Ниже приведен вариант организации слежения за изменением конфигурации,
в лог сохраняется информация о том, кто и какие именно команды вводил.
Как это выглядело раньше?
Кто-то зашел на железяку и внес какие-то изменения. Об этом в логе останется информация следующая информация:Mar 1 00:12:15.675: %SYS-5-CONFIG_I: Configured from console by one on vty0 (10.10.10.1)
И всё!
С некоторой версии ios появилась возможность посмотреть кто и что конкретно сделал.
Для этого необходимо добавить в конфигурацию следующие строки:archive
log config
logging enable
notify syslog
hidekeys
logging enable - писать лог. По умолчанию выключено.
notify syslog - писать лог локально или посылать также на syslog сервер
hidekeys - не записывать в лог паролиТеперь процесс логина и изменения отобразится примерно следующим образом
(Легко определить что в гости заходил пользователь one и настроил интерфейс FastEthernet1/0):Mar 1 00:18:18.839: %PARSER-5-CFGLOG_LOGGEDCMD: User:one logged command:!exec: enable
Mar 1 00:18:58.003: %PARSER-5-CFGLOG_LOGGEDCMD: User:one logged command:interface FastEthernet1/0
Mar 1 00:19:11.023: %PARSER-5-CFGLOG_LOGGEDCMD: User:one logged command:ip address 192.168.1.1 255.255.255.0
Mar 1 00:19:13.715: %PARSER-5-CFGLOG_LOGGEDCMD: User:one logged command:no shutdown
Mar 1 00:19:15.687: %LINK-3-UPDOWN: Interface FastEthernet1/0, changed state to up
Mar 1 00:19:16.687: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet1/0, changed state to upURL: http://techoover.blogspot.com/2007/10/live-and-learn.html
Обсуждается: http://www.opennet.me/tips/info/1477.shtml
С некоторой версии ios появилась возможность...Жесть...И с какой это некоторой?
Используйте http://cisco.com/go/fn
Ну тогда и время настроить надо правильно
А rancid чем не устраивает?
>А rancid чем не устраивает?Никогда не использовал, честно говоря. Сейчас посмотрел.
Насколько я понимаю, алгоритм работы примерно такой:
1. Получили сообщение, о том что кто-то изменял конфигурацию
2. Сходили на железяку, забрали новый конфиг
3. ПОложили в svn и все остальные приятности. :)Однако, что призойдет в случае если в один момент времени конфигурация менялась двумя администраторами?
>Однако, что призойдет в случае если в один момент времени конфигурация менялась
>двумя администраторами?Насколько я помню его работу (полгода уже дело не имел), рансид запускается по крону и ходит на все железяки в его конфиге (так что желательно, в случае с кошками, пользовать tacacs+), собирает оттуда конфигу и diffает её с тем, что он сохранил в прошлый раз. Изменения скидываются на мыло.
В случае, если конфиг изменился двумя админами одновременно, то по схеме, приложенной выше, понятно, что будет, но автором изменений будет тот, кто последним набрал write ;) В этом плане, конечно, проигрыш.
Зато всегда есть последний конфиг с того момента, когда железяка была доступна в последний раз (без паролей, правда, но это дело вполне поправимое :))
>[оверквотинг удален]
>по крону и ходит на все железяки в его конфиге (так
>что желательно, в случае с кошками, пользовать tacacs+), собирает оттуда конфигу
>и diffает её с тем, что он сохранил в прошлый раз.
>Изменения скидываются на мыло.
>В случае, если конфиг изменился двумя админами одновременно, то по схеме, приложенной
>выше, понятно, что будет, но автором изменений будет тот, кто последним
>набрал write ;) В этом плане, конечно, проигрыш.
>Зато всегда есть последний конфиг с того момента, когда железяка была доступна
>в последний раз (без паролей, правда, но это дело вполне поправимое
>:))В принципе "с некоторой версии" (с) :)) добавились некоторые фичи которые могут серьезно облегчить жизнь в этом плане.
1. Configuration Replace and Configuration Rollback
http://cisco.com/en/US/products/ps6350/products_configuratio...
Сохраняет конфигурацию в указанное место.
2. Contextual Configuration Diff Utility
http://cisco.com/en/US/products/ps6350/products_configuratio...
Собственно из названия всё понятно. diff прямо в консольке железяки.Надо бы об этом тоже заметку написать. :)
Но идея хранить все изменения в svn мне очень нравится.
Одно другому не мешает. :)
Цискины индусы уже не зажигают, а просто поджигают ;-))
Зачем было плодить вывод изменений конфига в syslog, когда сто лет уже есть tacacs+?
Для того, чтобы хелпдеск видел изменения, которые ему нафиг не нужно видеть? Отлично! Безопасность на высоте, дальше некуда...
Правильное решение такое:
1. сбор конфигов rancid (каждый день принудительно, по команде из syslog - опционально
2. доступ и логи изменений конфига юзверями в tacacs+
3. хелпдеску enable не давать, для этого есть iptech.
3. syslog оставить хелпдеску для постоянного его курения на случай проблем.
dixi.зы. Ну а то, что наконец появились diffы и коммиты конфига, которые в juniper были отродясь, не может не радовать ;-)))
Сомневаюсь, что индусы пишут то, что им в голову взбредет. Кто-то же им задачи ставит :)Видимо добавления этого функционала, отражает различие подходов. Я сомневаюсь, что в циске "забыли" о существовании tacacs. :)
Может это разворот в сторону smb рынка...Подскажите, что такое iptech? Гугл вразумительного ничего не отвечает.
iptech - подразделение, отвечающее за ospf, bgp и прочее ip tech, чему обычный helpdesk, как правило, не обучен.
Супер, попробывал на МЕ2400 все пошло
огромное спасибо за информацию