Dell Networking OS10: Come eseguire l'aggiornamento del certificato direttamente dallo switch OS10

Sommario

1. Requisiti da soddisfare
2. Passaggi per eseguire lo script dallo switch OS10
3. Riepilogo comandi
4. Rimozione e pulizia di APT
5. Elementi da prendere nota

Requisiti da soddisfare

• Deve disporre dell'accesso a Internet
• Deve avere un DNS funzionante configurato (server dei nomi IP)
• Richiede il trasferimento di .zip o dei file estratti a uno switch su flash locale
• Cambio dell'utente con ruolo sysadmin
• "system-cli disable" non deve essere configurato

Passaggi per eseguire lo script dallo switch OS10

1. Configurazione del server dei nomi

   OS10(config)# ip name-server <dnsserverip>

2. Confermare la possibilità di eseguire il ping del nome DNS

   OS10# ping debian.org
   PING debian.org (130.89.148.77) 56(84) bytes of data.
   64 bytes from klecker-misc.debian.org (130.89.148.77): icmp_seq=1 ttl=45 time=123 ms
   64 bytes from klecker-misc.debian.org (130.89.148.77): icmp_seq=2 ttl=45 time=123 ms
   ^C
   --- debian.org ping statistics ---
   2 packets transmitted, 2 received, 0% packet loss, time 1000ms

3. Copia file in flash locale

   OS10# copy scp://root@<fileserverip>/cert_upgrade_script-3.zip home://cert_upgrade_script-3.zip
   password:
   OS10# dir home
   Directory contents for folder: home
   Date (modified)        Size (bytes)  Name
   ---------------------  ------------  ------------------------------------------
   2021-05-18T00:28:45Z   8426          cert_upgrade_script-3.zip

4. Passare a un prompt della shell. Installare "unzip" e quindi installare "except" (se il file non viene estratto).

   leaf-2# system "sudo -i”
   
   We trust you have received the usual lecture from the local System
   Administrator. It usually boils down to these three things:
   
       #1) Respect the privacy of others.
       #2) Think before you type.
       #3) With great power comes great responsibility.
   
   [sudo] password for admin:
   root@leaf-2:~# cd /home/admin/
   root@OS10:/home/admin# apt-get update
   Get:1 http://security.debian.org stretch/updates InRelease [53.0 kB]
   <<snippet>>
   Fetched 13.6 MB in 5s (2562 kB/s)
   Reading package lists... Done
   root@OS10:/home/admin# apt-get install unzip
   Reading package lists... Done
   Building dependency tree
   Reading state information... Done
   The following packages were automatically installed and are no longer required:
     libevent-2.0-5 libfile-copy-recursive-perl openbsd-inetd update-inetd
   Use 'apt autoremove' to remove them.
   Suggested packages:
     zip
   The following NEW packages will be installed:
     unzip
   0 upgraded, 1 newly installed, 0 to remove and 78 not upgraded.
   Need to get 172 kB of archives.
   After this operation, 559 kB of additional disk space will be used.
   Get:1 http://httpredir.debian.org/debian stretch/main amd64 unzip amd64 6.0-21+deb9u2 [172 kB]
   Fetched 172 kB in 0s (354 kB/s)
   Selecting previously unselected package unzip.
   (Reading database ... 30678 files and directories currently installed.)
   Preparing to unpack .../unzip_6.0-21+deb9u2_amd64.deb ...
   Unpacking unzip (6.0-21+deb9u2) ...
   Processing triggers for mime-support (3.60) ...
   Setting up unzip (6.0-21+deb9u2) ...
   
   root@OS10:/home/admin # apt-get install expect
   <<snippet>>
   Need to get 24.6 MB of archives.
   After this operation, 186 MB of additional disk space will be used.
   Do you want to continue? [Y/n] y
   <<snippet>

5. Estrarre e selezionare chmod per modificare il file in eseguibile

   root@OS10:/home/admin# unzip cert_upgrade_script-3.zip
   Archive:  cert_upgrade_script-3.zip
     inflating: cert_upgrade_script/cert.py
     inflating: cert_upgrade_script/cert.sh
     inflating: cert_upgrade_script/hosts.txt
     inflating: cert_upgrade_script/newdelldefault.crt
     inflating: cert_upgrade_script/README.md
   root@OS10:/home/admin# cd cert_upgrade_script
   root@OS10:/home/admin/cert_upgrade_script# ls -l
   total 31
   -rw-r--r-- 1 root root  5019 Mar 25 14:52 README.md
   -rw-r--r-- 1 root root  9464 Apr 12 15:02 cert.py
   -rw-r--r-- 1 root root 11793 Apr 12 15:02 cert.sh
   -rw-r--r-- 1 root root   128 Feb 26 17:17 hosts.txt
   -rw-r--r-- 1 root root  2049 Mar  2 18:06 newdelldefault.crt
   root@OS10:/home/admin/cert_upgrade_script# chmod +x cert.sh

6. Eseguire il file su ciascun IP dello switch o con un file host per il file readme.

   root@OS10:/home/admin/cert_upgrade_script# ./cert.sh -u admin -p admin -h 192.168.122.243 -c
   192.168.122.243 Vulnerable
   root@OS10:/home/admin/cert_upgrade_script# ./cert.sh -u admin -p admin -h 192.168.122.243
   192.168.122.243 Success
   root@OS10:/home/admin/cert_upgrade_script# ./cert.sh -u admin -p admin -h 192.168.122.243 -c
   192.168.122.243 Not Vulnerable

7. Dopo aver eseguito lo script, consultare l'articolo della knowledgebase (Dell Networking OS10 Certificate Expiration and Solution) per i passaggi successivi.

   AVVISO: Eseguire il flap del VLTi o ricaricare lo switch in base ai passaggi della KB per rendere effettivo il certificato.

Riepilogo comandi

Rimozione e pulizia di Apt

Elementi da prendere nota

• Lo script esegue controlli di versione se in esecuzione è inferiore a 10.4.3.x
  • Se si esegue una versione precedente a questa versione, viene generato il messaggio "running a version less of 10.4.3.x, upgrade to a newer version"
• Lo script esegue un controllo della versione per un maggiore di 10.5.1.0. (nella versione script v4)
  • Il sistema non è vulnerabile se anche altri switch nel cluster eseguono la versione 10.5.1.0 o successiva
  • Il firmware più recente potrebbe aver interessato il certificato, tuttavia non è in uso in quanto tale può essere ignorato o aggiornato senza problemi
• Assicurarsi di utilizzare ' (virgolette singole) se nel nome utente o nella password di Linux sono presenti caratteri speciali.
• Se esiste un sistema operativo Linux, verificare che la versione prevista sia 5.45 o successiva