Цискины индусы уже не зажигают, а просто поджигают ;-)) Зачем было плодить вывод изменений конфига в syslog, когда сто лет уже есть tacacs+? Для того, чтобы хелпдеск видел изменения, которые ему нафиг не нужно видеть? Отлично! Безопасность на высоте, дальше некуда... Правильное решение такое: 1. сбор конфигов rancid (каждый день принудительно, по команде из syslog - опционально 2. доступ и логи изменений конфига юзверями в tacacs+ 3. хелпдеску enable не давать, для этого есть iptech. 3. syslog оставить хелпдеску для постоянного его курения на случай проблем. dixi.зы. Ну а то, что наконец появились diffы и коммиты конфига, которые в juniper были отродясь, не может не радовать ;-)))
|