Sul mio posto di lavoro, abbiamo una WAN che mette in comunicazione diversi postazione remote. Queste hanno router Cisco connessi via ISDN o, in alcuni casi, Centrex data circuits, che forniscono connettività Internet e WAN. I router Cisco permettono di usare TFTP ("Trivial File Transfer Protocol") su un server di rete per leggere e scrivere file di configurazione. Ogni volta che la configurazione di un router viene cambiata, è importante salvare il file di configurazioni sul server Linux in modo da conservarne un copia di backup.
Sappiate che Red Hat disabilità di default il servizio TFTP, perché se non viene configurato correttamente, può compromettere la sicurezza del sistema. Il demone TFTP permette a chiunque di leggere e scrivere file senza effettuare alcuna autenticazione. Personalmente, il metodo che uso per mettere le cose a posto, è quello di creare una directory "/tftpboot/", di proprietà di root, e poi modificare, nel file "/etc/inetd.conf", la riga di configurazione esistente per specificare la posizione del file:
tftpd dgram udp wait root /usr/sbin/tcpd in.tftpd /tftpboot |
Aggiungere il percorso "/tftpboot" alla fine della riga sopra indica dove il demone TFTP può avere accesso ai file. Sebbene potete eliminare quest'ultima parte e permettere a TFTP di avere accesso a qualunque file del vostro sistema, questo potrebbe comprometterne la sicurezza e quindi, probabilmente, conviene non farlo. |
Una volta che avete attivato il servizio TFTP, non dimenticate di digitare:
killall -HUP inetd |
Il comando sopra riavvia il demone INETD in modo da rendere effettivi i cambiamenti che avete fatto al file inetd.conf.
Fare il backup di un file di configurazione di un router richiede 3 passaggi: impostare per un file esistente (o crearne uno nuovo) il permesso di scrittura, scrivere il file di backup, e poi ricambiare i permessi per limitare l'accesso al file. Ecco un esempio di una sessione di backup di un router:
mail:~# cd /tftpboot mail:/tftpboot# chmod a+w xyzrouter-confg chmod: xyzrouter-confg: No such file or directory mail:/tftpboot# touch xyzrouter-confg mail:/tftpboot# chmod a+w loyola-confg mail:/tftpboot# telnet xyzrouter Escape character is '^]'. User Access Verification Password: **** xyzrouter> enable Password: **** xyzrouter# write network Remote host []? 123.12.41.41 Name of configuration file to write [xyzrouter-confg]? Write file xyzrouter-confg on host 123.12.41.41? [confirm] Building configuration... Writing xyzrouter-confg !! [OK] xyzrouter# exit Connection closed by foreign host. mail:/tftpboot# chmod a-wr,u+r xyzrouter-confg mail:/tftpboot# exit |
In caso di malfunzionamento del router (a causa, per esempio, di un aumento improvviso di corrente elettrica durante un temporale), questi file di backup possono aiutare a ricaricare la configurazione del router. Ancora una volta, recuperare un file di configurazioni comporta 3 passaggi: impostare i permessi sul file esistente, caricare il file, e poi rimettere a posto i permessi per limitare l'accesso al file. Ecco un esempio:
mail:~# cd /tftpboot mail:/tftpboot# chmod a+r xyzrouter-confg mail:/tftpboot# telnet xyzrouter Escape character is '^]'. User Access Verification Password: **** xyzrouter> enable Password: **** xyzrouter# config network Host or network configuration file [host]? Address of remote host [255.255.255.255]? 123.12.41.41 Name of configuration file [xyzrouter-confg]? Configure using loyola-confg from 123.12.41.41? [confirm] Loading xyzrouter-confg from 123.12.41.41 (via BRI0): ! [OK - 1265/32723 bytes] xyzrouter# write xyzrouter# exit Connection closed by foreign host. mail:/tftpboot# chmod a-wr,u+r xyzrouter-confg mail:/tftpboot# exit |