August 2008
SSH key
Nel caso succeda che il demone sshd non parta per i seguenti motivi:
Could not load host key: /etc/ssh/ssh_host_key
Could not load host key: /etc/ssh/ssh_host_dsa_key
Disabling protocol version 1. Could not load host key
Disabling protocol version 2. Could not load host key
Con questi comandi si generano le chiavi host:
ssh-keygen -t rsa -f /etc/ssh/ssh_host_rsa_key
ssh-keygen -t dsa -f /etc/ssh/ssh_host_dsa_key
ssh-keygen -t rsa1 -f /etc/ssh/ssh_host_key
Cisco – IOS Image
Breve prontuario per riconoscere le immagini e le relative feature (sono indicate le principali):
IP : y
ADSL : 7
IP PLUS : s
VOICE : v
CRYPTO (maggiore di 64-bit) : k9
CRYPTO (minore di 64-bit) : k8
IBM/AT/IPX : bnr2
FW/IDS : o3
H323 : x
IP/IPX/APPLETALK : bin
IP/FW : oy6
LAWFUL INTERCEPT : u2
ENTERPRISE : js
SSG : g4
Inoltre le immagini sono presenti altre immagini raggruppate per feature:
IP BASE = IOS entry level nessuna caratteristica principale
IP VOICE = VoIP, VoFR, IP Telephony
ADVANCED SECURITY : IOS Firewall, IDS, SSH, IPsec, VPN, 3DES
SP SERVICE : MPLS, SSH, ATM, VoATM
ENTERPRISE BASE : Multiprotocol, IBM
ADVANCED IP SERVICE : IPv6, Advanced Security, Service Provider Service
ENTERPRISE SERICE : Enterprise Base, IBM Full, Service Provider Service
ADVANCED ENTERPRISE SERVICE : Tutto quello descritto prima.
Cisco Catalyst – IOS Upgrade
Comandi base per aggionare un Catalyst 29xx partendo da un’immagine IOS compresssa in tar, ovviamente e’ indispensabile avere a disposizione un server TFTP con gia’ caricata nella root l’immagine.
Fase 1 – Eliminare l’immagine e eventuali web-interface con questi due comandi:
Switch#delete flash:c0000-versioneios.bin
Switch#delete flash:html/*
Fase 2 – Copiare scompattare e caricare l’immagine dall’TFTP
Switch#archive tar /xtract tftp://10.10.10.1/c0000-versioneios.bin flash:
Fase 3 – Verificare l’immagine
Switch#verify flash:c0000-versioneios.bin
Memo:
Le immagini con questa notazione “i6k2l2q4” hanno le seguenti feature:
EI AND SI IOS CRYPTO
Le immagini con questa notazione “i6q4l2” hanno le seguenti feature:
EI AND SI IOS
Cisco Catalyst – Port Monitoring
Piccolo memo sull’uso delle funzioni di monitoraggio, sui catalyst, nel caso di debba sniffare il traffico per installare un IDS o per un po’ di sana diagnostica in caso di problemi.
Se lo switch supporta le sessioni di monitoring, esempio se si vuole
monitorare la porta 10 usando uno sniffer sulla 20 cosi’:
!
monitor session 1 source interface Fa0/10
monitor session 1 destination interface Fa0/20
!
Se lo supporta il port monitoring, esempio se si vuole monitorare con uno
sniffer sulla porta 20 il traffico tra porta 10 e porta 1:
!
interface FastEthernet0/20
port monitor FastEthernet0/10
port monitor FastEthernet0/1
port monitor VLAN1
!
Solaris – Patch It
Un piccolo memo sul sistema di gestione delle patch in Solaris, patch ID 121118 (SPARC version) o 121119 (x86 version)
Questi sono i comandi principali:
Analyze: -/usr/sadm/bin/smpatch analyze
Download: -/usr/sadm/bin/smpatch download
Add Patch: -/usr/sadm/bin/smpatch add
Bisogna registrare il sistema con questo comando:
# /usr/sbin/sconadm register -a -r /tmp/registrationprofile.properties
Il file /tmp/registrationprofile.properties deve essere una cosa simile a questo:
userName=newuser
password=newpassword
hostName=
subscriptionKey=
portalEnabled=false
proxyHostName=
proxyPort=
proxyUserName=
proxyPassword=
Dyndns Get Ip from cisco
Dal momento che l’SNMP non ha voglia da andare e avendo bisogno urgente di aggiornare un host su un dns, e essendo il router un Cisco 837 e non potendo usare ios 12.4 che supporta questo genere di protocollo, ho scritto qualche riga.
Un cron esegue ogni 15 minuti questo script:
/opt/dyn/noip2 -i `/opt/dyn/gci`
Ecco il contenuto di gci
#!/bin/sh
host=192.168.x.x
port=23
login=cisco
passwd=cisco
cmd='sh ip int brief'
(echo open ${host} ${port}
sleep 1
echo ${login}
sleep 1
echo ${passwd}
sleep 1
echo ${cmd}
sleep 1
echo exit) | telnet|grep Dialer0|awk '{print $2}'
Sarebbero cose da non usare.
Cisco IPv6
Anche se non credevo che fosse cosi’ semplice i tunnel 6to4 sui router cisco non sono una cosa complessa come sembra posto uno straccio di configurazione usato con il tunnel broker Hurricane Electric sul server di parigi:
interface Tunnel0
no ip address
no ip redirects
no ip unreachables
no ip proxy-arp
ipv6 address 2001:470:1F12:10A::2/64
ipv6 enable
tunnel source xxx.xxx.xxx.xxx
tunnel destination 216.66.84.42
tunnel mode ipv6ip
!
ipv6 route ::/0 Tunnel0
Attenzione questa e’ usata su un 2600 con IOS 12.3 IP FW IDS PLUS / IPSEC
Ricordo che e’ bene inserire un ACL che faccia passare il protocollo 41 solo dall’end point del tunnel e ovviamente lasciare le risposte icmp abilitate
IPv6
Visto che ogni tanto sale l’inutile fobia dell’imminente fine degli IP4 (cosa che reputo ridicola) ho deciso che era il momento di muovere un po’ la mia rete dato che iniziava ad essere abbastanza monotona.
Quindi dal 22 Luglio ho allocate due classi di ip:
2001:470:c86f::/48
2001:470:1f13:10a::/64
Gia’ che ero in vena di novita’ c’e’ pure un nuovo dominio stars6.net dedicato alle prove del caso.
Solaris
Da qualche mese a questa parte ho avuto la pazza idea di usare solaris, credo che non ci sia migliore cosa che provarlo in produzione, quindi ho spolverato una Ultra 10 presa tempo fa e mai seriamente utilizzata, tolto la SunPCI e installato Solaris 10.
Sun Ultra 5/10 UPA/PCI (UltraSPARC-IIi 440MHz), No Keyboard
OpenBoot 3.25, 512 MB (50 ns) memory installed, Serial #15184795.
Ethernet address 8:0:20:e7:b3:9b, Host ID: 80e7b39b.Rebooting with command: boot
Boot device: /pci@1f,0/pci@1,1/ide@3/disk@0,0:a
File and args: SunOS Release 5.10 Version Generic_127127-11 64-bit
Copyright 1983-2008 Sun Microsystems, Inc. All rights reserved.
Use is subject to license terms.Hostname: ultra10
/dev/rdsk/c0t0d0s1 is cleanultra10 console login:
Visto che poi e’ partito tutto, tolto la tastiera e messo in armadio fa una certa scena, in ogni caso, web e mail server non se la cava male per, l’eta’ che ha.