Wenn nicht wir, wer hat dann die VTY-SSH-Leitungen übernommen? Dies ist OPS / Sudo Null IT News

Wir haben kürzlich einen Fall untersucht, bei dem mit folgender Konfiguration (siehe unten) alle Versuche, sich an einem Huawei NE40E-X8A (V800R021C00SPC100) Router anzumelden, für etwa zwanzig Minuten erfolglos blieben, während alle VTY-SSH-Leitungen frei waren, sich niemand anmeldete am Gerät für mehrere Tage . Insgesamt wurden 21 VTY-Leitungen für den Zugriff konfiguriert (Benutzeroberfläche maximal vty 21).

Benutzeroberfläche vty 0 4
Authentifizierungsmodus aaa
Protokoll eingehender ssh

Der Router hat Fehler zurückgegeben wie: VTY nicht verfügbar für Stelnet-Verbindung, Authentifizierung mit öffentlichem Schlüssel des Benutzers fehlgeschlagen, Der Authentifizierungsserver hat keine Antwort:

Die Fehlerbehebung wurde dadurch erschwert, dass der Benutzer nach mehreren erfolglosen Versuchen begann, den Benutzernamen zu sortieren, weil er glaubte, ihn falsch eingegeben zu haben. Dies führte dazu, dass die Quell-IP-Adresse der Anfragen blockiert wurde (SSH-Server-IP-Blockierung wurde auf dem Router aktiviert). Infolgedessen war es möglich, sich erst nach etwa zwanzig Minuten vom iMasterNCE-Controller aus unter einem anderen Konto anzumelden.

Weder die Diagnosedatei noch die typischen Protokolle gaben annähernd Auskunft über die Ursache des Geschehens. Nur die Betriebsprotokolle (Datei log.log) zeigten dies OPS besetzte alle VTY-Leitungen über SSH, während er an seinen Aufgaben arbeitete. OPS ist ein in die Firmware integriertes Tool, mit dem Sie Python-Code für die Automatisierung verwenden können. Der Name steht für Open Programmability System.

Obwohl 21 VTY-Leitungen für den Zugriff konfiguriert waren, wurden nur 5 davon (vty 0 4) für den SSH-Zugriff konfiguriert. Und OPS besetzte sie alle regelmäßig.

Um ein ähnliches Szenario in Zukunft zu vermeiden, sollten Sie Änderungen an der Konfiguration vorgenommen haben:

Benutzeroberfläche vty 0 20
Authentifizierungsmodus aaa
Protokoll eingehender ssh

Dies gilt nicht nur für das Huawei NE40-Modell, sondern auch für alle anderen Huawei-Produkte, die mit OPS arbeiten, wie beispielsweise die CloudEngine-Switch-Serie.

Similar Posts

Leave a Reply

Your email address will not be published.