В последнее время на роутере наблюдаются какие-то проблемы.
Кто-то пытается подключиться по RShell'у к Циске, после этого она валится на несколько часов. К сожалению, все происходит ночью, когда возможности проследить ее состояние нету. Приходится изучать только логи. Вот, что в них фиксируется:
2004-08-07 22:53:28 Local7.Warning 10.1.0.1 869: *Aug 7 22:56:30: %RCMD-4-RSHPORTATTEMPT: Attempted to connect to RSHELL from 10.х.х.х
после этого Циска слетает полностью.
Версия IOS (tm) EGR Software (UBR7100-IK1S-M), Version 12.1(12c)EC1, EARLY DEPLOYMENT RELEASE SOFTWARE (fc1)
может кто подскажет, где баг, или может я где-то упустил настройку безопастности?
Я слабый спец., поэтому могу чего не так сказать.....11.08.04 01:28 Автор: void <Grebnev Valery> Статус: Elderman
Я слабый спец., поэтому могу чего не так сказать.... Извините тогда...
1) Походу это цискины логи на циске, а не цискины логи, которые ты льёшь на UNIX - хост.
Если это так, то я бы так не делал. Надоб logging делать на юних. А там newsyslog-гом делать ротейт.
2) Проверь как защищена сама циска на внешнем (инет) интерфейсе. Никаких rsh, телнетов и.т.д. там не должно быть вообще. Наверное у тебя этого нет....., но всё равно проверь.
3) Как видно пытаются сохатить rsh из локалки. Проверь ACL на внутреннем интерфейсе. Не давай rsh (TCP 514)всемв локалке. Разреши только одному хосту- коллектору, куда ты собираешь статистику и льёшь логи (если льешь, конечно). Только ты к этому хосту и должен иметь доступ, а не "кто-то".
4) В rsh разрешай только то, что тебе действительно необходимо в командах exec. Короче привилегии удалённого пользователя не делай чрезмерно крутыми.
5) Смотри внимательно, что постишь в форум, когда задаешь вопрос. Народ тута хороший.... Но иногда заходят суда и злые дядьки (они просто смотрят, и они не мемберы данного форума) ;)) Весь лог и необязательно было тебе постить.
ПС. Я новичёк, посему, не ругайся сильно ежели чё не так я сказал.
Насчет 5-го пункта, это да, я не подумал. Rsh вчера ковырял...11.08.04 14:53 Автор: Igor Статус: Незарегистрированный пользователь
Насчет 5-го пункта, это да, я не подумал. Rsh вчера ковырял. Посмотрим, что получиться.
А вообще спасибо.
Насчет новичка. Если б я не был оным, я бы тут и не спрашивал :).
Все мы где-то новички.
1. Пиши скрипт в кроне, который каждые N минут будет...10.08.04 13:20 Автор: NKritsky <Nickolay A. Kritsky> Статус: Elderman
> В последнее время на роутере наблюдаются какие-то проблемы. > Кто-то пытается подключиться по RShell'у к Циске, после > этого она валится на несколько часов. К сожалению, все > происходит ночью, когда возможности проследить ее состояние > нету.
1. Пиши скрипт в кроне, который каждые N минут будет вытряхивать из циски sh blablabla икласть в файлик.
> Приходится изучать только логи. Вот, что в них > фиксируется: > 2004-08-07 22:53:28 Local7.Warning 10.1.0.1 > 869: *Aug 7 22:56:30: %RCMD-4-RSHPORTATTEMPT: Attempted to > connect to RSHELL from 10.х.х.х > 2004-08-07 22:53:30 Local7.Info 10.1.0.1 > 870: *Aug 7 22:56:32: %SEC-6-IPACCESSLOGS: list 5 denied > 10.х.х.х 1 packet > 2004-08-07 22:53:56 Local7.Error 10.1.0.1 > 871: *Aug 7 22:56:59: %SYS-3-CPUHOG: Task ran for 3952 > msec (555/415), process = TCP Driver, PC = 6070B610.
Всё вроде как понятно. После попытки коннекта циска честно пытается чего-то записать в syslog, после чего зависает в TCP драйвере. %SYS-3-CPUHOG при отсутствии каких-то сумасшедших нагрузок типа ACL из 1000 строк или безумного размера таблица маршрутов, означает скорее всего банальный баг приводящий к зацикливанию. Попробуй проапгрейдить свой IOS. Если ты попытаешься законнектиться по rsh с неразрешённого IP, что будет?
И вообще почитай на www.cisco.com статьи типа "Hardware Troubleshooting for the Cisco 7400 Series Router-Cisco 7400 Series Routers" , часть "What Causes %SYS-3-CPUHOG messages". Ну, для своей модели естессно. IOS-то у тебя староват, походу.
Похоже, это баг ИОСа11.08.04 04:32 Автор: Zef <Alloo Zef> Статус: Elderman Отредактировано 11.08.04 04:32 Количество правок: 1
У нас такая дрянь в Новосибе в RBNETе, но к ним, точно, никто не ломится. Точно знаю, что там Киски сыплются вот так же ночью в результате утечки памяти. Пошло это после обновления ИОСа.
Да, очень похоже11.08.04 11:22 Автор: leo <Леонид Юрьев> Статус: Elderman Отредактировано 11.08.04 11:24 Количество правок: 1
При желании можно проверить, организуйте перезагрузку cisco каждые 1-3 часа. Если сбои прекратяться, то IMHO дело именно в утечке памяти. Даже если нет, то баги IOS-а налицо, и залить что-нибудь поновее (например 12.3(9)) вместо вашего "EARLY DEPLOYMENT" нужнообязательно
P.S.
В следующий раз, при "публикации" логов, заменяйте внутренние адреса (traceback, pc, ...) на что-нибудь типа "HHHHHH".
Ещё неизвестно, как у него циска сама прикрыта.11.08.04 11:51 Автор: void <Grebnev Valery> Статус: Elderman
> В следующий раз, при "публикации" логов, заменяйте > внутренние адреса (traceback, pc, ...) на что-нибудь типа > "HHHHHH".
Наплевать и забыть. Тут бы внешние адреса (может цискин, а может его подсеток в том логе, что он пропостил) не публиковать. Когда циска еле дышит - найдутся любители покуражиться. А если у него ещё и циска не прикрыта - только держись.
Согласен, но с уточнением11.08.04 13:17 Автор: leo <Леонид Юрьев> Статус: Elderman
> Наплевать и забыть. Тут бы внешние адреса (может цискин, а > может его подсеток в том логе, что он пропостил) не > публиковать. Когда циска еле дышит - найдутся любители > покуражиться. А если у него ещё и циска не прикрыта - > только держись.
Реальный адрес неприкрытой cisco со старым и к тому же "early deployment" IOS - это уже "блюдечко с голубой коёмочкой". Но конкретные значения счетчика команд позволяют с "точностью до байта" выяснить какая именно там модель cisco и с каким именно "early deployment". Остается только тетрис туда загрузить :-)
Ну совсем меня напугали :(.11.08.04 15:02 Автор: Igor Статус: Незарегистрированный пользователь
Ну совсем меня напугали :(.
Я как лучче хотел, а оказалось вот. :)
Ну да лана. Залил новый IOS
IOS (tm) EGR Software (UBR7100-IK8S-M), Version 12.2(15)BC1b, EARLY DEPLOYMENT RELEASE SOFTWARE (fc1)
подробно о проекте
Анализ криптографических сетевых...
новое сообщение
закрытая нитка
новое сообщение
в закрытой нитке
старое сообщение
