db.dobo.sk

avamar a useri

bez komentára

loginy na ejvemer sejver

overview

Suse users

Keďže poklad na avamaroch je linux, tak sú tam štandardní lnx users (root, nobody, daemon….). Do /etc/passwd boli ešte pridaní:

  • postgres – pre menežovanie avamaráckeho posgresu
  • suse-ncc – nejaký novellácky kostlivec?
  • dpn – hlavný účet pre opravy a údržbu, rozsiahle sudo práva. Main maintenance account!
  • admin – builtin účet avamaru, pod ktorým sa hlavne prihlasuje pri administrácii (má sudo práva na všetko a je uprednostňovaný pred rootom). Data owner account!
  • rabbitmq – účet pre RabbitMQ

výpis zo sudoers, je vidieť, že root, admin a dpn majú prakticky stejné práva (na všetko):

root    ALL=(ALL) ALL
admin   ALL=(ALL) NOPASSWD: ALL
dpn     ALL=(ALL) NOPASSWD: ALL
apache  ALL = (root) NOPASSWD: /usr/local/avamar/bin/zip, /usr/bin/zip
apache  ALL = (root) NOPASSWD: /usr/local/avamar/bin/mccli, /usr/local/avamar/bin/avtar
wwwrun  ALL = (root) NOPASSWD: /usr/local/avamar/bin/zip, /usr/bin/zip
wwwrun  ALL = (root) NOPASSWD: /usr/local/avamar/bin/mccli, /usr/local/avamar/bin/avtar

!!!Bacha!!! Tieto účty sú nezávislé na nodoch (utility, storage apod…), t.j. nestačí zmeniť password na utility nóde, ale je nutné postupne na všetkých!!!

Avamar Administrator users

Useri v javovskom gui (mcgui) majú účty oddelené. V avamare ich šéfuje služba Axion authentication.

  • MCUser – dyflótní user
  • backuponly, restoreonly, backuprestore, repluser, replonly – obmedzené účty pre parciálne operácie (backupy, restory a replikácie)
  • root – pozor, toto nie je linuxový root, ale interný root pre mcgui

Postgres účty

= účty v internom postgrese pre avamarovské potreby:

  •  admin
  • viewuser

iDRAC účty

Vzhľadom k tomu, že avamar gen4 je postavený na Dell hw, tak tam musí byť možnosť, ako obcovať s dellovským dracom (dracuser?). Doplniť.

 dyflót passwds od inštalácie

 

USER ACCOUNT DEFAULT PASSWORD DESCRIPTION / REMARKS
Linux OS root changeme root account on all Avamar nodes.
admin changeme account for Avamar server data owner.
dpn changeme account for Avamar Maintenance user.
Avamar Administrator MCUser MCUser1 Default Avamar Administrator administrative user account.
backuponly backuponly1 Account for internal use by Avamar Administrator server
restoreonly restoreonly1 Account for internal use by Avamar Administrator server.
backuprestore backuprestore1 Account for internal use by Avamar Administrator server.
root 8RttoTriz Account for internal use by Avamar Administrator server.
Administrator Postgresql Database admin No password, logged in on local node only.
viewuser viewuser1 Administrator server database view account.
Avamar Enterprise Manager Postresql Database admin No password, logged in on local node only.
Virtual Proxy root avam@r Default Avamar password for the Virtual Proxy

S dyfólt paswordmi je to také zábavné – to množstvo účtov slúži ako bezpečnostná politika na lepiu granuláciu prístupov, ale za posledný rok som stretol aspoň 2 inštancie, kde nejaký “bočný” účet nemal zmenené dyflótne heslo. Mamamia… Pritom to je ľahko ošéfovateľné na systémovej úrovni priamo od EMC – týždeň po aktivácii servru zbehne rutina, ktorá porovná hashe hesiel s dyfólnými hasmi a keby niečo, tak zahuláka chybu.

 obcovanie s účtami

1. linuxovské priamo z prostredia lnx (ako je to s licenciou? Nemá to EMC podchytené tak, že sa nesmů robiť zásahy do underlaying systému?)

2. ava administrator – dve možnosti:

  • klikacia možnosť v grafickom klientovi (mcgui)
  • mccli - mccli user edit… – pozor, týmto sposobom sa dajú meniť len neprivilegované účty, ktoré si admin vytvoril pre ľahšiu správu, nie builtin účty avamaru. Na builtin (MCUser, reponly etc…) sa používa avamarovská utilita change-passwords
  • change-passwords – perlácky skript na zmenu hesiel builtin účtov (MCUser), je to pseudointeraktívne rozhranie, umiestnenie /usr/local/avamar/bin/change-passwords, log z vyčíňania s heslami sa ukladá do /usr/local/avamar/var/change-passwords.log

 

pridanie usera do ava administratoru: mccli user add –client-domain=/ –name=dobo –role=Administrator –password=**** –password-confirm=**** –authenticator=Axion (pozor, passwordy sa zadávajú ako plaintext v konzole, takže v history sa dajú vylistovať, to inžinieri nemajú vychytané)

zmena hesla pre drac admina: racadm config -g cfgUserAdmin -o cfgUserAdminPassword -i 2 “***” – zmena hesla v iDRACu

kontrola prístupu a trasovanie užívateľov

linuxové utilitky

last – klasika, podstatný najma čas a IP.  Má to len jednu navýhodu – po prihlásení ako admin sa vačšina ľudí hneď prepína na roota, alebo dpn.

kontrola ssh – logovanie sshd démona je v /var/log/messages, t.j. grep ‘sshd’ /var/log/messages LogLevel v sshd_conf je dyflótne nastavený na INFO, nezaškodí ho prepísať na VERBOSE, nech má človek podrobnejšie výpisy

SLES audit – to je už trochu náročnejšia záležitosť a hlavne sa obávam, že EMC by hneď spustilo protesty, že sa tweakuje jeho appliance

avamarovské účty

 mccli user show – vylistovanie všetkých avamar účtov

mcgui – Administration > Event Management > Audit Log. Inak je to rozparsovaný výstup z avamarovského audit logu: /var/log/audit/audit.log

píše: ďobo

Júl 12th, 2016 o 8:36 am

chlievik: avamar gen4,backup

okomentuj