По вашему запросу ничего не найдено :(
Убедитесь, что запрос написан правильно, или посмотрите другие
наши статьи:
Всем привет! Мы продолжаем знакомиться с операционной системой Cisco IOS. Недавно в статьях мы уже рассмотрели операционную систему Cisco IOSи ее режимы. В этой статье мы рассмотрим основную структуру команд Cisco IOS.
Структура команд
Устройства, работающие на Cisco IOS, поддерживают множество команд, каждая из которых имеет определенный формат или синтаксис и может быть выполнена только в соответствующем режиме. Общий синтаксис команды - это команда, за которой следуют любые подходящие ключевые слова и аргументы. Некоторые команды включают подмножество ключевых слов и аргументов, которые обеспечивают дополнительную функциональность. Команды используются для выполнения действия, а ключевые слова используются для идентификации.
Команда представляет собой начальное слово или слова, введенные в командной строке. Команды не чувствительны к регистру. После каждой введенной команды, включая любые ключевые слова и аргументы, нужно нажать Enter, чтобы отправить команду командному интерпретатору.
Ключевые слова описывают конкретные параметры командного интерпретатора. Например, команда show используется для отображения информации об устройстве. Эта команда имеет различные ключевые слова, которые должны использоваться для определения того, какой конкретный вывод должен отображаться.
Например:
Switch # show running-config
За командой show следует ключевое слово running-config, которое указывает, что текущая конфигурация должна отображаться в качестве вывода.
Для команды может потребоваться один или несколько аргументов. В отличие от ключевого слова, аргумент обычно не является предопределенным словом. Аргумент - это значение или переменная, определяемая пользователем.
Например:
Switch> traceroute 192.168.254.254
Traceroute - команда, 192.168.254.254 - определяемый пользователем аргумент.
Контекстно-зависимая справка
Контекстно-зависимая справка содержит список команд и аргументов, связанных с этими командами в контексте текущего режима. Чтобы получить доступ к контекстно-зависимой справке, нужно ввести знак вопроса “?” в любом меню. Результат появится сразу, даже без нажатия клавиши Enter.
Одна из методов использования контекстно-зависимой справки - это получение списка доступных команд. Это можно использовать, если вы не уверены как правильно пишется команда или хотите увидеть, поддерживает ли IOS определенную команду в определенном режиме. Например, чтобы отобразить команды, доступные на уровне User EXEC, нужно ввести знак вопроса “?”, в меню Switch.
Другое использование контекстно-зависимой справки - отображать список команд или ключевых слов, которые начинаются с определенного символа или символов. После ввода последовательности символов, если знак вопроса сразу вводится без пробела, IOS отобразит список команд или ключевых слов для этого контекста, которые начинаются с введенных символов. Например, можно ввести sh? для получения списка команд, начинающихся с sh.
И еще один тип контекстно-зависимой справки используется для определения того, какие параметры, ключевые слова или аргументы сопоставляются с определенной командой. При вводе команды введите пробел, за которым следует символ “?” определить, что может или должно быть введено дальше.
Например:
Switch# cl
clear clock
Switch# clock set ?
hh:mm:ss Current Time
Switch# clock set 13:30:00 ?
<1-31> Day of the month
MONTH Month of the year
Switch# clock set 13:30:00 21 February 2018 ?
Switch# clock set 13:30:00 21 February 2018
Проверка синтаксиса команд
Когда команда отправляется нажатием клавиши Enter, интерпретатор командной строки анализирует команду слева направо, чтобы определить, какое действие запрашивается. Обычно IOS обеспечивает только отрицательную обратную связь, если что-то было введено неверно. Если интерпретатор не может понять введенную команду, он предоставит информацию о том, что не так с командой.
Двойственная команда (Ambiguous command) – введено недостаточно символов для, чтобы система распознала команду.
Switch# c
% Ambiguous command:’c’
Неполная команда (Incomplete command) – не все необходимые ключевые слова или аргументы были введены.
Switch# clock set
% Incomplete command.
Неверная команда (Invalid input) – команда введена некорректно. Ошибка произошла в месте, на которое указывает маркер
Switch#clok set 13:30:00 21 February 2018
^
%Invalid input detected at ‘^’ marker.
Горячие клавиши и сочетания клавиш
В CLI IOS есть возможность использовать горячие клавиши и сочетания клавиш, которые облегчают использование системы. Рассмотрим наиболее полезные из них:
Стрелка вниз - позволяет прокручивать строку вперед по введенным командам
Стрелка вверх – Позволяет прокручивать строку назад по введенным командам
Tab - завершает оставшуюся часть частично введенной команды или ключевого слова
Ctrl-A - переход к началу строки
Ctrl-E - перемещение в конец строки
Ctrl-R – повторное отображение строки
Ctrl-Z - Выход из режима конфигурации и возврат к User EXEC
Ctrl-C - выход из режима конфигурации или прерывание текущей команды
Ctrl-Shift-6 - Позволяет пользователю прерывать процесс IOS, такой как ping или traceroute
Рассмотрим их подробнее.
Tab
Клавиша Tab используется для завершения оставшейся части сокращенной команды и параметра, если аббревиатура содержит достаточно букв, чтобы отличаться от любых других доступных в данный момент команд или параметров. Когда для ввода уникальной команды или ключевого слова было введено достаточно символов, нужно нажать Tab, и CLI отобразит остальную часть команды или ключевого слова.
Ctrl-R
Повторное отображение строки обновит только что напечатанную строку. Например, IOS может отобразить сообщение в CLI во время набора команды пользователем. Ctrl-R можно использовать для обновления строки и избегать повторного ее ввода.
Ctrl-Z
Выход из режима конфигурации выйдет из любого режима конфигурации и вернется в привилегированный режим EXEC. Поскольку IOS имеет иерархическую структуру, вместо того, чтобы выходить из каждого подрежима отдельно, можно использовать Ctrl-Z, привилегированный режим EXEC.
Стрелки вверх и вниз
При помощи стрелок можно отображать историю введенных команд. Cisco IOS выполняет буферизацию нескольких прошлых команд и символов, чтобы записи могли быть снова отображены. Буфер полезен для повторного ввода команд без повторного набора.
Ctrl-Shift-6
Эта последовательность прерывает любой выполняющийся процесс. Когда процесс IOS инициируется из CLI, например, ping или traceroute, команда работает до тех пор, пока не будет завершена или не будет прервана. Пока процесс выполняется, CLI не отвечает. Чтобы прервать вывод и взаимодействовать с CLI, нужно нажать Ctrl-Shift-6.
Ctrl-C
Прерывает ввод команды и выходит из режима конфигурации. Это может быть полезно после ввода команды, которая должна быть отменена.
Сокращенные команды или ключевые слова
Команды и ключевые слова могут быть сокращены до минимального количества символов, которые идентифицируют уникальный выбор. Например, команда configure может быть сокращена до conf, поскольку configure является единственной командой, которая начинается с conf. Аббревиатура con не будет работать, потому что более чем одна команда начинается с con. Ключевые слова также могут быть сокращены.
Пример:
Switch# show interfaces
Switch# sh int
Исследователи кибербезопасности выявили новую уязвимость, которая может повлиять на устройства в миллиардах по всему миру, включая серверы, рабочие станции, настольные компьютеры, ноутбуки, системы Интернета вещей и многое другое, работающие на системах Windows и Linux.
Исследователи говорят, что BootHole - это своего рода уязвимость переполнения буфера, способная воздействовать на все версии загрузчика GRUB2. Он ведет себя аналогично тому, как он разобрал содержимое файла конфигурации. Этот процесс по-разному подписывается другими исполняемыми и системными файлами.
Следовательно, это создает почву киберпреступникам для разрушения механизма аппаратного доверия на корне.
Вследствие переполнения буфера злоумышленники могут выполнять произвольные коды в среде UEFI. Затем они могут запускать вредоносные программы, вносить изменения в ядро операционной системы напрямую, изменять загрузку или выполнять другие вредоносные действия.
Данная уязвимость представляет собой большой риск и называется BootHole или CVE-2020-10713. В настоящее время данной уязвимости подвержен загрузчике GRUB2. Если злоумышленникам удастся его использовать, это может позволить им обойти функцию "Безопасной загрузки". Кроме того, атакующие также могут получить незаметный и постоянный доступ к целевым системам.
Безопасная загрузка является одной из функций Унифицированного Расширяемого Интерфейса Встроенного ПО (UEFI). Люди используют его для загрузки определенных критически важных периферийных устройств, операционных систем и компонентов, обеспечивая при этом выполнение только криптографически подписанных кодов во время загрузки.
Согласно отчету исследователей Eclypsium, данная функция предназначена для предотвращения выполнения не доверенных кодов до загрузки ОС. Для этого он изменяет цепочку загрузки или отключает безопасную загрузку.
В Windows злоумышленники могут использовать BootHole, заменив уже установленные загрузчики по умолчанию слабой версией GRUB2, а затем установить вредоносную программу rootkit.
Последствия уязвимости BootHole
Уязвимость BootHole может вызвать серьезные проблемы из-за того, что она позволяет злоумышленникам выполнять свои вредоносные коды до загрузки ОС. Следовательно, системам безопасности становится трудно обнаруживать вредоносные программы или устранять их.
Другая причина, по которой BootHole может легко создавать ошибки в системах, заключается в том, что в среде выполнения UEFI отсутствует возможность случайного размещения адресного пространства (ASLR), предотвращение выполнения данных (DEP) или другие технологии предотвращения использования уязвимостей.
Установка обновлений не решает проблему
Эксперты Eclypsium недавно связались с производителями компьютеров и поставщиками ОС, чтобы помочь смягчить проблему. Выяснилось, что решение не так просто.
Установки исправлений и обновление загрузчиков GRUB2 недостаточно для устранения проблемы. Причина в том, что злоумышленники могут заменить существующий загрузчик устройства на более слабую версию.
Эксперты говорят, что для смягчения последствий потребуется вновь развернутые и подписанные загрузчики. Кроме того, скомпрометированные загрузчики должны быть убраны.
Корпорация Майкрософт признает эту проблему и сообщает, что она работает над тестированием совместимости и проверкой обновления Windows, которое может устранить эту уязвимость. Кроме того, он рекомендует пользователям обновлять исправления безопасности по мере их доступности в ближайшие недели.
Разработчики некоторых дистрибутивов Linux следуя их примеру также выпустили рекомендации, связанные с данной уязвимостью и готовящимися исправлениями.
Команда sudo - одна из самых популярных команд, доступных в Linux. Она позволяет пользователям выполнять команды от имени другого пользователя, который по умолчанию настроен на запуск от имени пользователя root.
У вас есть два варианта предоставления пользователю доступа к sudo. Первый - добавить пользователя в файл sudoers. Этот файл содержит информацию, которая определяет, каким пользователям и группам предоставляются привилегии sudo, а также уровень привилегий.
Второй вариант - добавить пользователя в группу sudo, определенную в файле sudoers. По умолчанию в дистрибутивах на основе RedHat, таких как CentOS и Fedora, членам группы «wheel» предоставляются привилегии sudo.
Добавление пользователя в группу wheel
Самый простой способ предоставить пользователю привилегии sudo в CentOS - это добавить пользователя в группу «wheel». Члены этой группы могут запускать все команды через sudo и получать запрос на аутентификацию по паролю при использовании sudo.
Мы предполагаем, что пользователь уже существует. Если вы хотите создать нового sudo пользователя, то посмотрите как это сделать в этой статье.
Чтобы добавить пользователя в группу, выполните приведенную ниже команду от имени пользователя root или другого пользователя sudo. Измените «username» на имя пользователя, которому вы хотите предоставить разрешения.
usermod -aG wheel username
Предоставления доступа sudo с использованием этого метода достаточно для большинства случаев использования.
Чтобы проверить доступ к sudo, запустите команду whoami:
sudo whoami
Вам будет предложено ввести пароль. Если у пользователя есть доступ к sudo, команда выведет «root». Если вы получаете сообщение «user is not in the sudoers file» (пользователь отсутствует в файле sudoers), это означает, что у пользователя нет привилегий sudo.
Добавление пользователя в файл sudoers
Привилегии sudo пользователей и групп настраиваются в файле /etc/sudoers. Добавление пользователя в этот файл позволяет вам предоставлять настраиваемый доступ к командам и настраивать пользовательские политики безопасности для пользователя.
Вы можете настроить доступ пользователя sudo, изменив файл sudoers или создав новый файл конфигурации в каталоге /etc/sudoers.d. Файлы внутри этого каталога включены в файл sudoers.
Чтобы отредактировать файл /etc/sudoers, используйте команду visudo. Эта команда проверяет файл на наличие синтаксических ошибок при его сохранении. Если есть какие-либо ошибки, файл не сохраняется. Если вы откроете файл в текстовом редакторе, синтаксическая ошибка может привести к потере доступа к sudo.
Обычно visudo использует vim для открытия /etc/sudoers. Если у вас нет опыта работы с vim, и вы хотите отредактировать файл с помощью nano, укажите:
EDITOR=nano visudo
А лучше прочитайте нашу статью про vim :-)
Допустим, вы хотите разрешить пользователю запускать команды sudo без запроса пароля. Откройте файл /etc/sudoers:
visudo
Прокрутите вниз до конца файла и добавьте следующую строку:
username ALL=(ALL) NOPASSWD:ALL
Сохраните файл и выйдите из редактора (подсказка - :wq). Не забудьте изменить «username» на имя пользователя, которому вы хотите предоставить доступ.
Другой распространенный пример - позволить пользователю запускать только определенные команды через sudo. Например, чтобы разрешить использовать только команды du и ping:
username ALL=(ALL) NOPASSWD:/usr/bin/du,/usr/bin/ping
Вместо того, чтобы редактировать файл sudoers, вы можете добиться того же, создав новый файл с правилами авторизации в каталоге /etc/sudoers.d. Добавьте то же правило, что и в файл sudoers:
echo "username ALL=(ALL) NOPASSWD:ALL" | sudo tee /etc/sudoers.d/username
Такой подход делает управление привилегиями sudo более понятным. Название файла не важно. Это обычная практика, когда имя файла совпадает с именем пользователя.
Вывод
Предоставление пользователю доступа sudo - простая задача, все, что вам нужно сделать, это добавить пользователя в группу «wheel». Ну и не забыть как выходить из vim!