H3C交换机系统时间设置存在漏洞
1. 背景说明
由于在编写《主机房网络延伸实施方案》,调试H3C S5120S-28P-EI交换机时,发现交换机设置成现在的时间后,导致本地用户通过ssh或者console口不能登录,只能通过重启机器才能再次登录。而交换机重启之后,交换机的时间统一重写写入系统时间为2000年。该时间肯定跟我们目前的时间不一致,不利于以后排查问题。
2. 排查导致不可登录造成的原因
2.1登录报错
Failed to log in because the login idle timer expired
通过分析报错造成的原因是由于交换机启用了以下策略
password-control enable
password-control aging 365
password-control composition type-number 3 type-length 1
password-control history 2
password-control login-attempt 10 exceed lock-time 1
password-control complexity user-name check
###以上策略是为了交换机登录安全所设置
由于设置密码有效期为365天(此时间为可设置的最长有效时间),如果用户是2000年创建的,突然把系统设置成2017年,就导致该用户不能登录了。经过测试,在系统时间为2017年时新建用户,是可以登录的。但是,如果交换机重启之后,系统时间被重写成2000年时,该用户登录过一次,在把系统设置成2017年时,该用户也不能登录。这样会导致以后如果更新系统时间为当前时间,跟用户创建时间之间超过365天时,导致用户不可登录,只能通过重启交换机解决。(考虑到交换机在机房,且交换机不可能随便重启,固存在较大安全隐患)
如果undo password-control enable
本地用户就可以登录,但是如果这样的话,交换机在登录方面的安全策略都被取消了,存在安全隐患。不建议这样做。
3. 跟售后技术支持沟通反馈
3.1确定交换机能否保存系统时间的问题
跟h3c售后技术支持沟通之后,h3c所有中低端交换机(包括我们现在所用H3C S5500-28C-EI和我目前测试的H3C S5120S-28P-EI)都不具备保存系统时间的功能,及交换机重启之后,时间统一被设置2000年某月某日,该时间沟通过,不能重新设置。沟通过,h3c交换机只有少许的某些高端交换机才有保存系统时间功能。
3.2在不采用同步现在当时时间是否存在未知隐患的问题
如果不采用同步目前的时间的做法,跟售后技术支持沟通后,得出不影响交换机的使用,不影响生成树协议的使用
4. 沟通之后的解决办法
4.1取消password-control策略
取消该项策略,用户可以登录,存在安全隐患,不建议使用。
4.2不采用同步现在时间,及使用本系统固有时间(2000年某年某月)
该做法时间时钟跟目前的真实时间不一致,不利用debug排查后来问题,勉强能用。
4.3采购能够保存系统时间的高端交换机
采购能够保存系统时间的高端交换机,就不存在上述问题,缺点,可能费用要比现在要高。
5. 参考
经测试配置好ntp服务器后,在以下几个条件满足的情况下,可以成功登陆
①-交换机重启之后,通过配置的ntp服务器同步到当前时间(意味着ntp服务器是好的,且能同步到当前时间)
②-在交换机重启之后,时间未同步到当前时间,不能通过console登陆,以免造成该用户最后登陆成功登陆时间为2000年
③-登陆的用户最近的一次成功登陆的时间必须不能提前于当前时间的365天(交换机重启前,用户最后成功登陆交换机的时间不得早于当前时间的365天)
综上所述,为避免ssh 登陆不上交换机,必须保证以下几个条件
①-必须保证创建的用户为当前或者不得早于当前时间365天。
②-重启交换机之前必须有用户在365天内登陆成功的记录。
③-在交换机为完成或者不能完成时间同步的条件下,不得用console连接交换机,防止该用户在交换机同步完时间后,远程ssh登陆不进系统。