avamar a useri
loginy na ejvemer sejver
overview
Suse users
Keďže poklad na avamaroch je linux, tak sú tam štandardní lnx users (root, nobody, daemon….). Do /etc/passwd boli ešte pridaní:
- postgres – pre menežovanie avamaráckeho posgresu
- suse-ncc – nejaký novellácky kostlivec?
- dpn – hlavný účet pre opravy a údržbu, rozsiahle sudo práva. Main maintenance account!
- admin – builtin účet avamaru, pod ktorým sa hlavne prihlasuje pri administrácii (má sudo práva na všetko a je uprednostňovaný pred rootom). Data owner account!
- rabbitmq – účet pre RabbitMQ
výpis zo sudoers, je vidieť, že root, admin a dpn majú prakticky stejné práva (na všetko):
root ALL=(ALL) ALL
admin ALL=(ALL) NOPASSWD: ALL
dpn ALL=(ALL) NOPASSWD: ALL
apache ALL = (root) NOPASSWD: /usr/local/avamar/bin/zip, /usr/bin/zip
apache ALL = (root) NOPASSWD: /usr/local/avamar/bin/mccli, /usr/local/avamar/bin/avtar
wwwrun ALL = (root) NOPASSWD: /usr/local/avamar/bin/zip, /usr/bin/zip
wwwrun ALL = (root) NOPASSWD: /usr/local/avamar/bin/mccli, /usr/local/avamar/bin/avtar
!!!Bacha!!! Tieto účty sú nezávislé na nodoch (utility, storage apod…), t.j. nestačí zmeniť password na utility nóde, ale je nutné postupne na všetkých!!!
Avamar Administrator users
Useri v javovskom gui (mcgui) majú účty oddelené. V avamare ich šéfuje služba Axion authentication.
- MCUser – dyflótní user
- backuponly, restoreonly, backuprestore, repluser, replonly – obmedzené účty pre parciálne operácie (backupy, restory a replikácie)
- root – pozor, toto nie je linuxový root, ale interný root pre mcgui
Postgres účty
= účty v internom postgrese pre avamarovské potreby:
- admin
- viewuser
iDRAC účty
Vzhľadom k tomu, že avamar gen4 je postavený na Dell hw, tak tam musí byť možnosť, ako obcovať s dellovským dracom (dracuser?). Doplniť.
dyflót passwds od inštalácie
| USER ACCOUNT | DEFAULT PASSWORD | DESCRIPTION / REMARKS | |
|---|---|---|---|
| Linux OS | root | changeme | root account on all Avamar nodes. |
| admin | changeme | account for Avamar server data owner. | |
| dpn | changeme | account for Avamar Maintenance user. | |
| Avamar Administrator | MCUser | MCUser1 | Default Avamar Administrator administrative user account. |
| backuponly | backuponly1 | Account for internal use by Avamar Administrator server | |
| restoreonly | restoreonly1 | Account for internal use by Avamar Administrator server. | |
| backuprestore | backuprestore1 | Account for internal use by Avamar Administrator server. | |
| root | 8RttoTriz | Account for internal use by Avamar Administrator server. | |
| Administrator Postgresql Database | admin | No password, logged in on local node only. | |
| viewuser | viewuser1 | Administrator server database view account. | |
| Avamar Enterprise Manager Postresql Database | admin | No password, logged in on local node only. | |
| Virtual Proxy | root | avam@r | Default Avamar password for the Virtual Proxy |
S dyfólt paswordmi je to také zábavné – to množstvo účtov slúži ako bezpečnostná politika na lepiu granuláciu prístupov, ale za posledný rok som stretol aspoň 2 inštancie, kde nejaký “bočný” účet nemal zmenené dyflótne heslo. Mamamia… Pritom to je ľahko ošéfovateľné na systémovej úrovni priamo od EMC – týždeň po aktivácii servru zbehne rutina, ktorá porovná hashe hesiel s dyfólnými hasmi a keby niečo, tak zahuláka chybu.
obcovanie s účtami
1. linuxovské priamo z prostredia lnx (ako je to s licenciou? Nemá to EMC podchytené tak, že sa nesmů robiť zásahy do underlaying systému?)
2. ava administrator – dve možnosti:
- klikacia možnosť v grafickom klientovi (mcgui)
- mccli – mccli user edit… – pozor, týmto sposobom sa dajú meniť len neprivilegované účty, ktoré si admin vytvoril pre ľahšiu správu, nie builtin účty avamaru. Na builtin (MCUser, reponly etc…) sa používa avamarovská utilita change-passwords
- change-passwords – perlácky skript na zmenu hesiel builtin účtov (MCUser), je to pseudointeraktívne rozhranie, umiestnenie /usr/local/avamar/bin/change-passwords, log z vyčíňania s heslami sa ukladá do /usr/local/avamar/var/change-passwords.log
pridanie usera do ava administratoru: mccli user add –client-domain=/ –name=dobo –role=Administrator –password=**** –password-confirm=**** –authenticator=Axion (pozor, passwordy sa zadávajú ako plaintext v konzole, takže v history sa dajú vylistovať, to inžinieri nemajú vychytané)
zmena hesla pre drac admina: racadm config -g cfgUserAdmin -o cfgUserAdminPassword -i 2 “***” – zmena hesla v iDRACu
kontrola prístupu a trasovanie užívateľov
linuxové utilitky
last – klasika, podstatný najma čas a IP. Má to len jednu navýhodu – po prihlásení ako admin sa vačšina ľudí hneď prepína na roota, alebo dpn.
kontrola ssh – logovanie sshd démona je v /var/log/messages, t.j. grep ‘sshd’ /var/log/messages LogLevel v sshd_conf je dyflótne nastavený na INFO, nezaškodí ho prepísať na VERBOSE, nech má človek podrobnejšie výpisy
SLES audit – to je už trochu náročnejšia záležitosť a hlavne sa obávam, že EMC by hneď spustilo protesty, že sa tweakuje jeho appliance
avamarovské účty
mccli user show – vylistovanie všetkých avamar účtov
mcgui – Administration > Event Management > Audit Log. Inak je to rozparsovaný výstup z avamarovského audit logu: /var/log/audit/audit.log
nedokumentovaná vyfikundácia na Avamar userov:
1. pri zmene passwordov pre mcs userov (change-passwords) je nutné poznať password avamarovského roota. Ak je zabudnuté, nazdar pipi.
2. títo useri a ich heslá su v /usr/local/avamar/var/mc/server_data/prefs/mcserver.xml
cat /usr/local/avamar/var/mc/server_data/prefs/mcserver.xml | grep AP
3. je to symetricky zašifrované AESom, dá se to teda dešifrovať:
– ssh-agent bash
– sh-add ~admin/.ssh/dpnid
– /usr/local/avamar/bin/mccipher decrypt –all
– cat /usr/local/avamar/var/mc/server_data/prefs/mcserver.xml | grep AP
dobo
26 Oct 17 at 10:39
4. no a potom znova zašifrovať :)
/usr/local/avamar/bin/mccipher encrypt –all
dobo
27 Oct 17 at 7:23
ako overiť, čo viewuser dosiahne na postgres DB:
psql -p 5555 mcdb -U viewuser -h HOSTNAME
dobo
15 Jan 18 at 10:21