Script Python per accesso agli switch Cisco

Di seguito uno script Python che esegue l'accesso a due switch (possibile estendere la lista aggiungendo più IP) e fa lo show version

Lo script è stato testato su ambiente Debian con Python 3.10

$python -m pip install netmiko   -> importare la libreria netmiko

$touch script_ssh_cisco.py         -> creare il file

$vi script_ssh_cisco.py

import netmiko
from netmiko import ConnectHandler
device = ["10.5.1.13", "10.5.1.11"]
for x in device:
    cisco = {
        'device_type': 'cisco_ios',
        'ip':   x,
        'username': 'admin',
        'password': 'password',
        'secret': 'password',
    }
    print(' ')
    print(x)
    net_connect =ConnectHandler(**cisco)
    net_connect.enable()
    output =net_connect.send_command('show version | include IOS')
    print(output)

alla sezione password sostituire "password" con la password dell'utente admin, sempre tra " "

alla sezione secret sostituire "password" con la password di enable, sempre tra " "

$chmod u+x script_ssh_cisco.py   -> dare i permessi di esecuzione

$python script_ssh_cisco.py          -> lanciare lo script

 

10.5.1.13

Cisco IOS Software, C2960L Software (C2960L-UNIVERSALK9-M), Version 15.2(6)E2b, RELEASE SOFTWARE (fc3)

 

10.5.1.11

IOS (tm) C2950 Software (C2950-I6K2L2Q4-M), Version 12.1(22)EA13, RELEASE SOFTWARE (fc2)

Autenticazione Radius su Cisco Catalyst

(config)# radius server Test

(config)# address ipv4 10.7.1.20 auth-port 1645 acct-port 1646 -> andiamo a definire IP e porte

 (config)# timeout 5- -> andiamo a definire quanti sec. attendere prima della ritrasmissione

 (config)# retransmit 2 -> andiamo a definire quanti tentativi deve fare verso il radius

 (config)# key *******

adesso andiamo a creare un gruppo dove metteremo all'interno il nostro server Radius, per resilienza si consiglia di configurare due server e aggiungerli entrambi al gruppo.

Io ho creato solo la parte di "authentication" in quanto la password di enable preferisco metterla di volta in volta. E' stato configurato l'account locale admin, in modo che se il radius non dovesse essere disponibile è possibile collegarsi in locale, dopo GRP-TEST è stato definito il metedo di backup che è local-case

(config)# username admin secret 5 $1$VRx0$divcXTBZeAQVN2IJSGV7n.

(config)# aaa new-model

!

(config)# aaa group server radius GRP-TEST

 server name Test

!

aaa authentication login default group GRP-TEST local-case

Successivamente è necessario configurare il servizio sul Server Windows, impostare le policy con gli IP autorizzati e la key, per la configurazione della parte Windows potete fare riferimento al post:

Authentication Fortinet with Radius

!!Attenzione" l'autenticazione tra switch e Radius avviene in PAP, quando si configura la policy è necessario inserire il flag su PAP

Autenticazione LDAP su server CentOS 7

La guida è per sistemi CentOS 7, ma credo che non ci siano problemi su CentOS 8 o derivate Debian
installare i pacchetti:
yum install openldap-clients nss-pam-ldapd

Procedere con l'autoconfigurazione:
authconfig --enableldap \
--enableldapauth \
--ldapserver=test.local o indirizzo IP \
--ldapbasedn="dc=test,dc=local" \
--enablemkhomedir \
--update

Il comando "enablemkhomedir" farà in modo che all'accesso verrà creata la /home directory.
Creare su active directory un utente di servizio per l'integrazione e copiare il "distinguishedName"

Modificare il file /etc/nslcd.conf
# The distinguished name of the search base.
base dc=test,dc=local
# The distinguished name to bind to the server with.
# Optional: default is to bind anonymously.

binddn inserire il distinguishedName precedentemente copiato
binddn cn=ldaplinux,ou=Servizio,dc=test,dc=local

# The credentials to bind with.
# Optional: default is no credentials.
# Note that if you set a bindpw you should check the permissions of this file.
bindpw "inserire la password dell'account di servizio"
bindpw passwd

deccomentare tutta la parte riferita a Active Directory

# Mappings for Active Directory

pagesize 1000
referrals off
idle_timelimit 800
filter passwd (&(objectClass=user)(!(objectClass=computer))(uidNumber=*)(unixHomeDirectory=*))
map    passwd uid              sAMAccountName
map    passwd homeDirectory    unixHomeDirectory
map    passwd gecos            displayName
filter shadow (&(objectClass=user)(!(objectClass=computer))(uidNumber=*)(unixHomeDirectory=*))
map    shadow uid              sAMAccountName
map    shadow shadowLastChange pwdLastSet
filter group  (objectClass=group)

Salvare e uscire

Riavviare il servizio:

#systemctl restart nslcd

A questo punto è necessario modificare gli attributi per l'account che dovrà autenticarsi.

Sulla macchina Linux verificare l'account modiificato su Active Directory

#id adm_ep_test

uid=5000(adm_ep_test) gid=100(users) gruppi=100(users)

Fare un test d'accesso:

#ssh adm_ep_test@localhost

adm_ep_test@localhost's password: 

Creating directory '/home/adm_ep_test'.

Last login: Mon May  9 15:17:42 2022 from ::1

 

Backup Switch HP e Aruba

Una soluzione a costo zero per il backup degli switch HP e Aruba, sta nell'usare SFTP. Per fare ciò è necessaria una macchina Windows che possa raggiungere gli switch.

Nel mio caso, ho installato una VM con Windows Server 2019 Datacenter

I programmi necessari sono:

WinSCP, Notepad ++, Backup_Switch

Scaricare tutti e tre, installare WinSCP e Notepad ++, estrarre il file zip e salvarlo possibilmente su un percorso differente da C:\ (nel mio caso, ho aggiunto un secondo disco e messo sotto E:\)

Per prima cosa è necessario preparare lo switch alla esportazione della configurazione in SFTP

entrare in config

(config)# crypto key generate ssh

(config)# ip ssh

(config)# ip ssh filetransfer

!!!Attenzione!!! abilitando ip ssh file transfer verrà abilitato SFTP ma verrà disabilitato TFTP, quindi per aggiornare i firmware bisognerà utilizzare un SFTP Server.

(config)# exit

# write memory

Visto che è stato abilitato l'SSH si consiglia di disabilitare il telnet:

(config)# no telnet-server

in quanto è un protocollo non sicuro

A questo punto accedere tramite WinSCP allo switch

Andare su Sessione e cliccare su Informazione server/protocollo

Copiare il Fingerprint SHA-256 e l'Algoritmo, cliccare su Sessione e terminarla.

Aprire successivamente il file .csv che era presente nel file ZIP che è stato precedentemente estratto e compilare come nella figura qui sotto, sarà necessario inserire hostname o IP address, user, password, algoritmo e chiave SHA

E' necessario modificare i file Backup Network Switches.cmd e Backup Network Switches.ps1 inserendo i percorsi corretti dove sono presenti il file switches.csv e la cartella Backups.

A questo punto lanciando il file Backup Network Switches.cmd, lo script si collegherà allo switch e salverà la configurazione nella cartella Backup.

A completamente di tutto, si può impostare uno schedular per lanciare lo script ogni giorno o come meglio si vuole schedulare il backup.

Esempio:

Vecchie connessioni samba con Linux

 Se ci si connette a vecchie connessioni samba è necessario abilitare smb1

modificare il file:

/etc/samba/smb.conf

aggiungere sotto [global]

server min protocol = NT1
client min protocol = NT1
allow insecure wide links = yes

Se invece si cerca di accedere da un server/pc Windows a una condivisione samba su Linux e l'autenticazione non dovesse funzionare, è necessario fare un troubleshooting del problema. Nel mio caso sulla macchina linux ho eseguito un tcpdump per poi analizzarlo con wireshark.

Il comando da dare è:

tcpdump -i "nome interfaccia" -w /home/emy/sniffer.pcap

provare a fare l'autenticazione e poi analizzarlo aprendo il file con Wireshark

Nel mio caso ho visto che il server Windows faceva una richiesta NTLMSSP ma il pc linux la rifiutava, restituendo il messaggio "Error: STATUS_MORE_PROCESSING_REQUIRED"

per risolvere il problema, nel file smb.conf aggiungere sempre sotto [global]

ntlm auth = yes

Resize dischi VM

se il disco è in xfs il resize può essere fatto a caldo

con il comando "blkid" vedo se è in xfs

verificare il disco a quale storage domain appartiene

verificare lo spazio libero

andare sulla VM -> disco -> modificare -> Estendi la dimensione di > estendere di quanti giga vogliamo

andare in ssh sulla macchina

[root@test]# fdisk -l

Disk /dev/sdb: 171.8 GB, 171798691840 bytes, 335544320 sectors

Units = sectors of 1 * 512 = 512 bytes

Sector size (logical/physical): 512 bytes / 512 bytes

I/O size (minimum/optimal): 512 bytes / 512 bytes

Disk label type: dos

Disk identifier: 0x559918b3

Device Boot      Start         End      Blocks   Id  System

/dev/sdb1            2048   335544319   167771136   83  Linux

Disk /dev/sda: 80.5 GB, 80530636800 bytes, 157286400 sectors

Units = sectors of 1 * 512 = 512 bytes

Sector size (logical/physical): 512 bytes / 512 bytes

I/O size (minimum/optimal): 512 bytes / 512 bytes

Disk label type: dos

Disk identifier: 0x00035d0f

Device Boot      Start         End      Blocks   Id  System

/dev/sda1   *        2048     2099199     1048576   83  Linux

/dev/sda2         2099200   157286366    77593583+  8e  Linux LVM

estendere con growpart

growpart /dev/ sda 2

a questo punto abbiamo il Volume Group esteso e possiamo estendere il Logical Volume

lvextend -r -L +10G /dev/mapper/centos-root  -> estensione del Logical Volume

esempio di un estensione di un disco di boot xfs in LVM:

estendere il disco sul Virtual Manager

vgs

growpart /dev/sda 2

pvresize /dev/sda2

vgs

lvextend -r -L +10G /dev/mapper/centos-root

Se la partizione non è LVM:

xfs_growfs /home/jboss/

Estensione dei dischi ext4

aumentare lo spazio del disco sull'hypervisor

fdisk -lc /dev/vdb

resize2fs  -p /dev/vdb

Estensione disco Ubuntu con partizione LVM su dischi iscsi

nel mio caso ho voluto estendere la partizione di / che era in LVM

prima di tutto fare:

fdisk -l

copiare l'output

Esteso il disco sull'hyp di VMware

ls /sys/class/scsi_device/

echo 1 > /sys/class/scsi_device/32\:0\:0\:0/device/rescan

a questo punto se faccio:

fdisk -l /dev/sda  -> otterrò un errore sulla tabella delle partizioni

parted -l

Fix

Creare la nuova partizione

fdisk /dev/sda

n

p

inserire il nuovo numero partizione, che dovrebbe già assegnarlo lui automaticamente

inserire il primo valore del settore, che corrisponde al''ultimo +1

root@zabbix:~# fdisk -l /dev/sda

Device               Start                End         Sectors     Size     Type

/dev/sda1           2048             4095           2048        1M      BIOS boot

/dev/sda2           4096       2101247      2097152       1G       Linux filesystem

/dev/sda3      2101248    31455231    29353984       14G     Linux filesystem

ad esempio, se sto creando la partizione 4 il primo settore sarà 31455232 (ma verrà comunque suggerito di default), inserire l'ultimo settore

t  -> tipo partizione

8e -> LVM

w → salvare

ls -ltra /dev/sd*  -> vediamo la nuova partizione creata (/dev/sda4)

pvcreate /dev/sda4   ->  creiamo il volume fisico

vgextended "nome volume" /dev/sda4   -> estendiamo il volume group

lvextend -r -L +5G /dev/mapper/ubuntu--vg-ubuntu--lv   -> estendiamo il logical volume

Connessione remota a un database MYSQL 8

Da MYSQL 8 sono un pò cambiate le modalità per l'accesso a un db da remoto. Infatti nelle precedenti versioni bastava modificare il .cnf e dare le Grant e il gioco era fatto, adesso è necessario creare prima l'utente.

Nel dettaglio:

modificare il file:

/etc/mysql/mysql/mysql.conf.d/mysqld.cnf

e modificare questo campo da:

bind-address = 127.0.0.1 a bind-address = 0.0.0.0

entrare in mysql

shell# mysql -u root -p

mysql> CREATE USER 'pippo'@'%' IDENTIFIED BY 'pluto';

dove pippo sarà la user, pluto la password e il carattere % sta a significare da qualsiasi IP

dopo aver creato la user si può procedere con il dare i privilegi

mysql>  GRANT ALL ON database.* TO 'pippo'@'%';

con questo comando stiamo dando tutti i privilegi all'utente pippo, al posto di database inserire il nome del db al quale si vuole dare i permessi.

a questo punto si può riavviare mysql

systemctl restart mysql

un altra cosa che consiglio e di impostare un retention per i log binari, altrimenti andranno a riempire il disco dove si trova la partizione:

/var/lib/mysql

 modificare il file:

/etc/mysql/mysql/mysql.conf.d/mysqld.cnf

e aggiungiere in fondo al file:

 expire_logs_days = 7

questo farà in modo che i file binari per il restore saranno conservati per solo sette giorni