Команды уровня администратора

Для каждой команды уровня администратора установлен минимальный уровень привилегий администратора. Если команду пытается выполнить администратор с меньшим уровнем привилегий, на консоль выдается сообщение об ошибке:

% Insufficient privilege level to call this command,

а в лог выдается сообщение:

User <username> has insufficient privilege level to call command: <command>

 

Для администратора с уровнем привилегий 1 доступны только две команды: show user (информация по текущему пользователю) и configure.

 

Запуск сервиса безопасности

start

Выполняется запуск сервиса безопасности. Аналогично /etc/init.d/vpngate start

Перезагрузка системы

reboot

Сначала останавливается сервис безопасности, затем происходит перезагрузка ОС.

Запуск процедуры инициализации

initialize

Запуск процедуры инициализации S-Terra Gate.

Автостарт

autostart on

 

 

 

autostart off

Включение автостарта (автологина). Для этого необходимо наличие администратора с пустым паролем.

В случае ошибки может быть выдано сообщение: % Failed to enable autostart.

Отключения автостарта. В случае ошибки может быть выдано сообщение: % Failed to disable autostart.

Создание пользователя

Присутствуют ограничения на формат имени создаваемого пользователя:

Допустимые символы:

Заглавные и строчные буквы латинского алфавита. Примечание: регистр важен – заглавные и строчные буквы рассматриваются как разные символы

Десятичные цифры.

Символы: _ (подчеркивание), - (дефис), . (точка; есть ограничения – см. ниже), @ (коммерческая at), # (решетка).

Не допускаются имена, состоящие только из одной или двух точек:

.

..

Если ввести недопустимое имя, будет выдано сообщение об ошибке:

% User name has wrong format

 

При создании пользователя с однофакторной аутентификацией существуют ограничения на формат пароля пользователя (см. раздел "Настройки конфигурационного файла", "Включение и отключение строгого режима проверки политики паролей"):

·       Длина пароля должна быть не меньше 6 символов.

·       Пароль может состоять из печатных символов ASCII: латинских букв (a-z, A-Z), цифр (0-9), знаков препинания (, . : и т.п.) и др. (@ / {} и т.п.).

·                     Пароль должен содержать как минимум одну латинскую букву и одну цифру.

·       Один и тот же символ должен встречаться не более 2 раз.

Если какое-то из этих требований не выполнено, то:

·       Если включен режим строгой проверки политики паролей, то выдается сообщение об ошибке:

Password:

1. Must be at least 6 characters long

2. Can include printable ASCII characters:

   latin letters (a-z, A-Z), digits (0-9), punctuation marks (, . : etc),

   other (@ / {} etc)

3. Must include at least one latin letter (a-z, A-Z) and one digit (0-9)

4. Same character can be present in the password no more than 2 times

 

% Error: Password violates policy    

после чего запрос пароля будет повторен.

·       Если режим строгой проверки политики паролей выключен – выдается предупреждение:

% Warning: Password violates policy

 

1. Must be at least 6 characters long

2. Can include printable ASCII characters:

   latin letters (a-z, A-Z), digits (0-9), punctuation marks (, . : etc),

   other (@ / {} etc)

3. Must include at least one latin letter (a-z, A-Z) and one digit (0-9)

4. Same character can be present in the password no more than 2 times    

после чего выдается запрос на подтверждение пароля.

 

Создается файл со счетчиком ошибочных попыток входа в систему. В него записывается начальное значение 0.

Если на этом этапе произошла ошибка, выполнение операции прерывается. Выдается сообщение об ошибке:

% Error: system error (e.g. insufficient disk space)

 

Только при создании пользователей с однофакторной аутентификацией: создается файл с отметкой времени создания пользователя.

Интерактивное создание пользователя

create user <username>

Пользователю интерактивно задается ряд вопросов (на любом этапе можно прервать выполнение команды с помощью Ctrl+C):

Одно- или двух-факторная аутентификация.

Роль пользователя (администратор или пользователь).

Для двухфакторной аутентификации запрашивается имя существующего контейнера.

Если была выбрана роль пользователя – администратор, то запрашивается уровень привилегий. Возможные значения: 1 (ограничения на запуск команд) и 15 (разрешен запуск всех команд).

Для однофакторной аутентификации запрашивается пароль пользователя с подтверждением. Если ввести несовпадающие пароли, будет выдано сообщение об ошибке: % Passwords do not match.

Пароль проверяется на соответствие политике (подробнее см. раздел "Настройки конфигурационного файла", "Включение и отключение строгого режима проверки политики паролей").

Если включен режим проверки политики паролей и выдано сообщение об ошибке нарушения политики, повторяется запрос пароля.

Для двухфакторной аутентификации запрашивается существующий пароль пользователя. Далее проверяется соответствие существующего контейнера и пароля к нему:

Если контейнер не существует, выдается сообщение:

% Container not found. После этого повторяется запрос на имя существующего контейнера и пароля к нему.

Если пароль не подходит, выдается сообщение:

% Password is wrong. После этого повторяется запрос на существующий пароль.

Другие возможные сообщения об ошибках:

В контейнере отсутствует необходимый тип ключа – signature (для подписи, предпочтительно) или exchange (для обмена):

% Container is incompatible

Не удалось экспортировать публичный ключ:

% Failed to export public key 

Создание пользователя с однофакторной аутентификацией

create user <username> [1-factor] [role {administrator|user}] [password <password>] [privilege <privilege>]

По команде создается новый пользователь, а также контейнер с секретным ключом на файловой системе.

Параметры:

1-factor – указание на однофакторную аутентификацию (по умолчанию).

role – роль (администратор или пользователь), по умолчанию – пользователь.

password – пароль пользователя. Можно заключить в кавычки (которые не учитываются в пароле) или задать пустой пароль как "" (две кавычки). Если пароль не задать, то он будет запрошен интерактивно с подтверждением.

Пароль проверяется на соответствие политике (подробнее см. раздел "Настройки конфигурационного файла", "Включение и отключение строгого режима проверки политики паролей").

Если включен режим проверки политики паролей и выдано сообщение об ошибке нарушения политики, выполнение команды прерывается.

privilege – уровень привилегий. Задается только для администратора. Если попытаться задать для пользователя, то будет выдано сообщение об ошибке:

% Privilege level can not be set for role user

Возможные значения: 1 (ограничения на запуск команд) или 15 (разрешен запуск всех команд). Значение по умолчанию – 15.

Создание пользователя с двухфакторной аутентификацией

create user <username> 2-factor use-container <container> [role { administrator | user }]  [password <password>] [privilege <privilege>]

По команде создается новый пользователь.

Параметры:

2-factor – обязательное указание на двухфакторную аутентификацию;

Последующие опции можно задавать в произвольном порядке.

role – роль (администратор или пользователь), по умолчанию – пользователь;

use-container <container> – имя существующего контейнера (обязательный параметр). При выполнении команды требуется наличие данного контейнера. Имя контейнера см. в описании утилиты cont_mgr create.

password <password> – пароль на контейнер, заданный в опции use-container. Можно заключить в кавычки, которые не учитываются в пароле. Можно задать пустой пароль как "" (две кавычки). Если не указать пароль, то он будет запрошен интерактивно.

privilege – уровень привилегий. Задается только для администратора. Если попытаться задать для пользователя, то будет выдано сообщение об ошибке:

% Privilege level can not be set for role user

Возможные значения: 1 (ограничения на запуск команд) или 15 (разрешен запуск всех команд). Значение по умолчанию – 15.

При выполнении данной команды из контейнера извлекается публичный ключ и сохраняется в файл:

/var/cspvpn/.auth_login_public_key.<username>

Удаление пользователя

remove user <username>

Команда для удаления пользователя.

Удаляются настройки пользователя из файла /opt/VPNagent/etc/auth_login.ini.

Если удаляется пользователь с однофакторной аутентификацией, то удаляется контейнер, связанный с пользователем.

Если удаляется пользователь с двухфакторной аутентификацией, то удаляется файл с публичным ключом; а контейнер, связанный с пользователем, не удаляется.

Удаляются файлы со счетчиком ошибочных попыток входа в систему и с отметкой времени создания или последней смены пароля пользователя

Смена пароля пользователя

Для смены пароля пользователя необходимо ввести старый (текущий) пароль этого пользователя. Если это по каким-либо причинам невозможно, следует удалить данного пользователя, а затем создать нового. Можно с тем же самым именем. 

·       Сначала выдается запрос на старый пароль пользователя:

Old user password:

Если ввести неправильный пароль, выдается сообщение об ошибке:

% Failed to change password of the user <username> (old password is wrong)

Если при запросе нового пароля ввести старый пароль, будет выдано сообщение об ошибке:

% You can't reuse old password

·       Далее два раза запрашивается новый пароль:

New user password:

Re-type new password:

·       Если введенные пароли не совпадают, выдается сообщение об ошибке:

% Passwords do not match

 

После первого ввода пароля происходит его проверка на соответствие политике (см. "ограничения на формат пароля пользователя").

Если пароль не соответствует политике, выдается сообщение:

% New password violates policy

 

1. Must be at least 6 characters long

2. Can include printable ASCII characters:

   latin letters (a-z, A-Z), digits (0-9), punctuation marks (, . : etc),

   other (@ / {} etc)

3. Must include at least one latin letter (a-z, A-Z) and one digit (0-9)

4. Same character can be present in the password no more than 2 times

Если включен режим строгой проверки политики паролей (подробнее см. раздел "Настройки конфигурационного файла", "Включение и отключение строгого режима проверки политики паролей") – это сообщение трактуется как сообщение об ошибке. Обработка команды завершается.

Если режим строгой проверки политики паролей выключен – это сообщение трактуется как предупреждение. После него выдается запрос на подтверждение пароля.

 

При вводе любого из трех паролей можно нажать на Ctrl+C для отмены операции. В этом случае в syslog пишется сообщение вида:

Changing password of the user <username> canceled by <current-user>

где <current-user> – пользователь, который выполнил команду смены пароля.       

 

При успешном двойном вводе нового пароля делается попытка сменить пароль пользователя.

В случае неудачи выдается сообщение об ошибке:

% Failed to change password of the user <username> 

При успешной смене пароля дополнительных сообщений на консоль не выдается. В syslog пишется сообщение вида:

Password of the user <username> changed by <current-user>

где current-user – пользователь, который выполнил команду смены пароля.

 

Для пользователей с однофакторной аутентификацией время смены пароля записывается в файл.

change user password

 

change user password <username>

Сменить пароль текущего пользователя

 

Сменить пароль произвольного пользователя. Данная команда может быть выполнена только администратором с максимальным уровнем привилегий. Если ввести имя несуществующего пользователя, выдается сообщение об ошибке:

% User <username> is absent

Для смены пароля пользователя необходимо ввести старый (текущий) пароль этого пользователя. Если это по каким-либо причинам невозможно, следует удалить данного пользователя, а затем создать нового. Можно с тем же самым именем. 

 

При вводе любого из трех паролей можно нажать на Ctrl+C для отмены операции

Разблокировка пользователя

unblock user <username>

Разблокировка пользователя. Количество оставшихся попыток входа в систему для данного пользователя выставляется в начальное значение (10). Команда используется для:

·       заблокированного штатным образом пользователя;

·       пользователя, для которого зафиксирован неправильный формат файла, хранящего счетчик допустимого количества попыток входа в систему (“BLOCKED (corrupted data)”);

·       заблокированного пользователя (имеет смысл для увеличения количества оставшихся попыток входа в систему для данного пользователя).

Блокировка пользователя

block user <username>

Принудительная блокировка пользователя. Невозможно заблокировать самого себя. В этом случае будет выдано сообщение:

% You can't block current user

Настройки таймера неактивности

session idle timeout <timeout>

 

 

 

session idle timeout disable

Установка таймера неактивности.

<timeout> – время в минутах (1-1440) отсутствия активности пользователя, по истечении которого происходит автоматический выход из auth_login. Значение по умолчанию – 10. 

Отключение таймера неактивности.

Определение типа терминала

terminal terminal-type <terminal-type>

 

terminal no terminal-type

Выставить тип терминала.

<terminal-type> – тип терминала. Например: linux, vt100, xterm и др.

Вернуться к типу терминала, выставленному на момент запуска auth_login.

Просмотр глобальных настроек

show global-parameters

Посмотреть текущие настройки таймера неактивности.

Выдача информации по текущему пользователю

show user

По команде выдается следующая информация:

User:  имя пользователя.

Role: администратор (admin) или простой пользователь (user).

Privilege level: уровень привилегий (только для администратора): 1 – с ограничениями, 15 – доступны все команды.

Container: имя контейнера, с помощью которого аутентифицируется пользователь.

Public Key File: файл с публичным ключом (только для двухфакторной аутентификации).

Status:

Штатный пользователь:

Status:             unblocked (<n> attempt(s) left)

где <n> – количество оставшихся попыток логина пользователя до включения режима длительного ожидания ввода пароля

Пользователь заблокирован администратором:

Status:             BLOCKED

Для пользователя включен режим длительного ожидания ввода пароля из-за исчерпания допустимого количества попыток:

Status:             LONG WAIT before login (too many attempts)

Для пользователя включен режим длительного ожидания ввода пароля из-за отсутствия файла с количеством неудачных попыток:

Status:             LONG WAIT before login (absent data)

Для пользователя включен режим длительного ожидания ввода пароля из-за неправильного формата файла или из-за системных ошибок:

Status:             LONG WAIT before login (corrupted data)

Password valid for: или Password: expired – информация об оставшемся времени, в течение которого можно не менять пароль пользователя (только для пользователей с однофакторной аутентификацией).

Допустимые варианты:

Меньше часа:

Password valid for: less than an hour

Меньше суток:

Password valid for: less than a day

От суток до полутора:

Password valid for: a day

Больше полутора суток:

Password valid for: <n> days

где <n> - количество оставшихся суток (округление в ближайшую сторону; например 15 days обозначает промежуток от 14 суток 6 часов до 15 суток 5 часов 59 минут 59 секунд).

Время действия пароля исчерпано:

Password: expired

При следующем логине пользователя будет выдан запрос на смену пароля.

Параметр не показывается для пользователей с двухфакторной аутентификацией и пользователей со специальным маркером об отсутствии необходимости смены пароля.

Вывод информации о произвольном пользователе

show user <username>

Выдается информация о пользователе <username>. Формат вывода аналогичен выводу команды show user.

Если ввести несуществующего пользователя, выдается сообщение об ошибке: % User <username> is absent

Вывод информации обо всех пользователях

show all-users

Выдается информация о всех пользователях. Формат вывода аналогичен выводу команды show user

Выдача версии продукта

show version

Для просмотра информации об установленном продукте. Аналогично запуску утилиты /opt/VPNagent/bin/ver_show

Выдача информации о текущей конфигурации

show config

Для просмотра текущей конфигурации. Аналогично запуску утилиты /opt/VPNagent/bin/lsp_mgr show

Выдача текущей информации о статусе защиты

show status

Для просмотра информации обо всех IPsec SA, ISAKMP SA и их состоянии, о количестве IKE обменов. Аналогично запуску утилиты /opt/VPNagent/bin/sa_mgr show

Вход в режим настройки S-Terra Gate

configure

Настройка S-Terra Gate выполняется с использованием двух консолей:

·       Консоли управления ESR:

логин – admin

пароль – password.

При запуске на консоль выдается сообщение:

Welcome to ESR-XXX

·       Консоли управления С-Терра (cs_console):

логин – cscons

пароль – password.

При запуске на консоль выдается сообщение:

S-Terra Gate security console

При необходимости аварийного завершения выполнения login можно использовать сочетания клавиш CTRL+^ (CTRL+SHIFT+6) или CTRL+|.

Вызов внешнего приложения

run <shell_cmd_to_execute>

Присутствует ряд ограничений:

·       Запускать исполняемые файлы можно только из двух директорий –/opt/VPNagent/bin или /opt/UPAgent/bin.

Можно указывать просто имя файла либо указывать полный путь, например:

run cert_mgr show

run /opt/VPNagent/bin/cert_mgr show

·       Текущая директория при выполнении: /var/cspvpn

·       Нельзя запускать исполняемые файлы из поддиректорий, например

run subdir/qqq

run /opt/VPNagent/bin/subdir/qqq

·       Нельзя использовать “.. “, например:

run /opt/VPNagent/bin/../../../bin/echo

·       Нельзя использовать принудительный запуск скрипта:

run . some_script

·       Нельзя использовать специальные символы:

; & | ` $ ( ) ! [ ] { }

Примечание: их можно использовать после обратного слэша или в кавычках, например:

\; "|" '!'

Если сделана попытка выполнить запрещенную команду, будет выдано сообщение об ошибке:

% Shell command is not supported

При необходимости аварийного завершения выполнения приложения можно использовать сочетания клавиш CTRL+^ (CTRL+SHIFT+6) или CTRL+|.

Выход из утилиты

exit

Приводит к перезапуску утилиты auth_login и запросу имени пользователя.

Операции с файлами

В командах работы с файлами путь к файлу предваряется префиксом,  далее обозначается как <fs-prefix>. Подробнее смотрите Примечание 1.

В некоторых командах работы с файлами запрашивается подтверждение пути к файлу. Например:

Destination file path [<corrected-file-path>] ?

Подробнее смотрите Примечание 2.

dir

Вывод содержимого директории по умолчанию. Для АП ESR аналогично команде dir flash.

dir <fs_prefix>

Вывод содержимого директории по умолчанию для конкретного префикса.

dir <fs_prefix>:<file-path>

Вывод содержимого другой директории или информации о конкретном файле.

Пример: dir flash:users 

dir ... | include <line_to_include>

Во всех вариантах команды вывод можно фильтровать по строке.

Пример вывода с пояснениями:

   1  drwx         0  Mon Feb 29 09:36:59 2016  users

 2  -rw-        419  Mon Feb 29 13:34:08 2016  test

Первое поле – порядковый номер записи.

Второе поле – тип файла и права доступа для владельца файла.

Возможный тип файла:

-        обычный файл

*        обычный файл, но запрещенный для модификации и удаления администратором с помощью команд консоли. Примечание: не путать с отсутствием доступа на запись (см. ниже).

d       директория

b       блочное устройство

c       символьное устройство

p       очередь FIFO (pipe)

s       сокет

l        символьная ссылка (в нормальной ситуации не должно появляться).

Права доступа:

r      доступен для чтения

w   доступен для записи

x     доступен для исполнения

Третье поле – размер файла в байтах.

Четвертое поле – время последней модификации.

Последнее поле – имя файла.

Специальные права доступа (setuid, setgid, sticky-bit) не отображаются.

В случае корректной символьной ссылки все параметры кроме имени отображаются для конечного файла, на который указывает ссылка.

Если по каким-то причинам не удается получить информацию о файле, выдается строка примерно такого вида:

 2  ????          12  Wed Jun 22 19:23:55 2016  test   

Наиболее вероятная ситуация, при которой это может появиться: символьная ссылка на несуществующий объект. Примечание: в этом случае длина и время модификации указываются для самой символьной ссылки.

При попытке вывода информации о несуществующем файле выдается сообщение об ошибке:

% Error opening <fs-prefix>:<file-path> (File not found)

more <fs-prefix>:<file-path>

Вывод содержимого текстового файла.

При попытке вывода несуществующего файла выдается сообщение об ошибке:

% Error opening <fs-prefix>:<file-path> (File not found)

more <fs-prefix>:<file-path> | include <line_to_include>

Вывод содержимого текстового файла можно фильтровать по строке.

При попытке вывода несуществующего файла выдается сообщение об ошибке:

% Error opening <fs-prefix>:<file-path> (File not found)

delete <fs-prefix>:<file-path>

Удаление файла или пустой директории.

После ввода команды выдается запрос на подтверждение пути к файлу:

Delete file path [<corrected-file-path>] ?

Далее запрашивается дополнительное подтверждение на удаление файла:

Delete <fs-prefix>:<corrected-file-path>? [confirm]

Можно удалять все типы файлов.

В случае, если удаляется директория, она обязательно должна быть пустой.

При попытке удалить несуществующий файл выдается сообщение об ошибке:

% Error deleting <fs-prefix>:<corrected-file-path> (File not found)

При попытке удалить непустую директорию выдается сообщение об ошибке:

% Error deleting <fs-prefix>:<corrected-file-path> (directory is not empty)

При попытке удалить файл, запрещенный для модификации и удаления администратором с помощью команд консоли (помечается звездочкой в выводе команды dir) выдается сообщение об ошибке:

% Error deleting <fs-prefix>:<corrected-file-path> (removal is forbidden)

При попытке удалить путь, не являющийся файлом или директорией, выдается сообщение об ошибке:

% Error deleting <fs-prefix>:<corrected-file-path> (not a file or a directory)

copy <src-fs-prefix>:<src-file-path> <dst-fs-prefix>:<dst-file-path>

Копирование файла.

После ввода команды выдается запрос на подтверждение пути к исходному файлу:

Source file path [<corrected-src-file-path>] ?

Далее – запрос на подтверждение пути к результирующему файлу:

Destination file path [<corrected-dst-file-path>] ?

Если <dst-fs-prefix>:<dst-file-path> – директория, то к <corrected-dst-file-path> будет добавлено имя исходного файла.

Если уже существует файл, совпадающий по имени с результирующим, выдается предупреждение с подтверждением:

% Warning: There is a file already existing with this path

Do you want to over write? [confirm]

Если результирующий путь ссылается на директорию (например, если был скорректирован путь в запросе на подтверждение пути к результирующему файлу), выдается сообщение об ошибке:

% Destination <corrected-dst-file-path> is a directory

Если результирующий путь ссылается на файл, запрещенный для модификации и удаления администратором с помощью команд консоли (помечается звездочкой в выводе команды dir), выдается сообщение об ошибке:

% Destination <corrected-dst-file-path> is forbidden

При успешном копировании выдается сообщение:

File copied successfully

При попытке скопировать несуществующий файл выдается сообщение об ошибке:

% Error opening <fs-prefix>:<corrected-file-path> (File not found)

copy terminal-input <fs-prefix>:<file-path> <end-of-file-marker>

 

Создание текстового файла с помощью пользовательского ввода.

<end-of-file-marker> – слово, обозначающее завершение файла.

После ввода команды выдается запрос на подтверждение пути к файлу:

Destination file path [<corrected-dst-file-path>]?

Если уже существует файл, совпадающий по имени с результирующим, выдается предупреждение с подтверждением:

% Warning: There is a file already existing with this path

Do you want to over write? [confirm]

Далее, без приглашения, происходит ожидание ввода текста от пользователя.

Ввод происходит по строкам.

Ввод происходит до момента, когда пользователь на отдельной строке вводит слово, обозначающее завершение файла. Данное слово не попадает в результирующий файл. Данное слово обязательно должно быть единственным текстом в строке. Если будут другие символы, даже пробелы, строка будет воспринята как часть текстового файла.

При необходимости пользователь может прервать ввод с помощью CTRL+C. В этом случае результирующий файл удаляется.

При успешном создании файла выдается сообщение:

File copied successfully

Пример:

hostname#copy terminal-input flash:test EOF

Destination file path [test] ?

Line 1

Line 2

EOF

File copied successfully

hostname#more flash:test

Line 1

Line 2    

Запись образов uboot и x-loader

copy <src-fs-prefix>:<src-file-path> uboot

Запись образа uboot для АП ESR.

copy <src-fs-prefix>:<src-file-path> x-loader

Запись образа uboot для АП ESR.

После ввода команды выдается запрос на подтверждение пути к исходному файлу:

Source file path [<corrected-src-file-path>] ?

Далее запрашивается дополнительное подтверждение на выполнение данной операции:

Update bootloader uboot with <src-fs-prefix>:<src-file-path>? [confirm]

или

Update bootloader x-loader with <src-fs-prefix>:<src-file-path>? [confirm]

Если отсутствует защита ПЗУ от записи, то в лог выдается сообщение:

SPI NOR Flash is not protected by password

Если присутствует защита ПЗУ от записи, то пользователю выдается сообщение:

Password required to unlock SPI NOR Flash

Enter password:

Пароль состоит из восьми пар шестнадцатеричных цифр (независимых от регистра). В пароле допускаются другие символы (пробелы, минусы и т.п.), при условии, что они не разбивают пары шестнадцатеричных цифр, такие символы игнорируются.

Далее происходит разблокировка ПЗУ.

Выдается сообщение в лог:

SPI NOR Flash has locked by <current-user>        

Если на момент вызова команды ПЗУ уже разблокировано, выдается предупреждение:

% SPI NOR Flash was unlocked already

Это нештатная ситуация. При получении данного сообщения рекомендуется обратиться в службу технической поддержки.

Далее вызывается утилита esr_update с соответствующими параметрами.

Если присутствует защита ПЗУ от записи, то по завершении работы утилиты esr_update (независимо от результата) происходит блокировка ПЗУ.

При успешной блокировке в лог выдается сообщение:

SPI NOR Flash has locked by <current-user>

В случае, если ранее выдавалось сообщение "% SPI NOR Flash was unlocked already", будет выдан запрос на ввод пароля:

Password required to lock SPI NOR Flash

Enter password:

 

Могут выдаваться сообщения об ошибках:

% Failed to lock SPI NOR Flash: failed to open device

% Failed to lock SPI NOR Flash: failed to get memory info

% Failed to lock SPI NOR Flash: failed to set protection bit

% Failed to lock SPI NOR Flash: failed to enable password protection

При получении этих сообщений следует обратиться в службу технической поддержки.

Применение настроек, полученных от С-Терра КП

up-setup <fs-prefix>:<file-path>

<fs-prefix>:<file-path> –- путь к файлу настроек (setup_product.sh или setup_upagent.sh).

Ограничение: <file-path> не может содержать пробелов, табуляций или символов ' (апостроф).

Ограничение работы Продукта только с ГОСТ-алгоритмами

crypto algorithms enable gost|all

Команда crypto algorithms enable gost переводит Продукт в режим работы только с ГОСТ-алгоритмами.

Для перехода в режим работы со всеми алгоритмами используется команда crypto algorithms enable all.

Примечание: команду рекомендуется выполнять, когда шлюз не подключен к сети.

 

Примечание 1.

Используется формат: flash:<file-rel-path>

где <file-rel-path> – относительный путь к файлу. На путь накладываются ряд ограничений:

·       Путь может быть только относительным, абсолютные пути запрещены.

·       Нельзя использовать .. Например: flash:../../bin/echo

·       При попытке ввести запрещенный путь, выдается сообщение об ошибке: % Path is not supported

·       Путь трактуется как путь от директории /var/cspvpn.

Для маршрутизаторов серии ESR поддерживаются следующие префиксы:

Префикс

Реальная директория

flash: (внутренний раздел)

/var/cspvpn

media: (носитель)

/media

log:

/var/log/s-terra

Существует ограничение: в имени файла не должно быть пробелов.

Примечание 2.

<corrected-file-path> – путь к файлу, который ввел пользователь в команде, но без префикса.

В ответ на запрос можно:

·       Нажать на Enter – подтвердить введенный ранее путь к файлу.

·       Ввести новый путь к файлу.

·       Нажать CTRL+C – прервать выполнение команды.

·       При попытке ввести запрещенный путь, выдается сообщение об ошибке: % Path is not supported. После этого запрос выдается повторно.