Highlighted
モデレーター
モデレーター

Dell EMC Unity OE4.5でのSSHセキュリティ変更

解決策を見る

Dell EMC UnityでOE 4.5にアップグレードした後、今まで利用できていたSSHコマンドが利用できなくなってしまいました。

何か仕様の変更があったのでしょうか?

利用できない例:
spb:~/user> cd ..
-rbash: cd: restricted
spb:~/user>

1 件の受理された解決策

受理された解決策
モデレーター
モデレーター

Re: Dell EMC Unity OE4.5でのSSHセキュリティ変更

解決策を見る

Dell EMC Unity OE4.5よりセキュリティ強化のために、restrictedShellが導入され、OE 4.4以前に比べてデフォルトで実行できるSSHコマンドが制限されるようになりました。


OE 4.4以前と同様に利用するためには、Unisphere CLIを利用した

「uemcli -u admin -p <password> /sys/security set -restrictedShellEnabled no」

コマンド実行によるrestrictedShellの無効化が必要です。(参考:KB528422-DELL EMC Unity: Listing of Command Line Interface white list for OE4.5 and higher

(実行例)

> uemcli -u admin -p xxxxxxxxxxxx /sys/security set -restrictedShellEnabled no
Storage system address: 127.0.0.1
Storage system port: 443
HTTPS connection

This action will disable restricted shell for service account on the storage processor. Do you want to continue?
yes / no: yes
Operation completed successfully.


上記Unisphere CLIコマンドを実行しない場合に、利用できるコマンドは以下の通りです(※cdコマンドはデフォルトでは実行できません)。また、上記コマンドを実行しても、実行後24時間経つと自動的にrestrictedShellが有効に戻るために、再実行が必要となります。
(24時間経たなくとも、SPのリブート、フェイルオーバーが発生するとrestrictedShellは有効になる点にもご注意ください)

awk
cat
clear
cp
date
df
du
egrep
ethtool
find
grep
gzip
head
hostname
ip
less
ls
md5sum
mkdir
more
mv
openssl
paste
pgrep
ping
ps
rm
rmdir
sar
scp
sed
sha256sum
sort
ssh
sudo
tail
tailf
tar
tee
top
touch
tty
uemcli
uname
uptime
vi
view
w
wc
whoami
zgrep


restrctedShellの有効/無効の確認には「uemcli -u admin -p <password> -no /sys/security show」が利用できます。


(実行例)
> uemcli -u admin -p xxxxxxxxxxxxx -no /sys/security show
1: FIPS 140 mode = disabled
    TLS 1.0 mode = enabled
    Restricted shell mode = enabled

 

【参考】
restrictedShellによりデフォルトで実行が出来なくなったものの例がKB527928-Dell EMC Unity: Shell lockdown on Unity OE 4.5 and above (User Correctable)に記載されています。
(以下当該KBから抜粋)

  • Changing directories with the cd builtin.
  • Setting or unsetting the values of the SHELL, PATH, ENV, or BASH_ENV variables.
  • Specifying command names containing slashes.
  • Specifying a filename containing a slash as an argument to the . builtin command.
  • Specifying a filename containing a slash as an argument to the -p option to the hash builtin command.
  • Importing function definitions from the shell environment at startup.
  • Parsing the value of SHELLOPTS from the shell environment at startup.
  • Redirecting output using the ‘>’, ‘>|’, ‘<>’, ‘>&’, ‘&>’, and ‘>>’ redirection operators.
  • Using the exec builtin to replace the shell with another command.
  • Adding or deleting builtin commands with the -f and -d options to the enable builtin.
  • Using the enable builtin command to enable disabled shell builtins.
  • Specifying the -p option to the command builtin.
  • Turning off restricted mode with ‘set +r’ or ‘set +o restricted’.
1件の返信1
モデレーター
モデレーター

Re: Dell EMC Unity OE4.5でのSSHセキュリティ変更

解決策を見る

Dell EMC Unity OE4.5よりセキュリティ強化のために、restrictedShellが導入され、OE 4.4以前に比べてデフォルトで実行できるSSHコマンドが制限されるようになりました。


OE 4.4以前と同様に利用するためには、Unisphere CLIを利用した

「uemcli -u admin -p <password> /sys/security set -restrictedShellEnabled no」

コマンド実行によるrestrictedShellの無効化が必要です。(参考:KB528422-DELL EMC Unity: Listing of Command Line Interface white list for OE4.5 and higher

(実行例)

> uemcli -u admin -p xxxxxxxxxxxx /sys/security set -restrictedShellEnabled no
Storage system address: 127.0.0.1
Storage system port: 443
HTTPS connection

This action will disable restricted shell for service account on the storage processor. Do you want to continue?
yes / no: yes
Operation completed successfully.


上記Unisphere CLIコマンドを実行しない場合に、利用できるコマンドは以下の通りです(※cdコマンドはデフォルトでは実行できません)。また、上記コマンドを実行しても、実行後24時間経つと自動的にrestrictedShellが有効に戻るために、再実行が必要となります。
(24時間経たなくとも、SPのリブート、フェイルオーバーが発生するとrestrictedShellは有効になる点にもご注意ください)

awk
cat
clear
cp
date
df
du
egrep
ethtool
find
grep
gzip
head
hostname
ip
less
ls
md5sum
mkdir
more
mv
openssl
paste
pgrep
ping
ps
rm
rmdir
sar
scp
sed
sha256sum
sort
ssh
sudo
tail
tailf
tar
tee
top
touch
tty
uemcli
uname
uptime
vi
view
w
wc
whoami
zgrep


restrctedShellの有効/無効の確認には「uemcli -u admin -p <password> -no /sys/security show」が利用できます。


(実行例)
> uemcli -u admin -p xxxxxxxxxxxxx -no /sys/security show
1: FIPS 140 mode = disabled
    TLS 1.0 mode = enabled
    Restricted shell mode = enabled

 

【参考】
restrictedShellによりデフォルトで実行が出来なくなったものの例がKB527928-Dell EMC Unity: Shell lockdown on Unity OE 4.5 and above (User Correctable)に記載されています。
(以下当該KBから抜粋)

  • Changing directories with the cd builtin.
  • Setting or unsetting the values of the SHELL, PATH, ENV, or BASH_ENV variables.
  • Specifying command names containing slashes.
  • Specifying a filename containing a slash as an argument to the . builtin command.
  • Specifying a filename containing a slash as an argument to the -p option to the hash builtin command.
  • Importing function definitions from the shell environment at startup.
  • Parsing the value of SHELLOPTS from the shell environment at startup.
  • Redirecting output using the ‘>’, ‘>|’, ‘<>’, ‘>&’, ‘&>’, and ‘>>’ redirection operators.
  • Using the exec builtin to replace the shell with another command.
  • Adding or deleting builtin commands with the -f and -d options to the enable builtin.
  • Using the enable builtin command to enable disabled shell builtins.
  • Specifying the -p option to the command builtin.
  • Turning off restricted mode with ‘set +r’ or ‘set +o restricted’.