Вчера мой коллега спросил как можно удалить ВСЕ записи в таблице ARP одной командой в
Чекпоинте NGX (Splat). К моему удивлению Линукс (на котором основан Splat) не имеет такой опции. В Линуксе чтобы удалить какую-либо запись из таблицы ARP есть команда arp -d <IP address>
но она не имеет возможности удалять несколько/все адреса . Для этого я переделал одно-строчный скрипт найденный на Гугле . Этот скрипт удаляет все адреса в таблице ARP :
for ip in $(awk ‘/([[:digit:]]\.)+/ {print $1}’ /proc/net/arp) ; do arp -d $ip ; done
Posted in Checkpoint NGX.
By Yuri
– May 2, 2010
Как не раз уже доказано Checkpoint склонны делать простые вещи сложными. Например изменение пароля SSH аккаунта. По умолчанию при установке (до R70 если не ввести другое имя admin создавался по умолчанию, начиная с R70 если пользователь хочет оставить аккаунт admin он должен ввести его таковым с клавиатуры) создается юзер admin и root. Аккаунт root
как правило не используется пользователем, к тому же с ним нельзя зайти в систему по SSH так как есть это:
/etc/ssh/sshd_config
DenyUsers root shutdown halt nobody ntp pcap rpm
AllowGroups root
На определенном этапе вы захотите поменять пароль аккаунта SSH (например того же admin) но будете неприятно удивлены что привычная в Линукс команда :
[Expert@cp]# passwd
Сообшает что пароль был успешно изменен, но на самом деле ничего подобного – вы все еще можете зайти в систему по SSH только со старым паролем . Приина тому кроется здесь
[Expert@cp]# which passwd
alias passwd=’/bin/expert_passwd’
/bin/expert_passwd
[Expert@cp]#
Таким образом вы пытаетесь изменить пароль с помощъю команды Чекпойнта которая работает только если вы перешли в Expert mode используя cpshell. Таким образом чтобы изменить SSH пароль у вас в рапоряжении 3 способа:
- Зайти в веб интерфейс Чецкпойнта через https (здесь я не привожу его)
- Зайти сначала в cpshell акаунт , или находясь в Expert mode дать команду cpshell и далее использовать passwd Чекпойнта
- использовать оригинальную программу passwd Линукса, об этом смотрите ниже.
[Expert@cp]# /usr/bin/passwd admin
Changing password for user admin.
New UNIX password:
Retype new UNIX password:
passwd: all authentication tokens updated successfully.
[Expert@cp]#
- Как добавить Expert ssh аккаунт .
[Expert@cp]# useradd -u 0 -g 0 -o -s /bin/bash rambo
После этого измените пароль для нового аккаунта используя описанный выше способ.
Я в дополнение еще запрещаю вход в систему по SSH акаунту admin.
/etc/ssh/sshd_config :
DenyUsers root shutdown halt nobody ntp pcap rpm admin
AllowGroups root
Posted in Checkpoint NGX.
By Yuri
– May 2, 2010
Думаю вам не раз хотелось обругать нехорошими словами Чекпойнт когда в разгаре fw monitor/ fw kernel дебаг сессии SSH соединение обрывалось потому что дефолтное ограничение интерактивной сессии 10 минут.
После некоторых поисков выяснилось что ограничение по времени задается в нескольких файлах и соответственно может быть сконфигурировано там же.
В конечном счете временное ограничение задается переменной среды shell TMOUT .
Пeрвый файл:
cat /etc/bashrc
—CUT—
# По умолчанию начальное значение переменной TMOUT равно 3 минутам
export TMOUT=180
export SHELL=/bin/bash
# Затем проверяется следуюший файл – cpshell.state на наличие там переменной idle которая является
коэффициентом умножениа начальной переменной TMOUT
if [ -f /etc/cpshell/cpshell.state ]; then
idle=`grep idle /etc/cpshell/cpshell.state | sed s/idle=//`
if [ $idle"UNDEFINED" = "UNDEFINED" ]; then
idle=3
fi
export TMOUT=`expr $idle \* 60`
fi
Итак чтобы изменить время активной SSH сессии можно:
1) Изменить переменную idle в /etc/cpshell/cpshell.state на которую позже будет умножена TMOUT:
cat /etc/cpshell/cpshell.state
audit=100
idle=100
scroll=1
2) Изменить конечное значение TMOUT на строке с export:
export TMOUT=7000 ; in seconds
Я лично когда работаю в SSH изменяю тайм-аут только для этой сессии :
[Expert@cp]# TMOUT=700
[Expert@cp]# export TMOUT
Posted in Checkpoint NGX.
By Yuri
– May 2, 2010
.