| Oracle® Exadata Database Machineセキュリティ・ガイド 12cリリース2 (12.2) E85917-02 |
|
 前 |
 次 |
この項では、次の項目について説明します。
Oracle Exadataソフトウェア・リリース12.2.1.1.0以上には、Oracle Exadata Database Machine内のすべてのコンポーネントに対応するSecure Eraserと呼ばれるセキュア消去ソリューションが用意されています。
Oracle Exadata Database Machineは、次のコンポーネントで構成されます。
データベース・サーバー
ストレージ・サーバー
InfiniBandスイッチ
Ethernetスイッチ
配電ユニット
Secure Eraserは、2ソケット・サーバーと8ソケット・サーバーの両方を含むすべてのExadata Database Machine V2以上に対応する包括的なソリューションです。このソリューションは、データベース・サーバーとストレージ・サーバーのすべてのデータを消去し、InfiniBandスイッチ、イーサネット・スイッチおよび配電ユニットを出荷時のデフォルトにリセットします。
最適なパフォーマンスを得るため、セキュア消去はOracle Exadata Database Machineのすべてのレイヤーで並行して実行されます。データベース・サーバーとストレージ・サーバーは、並行して安全に消去されます。サーバー内では、すべてのデバイス・タイプ(ハード・ドライブ、フラッシュ・デバイス、内部USBなど)が並行して安全に消去されます。個々のデバイス・タイプについても、すべてのデバイスが並行して安全に消去されます。
Secure Eraserは、ストレージ・デバイスのハードウェア機能を自動的に検出し、そのデバイスでサポートされる最適な消去方法を選択します。可能な場合は、セキュリティと処理速度を向上させるために暗号消去が使用されます。
Secure Eraserには柔軟なオプションが用意されています。PXEまたは外部USBを使用してセキュア消去を開始することもできます。プロセス全体が完全に自動化されており、ユーザー操作は不要です。または、対話的に実行したり、特定のタイプのストレージ・デバイスを消去することもできます。
Secure Eraserは、ユーザーが進捗状況を簡単に監視できるように、進捗状況レポートを定期的(10秒ごと)に生成します。
セキュア消去が完了すると、安全に消去されたデバイスのリストを含む証明書がサーバーごとに生成されます。次の図は、Secure Eraserによって生成される証明書の例を示しています。
Oracle Exadataソフトウェア12.2.1.1.0以上には、ハード・ドライブ、フラッシュ・デバイスおよび内部USBのデータを安全に消去し、ILOMを出荷時のデフォルトにリセットするSecure Eraserという名前のユーティリティが付属しています。
Exadataの以前のバージョンでは、DROP CELL ERASE、DROP CELLDISK ERASE、DROP GRIDDISK ERASEなどのCellCLIコマンドを使用してユーザー・データを安全に消去できます。これらのDROPコマンドは、ハード・ドライブとフラッシュ・デバイスのユーザー・データにのみ対応しています。一方、Secure Eraserは、ユーザー・データのみでなく、オペレーティング・システム、Exadataソフトウェア、ユーザー構成を含むすべてのコンテンツをサニタイズします。さらに、ハード・ドライブ、フラッシュ・デバイス、内部USB、ILOMを含む広範囲のハードウェア・コンポーネントに対応します。
注意:
システム・デバイスが安全に消去された後は、サーバーをブートできなくなります。また、ILOMは出荷時のデフォルトにリセットされた後、リモートからアクセスできなくなります。ILOMには、シリアル・コンソールを使用して引き続きアクセスできます。
Secure Eraserユーティリティは、データベース・サーバーとストレージ・サーバーの両方で動作し、すべてのOracle Exadata Database Machine V2以上に対応します。
ハードウェアの機能に応じて、異なるセキュア消去方法が適用されます。一般に、Secure Eraserには3パス消去と暗号消去の2種類の消去方法があります。3パス消去法では、アドレス可能なすべての場所を1つの文字、その補数、ランダムな文字の順で上書きし、最後に結果を検証します。暗号消去法では、以前にユーザー・データを暗号化したときに使用した暗号化鍵を削除することにより、インスタント・セキュア消去(ISE)デバイスに存在するすべてのユーザー・データを消去します。
次の表に、使用されるセキュア消去方法のサマリーとそれぞれの所要時間を示します。3パス消去の所要時間は、ドライブのサイズや速度によって異なることに注意してください。これは、デバイス全体を3回上書きして1回読み取るのにかかる時間とほぼ同じです。ハード・ドライブ、フラッシュ・デバイスおよび内部USBは、並行して安全に消去されます。同じ種類のデバイスであれば、複数のデバイスを消去するのにかかる時間は1つの場合と変わりません。
表5-1 各種のデバイスを安全に消去するのにかかる時間
| コンポーネント | 型モデル | 消去方法 | 所要時間 |
|---|---|---|---|
ハード・ドライブ |
|
暗号消去 |
1分 |
ハード・ドライブ |
その他すべてのハード・ドライブ |
3パス消去 |
600GB: 7時間 1.2TB: 12時間 2TB: 35時間 3TB: 49時間 4TB: 56時間 |
フラッシュ・デバイス |
X3以上のフラッシュ・デバイス |
暗号消去 |
1分 |
フラッシュ・デバイス |
その他すべてのフラッシュ・デバイス |
3パス消去 |
22.875GB: 20分 |
内部USB |
すべてのプラットフォーム |
3パス消去 |
4GB: 30分 8GB: 1時間 |
ILOM |
すべてのプラットフォーム |
出荷時リセット |
1分 |
この手順では、ノードを再起動したときに自動的に実行されるようにSecure Eraserを構成します。
始める前に:
My Oracle Supportノート2180963.1でSecure Eraserの最新情報を確認し、Secure Eraserパッケージをダウンロードします。
消去するノードを起動するために使用できるPXEサーバーにアクセスできることを確認します。
消去するすべてのノードからアクセスできるNFSサーバーにアクセスできることを確認します。
消去するノードのいずれかにアクセスできることを確認します。
PXEイメージ・ファイルのinitrd (initrd-<version>)とカーネル(vmlinux-<version>)をSecure EraserパッケージからPXEサーバーの/tftpbootディレクトリにコピーします。
消去するデータベース・サーバーおよびストレージ・サーバーの名前を含むファイルを作成します。
このファイルを生成するため、消去するいずれかのノードで次のコマンドを実行し、ファイル内のノードが消去するノードであることを確認します。
# ibhosts | awk '/S [0-9\.\,]*/ || /C [0-9\.\,]*/ {print $6}' | sed "s/\"//g" > nodes_to_be_erased
Secure Eraserパッケージのdcliユーティリティと手順2で生成されたnodes_to_be_erasedファイルをPXEサーバーにコピーします。
pxe_cfg.templateという名前のPXE構成テンプレートを作成し、次の行を含めます。
default linux label linux kernel vmlinux-nfs-12.2.1.1.0-161015-cell append initrd=initrd-nfs-12.2.1.1.0-161015-cell.img dhcp pxe quiet loglevel=0 secureeraser bootarea=diagnostics console=tty1 console=ttyS0,115200n8 logpath=10.133.42.221:/export/exadata_secure_eraser_certificate_dir
1行目(default)は、使用するデフォルトのラベルがlinuxという名前であることを示します。
2行目(label)は、linuxラベルを定義します。
3行目(kernel)は、ロードするカーネル・ファイルを指定します。ここでは、手順1でコピーしたファイルです。
4行目(append)は、カーネルのコマンドラインにオプションを追加します。append文は、構成ファイル内の1行で指定する必要があります。
initrdオプションは、ロードするinitrdファイルを指定します。ここでは、手順1でコピーしたinitrdファイルです。
dhcpオプションは、DHCPを使用してeth0インタフェースを検出することを指定します。
pxeオプションは、仮想CDおよびUSBデバイスでのイメージの検索を抑制します。
quietオプションは、過度のカーネル・ログ・メッセージを無効にします。
loglevel=0オプションは、重要でないカーネル・メッセージを抑制します。
bootareaオプションは、ブート・モードがimaging installやrescueではなくdiagnosticであることを示します。
consoleオプションは、標準出力および標準エラー・メッセージがILOM Webコンソールとシリアル・コンソールの両方に出力されることを示します。
secureeraserオプションは、PXEブートによってSecure Eraserユーティリティが自動的に起動され、ノードのハード・ドライブ、フラッシュ・デバイス、内部USB、ILOMを含むすべてのメディアがサニタイズされることを示します。
logpathオプションは、Secure Eraserが証明書を保存するNFS共有ディレクトリを指定します。
デフォルトでは、前述のappend行によってSecure Eraserがすべてのコンポーネントを消去します。secureeraser-optionsを使用してSecure Eraserのコマンドライン・オプションを指定することで、デフォルトの動作を変更し、特定のコンポーネントのみを安全に消去できます。たとえば、PXEブート時にハード・ドライブとUSBのみを消去する場合、テンプレートは次のようになります。
default linux label linux kernel vmlinux-nfs-12.2.1.1.0-161015-cell append initrd=initrd-nfs-12.2.1.1.0-161015-cell.img dhcp pxe quiet loglevel=0 secureeraser secureeraser-options=”--hdd --usb” bootarea=diagnostics console=tty1 console=ttyS0,115200n8 logpath=10.133.42.221:/export/exadata_ secure_eraser_certificate_dir
PXEサーバーでテンプレート・ファイルを使用して、消去する各ノードの/tftpboot/pxelinux.cfg/ディレクトリにPXE構成ファイルを作成します。
PXE構成ファイルの名前は、ノードのダッシュ区切り形式のMACアドレスに接頭辞01-を付けたものです。
消去するノードにアクセスできる場合は、次の手順を使用して、各ノードのPXE構成ファイルをテンプレートに基づいて自動的に生成します。
PXEサーバーから消去するノードにSSH等価を設定します。このコマンドを実行すると、各ノードのrootパスワードの入力が要求されます。
pxe_server# dcli -g nodes_to_be_erased -k -l root
構成テンプレートに基づいて、消去するノードごとに1つずつのPXE構成ファイルを作成します。
pxe_server# dcli -g nodes_to_be_erased -l root "ip addr show eth0" |
awk '/link\/ether/ {print "01:"$3}' | sed "s/:/-/g" |
xargs -I {} cp pxe_cfg.template {}
消去するノードにアクセスできない場合は、次の手順を使用して、消去する各ノードのPXE構成ファイルを生成します。
各ノードのeth0インタフェースのMACアドレスを手動で収集し、それらをmac_addressesという名前のテキスト・ファイルに書き込みます。1行に1つのMACアドレスを記述します。次に例を示します。
00:10:e0:62:c4:fa 00:10:e0:62:c2:8a 00:10:e0:62:b8:7c 00:10:e0:62:b8:3a 00:10:e0:62:c6:bc
次のコマンドを使用して、構成テンプレートに基づいて消去するノードごとに1つずつのPXE構成ファイルのリストを作成します。
pxe_server# cat mac_addresses | sed "s/:/-/g;s/^/01-/g" |
xargs -I {} cp pxe_cfg.template {}
どちらの場合も、消去するノードごとに1つずつのPXE構成ファイルのリストが作成されます。たとえば、クオータ・ラック内のノードのMACアドレスが00:10:e0:62:c4:fa、00:10:e0:62:c2:8a、00:10:e0:62:b8:7c、00:10:e0:62:b8:3aおよび00:10:e0:62:c6:bcである場合は、次のファイルが作成されます。
01-00-10-e0-62-c4-fa 01-00-10-e0-62-c2-8a 01-00-10-e0-62-b8-7c 01-00-10-e0-62-b8-3a 01-00-10-e0-62-c6-bc
各ファイルの内容は構成テンプレートと同じです。
PXEサーバーの要件を確認します。使用するPXEサーバーによっては、必要な名前や設定が若干異なる場合があります。
PXEから起動するようにノードを構成し、ノードを再起動します。
消去するノードにアクセスできる場合は、次のコマンドを実行します。
pxe_server# dcli -g nodes_to_be_erased -l root "ipmitool chassis bootdev pxe” pxe_server# dcli -g nodes_to_be_erased -l root "reboot”
消去するノードにリモートからアクセスできないが、ILOMにリモートからアクセスできる場合は、次の手順に従います。
ILOMの名前を含むiloms_to_be_resetという名前のファイルを作成します。次に例を示します。
db1-ilom db2-ilom cell1-ilom cell2-ilom cell3-ilom
ILOMを使用して、PXEから起動するようにノードを構成します。このコマンドを実行すると、ILOMのrootパスワードの入力が要求されます。
pxe_server# cat iloms_to_be_reset | xargs -I {} ipmitool -I lanplus -H
{} -U root chassis bootdev pxe
ILOMからノードを再起動します。このコマンドを実行すると、ILOMのrootパスワードの入力が要求されます。
pxe_server# cat iloms_to_be_reset | xargs -I {} ipmitool -I lanplus -H
{} -U root chassis power cycle
ホストにもILOMにもリモートからアクセスできない場合は、シリアル・コンソールを使用してILOMにログインし、次のコマンドを実行します。
ILOM> set /HOST/boot_device=pxe ILOM> reset /SYS
Secure Eraserユーティリティが自動的に呼び出され、ハード・ドライブ、フラッシュ・デバイス、内部USBを含むすべてのストレージ・メディアがサニタイズされ、すべてのノードのILOMが並行して出荷時のデフォルトにリセットされます。
Secure Eraserは、指定されたlogpathの場所にsecureeraser_node_chassis_number_date_time.certificateという名前のファイルを作成します。node_chassis_numberは、CellCLIまたはDBMCLIでのストレージ・サーバーまたはデータベース・サーバーのID属性です。
このファイルには、10秒ごとに更新される進捗状況レポートが格納されます。進捗状況レポートは、各ノードのコンソールにも出力されます。次に、進捗状況レポートの例を示します。
ID Type Model Serial Number Size Status 1 Flash Flash Accelerator F80 PCIe Card FL00A96H 200.00GB Being Erased (6%) 2 Flash Flash Accelerator F80 PCIe Card FL00A84Y 200.00GB Being Erased (5%) 3 Flash Flash Accelerator F80 PCIe Card FL00A7D4 200.00GB Being Erased (5%) 4 Flash Flash Accelerator F80 PCIe Card FL00A6WG 200.00GB Being Erased (6%) 5 Flash Flash Accelerator F80 PCIe Card FL008KSE 200.00GB Being Erased (5%) 6 Flash Flash Accelerator F80 PCIe Card FL008KS3 200.00GB Being Erased (5%) 7 Flash Flash Accelerator F80 PCIe Card FL008KL7 200.00GB Being Erased (5%) 8 Flash Flash Accelerator F80 PCIe Card FL008KQR 200.00GB Being Erased (6%) 9 Flash Flash Accelerator F80 PCIe Card FL00A812 200.00GB Being Erased (5%) 10 Flash Flash Accelerator F80 PCIe Card FL00A79G 200.00GB Being Erased (5%) 11 Flash Flash Accelerator F80 PCIe Card FL00A80C 200.00GB Being Erased (6%) 12 Flash Flash Accelerator F80 PCIe Card FL00A79F 200.00GB Being Erased (6%) 13 Flash Flash Accelerator F80 PCIe Card FL00A5WD 200.00GB Being Erased (5%) 14 Flash Flash Accelerator F80 PCIe Card FL00A5XS 200.00GB Being Erased (5%) 15 Flash Flash Accelerator F80 PCIe Card FL00A7N1 200.00GB Being Erased (5%) 16 Flash Flash Accelerator F80 PCIe Card FL00A62G 200.00GB Being Erased (5%) 17 Disk H7240AS60SUN4.0T 1352E5XHWX 4.00TB Being Erased (1%) 18 Disk H7240AS60SUN4.0T 1352E60SYX 4.00TB Being Erased (1%) 19 Disk H7240AS60SUN4.0T 1352E60U4X 4.00TB Being Erased (1%) 20 Disk H7240AS60SUN4.0T 1352E5UPAX 4.00TB Being Erased (1%) 21 Disk H7240AS60SUN4.0T 1352E5XK3X 4.00TB Being Erased (1%) 22 Disk H7240AS60SUN4.0T 1352E62M7X 4.00TB Being Erased (1%) 23 Disk H7240AS60SUN4.0T 1352E5PSPX 4.00TB Being Erased (1%) 24 Disk H7240AS60SUN4.0T 1352E60TJX 4.00TB Being Erased (1%) 25 Disk H7240AS60SUN4.0T 1352E5LYDX 4.00TB Being Erased (1%) 26 Disk H7240AS60SUN4.0T 1352E602WX 4.00TB Being Erased (1%) 27 Disk H7240AS60SUN4.0T 1352E5LY9X 4.00TB Being Erased (1%) 28 Disk H7240AS60SUN4.0T 1352E5VX4X 4.00TB Being Erased (1%) 29 USB SSM 1900638EA8BFB749 8.00GB Being Erased (5%) 30 ILOM 1403NM50CA To Be Reset
進捗状況レポートの例が示すように、Secure Eraserはすべてのストレージ・デバイスを並行して消去します。ストレージ・デバイスが安全に消去された後、Secure EraserはILOMを出荷時のデフォルトにリセットします。これにより、一部のストレージ・デバイスでセキュア消去が失敗した場合でも、Webコンソールにアクセスしてリモート・デバッグを実行したり、ILOMにアクセスしてホストを制御したりできます。
セキュア消去が完了すると、手順4のlogpathオプションで指定したNFS共有の場所にsecureeraser_node_chassis_number_date_time.certificate.pdfという名前の証明書が生成されます。セキュア消去が成功した場合、そのノードは自動的に停止されます。一部のコンポーネントでSecure Eraserの処理が失敗した場合、そのノードは詳細なデバッグのため診断シェルに残されます。前述のすべての手順が成功し、問題が解決した場合は、手順6に戻ってSecure Eraserを再実行できます。
始める前に:
My Oracle Supportノート2180963.1で最新情報を確認し、Secure Eraserパッケージをダウンロードします。
消去するノードを起動するために使用できるPXEサーバーにアクセスできることを確認します。
消去するすべてのノードからアクセスできるNFSサーバーにアクセスできることを確認します。
消去するノードのいずれかにアクセスできることを確認します。
PXEイメージ・ファイルのinitrd (initrd-version)とカーネル(vmlinux-version)をSecure EraserパッケージからPXEサーバーの/tftpbootディレクトリにコピーします。
消去するデータベース・サーバーおよびストレージ・サーバーの名前を含むファイルを作成します。
このファイルを生成するため、消去するいずれかのノードで次のコマンドを実行し、ファイル内のノードが消去するノードであることを確認します。
# ibhosts | awk '/S [0-9\.\,]*/ || /C [0-9\.\,]*/ {print $6}' | sed "s/\"//g"
> nodes_to_be_erased
Secure Eraserパッケージのdcliユーティリティと手順2で生成されたファイルをPXEサーバーにコピーします。
pxe_cfg.templateという名前のPXE構成テンプレートを作成し、次の行を含めます。
default linux label linux kernel vmlinux-nfs-12.2.1.1.0-161015-cell append initrd=initrd-nfs-12.2.1.1.0-161015-cell.img dhcp pxe quiet loglevel=0 bootarea=diagnostics console=tty1 console=ttyS0,115200n8
この構成ファイルは、PXEブートによる自動的なセキュア消去で作成したものと異なり、セキュア消去を自動的に起動しないことを示すためにsecureeraserオプションが除外されています。ファイルのその他の部分は同じです。
PXEサーバーでテンプレート・ファイルを使用して、消去する各ノードの/tftpboot/pxelinux.cfg/ディレクトリにPXE構成ファイルを作成します。
PXE構成ファイルの名前は、ノードのダッシュ区切り形式のMACアドレスに接頭辞01-を付けたものです。
消去するノードにアクセスできる場合は、次の手順を実行して、各ノードのPXE構成ファイルをテンプレートに基づいて自動的に生成します。
PXEサーバーから消去するノードにSSH等価を設定します。このコマンドを実行すると、各ノードのrootパスワードの入力が要求されます。
pxe_server# dcli -g nodes_to_be_erased -k -l root
構成テンプレートに基づいて、消去するノードごとに1つずつのPXE構成ファイルのリストを作成します。
pxe_server# dcli -g nodes_to_be_erased -l root "ip addr show eth0" |
awk '/link\/ether/ {print "01:"$3}' | sed "s/:/-/g" | xargs -I {}
cp pxe_cfg.template {}
消去するノードにアクセスできない場合は、次の手順を実行して各ノードのPXE構成ファイルを生成します。
各ノードのeth0インタフェースのMACアドレスを手動で収集し、それらをmac_addressesという名前のテキスト・ファイルに書き込みます。1行に1つのMACアドレスを記述します。次に例を示します。
00:10:e0:62:c4:fa 00:10:e0:62:c2:8a 00:10:e0:62:b8:7c 00:10:e0:62:b8:3a 00:10:e0:62:c6:bc
次のコマンドを使用して、構成テンプレートに基づいて消去するノードごとに1つずつのPXE構成ファイルのリストを作成します。
pxe_server# cat mac_addresses | sed "s/:/-/g;s/^/01-/g" | xargs -I {} cp
pxe_cfg.template {}
どちらの場合も、消去するノードごとに1つずつのPXE構成ファイルのリストが作成されます。たとえば、クオータ・ラック内のノードのMACアドレスが00:10:e0:62:c4:fa、00:10:e0:62:c2:8a、00:10:e0:62:b8:7c、00:10:e0:62:b8:3aおよび00:10:e0:62:c6:bcである場合は、次のファイルが作成されます。
01-00-10-e0-62-c4-fa 01-00-10-e0-62-c2-8a 01-00-10-e0-62-b8-7c 01-00-10-e0-62-b8-3a 01-00-10-e0-62-c6-bc
各ファイルの内容は構成テンプレートと同じです。
PXEサーバーの要件を確認します。使用するPXEサーバーによっては、必要な名前や設定が若干異なる場合があります。
PXEから起動するようにノードを構成し、ノードを再起動します。
消去するノードにアクセスできる場合は、次のコマンドを実行します。
pxe_server# dcli -g nodes_to_be_erased -l root "ipmitool chassis bootdev pxe” pxe_server# dcli -g nodes_to_be_erased -l root "reboot”
ノードにアクセスできない場合は、次の手順を実行します。
ILOMの名前を含むiloms_to_be_resetという名前のファイルを作成します。次に例を示します。
db1-ilom db2-ilom cell1-ilom cell2-ilom cell3-ilom
ILOMを使用して、PXEから起動するようにノードを構成します。このコマンドを実行すると、ILOMのrootパスワードの入力が要求されます。
pxe_server# cat iloms_to_be_reset | xargs -I {} ipmitool -I lanplus -H {}
-U root chassis bootdev pxe
ILOMからノードを再起動します。このコマンドを実行すると、ILOMのrootパスワードの入力が要求されます。
pxe_server# cat iloms_to_be_reset | xargs -I {} ipmitool -I lanplus -H {}
-U root chassis power cycle
リモート・コンソールまたはシリアル・コンソールで次のプロンプトが表示された場合は、プロンプトで「e」を入力して診断シェルに入ります。
Choose from following by typing letter in '()':
(e)nter interactive diagnostics shell. Must use credentials from Oracle
support to login (reboot or power cycle to exit the shell),
Select:e
rootユーザーとしてシステムにログインします。
診断シェルのrootユーザーのパスワードの入力を要求されます。このパスワードはOracleサポートから入手できます。
localhost login: root Password: ********* -sh-3.1#
Secure Eraserユーティリティを実行して、すべてデバイスまたは特定のタイプのデバイスをサニタイズします。
-sh-3.1# /usr/sbin/secureeraser -–erase --all --output=REMOTE_NFS_LOCATION
REMOTE_NFS_LOCATIONには、リモートNFSの場所をIP:FILE_PATH形式で指定します。Secure Eraserユーティリティは、リモートNFSの場所を自動的にマウントし、そこに証明書を保存します。
たとえば、ハード・ドライブ、フラッシュ・デバイス、内部USB、ILOMを含むすべてのデバイスを消去し、10.133.42.221:/export/exadata_secure_eraser_certificate_dirというNFSの場所に証明書を保存するには、次のように入力します。
-sh-3.1# /usr/sbin/secureeraser --erase --all --output=10.133.42.221:/export /exadata_secure_eraser_certificate_dir
ハード・ドライブのみを消去するには、次のように入力します。
-sh-3.1# /usr/sbin/secureeraser --erase --hdd --output=10.133.42.221:/export /exadata_secure_eraser_certificate_dir
証明書を適切に保存するには、outputオプションにNFSの場所を指定する必要があることに注意してください。
消去するデバイスのリストが表示され、セキュア消去を続行するかどうかの確認を求められます。
PXEブートによる自動的なセキュア消去の手順7に示した進捗状況レポートが10秒ごとにコンソールに出力されます。
対話モードでは、指定したデバイスが安全に消去された後も、サーバーは稼働したままになります。診断シェルからノードの電源を切断できます。
ILOMがリセットされると、Webコンソールにアクセスできなくなります。シリアル・コンソールまたは電源ボタンを使用してサーバーの電源を切断できます。
外部USBドライブを使用してノードを安全に消去できます。
始める前に:
My Oracle Supportノート2180963.1で最新情報を確認し、Secure Eraserパッケージをダウンロードします。
外部USBがあることを確認します。
消去するノードに物理的にアクセスできることを確認します。
対話モードでは、指定したデバイスが安全に消去された後も、サーバーは稼働したままになります。診断シェルからノードの電源を切断できます。
ILOMがリセットされると、Webコンソールにアクセスできなくなります。シリアル・コンソールまたは電源ボタンを使用してサーバーの電源を切断する必要があります。
Secure Eraserユーティリティには複数のオプションがあります。
使用方法:
secureeraser [options]
図5-2 Secure Eraserのコマンドライン・オプション
| コマンドライン・オプション | 説明 |
|---|---|
|
システム上のデバイス(ハード・ドライブ、フラッシュ・デバイス、USBデバイスおよびILOM)をリストします。 |
|
データのセキュア消去を実行します。 |
|
プロンプトをスキップします。 |
|
システム上のすべてのデバイスに対してアクション( |
|
すべてのハード・ドライブを消去します。 |
|
指定した方法ですべてのハード・ドライブを消去します。サポートされている値は次のとおりです。
|
|
すべてのフラッシュ・デバイスを消去します。 |
|
指定した方法ですべてのフラッシュ・デバイスを消去します。サポートされている値は次のとおりです。
|
|
すべての内部USBデバイスを消去します。 |
|
指定した方法ですべての内部USBデバイスを消去します。サポートされている値は次のとおりです。
|
|
ILOMを出荷時のデフォルトにリセットします。 |
|
消去を実行する技術者の名前を指定します。この名前は証明書に記録されます。 |
|
消去に立ち会う人物の名前を指定します。この名前は証明書に記録されます。 |
|
証明書の出力場所となるディレクトリへのフルパスを指定します。デフォルトは |
|
このヘルプ・メッセージを表示して終了します。 |
例
システム上のすべてのデバイス(ハード・ドライブ、フラッシュ・デバイス、USBデバイスおよびILOM)をリストします。
secureeraser --list --all
すべてのハード・ドライブをリストします。
secureeraser --list --hdd
すべてのデバイスを安全に消去し、技術者と立会人の名前を証明書に入力します。
secureeraser --erase --all --technician="jdoe" --witness="jsmith"
ILOMを出荷時のデフォルトにリセットします。
secureeraser --erase --ilom
すべてのハード・ドライブを安全に消去します。
secureeraser --erase --hdd
すべてのハード・ドライブ、すべてのフラッシュ・デバイスおよびすべての内部USBデバイスを安全に消去します。フラッシュ・デバイスに対して「3パス」消去法を強制的に実行します。
secureeraser --erase --hdd --flash --usb --flash_erasure_method 3pass
始める前に:
My Oracle Supportノート2180963.1で最新情報を確認し、Secure Eraserパッケージをダウンロードします。
Secure EraserパッケージのExadata Factory Reset Certificateテンプレートを印刷します。
次の図は、Factory Reset Certificateを示しています。
Sun Datacenter InfiniBand Switch 36を出荷時のデフォルトにリセットするには、My Oracle Supportノート2180877.1を参照してください。
出荷時のデフォルトにリセットされたスイッチのシリアル番号をExadata Factory Reset Certificateテンプレートに記録します。エントリに署名し、日付を記入します。
InfiniBandスイッチのシリアル番号を特定するには、スイッチで次のコマンドを実行します。
[root@switch1 ~]# version | grep "Serial Number"
イーサネット・スイッチを出荷時のデフォルトにリセットするには、『Sun Rack II配電ユニット・ユーザーズ・ガイド』を参照してください。
出荷時のデフォルトにリセットされたイーサネット・スイッチのシリアル番号をExadata Factory Reset Certificateテンプレートに記録します。エントリに署名し、日付を記入します。
イーサネット・スイッチのシリアル番号は、「show version」コマンド出力の「Processor board ID」フィールドで特定できます。
Switch# show version
関連項目:
「Reset Catalyst Switches Running Cisco IOS Software」(
http://www.cisco.com/c/en/us/support/docs/switches/catalyst-2900-xl-series-switches/24328-156.html#reset_ios)配電ユニット(PDU)には、オリジナルPDUと拡張PDUの2つのタイプがあります。拡張PDUにはRS-232ケーブルを使用してホストに接続できるSER MGTポートがありますが、オリジナルPDUにSER MGTポートはありません。一般に、Exadata V2からX3までのラックにはオリジナルPDUがあり、X4以上には拡張PDUがあります。
『Sun Rack II配電ユニット・ユーザーズ・ガイド』で説明されているように、オリジナル配電ユニットと拡張配電ユニットの両方をリセットできます。
出荷時のデフォルトにリセットされた配電ユニットのシリアル番号をExadata Factory Reset Certificateテンプレートに記録します。エントリに署名し、日付を記入します。
シリアル番号は、『Sun Rack II配電ユニット・ユーザーズ・ガイド』で説明されているように、PDU Webインタフェースのモジュール情報ページで確認できます。
拡張PDUの場合は、次のCLIコマンドを使用してシリアル番号を取得することもできます。
pducli -> get pdu_serial_number
関連項目:
『Sun Rack II配電ユニット・ユーザーズ・ガイド』のPDUの出荷時のデフォルト設定へのリストア(オリジナルPDU)に関する項
『Sun Rack II配電ユニット・ユーザーズ・ガイド』のPDUの出荷時のデフォルト設定へのリストア(拡張PDU)に関する項
『Sun Rack II配電ユニット・ユーザーズ・ガイド』のモジュール情報の表示(オリジナルPDU)に関する項
『Sun Rack II配電ユニット・ユーザーズ・ガイド』のモジュール情報の表示(拡張PDU)に関する項
