Sul mio posto di lavoro, abbiamo una WAN che mette in
comunicazione diversi postazione remote. Queste hanno router Cisco
connessi via ISDN o, in alcuni casi, Centrex data circuits, che
forniscono connettività Internet e WAN. I router Cisco permettono di
usare TFTP ("Trivial File Transfer Protocol") su un
server di rete per leggere e scrivere file di configurazione. Ogni
volta che la configurazione di un router viene cambiata, è importante
salvare il file di configurazioni sul server Linux in modo da
conservarne un copia di backup.
Sappiate che Red Hat disabilità di default il servizio TFTP,
perché se non viene configurato correttamente, può compromettere la
sicurezza del sistema. Il demone TFTP permette a chiunque di leggere e
scrivere file senza effettuare alcuna autenticazione. Personalmente,
il metodo che uso per mettere le cose a posto, è quello di creare una
directory "/tftpboot/", di
proprietà di root, e poi modificare, nel file
"/etc/inetd.conf", la riga
di configurazione esistente per specificare la posizione del
file:
tftpd dgram udp wait root /usr/sbin/tcpd in.tftpd /tftpboot |
 | Aggiungere il percorso
"/tftpboot" alla fine della riga sopra indica
dove il demone TFTP può avere accesso ai file. Sebbene potete
eliminare quest'ultima parte e permettere a TFTP di avere accesso a
qualunque file del vostro sistema, questo potrebbe comprometterne la
sicurezza e quindi, probabilmente, conviene non farlo. |
Una volta che avete attivato il servizio TFTP, non dimenticate
di digitare:
Il comando sopra riavvia il demone INETD in modo da rendere
effettivi i cambiamenti che avete fatto al file inetd.conf.
Fare il backup di un file di configurazione di un router
richiede 3 passaggi: impostare per un file esistente (o crearne uno
nuovo) il permesso di scrittura, scrivere il file di backup, e poi
ricambiare i permessi per limitare l'accesso al file. Ecco un esempio
di una sessione di backup di un router:
mail:~# cd /tftpboot
mail:/tftpboot# chmod a+w xyzrouter-confg
chmod: xyzrouter-confg: No such file or directory
mail:/tftpboot# touch xyzrouter-confg
mail:/tftpboot# chmod a+w loyola-confg
mail:/tftpboot# telnet xyzrouter
Escape character is '^]'.
User Access Verification
Password: ****
xyzrouter> enable
Password: ****
xyzrouter# write network
Remote host []? 123.12.41.41
Name of configuration file to write [xyzrouter-confg]?
Write file xyzrouter-confg on host 123.12.41.41? [confirm]
Building configuration...
Writing xyzrouter-confg !! [OK]
xyzrouter# exit
Connection closed by foreign host.
mail:/tftpboot# chmod a-wr,u+r xyzrouter-confg
mail:/tftpboot# exit |
In caso di malfunzionamento del router (a causa, per esempio, di
un aumento improvviso di corrente elettrica durante un temporale),
questi file di backup possono aiutare a ricaricare la configurazione
del router. Ancora una volta, recuperare un file di configurazioni
comporta 3 passaggi: impostare i permessi sul file esistente, caricare
il file, e poi rimettere a posto i permessi per limitare l'accesso al
file. Ecco un esempio:
mail:~# cd /tftpboot
mail:/tftpboot# chmod a+r xyzrouter-confg
mail:/tftpboot# telnet xyzrouter
Escape character is '^]'.
User Access Verification
Password: ****
xyzrouter> enable
Password: ****
xyzrouter# config network
Host or network configuration file [host]?
Address of remote host [255.255.255.255]? 123.12.41.41
Name of configuration file [xyzrouter-confg]?
Configure using loyola-confg from 123.12.41.41? [confirm]
Loading xyzrouter-confg from 123.12.41.41 (via BRI0): !
[OK - 1265/32723 bytes]
xyzrouter# write
xyzrouter# exit
Connection closed by foreign host.
mail:/tftpboot# chmod a-wr,u+r xyzrouter-confg
mail:/tftpboot# exit |