segunda-feira, 20 de março de 2017

Alterando senhas no Exadata Database Machine (Database Node, Cell Node, ILOM, KVM, Switches e PDU)

Com a globalização, passamos a viver em um mundo cada vez mais digital, redes sociais, comercio eletrônico e até computação nas nuvens passou a fazer parte do dia-a-dia de muitas pessoas.

É fatídico dizer que, quanto mais nos tornamos digitais mais nos tornamos vulneráveis. Ataques a grandes sistemas e empresas são exemplos atuais do que podemos dizer, frutos da globalização e agora internet das coisas (do inglês, Internet of Things).

Investir em segurança deixou de ser banal e cada vez mais se faz necessário estarmos seguros.

Muitos sistemas e equipamentos adquiridos no mercado possuem senhas padrões. No Exadata não é diferente, ele também é implementado com várias contas de usuários e senhas padrões. Estando ele na internet, com as senhas padrões, qual seria a probabilidade de não ser invadido em um tentativa de ataque?

É o mesmo que dizer que a senha bancária das pessoas correspondem ao seu próprio nome, desta forma, o que me impediria de acessar a conta alheia?


Abaixo temos os usuários e senhas padrões de vários componentes do Exadata Database Machine:

Componente
User Name
Password
Compute Nodes
root
oracle
grid
dbmadmin   (image 12.1.2.x.x ou acima)
dbmmonitor (image 12.1.2.x.x ou acima)
grub
root ILOM)
welcome1
welcome1
welcome1
welcome1
welcome1
sos1Exadata
welcome1
Cell Nodes
root
celladmin
cellmonitor
root (ILOM)
welcome1
welcome1
welcome1
welcome1
InfiniBand switches
root
nm2user
ilom-admin (ILOM)
ilom-operator (ILOM)
welcome1
changeme
ilom-admin
ilom-operator
Ethernet switches
admin
welcome1
Power distribution units (PDUs)
admin
root
welcome1
welcome1

NOTA: Nas PDUs o usuário/senha default, conforme Doc ID 1570252.1 também pode ser admin/admin para PDU firmware anterior a 1.05 e admin/adm1n para PDU firmware 1.06 e superior.

Como visto acima, "welcome1" faz um enorme sucesso como senha! Mas bem, veremos a seguir como alterar estas senhas.

  •         Componente: Database Node (compute node)


Estando conectado no database node, podemos alterar a senha com o comando "passwd" ou "passwd <username>", ou para tornar o trabalho mais rápido e prático, podemos utilizar o DCLI para alterar a senha em todos os database nodes de uma única vez.

Exemplo:

Alterando a senha do usuário oracle para H4rdPwd234 em todos os database nodes de uma única vez.


[root@dbnode1 ~]# dcli -g dbs_group -l root "echo H4rdPwd234 | passwd --stdin oracle"
170.10.0.10: Changing password for user oracle.
170.10.0.10: passwd: all authentication tokens updated successfully.
170.10.0.11: Changing password for user oracle.
170.10.0.11: passwd: all authentication tokens updated successfully.

O comando pode ser executado para qualquer conta a nível de sistema operacional.


Para outras contas padrões de instalação:


dcli -g dbs_group -l root "echo H4rdPwd234 | passwd --stdin oracle"
dcli -g dbs_group -l root "echo H4rdPwd234 | passwd --stdin grid"
dcli -g dbs_group -l root "echo H4rdPwd234 | passwd --stdin dbmadmin"

Podemos também atribuir diferentes senhas para cada usuário:


dcli -g dbs_group -l root "echo pWD4acc355 | passwd --stdin root"

Se ao executar o DCLI informar que o grupo não existe, basta criar um arquivo com o nome do grupo que você desejar (dbs_groups, cell_groups, dbs_cell_groups) e adicionar neste arquivo os ips dos servidores que você quer que façam parte dele.



[root@dbnode1 ~]# cat cell_group
170.10.0.12
170.10.0.13
170.10.0.14
[root@dbnode1 ~]# cat dbs_group
170.10.0.10
170.10.0.11

Pode ocorrer também problema por falta de equivalência (chave pública) entre os servidores.


Para testar se a equivalência do grupo está funcionando:


[root@dbnode1 ~]# dcli -g cell_group -l root 'hostname'
170.10.0.12: cellnode1
170.10.0.13: cellnode2
170.10.0.14: cellnode3

Caso ocorra erros informando a necessidade de password, basta executar o procedimento abaixo para criar a equivalência.


[root@dbnode1 ~]# dcli -g cell_group -l root -k
root@cellnode1's password:
root@cellnode2's password:
root@cellnode3's password:
cellnode1: ssh key added
cellnode2: ssh key added
cellnode3: ssh key added



  •        Componente: Cell node


Da mesma forma que nos compute nodes, nos cell nodes também podemos alterar a senha conectando em cada um deles e executando um "passwd" ou então, ainda conectado em um compute node, podemos usar o DCLI apenas ajustando o grupo para cell_group e alterar a senha de todos os cell nodes de uma única vez.

Exemplo:


[root@dbnode1 ~]# dcli -g cell_group -l root "echo H4rdPwd234 | passwd --stdin celladmin"
170.10.0.12: Changing password for user celladmin.
170.10.0.12: passwd: all authentication tokens updated successfully.
170.10.0.13: Changing password for user celladmin.
170.10.0.13: passwd: all authentication tokens updated successfully.
170.10.0.14: Changing password for user celladmin.
170.10.0.14: passwd: all authentication tokens updated successfully.
[root@dbnode1 ~]#

Para outras contas padrões de instalação:
dcli -g cell_group -l root "echo pWD4acc355 | passwd --stdin root" 
dcli -g cell_group -l root "echo H4rdPwd234 | passwd --stdin cellmonitor"

  • ·           Componente: ILOM

Para alterar a senha na ILOM (Integrated Lights Out Manager), além do DCLI que veremos mais abaixo, temos ainda a possibilidade de alterar a senha via interface web (https://<ilom_ip>)

No menu Navigation à ILOM Administration à User Managementà User Accounts à Escolha o usuário à Edit à Altere a senha à Save.



OBS: Dependendo da versão da ILOM, o layout da página pode ser diferente tanto quanto o local de ajuste da senha.

Para alterar conectado na ILOM via command-line:


-> set /SP/users/root password

E finalmente a partir do DCLI que permite alterar facilmente em todos os dbnodes e cellnodes.

[root@dbnode1 ~]# dcli -g dbs_group -l root " ipmitool sunoem cli 'set /SP/users/root password=pWD4acc355' pWD4acc355 "
170.10.0.10: Connected. Use ^D to exit.
170.10.0.10: -> set /SP/users/root password=pWD4acc355
170.10.0.10: Changing password for user /SP/users/root...
170.10.0.10: Enter new password again: ***********
170.10.0.10: New password was successfully set for user /SP/users/root
170.10.0.10:
170.10.0.10: -> Session closed
170.10.0.10: Disconnected
170.10.0.11: Connected. Use ^D to exit.
170.10.0.11: -> set /SP/users/root password=pWD4acc355
170.10.0.11: Changing password for user /SP/users/root...
170.10.0.11: Enter new password again: ***********
170.10.0.11: New password was successfully set for user /SP/users/root
170.10.0.11:
170.10.0.11: -> Session closed
170.10.0.11: Disconnected

[root@dbnode1 ~]# dcli -g cell_group -l root " ipmitool sunoem cli 'set /SP/users/root password=pWD4acc355' pWD4acc355 "
170.10.0.12: Connected. Use ^D to exit.
170.10.0.12: -> set /SP/users/root password=pWD4acc355
170.10.0.12: Changing password for user /SP/users/root...
170.10.0.12: Enter new password again: ***********
170.10.0.12: New password was successfully set for user /SP/users/root
170.10.0.12:
170.10.0.12: -> Session closed
170.10.0.12: Disconnected
170.10.0.13: Connected. Use ^D to exit.
170.10.0.13: -> set /SP/users/root password=pWD4acc355
170.10.0.13: Changing password for user /SP/users/root...
170.10.0.13: Enter new password again: ***********
170.10.0.13: New password was successfully set for user /SP/users/root
170.10.0.13:
170.10.0.13: -> Session closed
170.10.0.13: Disconnected
170.10.0.14: Connected. Use ^D to exit.
170.10.0.14: -> set /SP/users/root password=pWD4acc355
170.10.0.14: Changing password for user /SP/users/root...
170.10.0.14: Enter new password again: ***********
170.10.0.14: New password was successfully set for user /SP/users/root
170.10.0.14:
170.10.0.14: -> Session closed
170.10.0.14: Disconnected

  •         Componente: KVM
Para alterar a senha do KVM (Keyboard, Vídeo, Mouse) siga conforme os procedimentos abaixo:

1.       Puxe a bandeja KVM para fora (localizado na frente do rack), abra-a usando a alça;

2.       Toque no touch pad;

3.       Alterne entre o host e a interface KVM pressionando a tecla CTRL no lado esquerdo duas vezes;

4.       Selecione "local" em User Accounts;

5.       Clique em Admin;

6.       Defina a senha para a conta administrador e Salve.


  •           Componente: PDU

Acesse a interface web da PDU e clique sobre "Net Configuration", será solicitado usuário e senha.


Conforme supracitado, na PDU o usuário/senha também pode ser admin/admin ou admin/adm1n dependendo da verão do firmware.

Estando conectado, role página até encontrar "Admin/User"


Altere a senha e clique em "Submit"

  •                     Componente: Infiniband Switch

Conectando na IB via ssh, verifique a versão do firmware.



[root@sw-iba01 ~]# version
SUN DCS 36p version: 2.1.5-1

Estando na versão 1.3.* use a ILOM para alterar a senha para evitar o bug 13494021


ssh -l ilom-admin 

set /SP/users/ password

Para versões 2.0.3 e superiores:

1.       Conectado no SO usar o "passwd <username>" (com exceção da conta ilom_admin que é necessário conectar na ILOM para realizar a alteração "set /SP/users/ilom-admin password")

2.        Usar o DCLI para alterar a senha em todos os Switches da Infiniband (IB)

a)      Verifique a equivalência com os switches


dcli -g ibswitch_group -l root "hostname"

Caso o grupo "ibswitch_group" não exista, basta criar o arquivo contendo o IP dos IB switches

Crie a equivalência:



[root@dbnode1 ~]# dcli -g ibswitch_group -l root -k
root@170.10.0.22's password:
root@170.10.0.21's password:
170.10.0.21: ssh key added
170.10.0.22: ssh key added
[root@dbnode1 ~]# dcli -g ibswitch_group -l root "hostname"
170.10.0.21: sw-iba01
170.10.0.22: sw-ibb01

b)      Altere a senha em todos os switches da IB de uma única vez via DCLI


[root@dbnode1 ~]# dcli -g ibswitch_group -l root -k
root@170.10.0.22's password:
root@170.10.0.21's password:
170.10.0.21: ssh key added
170.10.0.22: ssh key added
[root@dbnode1 ~]# dcli -g ibswitch_group -l root "hostname"
170.10.0.21: sw-iba01
170.10.0.22: sw-ibb01

Referências:
How to change OS user password for Cell Node, Database Node , ILOM, KVM , Infiniband Switch , GigaBit Ethernet Switch and PDU on Exadata Database Machine (Doc ID 1291766.1)


PDU default password changed after firmware 1.06 and above on Sun Rack II platforms and Engineered Systems (Doc ID 1570252.1)
Postagem mais recente Postagem mais antiga Página inicial

0 comentários:

Postar um comentário

Translate

# ACE Program

#Oracle

#Oracle
Disclaimer: The views expressed on this blog are my own and do not necessarily reflect the views of Oracle.

#Blog reconhecido

#ARTICULISTA

Marcadores

Postagens populares