https://www.opennet.ru/openforum/vsluhforumID3/38664.html Ниже приведен вариант организации слежения за изменением конфигурации, <br>в лог сохраняется информация о том, кто и какие именно команды вводил. <br>Как это выглядело раньше? <br>Кто-то зашел на железяку и внес какие-то изменения. Об этом в логе останется информация следующая информация:<br><br> Mar 1 00:12:15.675: %SYS-5-CONFIG_I: Configured from console by one on vty0 (10.10.10.1)<br><br>И всё!<br><br>С некоторой версии ios появилась возможность посмотреть кто и что конкретно сделал.<br>Для этого необходимо добавить в конфигурацию следующие строки:<br><br> archive<br> log config<br> logging enable<br> notify syslog<br> hidekeys<br><br><br>logging enable - писать лог. По умолчанию выключено.<br>notify syslog - писать лог локально или посылать также на syslog сервер<br>hidekeys - не записывать в лог пароли<br><br>Теперь процесс логина и изменения отобразится примерно следующим образом<br>(Легко определить что в гости заходил пользователь one и настроил интерфейс FastEthernet1/0):<br><br> Mar 1 00:18:18.839: %PARSER-5-CFGLOG_LOGGEDCMD: User:one l https://www.opennet.ru/openforum/vsluhforumID3/38664.html#11 Fri, 07 Dec 2007 12:23:36 GMT Супер, попробывал на МЕ2400 все пошло<br>огромное спасибо за информацию<br> https://www.opennet.ru/openforum/vsluhforumID3/38664.html#10 Tue, 16 Oct 2007 09:41:18 GMT iptech - подразделение, отвечающее за ospf, bgp и прочее ip tech, чему обычный helpdesk, как правило, не обучен.<br> https://www.opennet.ru/openforum/vsluhforumID3/38664.html#9 Fri, 12 Oct 2007 14:21:56 GMT Сомневаюсь, что индусы пишут то, что им в голову взбредет. Кто-то же им задачи ставит :)<br><br>Видимо добавления этого функционала, отражает различие подходов. Я сомневаюсь, что в циске "забыли" о существовании tacacs. :)<br>Может это разворот в сторону smb рынка... <br><br>Подскажите, что такое iptech? Гугл вразумительного ничего не отвечает.<br> https://www.opennet.ru/openforum/vsluhforumID3/38664.html#8 Fri, 12 Oct 2007 05:17:30 GMT Цискины индусы уже не зажигают, а просто поджигают ;-))<br>Зачем было плодить вывод изменений конфига в syslog, когда сто лет уже есть tacacs+?<br>Для того, чтобы хелпдеск видел изменения, которые ему нафиг не нужно видеть? Отлично! Безопасность на высоте, дальше некуда...<br>Правильное решение такое:<br>1. сбор конфигов rancid (каждый день принудительно, по команде из syslog - опционально<br>2. доступ и логи изменений конфига юзверями в tacacs+<br>3. хелпдеску enable не давать, для этого есть iptech.<br>3. syslog оставить хелпдеску для постоянного его курения на случай проблем.<br>dixi.<br><br>зы. Ну а то, что наконец появились diffы и коммиты конфига, которые в juniper были отродясь, не может не радовать ;-)))<br> https://www.opennet.ru/openforum/vsluhforumID3/38664.html#7 Wed, 10 Oct 2007 13:42:32 GMT &gt;[оверквотинг удален]<br>&gt;по крону и ходит на все железяки в его конфиге (так <br>&gt;что желательно, в случае с кошками, пользовать tacacs+), собирает оттуда конфигу <br>&gt;и diffает её с тем, что он сохранил в прошлый раз. <br>&gt;Изменения скидываются на мыло. <br>&gt;В случае, если конфиг изменился двумя админами одновременно, то по схеме, приложенной <br>&gt;выше, понятно, что будет, но автором изменений будет тот, кто последним <br>&gt;набрал write ;) В этом плане, конечно, проигрыш. <br>&gt;Зато всегда есть последний конфиг с того момента, когда железяка была доступна <br>&gt;в последний раз (без паролей, правда, но это дело вполне поправимое <br>&gt;:)) <br><br>В принципе "с некоторой версии" (с) :)) добавились некоторые фичи которые могут серьезно облегчить жизнь в этом плане.<br>1. Configuration Replace and Configuration Rollback<br>http://cisco.com/en/US/products/ps6350/products_configuration_guide_chapter09186a0080454f8c.html<br>Сохраняет конфигурацию в указанное место. <br>2. Contextual Configuration Diff Utility<br>http://cisco.com/en/US/products/ps6350 https://www.opennet.ru/openforum/vsluhforumID3/38664.html#6 Wed, 10 Oct 2007 09:39:33 GMT &gt;Однако, что призойдет в случае если в один момент времени конфигурация менялась <br>&gt;двумя администраторами? <br><br>Насколько я помню его работу (полгода уже дело не имел), рансид запускается по крону и ходит на все железяки в его конфиге (так что желательно, в случае с кошками, пользовать tacacs+), собирает оттуда конфигу и diffает её с тем, что он сохранил в прошлый раз. Изменения скидываются на мыло.<br>В случае, если конфиг изменился двумя админами одновременно, то по схеме, приложенной выше, понятно, что будет, но автором изменений будет тот, кто последним набрал write ;) В этом плане, конечно, проигрыш. <br>Зато всегда есть последний конфиг с того момента, когда железяка была доступна в последний раз (без паролей, правда, но это дело вполне поправимое :))<br> https://www.opennet.ru/openforum/vsluhforumID3/38664.html#5 Wed, 10 Oct 2007 08:27:43 GMT &gt;А rancid чем не устраивает? <br><br>Никогда не использовал, честно говоря. Сейчас посмотрел.<br><br>Насколько я понимаю, алгоритм работы примерно такой:<br>1. Получили сообщение, о том что кто-то изменял конфигурацию<br>2. Сходили на железяку, забрали новый конфиг<br>3. ПОложили в svn и все остальные приятности. :)<br><br>Однако, что призойдет в случае если в один момент времени конфигурация менялась двумя администраторами?<br> https://www.opennet.ru/openforum/vsluhforumID3/38664.html#4 Wed, 10 Oct 2007 05:35:48 GMT А rancid чем не устраивает?<br> https://www.opennet.ru/openforum/vsluhforumID3/38664.html#3 Wed, 10 Oct 2007 00:29:10 GMT Ну тогда и время настроить надо правильно<br>