H3C交换机系统时间设置漏洞
巴黎圣母院敲钟人H3C交换机系统时间设置存在漏洞
蛋白质粉的好处
园艺业1. 背景说明
由于在编写《主机房⽹络延伸实施⽅案》,调试H3C S5120S-28P-EI交换机时,发现交换机设置成现在的时间后,导致本地⽤户通过ssh或者console⼝不能登录,只能通过重启机器才能再次登录。⽽交换机重启之后,交换机的时间统⼀重写写⼊系统时间为2000年。该时间肯定跟我们⽬前的时间不⼀致,不利于以后排查问题。
2. 排查导致不可登录造成的原因
2.1登录报错
Failed to log in becau the login idle timer expired
通过分析报错造成的原因是由于交换机启⽤了以下策略
password-control enable好看的头像图片
password-control aging 365
password-control composition type-number 3 type-length 1
password-control history 2
password-control login-attempt 10 exceed lock-time 1
password-control complexity ur-name check
###以上策略是为了交换机登录安全所设置
由于设置密码有效期为365天(此时间为可设置的最长有效时间),如果⽤户是2000年创建的,突然把系统设置成2017年,就导致该⽤户不能登录了。经过测试,在系统时间为2017年时新建⽤户,是可以登录的。但是,如果交换机重启之后,系统时间被重写成2000年时,该⽤户登录过⼀次,在把系统设置成2017年时,该⽤户也不能登录。这样会导致以后如果更新系统时间为当前时间,跟⽤户创建时间之间超过365天时,导致⽤户不可登录,只能通过重启交换机解决。(考虑到交换机在机房,且交换机不可能随便重启,固存在较⼤安全隐患)假蜂蜜会结晶吗
如果undo password-control enable
本地⽤户就可以登录,但是如果这样的话,交换机在登录⽅⾯的安全策略都被取消了,存在安全隐患。不建议这样做。
3. 跟售后技术⽀持沟通反馈
3.1确定交换机能否保存系统时间的问题
描写校园跟h3c售后技术⽀持沟通之后,h3c所有中低端交换机(包括我们现在所⽤H3C S5500-28C-EI和我⽬前测试的H3C S5120S-28P-EI)都不具备保存系统时间的功能,及交换机重启之后,时间统⼀被设置2000年某⽉某⽇,该时间沟通过,不能重新设置。沟通过,h3c交换机只有少许的某些⾼端交换机才有保存系统时间功能。
3.2在不采⽤同步现在当时时间是否存在未知隐患的问题
如果不采⽤同步⽬前的时间的做法,跟售后技术⽀持沟通后,得出不影响交换机的使⽤,不影响⽣成树协议的使⽤
4. 沟通之后的解决办法
4.1取消password-control策略
取消该项策略,⽤户可以登录,存在安全隐患,不建议使⽤。
4.2不采⽤同步现在时间,及使⽤本系统固有时间(2000年某年某⽉)
该做法时间时钟跟⽬前的真实时间不⼀致,不利⽤debug排查后来问题,勉强能⽤。
4.3采购能够保存系统时间的⾼端交换机她的温度
采购能够保存系统时间的⾼端交换机,就不存在上述问题,缺点,可能费⽤要⽐现在要⾼。
5. 参考
经测试配置好ntp服务器后,在以下⼏个条件满⾜的情况下,可以成功登陆
①-交换机重启之后,通过配置的ntp服务器同步到当前时间(意味着ntp服务器是好的,且能同步到当前时间)风铃晚
②-在交换机重启之后,时间未同步到当前时间,不能通过console登陆,以免造成该⽤户最后登陆成功登陆时间为2000年
③-登陆的⽤户最近的⼀次成功登陆的时间必须不能提前于当前时间的365天(交换机重启前,⽤户最
后成功登陆交换机的时间不得早于当前时间的365天)
综上所述,为避免ssh 登陆不上交换机,必须保证以下⼏个条件
①-必须保证创建的⽤户为当前或者不得早于当前时间365天。
②-重启交换机之前必须有⽤户在365天内登陆成功的记录。
③-在交换机为完成或者不能完成时间同步的条件下,不得⽤console连接交换机,防⽌该⽤户在交换机同步完时间后,远程ssh登陆不进系统。
