Легенда:
 новое сообщение
 закрытая нитка
 новое сообщение
 в закрытой нитке
 старое сообщение
|
- Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
- Новичкам также крайне полезно ознакомиться с данным документом.
| |
Насчет 5-го пункта, это да, я не подумал. Rsh вчера ковырял... 11.08.04 14:53 Число просмотров: 1548
Автор: Igor Статус: Незарегистрированный пользователь
|
Насчет 5-го пункта, это да, я не подумал. Rsh вчера ковырял. Посмотрим, что получиться.
А вообще спасибо.
Насчет новичка. Если б я не был оным, я бы тут и не спрашивал :).
Все мы где-то новички.
|
|
<sysadmin>
|
Проблемы с Cisco 10.08.04 09:51
Автор: Igor Статус: Незарегистрированный пользователь
Отредактировано 11.08.04 14:50 Количество правок: 1
|
В последнее время на роутере наблюдаются какие-то проблемы.
Кто-то пытается подключиться по RShell'у к Циске, после этого она валится на несколько часов. К сожалению, все происходит ночью, когда возможности проследить ее состояние нету. Приходится изучать только логи. Вот, что в них фиксируется:
2004-08-07 22:53:28 Local7.Warning 10.1.0.1 869: *Aug 7 22:56:30: %RCMD-4-RSHPORTATTEMPT: Attempted to connect to RSHELL from 10.х.х.х
после этого Циска слетает полностью.
Версия IOS (tm) EGR Software (UBR7100-IK1S-M), Version 12.1(12c)EC1, EARLY DEPLOYMENT RELEASE SOFTWARE (fc1)
может кто подскажет, где баг, или может я где-то упустил настройку безопастности?
|
|
Я слабый спец., поэтому могу чего не так сказать..... 11.08.04 01:28
Автор: void <Grebnev Valery> Статус: Elderman
|
Я слабый спец., поэтому могу чего не так сказать.... Извините тогда...
1) Походу это цискины логи на циске, а не цискины логи, которые ты льёшь на UNIX - хост.
Если это так, то я бы так не делал. Надоб logging делать на юних. А там newsyslog-гом делать ротейт.
2) Проверь как защищена сама циска на внешнем (инет) интерфейсе. Никаких rsh, телнетов и.т.д. там не должно быть вообще. Наверное у тебя этого нет....., но всё равно проверь.
3) Как видно пытаются сохатить rsh из локалки. Проверь ACL на внутреннем интерфейсе. Не давай rsh (TCP 514)всемв локалке. Разреши только одному хосту- коллектору, куда ты собираешь статистику и льёшь логи (если льешь, конечно). Только ты к этому хосту и должен иметь доступ, а не "кто-то".
4) В rsh разрешай только то, что тебе действительно необходимо в командах exec. Короче привилегии удалённого пользователя не делай чрезмерно крутыми.
5) Смотри внимательно, что постишь в форум, когда задаешь вопрос. Народ тута хороший.... Но иногда заходят суда и злые дядьки (они просто смотрят, и они не мемберы данного форума) ;)) Весь лог и необязательно было тебе постить.
ПС. Я новичёк, посему, не ругайся сильно ежели чё не так я сказал.
|
| |
Насчет 5-го пункта, это да, я не подумал. Rsh вчера ковырял... 11.08.04 14:53
Автор: Igor Статус: Незарегистрированный пользователь
|
Насчет 5-го пункта, это да, я не подумал. Rsh вчера ковырял. Посмотрим, что получиться.
А вообще спасибо.
Насчет новичка. Если б я не был оным, я бы тут и не спрашивал :).
Все мы где-то новички.
|
|
1. Пиши скрипт в кроне, который каждые N минут будет... 10.08.04 13:20
Автор: NKritsky <Nickolay A. Kritsky> Статус: Elderman
|
> В последнее время на роутере наблюдаются какие-то проблемы.
> Кто-то пытается подключиться по RShell'у к Циске, после
> этого она валится на несколько часов. К сожалению, все
> происходит ночью, когда возможности проследить ее состояние
> нету.
1. Пиши скрипт в кроне, который каждые N минут будет вытряхивать из циски sh blablabla икласть в файлик.
> Приходится изучать только логи. Вот, что в них
> фиксируется:
> 2004-08-07 22:53:28 Local7.Warning 10.1.0.1
> 869: *Aug 7 22:56:30: %RCMD-4-RSHPORTATTEMPT: Attempted to
> connect to RSHELL from 10.х.х.х
> 2004-08-07 22:53:30 Local7.Info 10.1.0.1
> 870: *Aug 7 22:56:32: %SEC-6-IPACCESSLOGS: list 5 denied
> 10.х.х.х 1 packet
> 2004-08-07 22:53:56 Local7.Error 10.1.0.1
> 871: *Aug 7 22:56:59: %SYS-3-CPUHOG: Task ran for 3952
> msec (555/415), process = TCP Driver, PC = 6070B610.
Всё вроде как понятно. После попытки коннекта циска честно пытается чего-то записать в syslog, после чего зависает в TCP драйвере. %SYS-3-CPUHOG при отсутствии каких-то сумасшедших нагрузок типа ACL из 1000 строк или безумного размера таблица маршрутов, означает скорее всего банальный баг приводящий к зацикливанию. Попробуй проапгрейдить свой IOS. Если ты попытаешься законнектиться по rsh с неразрешённого IP, что будет?
И вообще почитай на www.cisco.com статьи типа "Hardware Troubleshooting for the Cisco 7400 Series Router-Cisco 7400 Series Routers" , часть "What Causes %SYS-3-CPUHOG messages". Ну, для своей модели естессно. IOS-то у тебя староват, походу.
|
| |
Похоже, это баг ИОСа 11.08.04 04:32
Автор: Zef <Alloo Zef> Статус: Elderman
Отредактировано 11.08.04 04:32 Количество правок: 1
|
|
У нас такая дрянь в Новосибе в RBNETе, но к ним, точно, никто не ломится. Точно знаю, что там Киски сыплются вот так же ночью в результате утечки памяти. Пошло это после обновления ИОСа.
|
| | |
Да, очень похоже 11.08.04 11:22
Автор: leo <Леонид Юрьев> Статус: Elderman
Отредактировано 11.08.04 11:24 Количество правок: 1
|
При желании можно проверить, организуйте перезагрузку cisco каждые 1-3 часа. Если сбои прекратяться, то IMHO дело именно в утечке памяти. Даже если нет, то баги IOS-а налицо, и залить что-нибудь поновее (например 12.3(9)) вместо вашего "EARLY DEPLOYMENT" нужнообязательно
P.S.
В следующий раз, при "публикации" логов, заменяйте внутренние адреса (traceback, pc, ...) на что-нибудь типа "HHHHHH".
|
| | | |
Ещё неизвестно, как у него циска сама прикрыта. 11.08.04 11:51
Автор: void <Grebnev Valery> Статус: Elderman
|
Ещё неизвестно, как у него циска сама прикрыта.
> В следующий раз, при "публикации" логов, заменяйте
> внутренние адреса (traceback, pc, ...) на что-нибудь типа
> "HHHHHH".
Наплевать и забыть. Тут бы внешние адреса (может цискин, а может его подсеток в том логе, что он пропостил) не публиковать. Когда циска еле дышит - найдутся любители покуражиться. А если у него ещё и циска не прикрыта - только держись.
|
| | | | |
Согласен, но с уточнением 11.08.04 13:17
Автор: leo <Леонид Юрьев> Статус: Elderman
|
> Наплевать и забыть. Тут бы внешние адреса (может цискин, а
> может его подсеток в том логе, что он пропостил) не
> публиковать. Когда циска еле дышит - найдутся любители
> покуражиться. А если у него ещё и циска не прикрыта -
> только держись.
Реальный адрес неприкрытой cisco со старым и к тому же "early deployment" IOS - это уже "блюдечко с голубой коёмочкой". Но конкретные значения счетчика команд позволяют с "точностью до байта" выяснить какая именно там модель cisco и с каким именно "early deployment". Остается только тетрис туда загрузить :-)
|
| | | | | |
Ну совсем меня напугали :(. 11.08.04 15:02
Автор: Igor Статус: Незарегистрированный пользователь
|
Ну совсем меня напугали :(.
Я как лучче хотел, а оказалось вот. :)
Ну да лана. Залил новый IOS
IOS (tm) EGR Software (UBR7100-IK8S-M), Version 12.2(15)BC1b, EARLY DEPLOYMENT RELEASE SOFTWARE (fc1)
Надеюсь, лучше будет.
|
|
|
подробно о проекте
Анализ криптографических сетевых...
