Reference Guide
Настройка внешнего доступа по протоколу SSH
Внешний доступ по протоколу SSH к устройствам в кластере можно настроить с помощью любого из следующих средств:
● SSH Management — страница настройки параметров SSH, доступ к которой возможен из PowerStore Manager (нажмите
Settings и в разделе Security выберите SSH Management).
● Сервер REST API — прикладной интерфейс, который может принимать запросы REST API для настройки параметров
SSH. Дополнительные сведения о REST API см. в документе PowerStore REST API Reference Guide.
● svc_service_config — сервисная команда, которую можно непосредственно ввести на устройстве в качестве
сервисного пользователя. Дополнительную информацию об этой команде см. в документе PowerStore Service Scripts
Guide.
Чтобы определить состояние SSH на устройствах в пределах кластера, в PowerStore Manager нажмите Settings и в разделе
Security выберите SSH Management. Вы также можете активировать или отключить SSH на одном или нескольких
устройствах по вашему выбору.
После успешного включения сервиса SSH перейдите на IP-адрес устройства с помощью любого клиента SSH. Для доступа к
устройству необходимо указать учетные данные пользователя сервисного обслуживания.
Сервисная учетная запись дает возможность пользователям выполнять следующие функции:
● Выполнение специальных сервисных скриптов для устройства с целью мониторинга, а также поиска и устранения
неполадок, связанных с параметрами и функционированием системы устройства.
● Использование лишь ограниченного набора команд, которые назначаются члену непривилегированной учетной записи
пользователя Linux в режиме ограниченной оболочки. Данная учетная запись не позволяет получить доступ к
проприетарным системным файлам, файлам конфигурации либо данным пользователей или заказчиков.
В целях обеспечения максимальной безопасности устройства рекомендуется, чтобы внешний сервисный интерфейс SSH
был все время выключен, кроме случаев, когда он действительно нужен для выполнения сервисных операций для
устройства. После выполнения необходимых сервисных операций интерфейс SSH следует сразу же отключать для
обеспечения безопасности устройства.
Сессии SSH
Сессии сервисного интерфейса SSH PowerStore осуществляются в соответствии с параметрами, установленными клиентом
SSH. Характеристики сессий зависят от параметров конфигурации клиента SSH.
Пароль сервисной учетной записи
Сервисная учетная запись — это учетная запись, с помощью которой персонал службы технической поддержки может
выполнять базовые команды Linux.
Во время начальной настройки устройства необходимо изменить сервисный пароль по умолчанию. Для сервисного пароля
применяются те же ограничения, что и для учетных записей управления системой (см. раздел Использование имени
пользователя и пароля на стр. 7).
Авторизация по протоколу SSH
Авторизация сервисных учетных записей основана на следующем:
● Изоляция приложений — программное обеспечение PowerStore использует технологию контейнеров, которая
обеспечивает изоляцию приложений. Доступ к устройству для сервисных целей обеспечивается сервисным
контейнером. Предоставляется только набор сервисных скриптов и набор команд Linux. У сервисной учетной записи нет
возможности получить доступ к другим контейнерам, которые обслуживают пользовательские операции ввода-вывода
файловой системы и блочного ввода-вывода.
● Разрешения файловой системы Linux — большинство инструментов и утилит Linux, которые тем или иным образом
изменяют работу системы, недоступны для сервисного пользователя и требуют прав учетной записи
суперпользователя. Так как у сервисной учетной записи нет таких прав доступа, она не позволяет использовать
средства и служебные программы Linux, для которых отсутствует разрешение на выполнение, и не позволяет изменять
файлы конфигурации, требующие доступа с правами root для чтение и/или изменения.
● Контроль доступа — помимо изоляции приложений, обеспечиваемой контейнерной технологией, механизм списка
контроля доступа (ACL) в устройстве использует список очень точно сформулированных правил для явного
Аутентификация и доступ 19