はじめに

diagnose debug reportを実行したときに、
実際に取得される情報について調べる企画、第6回目です。

あ、この企画やめときゃよかった、と今回で強く思いました。

show full-configuration system global

第6回目はshow full-configuration system globalです。

このコマンドはFortiGateの基本設定の確認が行えます。
基本設定という名前のとおり基本的な設定なので、範囲が広い。。

show full-configurationだと、デフォルト値も表示するので、出力が159行ありました。
さすがに長すぎるので、40行ずつ、4回に分けます。
※この仕事してると159行ってめっちゃ少なく見えますね

では実行結果を見ていきましょう。
今回も公式CLI Referenceを参考にしました。
docs.fortinet.com

### show full-configuration system global


#管理者の同時ログイン可否
    set admin-concurrent enable

#管理者ログインのタイムアウト時間
    set admin-console-timeout 0

#HTTPS Strict-Transport-SecurityのMAX値(ブラウザに記憶させる時間？)
    set admin-hsts-max-age 15552000

#管理者ログインに証明書を使うか
    set admin-https-pki-required disable

#HTTPでの管理アクセス時にHTTPSにリダイレクトするか
    set admin-https-redirect enable

#Web管理画面で使用可能なTLSバージョン
    set admin-https-ssl-versions tlsv1-1 tlsv1-2 tlsv1-3

#ログイン失敗の閾値に達した場合のロックアウト時間
    set admin-lockout-duration 60

#ログイン失敗時にロックアウトされる回数
    set admin-lockout-threshold 3

#同時ログイン可能な管理者数
    set admin-login-max 100

#メンテナンス用アカウント有効/無効
    set admin-maintainer enable

#Web管理画面のHTTP接続用ポート番号
    set admin-port 80

#リセットボタン長押しで初期化の有効/無効
    set admin-reset-button enable

#リモート認証システム利用時に、ローカル認証を利用するか
    set admin-restrict-local disable

#SCPによる設定バックアップの可否
    set admin-scp disable

#Web管理画面ログイン時に利用する証明書
    set admin-server-cert "self-sign"

#Web管理画面のHTTPS接続用ポート番号
    set admin-sport 443

#FortiGateへのSSH接続から認証までの最大許容時間
    set admin-ssh-grace-time 120

#SSH管理アクセスのパスワード認証可否
    set admin-ssh-password enable

#SSH管理アクセス用ポート番号
    set admin-ssh-port 22

#SSH v1互換性の利用可否
    set admin-ssh-v1 disable

#Telnetサービスの有効/無効
    set admin-telnet enable

#Telnet管理アクセス用ポート番号
    set admin-telnet-port 23

#管理コンソールのタイムアウト値
    set admintimeout 60

#FortiGateのエイリアス名
    set alias "FortiGate-50E"

#トラフィックのリダイレクト許可？
    set allow-traffic-redirect enable

#パケットリプレイ、TCPシーケンスのチェックレベル
    set anti-replay strict

#ARPテーブルの最大エントリー数
    set arp-max-entry 131072

#ファイアウォール認証時に利用する証明書（キャプティブポータル？）
    set auth-cert "Fortinet_Factory"

#ファイアウォール認証時に利用するHTTPポート（キャプティブポータル？）
    set auth-http-port 1000

#ファイアウォール認証時に利用するHTTPSポート（キャプティブポータル？）
    set auth-https-port 1003

#アイドル時にユーザー認証セッションがタイムアウトしないようにするかどうか
    set auth-keepalive disable

#許可されたユーザー認証セッションの数に達したときに実行するアクション
    set auth-session-limit block-new

#Fortinet拡張デバイスの自動認証の有効/無効
    set auto-auth-extension-device enable

#異常なシャットダウン後の自動ログパーティションチェックの有効/無効
    set autorun-log-fsck disable

#FortiGateのメモリが不足しているか、プロキシ接続の制限に達した場合に実行するアクション
    set av-failopen pass

#av-failopen時のアクション実行の有効/無効
    set av-failopen-session disable

#バッチモードの有効/無効
    set batch-cmdb enable

#ブロックされたセッションの時間
    set block-session-timer 30

#FDBエントリの最大数
    set br-fdb-max-entry 8192

#証明書チェーンでたどることができる証明書の最大数
    set cert-chain-max 8

所感

このあたりは「こんなんあんのか！」と思いました。
anti-replayは設定変更して検証してみたいですね。

#パケットリプレイ、TCPシーケンスのチェックレベル
    set anti-replay strict

#異常なシャットダウン後の自動ログパーティションチェックの有効/無効
    set autorun-log-fsck disable

#FortiGateのメモリが不足しているか、プロキシ接続の制限に達した場合に実行するアクション
    set av-failopen pass

こちらは久しぶりすぎて忘れていましたが、
パスワード忘れたときにメンテナンス用アカウントでログインさせるかどうか、
といった設定だったかと思います。

#メンテナンス用アカウント有効化
    set admin-maintainer enable

csps.hitachi-solutions.co.jp

さいごに

改めて見てみると知らない設定ばかりです。
show full-configrationコマンドはしっかりみると非常に勉強になりますね。

あと3回この作業を繰り返すのか。。。