ももの知恵の樹

HP-UXの高信頼性モード

HP-UXマシンで高信頼性モードで起動する方法


HP-UXマシンで高信頼性モードで起動するためには、HP-UX 11iV3のユーザ名/グループ名が拡張モードだとできない。(一度設定すると戻せない)


高信頼性モードにするには、samで以下のように設定する。

1. /usr/sbin/sam を起動

2. Auditing and Security -> Audited Events を選択

3. 以下のようなメッセージ画面が現れるので、そこで Yes を選択 


       You need to convert to a Trusted System before proceeding.
       The conversion process does the following things:
              :
       Do you want to convert to a Trusted System now?

4. コンバートが終了したら、OKを選択してリブート


通常モードに戻すには、samで以下のように設定する。

1. /usr/sbin/sam を起動

2. Auditing and Security -> Audited Events を選択

3. Actions -> Unconvert the System を選択

4. 確認のウィンドウが現れますので、そこで Yes を選択


これらの作業はコマンドでも実行可能 


/usr/lbin/tsconvert

コマンドで設定すると、既存ユーザのパスワードが期限切れの状態になるので以下のコマンドで回避可能。 


/usr/lbin/modprdef -m exptm=0,lftm=0,expwarn=0,mintm=0

解除する場合には以下のコマンドを実行する。

audit が起動している場合は、audit を停止してから高信頼性モードを解除する 


 /usr/sbin/audsys -f
 /etc/tsconvert -r

高信頼性モードへ移行すると、デフォルトのumaskが000から077へ変更されます。

新規作成されるファイルやディレクトリは所有者以外のアクセス権が一切なくなります。

既存ファイルのモードは変更されません。


高信頼性モードにおいて、パニックやTOCなどの不意のシステムダウンによりロックファイルが削除されずに残ってしまうことがあります。

root のロックファイルが残っている場合は、システムがマルチユーザモードで立ち上がらなくなります。

その場合は、rootユーザのロックファイル(/tcb/files/auth/r/root-t) が残存しているか確認し、ロックファイルがあれば削除してリブートします。 


   rm /tcb/files/auth/r/root-t
   shutdown -y -r now

高信頼性モード変更後にログインできない状態になった場合の通常モードへの復旧方法


シャットダウンする。(とにかく1度、電源が切れた状態にする)


システムをシングルユーザモードで起動する。

システム起動時に次の様なメッセージが表示された後、10秒以内にキーを押して、システムの自動起動を停止させる。 


      To discontinue press any key in 10 seconds.

main menu> からシステムディスクを検索する。

システムディスクの一覧を表示。 


      main menu> sea

main menu> からブートディスクを指定してシステムを起動します。 


main menu> bo <ブートディスク>
例) main menu> bo P1

ISLの確認メッセージが表示されるので[y]を選択する。


ILS> から以下を実行してシングルユーザモードでシステムを起動する。 


    ILS> hpux -is

シングルユーザモードが起動後、以下の作業をおこなう。


ファイルシステムをマウントします。 


# mount -a

上記にてマウンドが正常に出来なかった場合には、マウントシステムが壊れて

いる可能性があるので、fsck -F にて復元する。 


       # cat /etc/fstab にてマウント内容を確認。
       # fsck -F {vxfs | hfs} <スペース・デバイス>
        例) # fsck -F vxfs /dev/vg00/rlvol4  (注:lvol4の頭にrが付く)

TERMの設定をおこなう。 


# export TERM=vt100 又は setenv TERM vt100

通常モードへの変更手順

samを起動する。 


# sam

(1)rootで sam を起動します。

SAMのメニュー画面が表示されます。


(2) メニューの中から「SAM Auditing and Security」を選択します。

SAM Auditing and Securityのメニュー画面が表示されます。


(3) メニューの中から「SAM Audited Event」を選択します。

SAM Audited Eventのメニュー画面が表示されます。


(4)「Actions」メニューから「Unconvert the system」を選択します。

確認ダイヤログがでますが、Yesを選択する。


(5) メニュー操作により、SAM Auditing and Securityのメニュー画面に戻る。


(6) メニューの中から「SAM Audited System Call」を選択します。

SAM Audited System Callのメニュー画面が表示されます。


(7) 「Actions」メニューから「Unconvert the system」を選択します。

確認ダイヤログがでますが、Yesを選択する。


(8) メニュー操作により、SAM Auditing and Securityのメニュー画面に戻る。


(9) メニューの中から「SAM Audited System Call」を選択します。

SAM Audited System Callのメニュー画面が表示されます。


(10)「Actions」メニューから「Unconvert the system」を選択します。

確認ダイヤログがでますが、Yesを選択する。


(11)メニュー操作により、SAM Auditing and Securityのメニュー画面に戻る。


(12)メニューの中から「SAM Audited Users」を選択します。

SAM Audited Usersのメニュー画面が表示されます。


(13)「File」メニューから「Exit SAM」を選択し、samを終了する。


(14) /etc/passwd を編集してrootのパスワードを削除する。


(15) passwdコマンドにてrootのパスワードを再設定する。

※同様に各ユーザのパスワードも再設定する必要があるかもしれません。


(16) マシンを再起動する。


高信頼性システムへ変更問題


コマンド/usr/lbin/tsconvertを使用し高信頼性システム(trusted system)に変換する場合、以後全てのユーザーでログインできないという状態が発生した事があります。


その際に/etc/nsswitch.confの内容を下記とすることで解決しました。 


    passwd:       compat
     group:         compat
      ↓
    passwd:  files
     group:     files