Je discutais derni\u00e8rement avec Pascal_1, un fid\u00e8le lecteur du blog (merci \ud83d\ude00 ) , et utilisateur d’un Cisco Pix (donc quelqu’un de bien \ud83d\ude42 ).<\/p>\n
Donc ce petit billet lui est sp\u00e9cialement d\u00e9dicac\u00e9 mais je ne doute pas qu’ils servent \u00e0 d’autres \ud83d\ude00 .<\/p>\n
<\/p>\n
Pr\u00e9c\u00e9demment<\/a>, je vous avais expliqu\u00e9 comment mettre en oeuvre une authentification centralis\u00e9e via Tacacs+ sur vos Ciscos.<\/p>\n Nous allons nous servir de cette fonctionnalit\u00e9 pour sauvegarder automatiquement nos configurations et bien entendu, mettre en place un versionning CVS nous permettant de comparer les modifications apport\u00e9s et pouvoir faire un retour arri\u00e8re en cas de soucis.<\/p>\n <\/p>\n Je partirais d’un serveur sous Gnu\/Linux Debian<\/a> qui servira de centralisateur des confs.<\/p>\n Les paquets \u00e0 installer :<\/p>\n <\/p>\n Cr\u00e9ation d’un user \u00ab\u00a0rancid\u00a0\u00bb pour l’application :<\/p>\n <\/p>\n (j’installe mes programmes compil\u00e9s toujours sous \/opt mais je vous laisse libre de votre choix \ud83d\ude42 )<\/p>\n <\/p>\n On r\u00e9cup\u00e8re l’excellentissime logiciel RANCID :<\/p>\n ftp:\/\/ftp.shrubbery.net\/pub\/rancid\/rancid-2.3.1.tar.gz<\/a><\/p>\n <\/p>\n Maintenant, nous pouvons compiler et installer Rancid :<\/p>\n <\/p>\n Ceci va installer Rancid dans le dossier \/opt\/rancid. Si vous n\u2019avez pas la commande checkinstall sur votre syst\u00e8me ou si vous d\u00e9sirez des informations sur cet outil, un article ICI<\/a>.<\/p>\n <\/p>\n Maintenant, nous pouvons d\u00e9buter le param\u00e9trage de Rancid. Nous allons configurer le fichier \/opt\/rancid\/etc\/rancid.conf pour cr\u00e9er des groupes d\u2019\u00e9quipements. Au moins un groupe doit \u00eatre configur\u00e9.<\/p>\n L\u2019ajout des lignes ci-dessous cr\u00e9e un groupe appel\u00e9 \u00ab\u00a0Mes_confs_a_moi\u00a0\u00bb o\u00f9 tous les configurations des \u00e9quipements sont stock\u00e9es:<\/p>\n LIST_OF_GROUPS=\u00a0\u00bbMes_confs_a_moi\u00a0\u00bb<\/p>\n Il peut \u00eatre utile de cr\u00e9er plusieurs groupes si vous avez une grand nombre d\u2019\u00e9quipements et vous voulez les s\u00e9parer par localisation g\u00e9ographique par exemple, pour am\u00e9liorer la lisibilit\u00e9.<\/p>\n LIST_OF_GROUPS=\u00a0\u00bbBrest Toulon Trifouilly-les-oies\u00a0\u00bb<\/p>\n Les noms de groupe doivent \u00eatre s\u00e9par\u00e9s par un espace.<\/p>\n Il est n\u00e9cessaire de configurer un fichier appel\u00e9 \u201c.cloginrc\u201d contenant les mot de passe n\u00e9cessaire \u00e0 acc\u00e9der aux composants r\u00e9seaux.<\/p>\n Pour le cr\u00e9er, il faut renommer le fichier \u201ccloginrc.sample\u201d en \u201c.cloginrc\u201d.<\/p>\n Ensuite, nous \u00e9ditons le nouveau fichier \u201c.cloginrc\u201d o\u00f9 on peut trouver des exemples de syntaxe bas\u00e9es sur le type d\u2019\u00e9quipement (Cisco, Juniper, etc…) et de connexion (telnet, ssh, …)<\/p>\n Dans notre exemple, nous allons utiliser ssh pour acc\u00e9der \u00e0 un switch Cisco ayant une adresse IP de 10.156.1.1 (et donc la connexion est control\u00e9 par notre serveur Tacacs+)<\/p>\n Ouvrez \/opt\/rancid\/.cloginrc :<\/p>\n add user 10.156.1.1 lulu (l’utilisateur lulu, op\u00e9rateur que j’avais cr\u00e9e dans mon tac_plus.conf)<\/p>\n add password 10.156.1.1 motdepasse_de_lulu motdepasse_mode_enable<\/p>\n <\/p>\n Ajouter un # au d\u00e9but de chaque ligne \u00e0 l\u2019exception bien entendu des lignes qui param\u00e8trent vos connexions.<\/p>\n Soyez EXTR\u00caMEMENT attentif avec les permissions du fichier .cloginrc parce que les mots de passe inclus dans ce fichier ne sont pas encrypt\u00e9s.<\/p>\n Donc le seul moyen de prot\u00e9ger ces mots de passe critiques est de restreindre les droits d\u2019acc\u00e8s au fichier.<\/p>\n Pour le faire, changez les droits d\u2019acc\u00e8s \u00e0 600, ce qui veut dire que le propri\u00e9taire du fichier a les permissions lecture et \u00e9criture tandis que les autres utilisateurs n\u2019ont aucune permission du tout.<\/p>\n Puis, la propri\u00e9t\u00e9 du dossier \/opt\/rancid ainsi que tous les fichiers et dossiers qu\u2019il inclus est transf\u00e9r\u00e9 \u00e0 l\u2019utilisateur rancid.<\/p>\n <\/p>\n Cr\u00e9ation de l\u2019architecture CVS<\/a> : <\/acronym> Connectez-vous en temps que rancid:<\/p>\n Ajouter des \u00e9quipements aux groupes:<\/p>\n Un script permet de v\u00e9rifier les param\u00e9trages de connexion qui sont pr\u00e9sents dans le fichier .cloginrc:<\/p>\n rancid@linux:~\/bin$ \/opt\/rancid\/bin\/clogin 10.156.1.1<\/p>\n 10.156.1.1 spawn telnet 10.156.1.1 Trying 10.156.1.1… Connected to 10.156.1.1. Escape character is \u2018^]\u2019.<\/p>\n User Access Verification<\/p>\n Password: Router>enable Password: Router#<\/p>\n D\u00e9marrez rancid:<\/p>\n rancid@linux$\/opt\/rancid\/bin\/rancid-run<\/p>\n Vous pouvez v\u00e9rifier les journaux (logs) dans le r\u00e9pertoire \/opt\/rancid\/var\/rancid\/logs\/ .<\/p>\n Nous devons maintenant installer la plate-forme pour voir les configurations avec un navigateur web.<\/p>\n Nous devons ajouter une ligne dans le fichier \/etc\/cvsweb\/cvsweb.conf avec l\u2019utilisateur root pour cr\u00e9er le nouveau d\u00e9p\u00f4t (repository) CVS<\/acronym>.<\/p>\n Rechercher la ligne commen\u00e7ant par \u201c@CVSrepositories\u201d et ajouter la ligne en gras ci-dessous:<\/p>\n Si le dossier contenant les ic\u00f4nes csvweb et les fichiers css sont pas dans le dossier \/var\/www, il est n\u00e9cessaire d\u2019ajouter un lien symbolique:<\/p>\n Nous pouvons tester l\u2019interface cvsweb avec un navigateur internet :<\/p>\n Optionnellement, vous pouvez configurer Rancid pour vous envoyer un mail quand une configuration a \u00e9t\u00e9 chang\u00e9e apr\u00e8s le lancement du script rancid-run.<\/p>\n L\u2019outil Rancid est param\u00e8tr\u00e9 pour envoyer des courriels \u00e0 deux destinataires par groupe.<\/p>\n Le premier destinataire ci-dessus va recevoir un rapport apr\u00e8s un changement de configuration, le deuxi\u00e8me est envoy\u00e9 quand il y a des messsages d\u2019erreur.<\/p>\n Pour rappel le ou les groupes sont configur\u00e9s dans le fichier \/opt\/rancid\/etc\/rancid.conf.<\/p>\n Par exemple, si vous avez un groupe appel\u00e9 Mes_confs_a_moi, les mails seront envoy\u00e9s aux adresses rancid-Mes_confs_a_moi et rancid-admin-Mes_confs_a_moi.<\/p>\n La derni\u00e8re chose \u00e0 faire est de cr\u00e9er des aliases pour vos destinataires. Ouvrez le fichier \/etc\/aliases:<\/p>\n Nous avons utilis\u00e9s ici notre groupe exemple appel\u00e9 Mes_confs_a_moi.<\/p>\n Pour terminer, initialiser la base de donn\u00e9es d\u2019alias:<\/p>\n Nous avons besoin de cr\u00e9er un cron job pour lancer rancid-run r\u00e9guli\u00e8rement.<\/p>\n La commande crontab va mettre \u00e0 jour le fichier \/var\/spool\/cron\/crontabs\/rancid.<\/p>\n La tr\u00e8s utile commande \u201cfind\u201d peut \u00eatre ajout\u00e9e au crontab pour supprimer les anciens logs.<\/p>\n La commande suivante supprime les fichiers de plus de 30 jours dans le dossier \/opt\/rancid\/var\/logs\/:<\/p>\n Et voila, d\u00e9sormais vous retrouverez l’int\u00e9gralit\u00e9 de vos configurations pr\u00e9f\u00e9r\u00e9es avec un versionning vous permettant de r\u00e9parer vos erreurs que heureusement, nous faisons tous :-p<\/p>\n SOURCE<\/a><\/p>\n Bon courage \ud83d\ude42<\/p>\n <\/p>\n <\/p>\n","protected":false},"excerpt":{"rendered":" Je discutais derni\u00e8rement avec Pascal_1, un fid\u00e8le lecteur du blog (merci \ud83d\ude00 ) , et utilisateur d’un Cisco Pix (donc quelqu’un de bien \ud83d\ude42 ). Donc ce petit billet lui est sp\u00e9cialement d\u00e9dicac\u00e9 mais je ne doute pas qu’ils servent … Read More #apt-get install apache2 \r\n\r\n#apt-get install expect\r\n\r\n#apt-get install cvs\r\n\r\n#apt-get install cvsweb<\/pre>\n
#useradd -d \/opt\/rancid rancid<\/pre>\n
<\/pre>\n
#tar xvfz rancid-2.3.1.tar.gz<\/pre>\n
<\/pre>\n
#cd \/usr\/local\/src\/rancid-2.3.1#.\/configure --prefix=\/opt\/rancid \r\n\r\n#checkinstall<\/pre>\n
#cp \/opt\/rancid\/share\/rancid\/cloginrc.sample \/opt\/rancid\/.cloginrc<\/pre>\n
#chmod 600 \/opt\/rancid\/.cloginrc\r\n\r\n #chown -R rancid:rancid \/opt\/rancid\r\n\r\n #chmod 770 \/opt\/rancid<\/pre>\n
\n<\/acronym><\/p>\n #su rancid\r\n\r\n rancid@linux#\/opt\/rancid\/bin\/rancid-cvs<\/pre>\n
\/opt\/rancid\/var\/rancid\/\"group_name\"\/router.db<\/pre>\n
La syntaxe est la suivante:<\/pre>\n
\"ip_address or FQDN\":\"device_type\":\"status\"<\/pre>\n
10.156.1.1:cisco:up\r\n\r\n nom_dns:cisco:up<\/pre>\n
CVSWEB<\/h5>\n
@CVSrepositories = (\r\n\r\n #'local' => ['Local Repository', '\/var\/lib\/cvs'],\r\n\r\n 'rancid' => ['rancid', '\/opt\/rancid\/var\/CVS\/'],<\/strong>\r\n\r\n #'freeebsd' => ['FreeBSD', '\/var\/ncvs'],\r\n\r\n #'openbsd' => ['OpenBSD', '\/var\/ncvs'],\r\n\r\n #'netbsd' => ['NetBSD', '\/var\/ncvs'],\r\n\r\n #'ruby' => ['Ruby', '\/var\/anoncvs\/ruby'],\r\n\r\n );<\/pre>\n
ln -s \/usr\/share\/cvsweb \/var\/www\/cvsweb<\/pre>\n
http:\/\/127.0.0.1\/cgi-bin\/cvsweb<\/pre>\n
rancid-\"nom_du_groupe\"\r\n\r\n rancid-admin-\"nom_du_groupe\"<\/pre>\n
rancid-mes_confs_a_moi<\/pre>\n
votre_email@chezvous.com\r\n\r\n rancid-admin-mes_confs_a_moi<\/pre>\n
votre_email@chezvous.com<\/pre>\n
#newaliases<\/pre>\n
crontab -e -u rancid<\/pre>\n
# Veuillez, svp, lancer le script rancid-run tous les jours \u00e0 00:30\r\n\r\n 30 00 * * * \/opt\/rancid\/bin\/rancid-run<\/pre>\n
# supprime les anciens logs tous les premiers jours de chaque mois \u00e0 00:15\r\n\r\n 15 00 1 * * find \/opt\/rancid\/var\/logs -type f -mtime +30 -exec rm {} \\;<\/pre>\n<\/pre>\n
<\/pre>\n