IOS. Версии, лицензии Cisco

У начинающих cisco-водов много вопросов вызывают различные варианты линеек IOS их отличия и функционал. Дополнительную сумятицу внесло появление новых маршрутизаторов ISR G2 и новой линейки IOS версии 15. Попробуем разобраться на пальцах.

Будем обсуждать IOS для самых распространенных маршрутизаторов – Integrated Services Router (ISR) первой и второй «волны» (G1 и G2). Я не буду вдаваться совсем уж в историю и начну с IOS 12 версии. Более ранние, конечно, бывают, но встречаются сейчас крайне редко. Мало того, даже для самого древнего железа уже как правило хотя бы 12.0 версия есть.

Начиная с этой линейки у cisco появилось понятие «стабильный» или «основной» образ (main deployment, MD), «ранние версии» (early deployment, ED), всякие экспериментальные версии (обычно содержат несколько новых фич) и целая «продвинутая» технологическая линейка (обозначается буквой Т в названии IOS). Общая идеология такая: все, что обкатали в экспериментальных и технологических линейках предыдущих версий, появляется как основная фича в следующей версии основной линейки. Например, то, что было в 12.3Т и прошло успешные испытания, зафиксировано в 12.4 MD. Понятно, что возможностей у Т-линейки больше, функционал менее оттестирован и статистически менее надежен.

Отдельная тема: функционал IOS. Чтобы вас не запутать, давайте разделим: IOS для ISR G1 (самых обычных маршрутизаторов 85х, 87х, 18хх, 28хх, 38хх а также их предшественников 26хх, 36хх, 37хх) и IOS для ISR G2 (89х, 19хх, 29хх, 39хх). Для последних есть ТОЛЬКО IOS версии 15.0(1)М и новее. Для старых есть и 12 и 15 версия.

Примечание: версий 12.5, 13 и 14 никогда не было. По легенде, 13 – несчастливое число в США, а 14 – в Японии.
Примечание 2: маршрутизатор 86х хоть и относится формально к G2, о выпущен раньше остальной линейки. Имеет IOS 12.4 и не лицензируется (т.е. работает так же, как G1)

ISR G1:
В версиях до 15 фичи IOSов можно было разделить на несколько типов:

  1. Security. Позволяет сделать VPN разного вида, МСЭ, IPS и защитить сам маршрутизатор.
  2. Enterprise. Позволяет обрабатывать не только IPv4, например, IPX, CLNP. Раньше только в него включали IPv6. Сейчас этот протокол есть и в Base
  3. Unified communications. Всевозможные телефонные фичи, типа CUCM, gateway, gatekeeper и пр.
  4. IP Base. Минимальный набор. Даже ip sla нет! Я стараюсь IP Base не оставлять.

Самих IOSов было гораздо больше, т.к. они могли сочетать разные фичи. Подробно узнать, какие возможности есть в каком IOS можно в цискином удобном фича-навигаторе.


UPD от 3.04.11

Названия линеек IOSов в 12 версии

IP Base
IP Voice
Advanced Security
SP Services
Enterprise Base
Advanced IP Services
Enterprise Services
Advanced Enterprise Services


С 15 версии возможности называются почти так же

  1. Security
  2. DATA
  3. UC
  4. Base

15 версия IOS содержит в себе ВСЕ возможности. Для ISR G1 это означает, что можно закачать свежий IOS 15 версии и не бояться. Т-линейка, как и прежде, содержит в себе больше возможностей, но считается менее стабильной.

Зачем же выделять группы фич, если они все доступны? А вот зачем: в ISR G2 внедрена система лицензирования фич, примерно как на ASA. Т.е. залить в ISR G2 другой IOS и получить другой функционал, как привыкли делать в ISR G1, не получится. Нужно покупать лицензии на нужный функционал. Так cisco борется с изобилием «не совсем легальных установок» продвинутого функционала. Ведь IP BASE стоит гораздо дешевле, чем нужный bundle, а значит можно «сэкономить». И хоть формально за это можно пожурить, но если вы не покупали поддержку от cisco (SmartNet), то о факте такой замены никто не узнает.

Дополнительную сложность вносит наше таможенное законодательство, которое ставит табу на ввоз шифровальных средств с длиной ключа более 56 бит (DES еще проходит и так ввозят ASA-K8, а 3DES/AES- нет). Cisco в ответ на эти запреты выпустила локализованную версию IOS, с обрезанным функционалом по шифрованию туннелей. Первой ласточкой была NOVPN для 3845, а для 15 версии IOS такая линейка называется NPE (No Payload Encryption). Такой шаг позволил получить на ISR G2 нотификацию и ввозить на территорию РФ такие циски беспрепятственно (ISR G1 легко ввозятся с IOS IP Base). Однако, лишил нас массы удобных возможностей: IPSec VPN, L2TPoIPSec, SSLVPN, GETVPN, DMVPN, sRTP и других шифровальных возможностей … То, за что многие так уважают цискины маршрутизаторы. Вы можете купить bundle UC, Sec-NPE, DATA, но ни одна из них вам не разблокирует шифрования. И до недавнего времени решения этой проблемы не было: официально купить полноценный IOS (PE) и лицензию на Security, где есть VPN не было…
Но если очень хочется…

Недавно появилась такая возможность: на 12 лет получить «технологические лицензии» на шифрование (SecurityK9, UCk9, DATAk9). Для этого можно сделать так:

  1. Найти где-нибудь IOS не NPE, т.е. без NPE в названии, т.е., например, вот такой: c2900-universalk9-mz.SPA.151-3.T.bin.
  2. ИОС не ниже версий: 15.0(1)M4, 15.1(1)T2, 15.1(2)T2, 15.1(3)T.
  3. Ввести несколько волшебных команд, которые при некоторой настойчивости находятся так:

Ro(config)# license boot ?

и после ввода каждой из строк согласиться с EULA.

Примечание: я намеренно не привожу точных команд, т.к. не знаю, как отреагируют владельцы Хабра на такой «хак»

  1. Сохраниться
  2. Перезагрузить маршрутизатор, не пугаясь предупреждения, что до конца технологического периода осталось всего ничего: 12 лет 🙂

Дисклаймер: пользуемся на свой страх и риск. Регуляторы возможно могут придраться, так что готовьте security action plan отката. Возможны подводные камни, о которых я не знаю. Например, один из тестировщиков решения сообщил, что после заливки лицензий и перезагрузки пропала часть команд ip inspect.

Проблема в том, что прошивки без стойкого шифрования (с одним только DES) не существует, есть только NPE (вообще без шифрования) и universal (со стойким шифрованием). Поэтому, у ФСБ вопросы будут, как только Вы загрузите в рутер прошивку universal (и не важно, что Вы будете использовать только DES, важно, что оно УМЕЕТ и не только DES — Такова ИХ позиция). При том, вопросы будут не зависимо от того, дала ли Вам компания CISCO право загружать эту прошивку, или нет (если, конечно, Вы не кредитная организация, имеющая лицензию ЦБ РФ). 

Рубрика: Cisco | Оставить комментарий

Выбор правильно прошивки при загрузке Cisco

conf t 
no boot system flash:c800-universalk9-mz.SPA.154-3.M9.bin 
а потом уже выполнять 
boot system flash:c800-universalk9-mz.SPA.154-3.M10.bin 
Если этого не сделать в конфиге будет две записи 
boot system flash:c800-universalk9-mz.SPA.154-3.M9.bin 
boot system flash:c800-universalk9-mz.SPA.154-3.M10.bin 
И загрузится старая прошивка.

Рубрика: Cisco | Оставить комментарий

Загрузка обновления прошивки Cisco

наткнулся на сайт где лежат прошивки для маршрутизаторов cisco: http://tfr.org/cisco-ios/

Для обновления нам понадобится:
1. TFTP сервер
2. Свежий IOS
3. Доступ к консоли маршрутизатора
В качестве TFTP сервера можно использовать Tftpd32. Кроме TFTP сервера выполняет функции TFTP клиента, DHCP сервера, Syslog сервера. Настройки у нее простейшие — необходимо указать папку корневую папку с файлами и интерфейс по которому будет отвечать наш TFTP сервер.
Свежий IOS берется на cisco.com. Правда предварительно нужно оплатить SmartNet (на разные железки он стоит разных денег). Можно пойти другим путем и посетив один из множества торрент-трекеров найти необходимый.
Итак, TFTP настроен, IOS положен в соответствующую папку. Запускаем консольного клиента (я использую putty) и логинимся на рутер.
Первое на что нужно сделать, работает ли наш TFTP, для этого просто скопируем на него нашу текущую конфигурацию:

RTR001#copy run tftp
Address or name of remote host []? 10.10.10.10
Destination filename [rtr001-confg]?
!!
28345 bytes copied in 1.980 secs (14316 bytes/sec)
RTR001#

В логах TFTP увидим приблизительно следующее:

Connection received from 10.10.10.1 on port 59968 [30/09 12:57:15.775]
Write request for file <rtr001-confg>. Mode octet [30/09 12:57:15.775]
Using local port 4706 [30/09 12:57:15.791]
<rtr001-confg>: rcvd 56 blks, 28345 bytes in 0 s. 0 blk resent [30/09 12:57:15.978]

А на диске, у нас появится файл rtr001-confg.
Сразу после проверки линка, выясним сколько у нас места на флешке:

RTR001#sho flash:
-#- --length-- -----date/time------ path
1     27624324 Apr 21 2009 03:48:56 c2801-ipbasek9-mz.124-24.T.bin
2         2746 Apr 29 2008 13:22:40 sdmconfig-2801.cfg
3       931840 Apr 29 2008 13:23:02 es.tar
4      1505280 Apr 29 2008 13:23:24 common.tar
5         1038 Apr 29 2008 13:23:42 home.shtml
6       112640 Apr 29 2008 13:24:00 home.tar
7      1697952 Apr 29 2008 13:24:32 securedesktop-ios-3.1.1.45-k9.pkg
8       415956 Apr 29 2008 13:24:58 sslclient-win-1.1.4.176.pkg

31686656 bytes available (32309248 bytes used)

для того чтобы залить туда новый adventerprisek9 IOS места уже не хватит. Что же делать? Есть 2 варианта:
— скопировать старый IOS на TFTP, удалить с маршрутизатора, залить новый
или
— удалить с маршрутизатора и залить новый.
Для чего сохранять старый? Бывает что под новой редакцией IOS что-то может и не заработать, и придется откатиться назад 🙁
Как Вам поступить Вы решите сами. Я делаю так — если это мой локальный маршрутизатор к которому в случае чего можно подступиться, то выбираю пункт 2, если это удаленная площадка, то в зависимости от ширины канала все равно пункт 2 🙂

Удаляем старый IOS:

RTR002#delete c2800nm-adventerprisek9_mz.124-24.T.bin
Delete filename [c2800nm-adventerprisek9_mz.124-24.T.bin]?
Delete flash:/c2800nm-adventerprisek9_mz.124-24.T.bin? [confirm]
RTR002#

Файл удален, заливаем новый:

RTR002#copy tftp flash:
Address or name of remote host []? 10.10.10.10
Source filename []? ios/c2800nm-adventerprisek9_ivs_mz.124-24.T1.bin
Destination filename [c2800nm-adventerprisek9_ivs_mz.124-24.T1.bin]?
Accessing tftp://10.10.10.10/ios/c2800nm-adventerprisek9_ivs_mz.124-24.T1.bin...
Loading ios/c2800nm-adventerprisek9_ivs_mz.124-24.T1.bin from 10.10.10.10 (via FastEthernet0/1.10): !!!!!!!!!!!!!!!!!!!!!!!
[OK - 59971380 bytes]

IOS на флешке, но торопиться не надо. Нужно проверить MD5, для этого воспользуемся командой:

RTR002#verify /md5 flash:c2800nm-adventerprisek9_ivs_mz.124-24.T1.bin
..............................................................................................................
..............................................................................................................
..............................................................................................................
..............................................................................................................
..............................................................................................................Done!
verify /md5 (flash:c2800nm-adventerprisek9_ivs_mz.124-24.T1.bin) = e8fab98a72c1516538da7686f8404fcf

RTR001#

И если MD5 совпадают (правильный MD5 показывается при скачивании файла с cisco.com) можно завершать начатое 🙂
Остается только поменять в конфиге команду загрузки с
boot system flash:c2800nm-adventerprisek9_mz.124-24.T.bin
на
boot system flash:c2800nm-adventerprisek9_ivs_mz.124-24.T1.bin
и отправить рутер в перезагрузку

Рубрика: Cisco | Оставить комментарий

Просмотр информации о состоянии машрутизатора Cisco

show processes cpu

show proc cpu history

sh proc cpu sorted | ex 0.0
show interfaces
show interfaces switching
show interfaces stat
show ip nat translations
show align
show version

Рубрика: Cisco | Оставить комментарий

Первичная настройка Cisco 800 серии

Итак распаковываем роутер, заливаем последнюю прошивку (для SSH необходим минимум Advanced Security), делаем
#erase startup-config
дабы избавится от преднастроеного мусора и перегружаемся.

Настройка авторизации и доступа по SSH

! включаем шифрование паролей
service password-encryption
! используем новую модель ААА и локальную базу пользователей
aaa new-model
aaa authentication login default local
! заводим пользователя с максимальными правами
username admin privilege 15 secret PASSWORD

! даем имя роутеру
hostname <...>
ip domain-name router.domain
! генерируем ключик для SSH
crypto key generate rsa modulus 1024
! тюнингуем SSH
ip ssh time-out 60
ip ssh authentication-retries 2
ip ssh version 2
! и разрешаем его на удаленной консоли
line vty 0 4
 transport input telnet ssh
 privilege level 15

Настройка роутинга

! включаем ускоренную коммутацию пакетов
ip cef

Настройка времени

! временная зона GMT+2
clock timezone Russia3
clock summer-time Russia recurring last Sun Mar 2:00 last Sun Oct 2:00
! обновление системных часов по NTP
ntp update-calendar
! ntp сервера лучше задавать по айпи, ибо если при перегрузке DNS-сервера не доступны то настройки по именам слетают…
ntp server NTP.SERVER.1.IP
ntp server NTP.SERVER.2.IP

Архивирование конфигов

! включаем архивирование всех изменений конфига, скрывая пароли в логах
archive
 log config
  logging enable
  hidekeys

! историю изменения конфига можно посмотреть командой
show archive log config all

Настройка DNS

! включить разрешение имен
ip domain-lookup
! включаем внутренний DNS сервер
ip dns server
! прописываем DNS провайдера
ip name-server XXX.XXX.XXX.XXX
! на всякий случай добавляем несколько публичных DNS серверов
ip name-server 4.2.2.2
ip name-server 208.67.222.222
ip name-server 208.67.220.220

Настройка локальной сети

! обычно порты внутреннего свитча на роутере объединены в Vlan1
interface Vlan1
 description === LAN ===
 ip address 192.168.???.1

! включаем на интерфейсе подсчет пакетов передаваемых клиентам — удобно просматривать кто съедает трафик
 ip accounting output-packets

! посмотреть статистику можно командой
show ip accounting
! очистить
clear ip accounting

Настройка DHCP сервера

! исключаем некоторые адреса из пула
ip dhcp excluded-address 192.168.???.1 192.168.???.99
! и настраиваем пул адресов
ip dhcp pool LAN
   network 192.168.???.0 255.255.255.0
   default-router 192.168.???.1 
   dns-server 192.168.???.1

Настройка Internet и Firewall

! настраиваем фильтр входящего трафика (по умолчанию все запрещено)
ip access-list extended FIREWALL
 permit tcp any any eq 22

! включаем инспектирование трафика между локальной сетью и Интернетом
ip inspect name INSPECT_OUT dns
ip inspect name INSPECT_OUT icmp
ip inspect name INSPECT_OUT ntp
ip inspect name INSPECT_OUT tcp router-traffic
ip inspect name INSPECT_OUT udp router-traffic
ip inspect name INSPECT_OUT icmp router-traffic

! настраиваем порт в Интернет и вешаем на него некоторую защиту
interface FastEthernet 4
 description === Internet ===
 ip address ???.???.???.??? 255.255.255.???
 ip virtual-reassembly
 ip verify unicast reverse-path
 no ip redirects
 no ip directed-broadcast
 no ip proxy-arp
 no cdp enable
 ip inspect INSPECT_OUT out
 ip access-group FIREWALL in

! ну и напоследок шлюз по умолчанию
ip route 0.0.0.0 0.0.0.0 ???.???.???.???

Настройка NAT

! на Интернет интерфейсе
interface FastEthernet 4
 ip nat outside

! на локальном интерфейсе
interface Vlan1
 ip nat inside

! создаем список IP имеющих доступ к NAT
ip access-list standard ACL_NAT
permit 10.10.10.0 0.0.0.255

! включаем NAT на внешнем интерфейсе
ip nat inside source list ACL_NAT interface FastEthernet4 overload

! добавляем инспекцию популярных протоколов
ip inspect name INSPECT_OUT http
ip inspect name INSPECT_OUT https
ip inspect name INSPECT_OUT ftp

Отключение ненужных сервисов

no service tcp-small-servers
no service udp-small-servers
no service finger
no service config
no service pad
no ip finger
no ip source-route
no ip http server
no ip http secure-server
no ip bootp server

Пример конфига:


no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname c851-test
!
boot-start-marker
boot-end-marker
!
enable secret 5 $1$AkGd$d9gr6eA2Nr1UF8hwHjNDP.
!
aaa new-model
!
!
aaa authentication login default local
!
!
aaa session-id common
clock timezone Russia 3
!
!
dot11 syslog
no ip dhcp use vrf connected
!
ip dhcp pool LAN
network 10.10.10.0 255.255.255.0
default-router 10.10.10.1 255.255.255.0
dns-server 10.10.10.1 255.255.255.0
!
!
ip cef
ip inspect name INSPECT_OUT dns
ip inspect name INSPECT_OUT icmp router-traffic
ip inspect name INSPECT_OUT ntp
ip inspect name INSPECT_OUT tcp router-traffic
ip inspect name INSPECT_OUT udp router-traffic
ip domain name c851-test.domain.test
ip name-server 8.8.8.8
!
!
!
username admin privilege 15 secret 5 $1$w431$5gNuhGexZGnmghstz1D1U0
!
!
archive
log config
logging enable
hidekeys
!
!
ip ssh time-out 60
ip ssh authentication-retries 2
ip ssh version 2
!
!
!
interface FastEthernet0
!
interface FastEthernet1
!
interface FastEthernet2
!
interface FastEthernet3
!
interface FastEthernet4
description === Inet =======
ip address 172.16.28.2 255.255.255.0
ip access-group FIREWALL in
ip verify unicast reverse-path
no ip redirects
no ip proxy-arp
ip inspect INSPECT_OUT out
ip nat outside
ip virtual-reassembly
duplex auto
speed auto
no cdp enable
!
interface Dot11Radio0
no ip address
shutdown
speed basic-1.0 basic-2.0 basic-5.5 6.0 9.0 basic-11.0 12.0 18.0 24.0 36.0 48.0 54.0
station-role root
!
interface Vlan1
ip address 10.10.10.1 255.255.255.0
ip accounting output-packets
ip nat inside
ip virtual-reassembly
!
ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 172.16.28.1
!
no ip http server
no ip http secure-server
ip dns server
ip nat inside source list ACL_NAT interface FastEthernet4 overload
ip nat inside source list NAT interface FastEthernet4 overload
!
ip access-list standard ACL_NAT
permit 10.10.10.0 0.0.0.255
!
ip access-list extended FIREWALL
permit tcp any any eq 22
permit icmp any any
ip access-list extended NAT
permit ip host 10.10.10.0 any
!
no cdp run
!
control-plane
!
!
line con 0
password 7 110A1016141D
no modem enable
line aux 0
line vty 0
privilege level 15
password 7 045802150C2E
transport input ssh
line vty 1 4
privilege level 15
transport input ssh
!
scheduler max-task-time 5000
end

Рубрика: Cisco, Новости | Оставить комментарий

Изменение настроек ILO2-3-4-5 через утилиту hponcfg

УСТАНОВКА:

CentOs, Rhel

yum install hponcfg -y

Debian, Ubuntu

apt-get install hponcfg

Далее все просто, импортируем файл текущих настроек ILO с помощью команды:

hponcfg -a -w iloconfig.cfg

Правим файл iloconfig.cfg, настройки описаны в формате XML и имеют нормально читаемые названия.

Например, если необходимо выдать статический ip адрес, то необходимо поправить эти параметры.

После всех правок необходимо экспортировать настройки командой:

hponcfg -f iloconfig_new.cfg

Для добавления пользователя необходимо сформировать такой xml файл

<ribcl version="2.0"> <login USER_LOGIN="admin" PASSWORD="password"> <user_INFO MODE="write"> <add_USER USER_NAME="your_name" USER_LOGIN="login" PASSWORD="password"> <reset_SERVER_PRIV value="Y" /> <admin_PRIV value="Y" /> </add_USER> </user_INFO> </login> </ribcl>
Рубрика: HP, Новости, Общее | Оставить комментарий

Изменение настроек и пароля на ILO100

Иногда нужно на старых серверах поменять настройки ilo100 а пароль забыт. тогда приходит на помощь утилита lo100cfg из комплекта ss-scripting-toolkit. https://downloads.hpe.com/pub/softlib2/software1/pubsw-linux/p1221080004/v66036/ss-scripting-toolkit-linux-8.60.tar.gz

Примерный конфиг:

<lo100cfg> <summary> <firmware version="2.21" /> <hardware version="1.0" /> <ipmi version="2.0" /> <features> <remote_storage status="full" /> <web_services status="full" /> <remote_kvm status="full" /> <ssh_ssl status="full" /> </features> </summary> <license_key key="ЧЧЧЧ-ЧЧЧЧ-WWG9G-Q9BPC-SK9TC" /> <power restore_policy="power_on" /> <serial_port mode="dedicated" /> <nic mode="static" type="dedicated"> <ipv4 address="192.168.10.73" mask="255.255.255.0" gateway="192.168.10.1" /> <firewall http_active="yes" ping_active="yes" telnet_active="yes" /> </nic> <users> <user id="1" name="" privilege_level="user" /> <user id="2" name="Operator" privilege_level="operator" /> <user id="3" name="admin" privilege_level="administrator" /> <user id="4" name="OEM" privilege_level="oem" /> <user id="5" name="Operator" privilege_level="operator" /> <user id="6" name="admin" privilege_level="administrator" /> <user id="7" name="OEM" privilege_level="oem" /> <user id="8" name="Operator" privilege_level="operator" /> <user id="9" name="admin" privilege_level="administrator" /> <user id="10" name="OEM" privilege_level="oem" /> <user id="11" name="Operator" privilege_level="operator" /> <user id="12" name="admin" privilege_level="administrator" /> <user id="13" name="OEM" privilege_level="oem" /> <user id="14" name="Operator" privilege_level="operator" /> <user id="15" name="admin" privilege_level="administrator" /> <user id="16" name="OEM" privilege_level="oem" /> </users> </lo100cfg>

Варианты изменения:

Example output from an LO100 module: <lo100cfg> <license_key key="12345-12345-12345-12345-12345" /> <power restore_policy="power_off" /> <serial_port mode="dedicated" /> <nic mode="dhcp" type="dedicated"> <ipv4 address="10.10.10.18" mask="255.255.252.0" gateway="10.10.10.1" /> <firewall http_active="yes" ping_active="yes" telnet_active="yes" /> </nic> <users> <user id="1" name="" privilege_level="user" /> <user id="2" name="operator" privilege_level="operator" /> <user id="3" name="admin" privilege_level="admin" /> <user id="4" name="oem" privilege_level="oem" /> </users> </lo100cfg> XML configuration parameters and requirements: power restore_policy=&#187;power_off|power_restore|power_on&#187; serial_port mode=&#187;dedicated|shared&#187; nic mode=&#187;dhcp|static&#187; nic type=&#187;dedicated|shared&#187; ipv4 address=&#187;0.0.0.0&#8243; ipv4 mask=&#187;0.0.0.0&#8243; ipv4 gateway=&#187;0.0.0.0&#8243; firewall http_active=&#187;yes|no&#187; firewall ping_active=&#187;yes|no&#187; firewall telnet_active=&#187;yes|no&#187; users add_user id=[1-16] name=&#187;user&#187; password=&#187;user&#187; privilege_level=&#187;user|operator|administrator|oem&#187; users delete_user id=[1-16] log clear=&#187;yes|no&#187; Clear the BMC log: <lo100cfg> <log clear="yes" /> </lo100cfg> Turn power on after a power failure: <lo100cfg> <power restore_policy="power_on" /> </lo100cfg> Turn power off after a power failure: <lo100cfg> <power restore_policy="power_off" /> </lo100cfg> Restore power to last state before power failure: <lo100cfg> <power restore_policy="power_restore" /> </lo100cfg> Configure a dedicated serial port: <lo100cfg> <serial_port mode="dedicated" /> </lo100cfg> Configure a shared serial port: <lo100cfg> <serial_port mode="shared" /> </lo100cfg> Configure the NIC with DHCP settings: <lo100cfg> <nic mode="dhcp" /> </lo100cfg> Configure the NIC with a static IP: <lo100cfg> <nic mode="static"> <ipv4 address="10.10.10.18" mask="255.255.252.0" gateway="10.10.10.1" /> </nic> </lo100cfg> Configure a dedicated NIC: <lo100cfg> <nic type="dedicated" /> </lo100cfg> Configure a shared NIC: <lo100cfg> <nic type="shared" /> </lo100cfg> Configure firewall parameters: <lo100cfg> <nic> <firewall http_active="yes" ping_active="no" telnet_active="no" /> </nic> </lo100cfg> Add a user account: <lo100cfg> <users> <add_user id="7" name="user" password="user" privilege_level="oem" /> </users> </lo100cfg> Changing a user account:: <lo100cfg> <users> <change_user id="8" name="user" password="user" privilege_level="oem" /> </users> </lo100cfg> Delete a user account: <lo100cfg> <users> <delete_user id="9" /> </users> </lo100cfg> Set a license key: <lo100cfg> <set_license_key key="12345-12345-12345-12345-12345" /> </lo100cfg>

Синтаксис

Lights Out 100 Config v1.2-4
Copyright 2008 Hewlett-Packard Development Company, L.P.

loo100cfg [ -h | -x | -v | -i «file.xml» | -k «» | -o «file.xml» | -s ]

Supported Arguments:
-h — List of command line arguments supported and descriptions.
-x — Displays example XML to perform configuration tasks.
-v — Output the current copyright and version information.
-i «file.xml» — Load and run the given XML configuration file.
-k «» — Load and run the XML-formatted configuration string.
-o «file.xml» — Save the current configuration to a file.
-s — Output the current configuration to the console.

Рубрика: HP | Оставить комментарий

SE linux Постоянные изменения: semanage fcontext

Команда /usr/sbin/semanage fcontext изменяет контекст SELinux для файлов. При использовании целевой политики targeted, изменение вносимые данной командой, добавляются в файл /etc/selinux/targeted/contexts/files/file_contexts, если изменения вносятся для существующих файлов, то они добавляются в файл file_contexts, или добавляютсяв файл file_contexts.local для новых файлов и каталогов, например при создании каталога /web/setfiles, использующаяся при маркирование файловой системы и /sbin/restorecon, использующаяся для восстановления контекста SELinux по умолчанию, читают эти файлы. Это значит, что изменения вносимые командой /usr/sbin/semanage fcontext постоянно, даже если файловая система будет перемаркирована. Политика SELinux контролирует возможность пользователей изменять контекст файлов.

Быстрое ознакомление

Для внесения изменений в контекст SELinux изменений, которые сохранятся при перемаркировании файловой системы:

  1. Выполните команду /usr/sbin/semanage fcontext -a options file-name|directory-name, помня, что необходимо использовать полные пути к файлам и каталогам.
  2. Выполните команду /sbin/restorecon -v file-name|directory-name для применения изменений контекста.
Изменение типа файла

В следующем примере демонстрируется как изменить тип файла в контексте SELinux:

  1. От имени пользователя root, выполните команду touch /etc/file1 для создания нового файла. По умолчанию, вновь созданные файлы в каталоге /etc/ помечаются типом etc_t:# ls -Z /etc/file1 -rw-r—r— root root unconfined_u:object_r:etc_t:s0 /etc/file1
  2. От имени пользователя root, выполните команду /usr/sbin/semanage fcontext -a -t samba_share_t /etc/file1 для изменения типа файла file1 на samba_share_t. Опция -a добавляет новую запись, а опция -t определяет тип (samba_share_t). Примечание: выполнение данной командой не изменяет тип напрямую — file1 до сих пор помечен типом etc_t:# /usr/sbin/semanage fcontext -a -t samba_share_t /etc/file1 # ls -Z /etc/file1 -rw-r—r— root root unconfined_u:object_r:etc_t:s0 /etc/file1 Команда /usr/sbin/semanage fcontext -a -t samba_share_t /etc/file1 добавляет следующую запись в /etc/selinux/targeted/contexts/files/file_contexts.local:/etc/file1 unconfined_u:object_r:samba_share_t:s0
  3. От имени пользователя root выполните команду /sbin/restorecon -v /etc/file1 для изменения типа. Так как команда semanage добавила запись в file.contexts.local для /etc/file1, команда /sbin/restorecon изменяет тип на samba_share_t:# /sbin/restorecon -v /etc/file1 restorecon reset /etc/file1 context unconfined_u:object_r:etc_t:s0->system_u:object_r:samba_share_t:s0
  4. От имени пользователя root выполните команду rm -i /etc/file1 для удаления file1.
  5. От имени пользователя root, выполните команду /usr/sbin/semanage fcontext -d /etc/file1 для удаления контекста добавленного для /etc/file1. Когда контекст удален, выполнение команды restorecon изменяет тип на etc_t, вместо samba_share_t.
Изменение типа каталога

В следующем примере демонстрируется создание нового каталога и изменение типа каталога на тип, используемый Apache HTTP Server:

  1. От имени пользователя root, выполните команду mkdir /web для создания нового каталога. Этот каталог помечен типом default_t:# ls -dZ /web drwxr-xr-x root root unconfined_u:object_r:default_t:s0 /web Команда ls -d с опцией выводит информацию о каталоге, а не о его содержимом, а опция -Z показывает контекст SELinux (в нашем примере, unconfined_u:object_r:default_t:s0).
  2. От имени пользователя root, выполните команду /usr/sbin/semanage fcontext -a -t httpd_sys_content_t /web для изменения типа каталога /web/ на httpd_sys_content_t. Опция -aдобавляет новую запись, а опция -t определяет тип (httpd_sys_content_t). Примечание: выполнение этой команды не изменяет тип напрямую — /web/ до сих пор помечен типом default_t:# /usr/sbin/semanage fcontext -a -t httpd_sys_content_t /web # ls -dZ /web drwxr-xr-x root root unconfined_u:object_r:default_t:s0 /web Команда /usr/sbin/semanage fcontext -a -t httpd_sys_content_t /web добавляет следующую запись в /etc/selinux/targeted/contexts/files/file_contexts.local:/web unconfined_u:object_r:httpd_sys_content_t:s0
  3. От имени пользователя root, выполните команду /sbin/restorecon -v /web для изменения типа. Так как с помощью команды semanage добавлена запись в file.contexts.local для /web, то команда /sbin/restorecon изменяет тип на httpd_sys_content_t:# /sbin/restorecon -v /web restorecon reset /web context unconfined_u:object_r:default_t:s0->system_u:object_r:httpd_sys_content_t:s0 По умолчанию, вновь созданные файлы и каталоги наследуют тип SELinux от своих родительских каталогов. При использовании данного примера и перед удалением контекста SELinux, добавленного для /web/, файлы и каталоги созданные в каталоге /web/ помечены типом httpd_sys_content_t.
  4. От имени пользователя root, выполните команду /usr/sbin/semanage fcontext -d /web для удаления контекста, добавленного для /web/.
  5. От имени пользователя root, выполните команду /sbin/restorecon -v /web для восстановления контекста SELinux по умолчанию.
Изменение типа каталога и его содержимого

В следующем примере демонстрируется создание нового каталога и изменение типа каталога (вместе с его содержимым) на тип, используемым Apache HTTP Server. Конфигурация в этом примере, может быть использована, если Apache HTTP Server использует другой корневой каталог (вместо /var/www/html/):

  1. От имени пользователя root, выполните команду mkdir /web для создания нового каталога и команду touch /web/file{1,2,3} для создания трёх пустых файлов (file1file2 и file3). Каталог /web/ и файлы в внутри каталога помечены как тип default_t:# ls -dZ /web drwxr-xr-x root root unconfined_u:object_r:default_t:s0 /web # ls -lZ /web -rw-r—r— root root unconfined_u:object_r:default_t:s0 file1 -rw-r—r— root root unconfined_u:object_r:default_t:s0 file2 -rw-r—r— root root unconfined_u:object_r:default_t:s0 file3
  2. От имени пользователя root, выполните команду /usr/sbin/semanage fcontext -a -t httpd_sys_content_t "/web(/.*)?" для изменения типа каталога /web/ и файла в нем, на httpd_sys_content_t. Опция -a добавляет новую запись, а опция -t определяет тип (httpd_sys_content_t). Регулярное выражение "/web(/.*)?" при выполнении команды semanage применяет изменения к каталогу /web/, а также файлам внутри него. Примечание: выполнение этой команды не изменяет тип напрямую — /web/ до сих пор помечен типом default_t:# ls -dZ /web drwxr-xr-x root root unconfined_u:object_r:default_t:s0 /web # ls -lZ /web -rw-r—r— root root unconfined_u:object_r:default_t:s0 file1 -rw-r—r— root root unconfined_u:object_r:default_t:s0 file2 -rw-r—r— root root unconfined_u:object_r:default_t:s0 file3 Команда /usr/sbin/semanage fcontext -a -t httpd_sys_content_t "/web(/.*)?" добавляет следующую запись в /etc/selinux/targeted/contexts/files/file_contexts.local:/web(/.*)? system_u:object_r:httpd_sys_content_t:s0
  3. От имени пользователя root, выполните команду /sbin/restorecon -R -v /web для изменения типа каталога /web/, а также файлам внутри него. Опция -R определяет рекурсию, а это означает, что все файлы и каталоги внутри /web/ помечены типом httpd_sys_content_t. Так как с помощью команды semanageдобавлены записи в file.contexts.local для /web(/.*)?, то команда /sbin/restorecon изменяет тип на httpd_sys_content_t:# /sbin/restorecon -R -v /web restorecon reset /web context unconfined_u:object_r:default_t:s0->system_u:object_r:httpd_sys_content_t:s0 restorecon reset /web/file2 context unconfined_u:object_r:default_t:s0->system_u:object_r:httpd_sys_content_t:s0 restorecon reset /web/file3 context unconfined_u:object_r:default_t:s0->system_u:object_r:httpd_sys_content_t:s0 restorecon reset /web/file1 context unconfined_u:object_r:default_t:s0->system_u:object_r:httpd_sys_content_t:s0 По умолчанию вновь созданные файлы и каталоги наследуют тип SELinux от родительских каталогов. В данном примере, файлы и каталоги созданные в каталоге /web/ будут помечены типом httpd_sys_content_t.
  4. От имени пользователя root выполните команду /usr/sbin/semanage fcontext -d "/web(/.*)?" для удаления контекста добавленного для "/web(/.*)?".
  5. От имени пользователя root выполните команду /sbin/restorecon -R -v /web для восстановления контекста SELinux по умолчанию.
Удаление добавленного контекста

В следующем примере демонстрируется добавление и удаление контекста SELinux:

  1. От имени пользователя root выполните команду /usr/sbin/semanage fcontext -a -t httpd_sys_content_t /test. Каталога /test/ не должно существовать. Эта команда добавляет следующих контекст в /etc/selinux/targeted/contexts/files/file_contexts.local:/test system_u:object_r:httpd_sys_content_t:s0
  2. Для удаления контекста, выполните от имени пользователя root команду /usr/sbin/semanage fcontext -d file-name|directory-name, где file-name|directory-name является первой частью в file_contexts.local. Ниже показан пример контекста в file_contexts.local:/test system_u:object_r:httpd_sys_content_t:s0 В начале указан /test. Для предотвращения маркирования каталога /test/ контекстом httpd_sys_content_t после запуска /sbin/restorecon, или после перемаркирования файловой системы, выполните следующую команду от имени пользователя root для удаления контекста из file_contexts.local:/usr/sbin/semanage fcontext -d /test

Если контекст является частью регулярного выражения, например /web(/.*)?, заключите регулярное выражение в кавычки:/usr/sbin/semanage fcontext -d "/web(/.*)?"Refer to the semanage(8) manual page for further information about /usr/sbin/semanage.

Рубрика: Новости, Общее | Оставить комментарий

Сброс пароля на учётной записи компьютера в Windows

Восстановление доверительных отношений между компьютером и контроллером домена.

С ошибкой «Не удалось установить доверительные отношения между этой рабочей станцией и основным доменом» время от времени приходится сталкиваться каждому системному администратору. Но не каждый понимает причины и механизмы процессов, приводящие к ее возникновению. Потому что без понимания смысла происходящих событий невозможно осмысленное администрирование, которое подменяется бездумным выполнением инструкций.

Учетные записи компьютеров, также, как и учетные записи пользователей, являются участниками безопасности домена. Каждому участнику безопасности автоматически присваивается идентификатор безопасности (SID) на уровне которого осуществляется доступ к ресурсам домена.

Перед тем как предоставить учетной записи доступ к домену необходимо проверить ее подлинность. Каждый участник безопасности должен иметь свою учетную запись и пароль, учетная запись компьютера не исключение. При присоединении компьютера к Active Directory для него создается учетная запись типа «Компьютер» и устанавливается пароль. Доверие на этом уровне обеспечивается тем, что данная операция производится администратором домена или иным пользователем, имеющим для этого явные полномочия.

Впоследствии при каждом входе в домен компьютер устанавливает защищенный канал с контроллером домена и сообщает ему свои учетные данные. Таким образом между компьютером и доменом устанавливаются доверительные отношения и дальнейшее взаимодействие происходит согласно установленных администратором политик безопасности и прав доступа.

Пароль учетной записи компьютера действует 30 дней и впоследствии автоматически изменяется. При этом важно понимать, что смену пароля инициирует компьютер. Это происходит аналогично процессу смены пароля пользователя. Обнаружив, что текущий пароль просрочен, компьютер при очередном входе в домен его заменит. Поэтому, даже если вы не включали компьютер несколько месяцев, доверительные отношения в домене сохранятся, а пароль будет заменен при первом входе после длительного перерыва.

Доверительные отношения нарушаются в том случае, если компьютер пытается аутентифицироваться в домене с недействительным паролем. Как такое может произойти? Самый простой способ — это откатить состояние компьютера, например, штатной утилитой восстановления системы. Такой же эффект может быть достигнут при восстановлении из образа, снапшота (для виртуальных машин) и т.п.

Еще один вариант — это изменение учетной записи другим компьютером с таким же именем. Ситуация довольно редкая, но иногда случается, например, когда сотруднику поменяли ПК с сохранением имени, выведя из домена старый, а потом снова ввели его в домен забыв переименовать. В этом случае старый ПК при повторном вводе в домен сменит пароль ученой записи компьютера и новый ПК уже не сможет войти, так как не сможет установить доверительные отношения.

Утилита Netdom

Данная утилита входит в состав Windows Server начиная с редакции 2008, на пользовательские ПК ее можно установить из состава пакета RSAT (Средства удаленного администрирования сервера). Для ее использования войдите на целевой системе локальным администратором и выполните команду:

Netdom resetpwd /Server:DomainController /UserD:Administrator /PasswordD:Password

Разберем опции команды:

  • Server — имя любого доменного контроллера
  • UserD — имя учетной записи администратора домена
  • PasswordD — пароль администратора домена

После успешного выполнения команды перезагрузка не требуется, просто выйдите из локальной ученой записи и войдите в доменный аккаунт.

Командлет PowerShell 3.0

В отличие от утилиты Netdom, PowerShell 3.0 входит в состав системы начиная с Windows 8 / Server 2012, для более старых систем его можно установить вручную, поддерживаются Windows 7, Server 2008 и Server 2008 R2. В качестве зависимости требуется Net Framework не ниже 4.0.

Точно также войдите на системе, для которой нужно восстановить доверительные отношения, локальным администратором, запустите консоль PowerShell и выполните команду:

Reset-ComputerMachinePassword -Server DomainController -Credential Domain\Admin

где:

  • Server — имя любого контроллера домена
  • Credential — имя домена / учетной записи администратора домена

При выполнении этой команды появится окно авторизации в котором вы должны будете ввести пароль для указанной вами учетной записи администратора домена.

Командлет не выводит никаких сообщений при удачном завершении, поэтому просто смените учетную запись, перезагрузка не требуется.

Рубрика: Windows, Новости | Оставить комментарий

Исключение пакетов из обновления yum

yum --exclude=squid* update

исключение всех пакетов начинающихся с squid

Рубрика: Новости | Оставить комментарий