォルトのファイアウォール設定値を、/home/ios/security/viosecure.ctl ファイルから構成します。
viosecure.ctl ファイルがない場合は、 -force オプションを使用して、
デフォルトのファイアウォール設定値を使用する必要があります。 |
| -level LEVEL |
選択するセキュリティー LEVEL 設定値を指定します。ここで、LEVEL は low、middle、high、または default です。デフォルトの LEVEL は、前のセキュリティー LEVEL システム設定値をすべて非活動化します。デフォルトの LEVEL を除き、一時に、セキュリティー LEVEL 設定値が 10 ずつ表示されます。次に、ユーザーは、コンマで区切られた数値を入力して望ましいセキュリティー設定値を選択する、
ALL というワードを入力してすべての設定値を選択する、
NONE というワードを入力していずれの設定値も選択しない、文字 q を入力して終了する、または文字 h を入力してヘルプを表示できます。次に、
選択されたセキュリティー設定値がシステムに適用されます。 |
| -firewall view [-fmt delimiter] |
現在許容されているポートを表示します。 -fmt オプションが指定された場合は、
出力がユーザー指定区切り文字で分割されます。 |
| -nonint |
非対話式モードを指定します。 |
| -view |
現行のセキュリティー・レベル設定値を表示します。すべてのセキュリティー設定値の名前は、3 つの文字 Xls で終わります。ここで、X = l (低位)、m (中間)、h (高位)、
または d (デフォルト) です。
例えば、セキュリティー・レベルの名前 minlenlls は、
長さが最小のパスワード用の、低位レベルのセキュリティー設定値です。 |
例
- 高位システム・セキュリティー設定値を表示し、さらに、
システムに適用するハイ・セキュリティー設定値を選択するには、次のように入力します。
viosecure -level high
- 「高位」システム・セキュリティー設定値のすべてをシステムに適用するには、次のように入力します。
viosecure -level high -apply
- 現在のシステム・セキュリティー設定値を表示するには、以下のように入力します。
viosecure -view
- 前のシステム・セキュリティー設定値を構成解除するには、以下のように入力します。
viosecure -level default
- ftp-data、ftp、ssh、www、https、rmc、および cimon の各ポートで IP アクティビティーを許可し、その他の IP アクティビティーを拒否するには、次のように入力します。
viosecure -firewall on
- すべてのポートで IP アクティビティーを許可するには、次のように入力します。
viosecure -firewall off
- IP アドレス 10.10.10.10 にいるユーザーが rlogin するのを許可するには、
次のように入力します。
viosecure -firewall allow -port login -address 10.10.10.10
- ユーザーが 7 日間 rlogin するのを許可するには、次のように入力します。
viosecure -firewall allow -port login -timeout 7d
- インターフェース en0 を使用する rsh クライアント・アクティビティーを許可するには、次のように入力します。
viosecure -firewall allow -port 514 -interface en0 -remote
- IP アドレス 10.10.10.10 にいるユーザーが rlogin するのを許可する規則を削除するには、次のように入力します。
viosecure -firewall deny -port login -address 10.10.10.10
- 許可ポートのリストを表示するには、次のように入力します。
viosecure -firewall view