При изучении курса CCNA многие студенты и просто занимающиеся самостоятельно и читающие книги по теме задают вопрос - "ЗАЧЕМ ОН НУЖЕН?! ЗАЧЕМ ЭТОТ БАННЕР?!" Особенно обидно студентам, выполняющим лабораторные работы с автоматической проверкой задания. Взрывы гнева вызывают недоборы баллов, связанные именно с неправильно заданным баннером или с тем, что про бедный баннер MOTD забыли совсем.
Большинство просто не понимают назначения этого вида средства обеспечения безопасности(!) системы, поэтому и не понимают, почему такой ерунде уделяется много внимания. Многие вообще уверены, что это всего лишь обеспечение некоторой красивости на устройстве, которая совсем не нужна серьезному оборудованию. Попробуем разобраться, зачем же нужны баннеры MOTD и другие виды баннеров и logon сообщений.
НАЗНАЧЕНИЕ БАННЕРА
Если верить википедии, то:
"The /etc/motd is a file on Unix-like
systems that contains a "message of the day", used to send a common
message to all users in a more efficient manner than sending them all an
e-mail message." (Ссылка на вики).
Таким образом можно сказать, что баннер MOTD появился довольно давно и не является чем-то особенным и новым.
Как видно, баннер является сообщением, которое можно показать всем пользователям до входа в систему, либо уже после входа в систему, но перед началом работы с shell (в случае *nix). В современных корпоративных системах нет особой нужны демонстрировать какие-либо праздные сообщения всем пользователям, поскольку для этого есть множество других механизмов и способов. К тому же, например, на сетевое оборудование заходят далеко не все, а функционал баннеров там до сих пор присутствует.
На мой взгляд, основное назначение баннеров на текущий момент - это средство предупреждения и\или напоминания. Исходя из этого можно считать, что баннер несет функцию защиты. Но, как известно, защита бывает активной (различные методы ограничения доступа) и пассивной (это информация, которая помогает "отпугнуть" различных несознательных граждан от совершения каких-либо действий).
Думаю, что наиболее полно функцию баннера описывает следующая аналогия: представим какую-нибудь военную часть, которая ограждена забором. Помимо вышек с часовыми и КПП на заборах обычно пишут что-то вроде "Не подходить! Опасно! Стреляют!". И вроде бы эта надпись сама по себе никак не противодействует активно тем, кто хотел бы с удовольствием перелезть через забор, но тем не менее "отговорит" от такого действия людей, не настроенный решительно умереть именно сегодня.
Вторая же функция - юридическая (хотя тут можно посоветоваться, насколько я прав). Обычно в качестве баннера вывешивают информацию о том, что это "запретная зона" и что туда ходить не надо, и что делать это можно только авторизованным пользователям, поэтому если вы пользователь с ненадлежащим набором прав, то вы предупреждены заранее, и ваши отговорки "я не знал" не прокатят. Владелец оборудования фактически создает подобие лицензионного соглашения, которое выскакивает при установки ПО. При этом, как и лицензионное соглашение, баннер обычно никто не читает, что никак не влияет на наступающие в случае нарушения последствия.
Итак, надеюсь, с назначениями баннеров все понятно. Теперь посмотрим, в каких системах и какие баннеры можно настроить.
MICROSOFT WINDOWS
В Windows баннер MOTD называется Legal Notice, и может быть задан как локально с помощью правки реестра, так и с помощью групповых политик.
Настройка баннера на ПК локально
Для начала попробуем первый вариант на примере Windows 7. Поскольку мы собираемся сделать правку реестра, а правка реестра кривыми руками может привести к краху системы (либо сразу, либо в самый неподходящий момент), рекомендуется сделать резервную копию реестра, чтобы была возможность сразу откатиться назад. Если все сделано, то можно начать правку. Запускаем редактор реестра RegEdit, открыв его через Пуск-->Поиск-->Regedit. Находим там следующий путь:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System
По указанному пути находятся ключи, которые интересны для решения поставленной задачи:
legalnoticecaption
legalnoticetext
В Windows баннер состоит из двух частей. первая - это заголовок, вторая - собственно, само информационное сообщение. Legalnoticecaption является заголовком, legalnoticetext - это тело текста. Двойной клик по каждому из параметров позволит задать необходимые значения. Так же следует помнить, что заголовок имеет ограничение в 80 символов, а тело текста - 16 383 символов. Пример того, что может получиться после указания параметров баннера, на рисунке ниже (пример взят из интернета):
Настройка баннера на ПК с помощью групповых доменных политик (GPO AD)
Теперь перейдем к групповым политикам. Эффект, которого мы добиваемся, будет тем же. Только GPO позволят нам сделать баннер на всех ПК в домене максимально быстро и просто. Для примера возьмем имеющийся в наличии сервер с установленной Windows 2012 R2, на котором поднята роль AD DS.
Открываем mmc c Group Policy Management, раскрываем лес до Domains, и нажав правой кнопкой мыши на имя имеющегося домена, выбираем из контекстного меню Create a GPO in this domain, and link it here.
Создадим политику Banner:
Видим, что политика с названием Banner появилась под именем домена. Теперь нажав правой кнопкой мыши на эту политику, выбираем Edit:
Открывается окно редактирования политики, где и произведем настройку баннера. Для этого необходимо по раскрывающемуся списку проследовать по пути Computer Configuration-->Policies-->Windows Setttings-->Security Settings-->Local Policies-->Security Options. Здесь находятся опции, отвечающие за настройку баннера - опции Message text... и Message title...
Message text for users attemting to log on - текст сообщения, которое мы хотим показывать пользователям.
Message title for users attempting to log on - заголовок текста, который будет показан пользователям.
После задания указанных параметров, обновляем на доменных ПК политики с помощью gpupdate, делаем логин на любой свободной машине и видим наше предупреждение:
После задания указанных параметров, обновляем на доменных ПК политики с помощью gpupdate, делаем логин на любой свободной машине и видим наше предупреждение:
Настройка баннера в HP iLO v3 и v4
Как уже было сказано ранее, баннеры есть не только внутри операционных систем, но и даже у таких решений, как модуль удаленного управления сервера HP - iLO. Здесь все довольно просто. Настройку текста баннера, а так же возможность включения\выключения находится меню Administration--->Security, вкладка Logon Security Banner:
Для включения Pre Login SSH баннера:
1) Зайти на ESXi-хост с помощью SSH (он же Local Tech Support Mode).
2) Создать резервную копию файла issue на хосте, используя следующую команду:
# cp /etc/issue /etc/issue.bkp
# /etc/init.d/SSH restart
Консольный баннер, он же DCUI Screen MOTD, можно настроить, следуя по следующим шагам:
Вариант I: Через vSphere Client
1) Подключиться к хосту напрямую или к vCenter с помощью vSphere Client. Во втором случае в инвентаре перейти к хостам и выбрать нужный хост.
2) Зайти во вкладку Configuration
3) Зайти в Advanced Settings
4) Нажать на Annotations и ввести необходимый текст. Этот текст будет записан в файл /etc/vmware/welcome.
Вариант II: Через shell, подключившись к хосту по SSH:
1) Использовать следующую команду
# esxcli system welcomemsg set -m="message"
где message - текст сообщения.
2) Проверить, что баннер установлен, можно с помощью команды:
# esxcli system welcomemsg get
В итоге баннер, установленный этими способами, будет выглядеть примерно так:
asdm - ASDM баннер, который отображается после того, как пользователь залогинится в ASDM;
exec - баннер, который отображается после инициации режима EXEC;
login - баннер, который отображается до вывода login\password. Фактически, pre-login баннер;
motd - сообщение дня, отображающееся сразу после ввода логина\пароля.
На примере Cisco ASA задам каждый из этих баннеров и покажу, в какой последовательности они демонстрируются пользователю. При этом для каждого из видов баннеров сделаю минимум двухстрочный баннер, чтобы показать, как сделать его структурированным, а не бесформенным.
Задаю баннеры соответствующими командами, причем делаю баннер многострочным, для чего каждую новую строку выделяю командой banner соответствующего типа:
ASA-1(config)# banner login ===>>> LOGIN BANNER <<<===
ASA-1(config)# banner login | This is login banner |
ASA-1(config)# banner login ===========================
ASA-1(config)# banner asdm ===>>> ASDM BANNER <<<===
ASA-1(config)# banner asdm | This is ASDM banner |
ASA-1(config)# banner asdm ===========================
ASA-1(config)# banner motd ===>>> Mess. Of TDay <<<===
ASA-1(config)# banner motd | This is MOTD banner |
ASA-1(config)# banner motd =============================
ASA-1(config)# banner exec ===>>> EXEC BANNER <<<===
ASA-1(config)# banner exec | This is EXEC banner |
ASA-1(config)# banner exec =============================
Сохраняю конфиг и переподключаюсь к ASA по SSH. Меня встречает баннер login. После ввода логина и пароля появляется MOTD, ну и после ввода команды enable выводится баннер EXEC. В случае попытки подключения к устройству через ASDM баннер выводится сразу после успешного входа в систему в виде окна с сообщением и кнопкой ОК для продолжения работы.
Настройка баннера в VMware ESXi
VMware ESXi так же содержит настройки баннеров. Ниже будет показана настройка двух видов: SSH-баннер и баннер, возникающий при подключении консольно\через KVM.Для включения Pre Login SSH баннера:
1) Зайти на ESXi-хост с помощью SSH (он же Local Tech Support Mode).
2) Создать резервную копию файла issue на хосте, используя следующую команду:
# cp /etc/issue /etc/issue.bkp
3) Открыть файл issue в доступном текстовом редакторе, например в vi, и вставить туда необходимую информацию, которая будет показана до того, как пользователь залогинился в систему. После этого закрыть файл, не забыв все сохранить (:wq).
4) Перезапустить демона SSH:
# /etc/init.d/SSH restart
Консольный баннер, он же DCUI Screen MOTD, можно настроить, следуя по следующим шагам:
Вариант I: Через vSphere Client
1) Подключиться к хосту напрямую или к vCenter с помощью vSphere Client. Во втором случае в инвентаре перейти к хостам и выбрать нужный хост.
2) Зайти во вкладку Configuration
3) Зайти в Advanced Settings
4) Нажать на Annotations и ввести необходимый текст. Этот текст будет записан в файл /etc/vmware/welcome.
Вариант II: Через shell, подключившись к хосту по SSH:
1) Использовать следующую команду
# esxcli system welcomemsg set -m="message"
где message - текст сообщения.
2) Проверить, что баннер установлен, можно с помощью команды:
# esxcli system welcomemsg get
В итоге баннер, установленный этими способами, будет выглядеть примерно так:
Настройка баннеров на оборудовании Cisco Systems
Cisco IOS и ОС Cisco ASA поддерживают большое количество баннеров для различных целей. К ним относятся:asdm - ASDM баннер, который отображается после того, как пользователь залогинится в ASDM;
exec - баннер, который отображается после инициации режима EXEC;
login - баннер, который отображается до вывода login\password. Фактически, pre-login баннер;
motd - сообщение дня, отображающееся сразу после ввода логина\пароля.
На примере Cisco ASA задам каждый из этих баннеров и покажу, в какой последовательности они демонстрируются пользователю. При этом для каждого из видов баннеров сделаю минимум двухстрочный баннер, чтобы показать, как сделать его структурированным, а не бесформенным.
Задаю баннеры соответствующими командами, причем делаю баннер многострочным, для чего каждую новую строку выделяю командой banner соответствующего типа:
ASA-1(config)# banner login ===>>> LOGIN BANNER <<<===
ASA-1(config)# banner login | This is login banner |
ASA-1(config)# banner login ===========================
ASA-1(config)# banner asdm ===>>> ASDM BANNER <<<===
ASA-1(config)# banner asdm | This is ASDM banner |
ASA-1(config)# banner asdm ===========================
ASA-1(config)# banner motd ===>>> Mess. Of TDay <<<===
ASA-1(config)# banner motd | This is MOTD banner |
ASA-1(config)# banner motd =============================
ASA-1(config)# banner exec ===>>> EXEC BANNER <<<===
ASA-1(config)# banner exec | This is EXEC banner |
ASA-1(config)# banner exec =============================
Сохраняю конфиг и переподключаюсь к ASA по SSH. Меня встречает баннер login. После ввода логина и пароля появляется MOTD, ну и после ввода команды enable выводится баннер EXEC. В случае попытки подключения к устройству через ASDM баннер выводится сразу после успешного входа в систему в виде окна с сообщением и кнопкой ОК для продолжения работы.
Не претендую на истину, но по крайней мере в США, наличие login banner с информацией составленной legal counsel, является важным фактором при последующем судебном разбирательстве.
ОтветитьУдалитьЕдинственные, что хочется добавить, это то, что не все SSH клиенты умеют показывать login banner до момента авторизации, а некоторые продукты Cisco, такие, как Small Business Switches вообще не выводят login banner до момента авторизации, показывая потом оба баннера, login и motd.
А про студентов NetAcad это верно, проблема собственно говоря заключается в том, что парсер ответа ожидает увидеть ответ в строго заданных пределах, поэтому лишний пробел ломает ответ, что в целом быстро учит вводить текст баннера не делая пробелов после и до знака начала и указания конца сообщения.