Re: running expect from cron
Hello Igor, Thursday, January 23, 2003, 6:42:22 AM, you wrote: IS Multiple Cisco products contain vulnerabilities in the processing of Simple IS Network Management Protocol (SNMP) messages. The vulnerabilities can be IS repeatedly exploited to produce a denial of service. In most cases, IS workarounds are available that may mitigate the impact. These vulnerabilities IS are identified by various groups as VU#617947, VU#107186, OUSPG #0100, IS CAN-2002-0012, and CAN-2002-0013. IS Если по русски - мы тут в нашем оборудовании нашли туеву хучу ошибок. IS Дырявой оказалась почти вся линейка с IOS. И ошибок там столько, что IS пришлось разбить их на группы. Что нашли - заткнули. А рассказ об этом IS повесили на самом видном месте, прямо на странице с IOS'ами. Кто хочет IS - пусть думает. Видимо у тебя нет захода на CCO :) Иначе, с таким мироощущением, ты перестал бы пользоваться продукцией Cisco вообще :) И ты, кстати, сделал неверные выводы из того, где оно висит и почему так несколько групп перечислено. Первое следует из того, что баг относится к фиче, включенной по дефолту, так что становятся affected всевозможные люди, не умеющие защищать свою managenent network и вообще настраивающие купленное оборудование через quick setup и не получающие field nitice's, которых из-за этого надо тыкнуть в дыру носом везде, где только можно. Второе же вытакает из всё-таки модульной (до некоторой степени) структуры IOS и такой беды, как code reusing. IS В ssh ошибки такими пачками не сыпались. Не всё ли равно, какой размер у пачки ошибок, если они примерно одинаковы по своей глубине? IS И? У 805 Serial умеет максимум 512 Кбит. Ну хорошо, если надо больше - тогда 1721+соответствующие WIC-и. Кстати, стоит почти копейки. -- Best regards, Roman mailto:[EMAIL PROTECTED]
Re: running expect from cron
On Wed, Jan 22, 2003 at 07:40:20PM +0300, Igor Suvorov wrote: Good day, Roman! Wednesday, January 22, 2003, 6:13:31 PM, you wrote: RS И всё же, чем не секьюрен snmp-то ? Отключай public community, RS настраивай acl на доступ к snmp - и вперед. IS http://www.cisco.com/warp/public/707/cisco-malformed-snmp-msgs-pub.shtml RS Да-да, бага почти годичной давности,разве кто-то ещё оставил у себя RS софт, где она не поправлена? Если да - то здесь мне сказать нечего. Этого не достаточно для того, чтобы задуматься о том, всегда ли стоит открывать snmp на железке? Тогда действительно no comments. Ну, зубов бояться ... Что, теперь, если в каком-то сервисе дырка, то и использовать его не будем даже после ее исправления? А задумываться, оно, того, всегда полезно :) IS Скрипты за съемом статистики начинают выстраиваться в очередь, т.к. IS данные с маршрутизатора просто не успевают выгружаться в базу. RS Чем же это у вас так загружен маршрутизатор ?? Ты не поверишь - данные передает. :-) RS Если у него не хватает ресурсов даже на то, чтобы ответить на запрос RS нескольких конкретных значений snmp-дерева - ip accounting, это не несколько конкретных значений. это таблица. ip accounting по SMNP тянуть не стоило бы - мучительство это. SNMP хорош для того чтобы снять пару счетчиков. Большие таблицы для него трудны. Дело в том, что по стандарту get-next возвращает строки таблицы в лексикографическом порядке. Поэтому если таблица неупорядочена, то перед выдачей ее придется сортировать. Это, чем больше таблица, тем дороже. Ну а помимо этого, SNMP по определению zero window protocol. Так что вытаскивание больших таблиц через него удовольсвие слишком специфическое. При использовании ip acсounting единственная альтернатива -- rsh. RS то значит у вас работает неправильная модель и явно пора либо что-то RS апгрейдить, либо подправлять в консерватории. естественно. о том и речь, что перед тем, как задуматься о смене 1601 на 26ХХ, я вначале перейду от snmp к rsh. а вот когда и этот запас будет исчерпан, можно говорить о замене железа. -- dg
Re: running expect from cron
On Fri, 17 Jan 2003 14:03:22 +0300 Victor Wagner [EMAIL PROTECTED] wrote: Надо запускать скрипт на expect'е из крона, скрипт сам по себе запускает потом sftp, идёт на сервер, передаёт пароли, забирает логи и выходит. Если запускать вручную - работает, из крона - не работает :( В чём может быть проблема? В отсутствии переменной среды TERM или еще каких переменных среды. Вообще для данной задачи лучше экспектом не пользоваться, а покопать в сторону более других методов авторизации - например, по некриптованному ключу. Хмм.. Действительно, для этой задачи, возможно, такой вариант будет лучше. Однако, иногда всё равно возникает необходимость пользоваться expect'ом и запускать его из крона - например, недавно я писал скрипт, который обходит маршрутизаторы телнетом и собирает с них конфиги раз в неделю. Других способов кроме expect'а я в данном случае не вижу..
Re: running expect from cron
Здравствуйте, On Tue, Jan 21, 2003 at 10:56:44AM +0300, Alexey Zagarin wrote: Надо запускать скрипт на expect'е из крона, скрипт сам по себе запускает потом sftp, идёт на сервер, передаёт пароли, забирает логи и выходит. Если запускать вручную - работает, из крона - не работает :( В чём может быть проблема? В отсутствии переменной среды TERM или еще каких переменных среды. Вообще для данной задачи лучше экспектом не пользоваться, а покопать в сторону более других методов авторизации - например, по некриптованному ключу. Хмм.. Действительно, для этой задачи, возможно, такой вариант будет лучше. Однако, иногда всё равно возникает необходимость пользоваться expect'ом и запускать его из крона - например, недавно я писал скрипт, который обходит маршрутизаторы телнетом и собирает с них конфиги раз в неделю. Других способов кроме expect'а я в данном случае не вижу.. Copying a Running Configuration File from the Router to the TFTP Server Step-by Step Instructions 1. Create a new file, router-config, in the TFTP server's /tftpboot directory. On UNIX, use the syntax: touch filename touch router-config 2. Change the permissions of the file to 777 using the syntax: chmod permissions filename chmod 777 router-config 3. From the management station command line, using the MIB objectwriteNet enter the following: % snmpset 172.16.99.20 private .1.3.6.1.4.1.9.2.1.55.171.68.191.135 s router-config enterprises.9.2.1.55.171.68.191.135 = router-config -- Elena Egorova
Re: running expect from cron
On Tue, 21 Jan 2003 15:27:14 +0200 Elena Egorova [EMAIL PROTECTED] wrote: Хмм.. Действительно, для этой задачи, возможно, такой вариант будет лучше. Однако, иногда всё равно возникает необходимость пользоваться expect'ом и запускать его из крона - например, недавно я писал скрипт, который обходит маршрутизаторы телнетом и собирает с них конфиги раз в неделю. Других способов кроме expect'а я в данном случае не вижу.. Copying a Running Configuration File from the Router to the TFTP Server Step-by Step Instructions 1. Create a new file, router-config, in the TFTP server's /tftpboot directory. On UNIX, use the syntax: touch filename touch router-config 2. Change the permissions of the file to 777 using the syntax: chmod permissions filename chmod 777 router-config 3. From the management station command line, using the MIB objectwriteNet enter the following: % snmpset 172.16.99.20 private .1.3.6.1.4.1.9.2.1.55.171.68.191.135 s router-config enterprises.9.2.1.55.171.68.191.135 = router-config Этот вариант я отбросил из-за необходимости наличия tftp сервера, да и к тому же включать SNMP на цисках не секьюрно. -- Alexey Zagarin Aquarius Consulting Phone: +7 (095) 745-3663 *170 E-Mail: [EMAIL PROTECTED]
Re: running expect from cron
Здравствуйте, On Tue, Jan 21, 2003 at 06:13:32PM +0300, Alexey Zagarin wrote: % snmpset 172.16.99.20 private .1.3.6.1.4.1.9.2.1.55.171.68.191.135 s router-config enterprises.9.2.1.55.171.68.191.135 = router-config Этот вариант я отбросил из-за необходимости наличия tftp сервера, да и к тому же включать SNMP на цисках не секьюрно. Извините, чем же telnet секьюрнее snmp? Я понимаю, шла бы речь о ssh. Telnet очень неудобен тем, что приходится хранить пароль в явном виде на диске (а при выполнении он в явном виде считывается в память). Наличие tftpd очень удобно как дополнительная возможность загрузки (не обязательно кошек). По поводу snmp - а статистику иначе каким образом снимать? По rsh? Впрочем, последние 3 параграфа это мое частное мнение, именно мне так удобнее. -- Elena Egorova
Re: running expect from cron
On 2003.01.17 at 13:06:26 +0300, Alexey Zagarin wrote: Hi! Не подскажете, имеется такая проблемка. Надо запускать скрипт на expect'е из крона, скрипт сам по себе запускает потом sftp, идёт на сервер, передаёт пароли, забирает логи и выходит. Если запускать вручную - работает, из крона - не работает :( В чём может быть проблема? В отсутствии переменной среды TERM или еще каких переменных среды. Вообще для данной задачи лучше экспектом не пользоваться, а покопать в сторону более других методов авторизации - например, по некриптованному ключу. -- Victor Wagner [EMAIL PROTECTED] Chief Technical Officer Office:7-(095)-748-53-88 Communiware.Net Home: 7-(095)-135-46-61 http://www.communiware.net http://www.ice.ru/~vitus