É fatídico dizer que, quanto mais nos tornamos digitais mais nos tornamos vulneráveis. Ataques a grandes sistemas e empresas são exemplos atuais do que podemos dizer, frutos da globalização e agora internet das coisas (do inglês, Internet of Things).
Investir em
segurança deixou de ser banal e cada vez mais se faz necessário estarmos
seguros.
Muitos
sistemas e equipamentos adquiridos no mercado possuem senhas padrões. No
Exadata não é diferente, ele também é implementado com várias contas de
usuários e senhas padrões. Estando ele na internet, com as senhas padrões, qual
seria a probabilidade de não ser invadido em um tentativa de ataque?
É o mesmo que
dizer que a senha bancária das pessoas correspondem ao seu próprio nome, desta
forma, o que me impediria de acessar a conta alheia?
Abaixo temos
os usuários e senhas padrões de vários componentes do Exadata Database Machine:
Componente
|
User Name
|
Password
|
Compute Nodes
|
root
oracle
grid
dbmadmin (image
12.1.2.x.x ou acima)
dbmmonitor (image 12.1.2.x.x ou acima)
grub
root ILOM)
|
welcome1
welcome1
welcome1
welcome1
welcome1
sos1Exadata
welcome1
|
Cell Nodes
|
root
celladmin
cellmonitor
root (ILOM)
|
welcome1
welcome1
welcome1
welcome1
|
InfiniBand switches
|
root
nm2user
ilom-admin (ILOM)
ilom-operator (ILOM)
|
welcome1
changeme
ilom-admin
ilom-operator
|
Ethernet switches
|
admin
|
welcome1
|
Power distribution units (PDUs)
|
admin
root
|
welcome1
welcome1
|
NOTA: Nas PDUs
o usuário/senha default, conforme Doc ID
1570252.1 também pode ser admin/admin para PDU firmware anterior a 1.05 e
admin/adm1n para PDU firmware 1.06 e superior.
Como visto
acima, "welcome1" faz um
enorme sucesso como senha! Mas bem, veremos a seguir como alterar estas senhas.
- Componente: Database Node (compute node)
Estando
conectado no database node, podemos alterar a senha com o comando
"passwd" ou "passwd <username>", ou para tornar o
trabalho mais rápido e prático, podemos utilizar o DCLI para alterar a senha em
todos os database nodes de uma única vez.
Exemplo:
Alterando a
senha do usuário oracle para H4rdPwd234 em todos os database nodes de uma única
vez.
[root@dbnode1 ~]# dcli -g dbs_group -l root "echo H4rdPwd234 | passwd --stdin oracle" 170.10.0.10: Changing password for user oracle. 170.10.0.10: passwd: all authentication tokens updated successfully. 170.10.0.11: Changing password for user oracle. 170.10.0.11: passwd: all authentication tokens updated successfully.
O comando
pode ser executado para qualquer conta a nível de sistema operacional.
Para outras
contas padrões de instalação:
dcli -g dbs_group -l root "echo H4rdPwd234 | passwd --stdin oracle" dcli -g dbs_group -l root "echo H4rdPwd234 | passwd --stdin grid" dcli -g dbs_group -l root "echo H4rdPwd234 | passwd --stdin dbmadmin"
Podemos
também atribuir diferentes senhas para cada usuário:
dcli -g dbs_group -l root "echo pWD4acc355 | passwd --stdin root"
Se ao
executar o DCLI informar que o grupo não existe, basta criar um arquivo com o
nome do grupo que você desejar (dbs_groups, cell_groups, dbs_cell_groups) e
adicionar neste arquivo os ips dos servidores que você quer que façam parte
dele.
[root@dbnode1 ~]# cat cell_group 170.10.0.12 170.10.0.13 170.10.0.14 [root@dbnode1 ~]# cat dbs_group 170.10.0.10 170.10.0.11
Pode ocorrer
também problema por falta de equivalência (chave pública) entre os servidores.
Para testar
se a equivalência do grupo está funcionando:
[root@dbnode1 ~]# dcli -g cell_group -l root 'hostname' 170.10.0.12: cellnode1 170.10.0.13: cellnode2 170.10.0.14: cellnode3
Caso ocorra
erros informando a necessidade de password, basta executar o procedimento
abaixo para criar a equivalência.
[root@dbnode1 ~]# dcli -g cell_group -l root -k root@cellnode1's password: root@cellnode2's password: root@cellnode3's password: cellnode1: ssh key added cellnode2: ssh key added cellnode3: ssh key added
- Componente: Cell node
Da mesma
forma que nos compute nodes, nos cell nodes também podemos alterar a senha
conectando em cada um deles e executando um "passwd" ou então, ainda
conectado em um compute node, podemos usar o DCLI apenas ajustando o grupo para
cell_group e alterar a senha de todos os cell nodes de uma única vez.
Exemplo:
[root@dbnode1 ~]# dcli -g cell_group -l root "echo H4rdPwd234 | passwd --stdin celladmin" 170.10.0.12: Changing password for user celladmin. 170.10.0.12: passwd: all authentication tokens updated successfully. 170.10.0.13: Changing password for user celladmin. 170.10.0.13: passwd: all authentication tokens updated successfully. 170.10.0.14: Changing password for user celladmin. 170.10.0.14: passwd: all authentication tokens updated successfully. [root@dbnode1 ~]#
Para outras
contas padrões de instalação:
dcli -g cell_group -l root "echo pWD4acc355 | passwd --stdin root" dcli -g cell_group -l root "echo H4rdPwd234 | passwd --stdin cellmonitor"
- · Componente: ILOM
Para alterar
a senha na ILOM (Integrated Lights Out
Manager), além do DCLI que veremos mais abaixo, temos ainda a possibilidade
de alterar a senha via interface web (https://<ilom_ip>)
No menu Navigation à ILOM Administration à User Managementà User Accounts à Escolha o usuário à Edit à Altere a senha à Save.
OBS: Dependendo da versão da
ILOM, o layout da página pode ser diferente tanto quanto o local de ajuste da
senha.
Para alterar
conectado na ILOM via command-line:
-> set /SP/users/root password
[root@dbnode1 ~]# dcli -g dbs_group -l root " ipmitool sunoem cli 'set /SP/users/root password=pWD4acc355' pWD4acc355 " 170.10.0.10: Connected. Use ^D to exit. 170.10.0.10: -> set /SP/users/root password=pWD4acc355 170.10.0.10: Changing password for user /SP/users/root... 170.10.0.10: Enter new password again: *********** 170.10.0.10: New password was successfully set for user /SP/users/root 170.10.0.10: 170.10.0.10: -> Session closed 170.10.0.10: Disconnected 170.10.0.11: Connected. Use ^D to exit. 170.10.0.11: -> set /SP/users/root password=pWD4acc355 170.10.0.11: Changing password for user /SP/users/root... 170.10.0.11: Enter new password again: *********** 170.10.0.11: New password was successfully set for user /SP/users/root 170.10.0.11: 170.10.0.11: -> Session closed 170.10.0.11: Disconnected [root@dbnode1 ~]# dcli -g cell_group -l root " ipmitool sunoem cli 'set /SP/users/root password=pWD4acc355' pWD4acc355 " 170.10.0.12: Connected. Use ^D to exit. 170.10.0.12: -> set /SP/users/root password=pWD4acc355 170.10.0.12: Changing password for user /SP/users/root... 170.10.0.12: Enter new password again: *********** 170.10.0.12: New password was successfully set for user /SP/users/root 170.10.0.12: 170.10.0.12: -> Session closed 170.10.0.12: Disconnected 170.10.0.13: Connected. Use ^D to exit. 170.10.0.13: -> set /SP/users/root password=pWD4acc355 170.10.0.13: Changing password for user /SP/users/root... 170.10.0.13: Enter new password again: *********** 170.10.0.13: New password was successfully set for user /SP/users/root 170.10.0.13: 170.10.0.13: -> Session closed 170.10.0.13: Disconnected 170.10.0.14: Connected. Use ^D to exit. 170.10.0.14: -> set /SP/users/root password=pWD4acc355 170.10.0.14: Changing password for user /SP/users/root... 170.10.0.14: Enter new password again: *********** 170.10.0.14: New password was successfully set for user /SP/users/root 170.10.0.14: 170.10.0.14: -> Session closed 170.10.0.14: Disconnected
- Componente: KVM
Para alterar
a senha do KVM (Keyboard, Vídeo, Mouse) siga conforme os procedimentos abaixo:
1. Puxe
a bandeja KVM para fora (localizado na frente do rack), abra-a usando a alça;
2. Toque
no touch pad;
3. Alterne
entre o host e a interface KVM pressionando a tecla CTRL no lado esquerdo duas
vezes;
4. Selecione
"local" em User Accounts;
5. Clique
em Admin;
6. Defina
a senha para a conta administrador e Salve.
- Componente: PDU
Acesse a
interface web da PDU e clique sobre "Net Configuration", será
solicitado usuário e senha.
Conforme
supracitado, na PDU o usuário/senha também pode ser admin/admin ou admin/adm1n
dependendo da verão do firmware.
Estando
conectado, role página até encontrar "Admin/User"
Altere a
senha e clique em "Submit"
- Componente: Infiniband Switch
Conectando na
IB via ssh, verifique a versão do
firmware.
[root@sw-iba01 ~]# version SUN DCS 36p version: 2.1.5-1
Estando na
versão 1.3.* use a ILOM para alterar
a senha para evitar o bug 13494021
ssh -l ilom-adminset /SP/users/ password
Para versões 2.0.3 e superiores:
1. Conectado
no SO usar o "passwd <username>" (com exceção da conta
ilom_admin que é necessário conectar na ILOM para realizar a alteração "set /SP/users/ilom-admin password")
2. Usar o DCLI para alterar a senha em todos os
Switches da Infiniband (IB)
a)
Verifique a equivalência com os switches
dcli -g ibswitch_group -l root "hostname"
Caso o grupo
"ibswitch_group" não exista, basta criar o arquivo contendo o IP dos
IB switches
Crie a equivalência:
[root@dbnode1 ~]# dcli -g ibswitch_group -l root -k root@170.10.0.22's password: root@170.10.0.21's password: 170.10.0.21: ssh key added 170.10.0.22: ssh key added [root@dbnode1 ~]# dcli -g ibswitch_group -l root "hostname" 170.10.0.21: sw-iba01 170.10.0.22: sw-ibb01
b)
Altere a senha em todos os switches da IB de uma
única vez via DCLI
[root@dbnode1 ~]# dcli -g ibswitch_group -l root -k root@170.10.0.22's password: root@170.10.0.21's password: 170.10.0.21: ssh key added 170.10.0.22: ssh key added [root@dbnode1 ~]# dcli -g ibswitch_group -l root "hostname" 170.10.0.21: sw-iba01 170.10.0.22: sw-ibb01
Referências:
How to change OS user
password for Cell Node, Database Node , ILOM, KVM , Infiniband Switch , GigaBit
Ethernet Switch and PDU on Exadata Database Machine (Doc ID 1291766.1)
PDU default password changed after firmware 1.06 and
above on Sun Rack II platforms and Engineered Systems (Doc ID 1570252.1)
0 comentários:
Postar um comentário