• Anderson Graf

Alterando senhas no Exadata Database Machine (Database Node, Cell Node, ILOM, KVM, Switches e PDU)

Atualizado: Ago 18

Com a globalização, passamos a viver em um mundo cada vez mais digital, redes sociais, comercio eletrônico e até computação nas nuvens passou a fazer parte do dia-a-dia de muitas pessoas. É fatídico dizer que, quanto mais nos tornamos digitais mais nos tornamos vulneráveis. Ataques a grandes sistemas e empresas são exemplos atuais do que podemos dizer, frutos da globalização e agora internet das coisas (do inglês, Internet of Things).


Investir em segurança deixou de ser banal e cada vez mais se faz necessário estarmos seguros.

Muitos sistemas e equipamentos adquiridos no mercado possuem senhas padrões. No Exadata não é diferente, ele também é implementado com várias contas de usuários e senhas padrões. Estando ele na internet, com as senhas padrões, qual seria a probabilidade de não ser invadido em um tentativa de ataque?


É o mesmo que dizer que a senha bancária das pessoas correspondem ao seu próprio nome, desta forma, o que me impediria de acessar a conta alheia?


Nas versões mais recentes do Exadata passamos a ter "novas" senhas, porém quase todas são variações de welcome1 que era a senha predominante nas versões mais antigas. Apesar da mudança elas ainda são padrões e podem ser facilmente identificadas em diversas fontes, como no documento Exadata Database Machine Security Guide, Table 3-1 Default Users and Passwords, por exemplo.


Todas essas senhas podem ser facilmente alteradas como demonstrado abaixo:


  • Componente: Database Node (compute node)

Estando conectado no database node, podemos alterar a senha com o comando "passwd" ou "passwd <username>", ou para tornar o trabalho mais rápido e prático, podemos utilizar o DCLI para alterar a senha em todos os database nodes de uma única vez.

Exemplo:


Alterando a senha do usuário oracle para H4rdPwd234 em todos os database nodes de uma única vez.



O comando pode ser executado para qualquer conta a nível de sistema operacional.


Para outras contas padrões de instalação:



Podemos também atribuir diferentes senhas para cada usuário:



Se ao executar o DCLI informar que o grupo não existe, basta criar um arquivo com o nome do grupo que você desejar (dbs_groups, cell_groups, dbs_cell_groups) e adicionar neste arquivo os ips dos servidores que você quer que façam parte dele.



Pode ocorrer também problema por falta de equivalência (chave pública) entre os servidores.


Para testar se a equivalência do grupo está funcionando:



Caso ocorra erros informando a necessidade de password, basta executar o procedimento abaixo para criar a equivalência.



  • Componente: Cell node

Da mesma forma que nos compute nodes, nos cell nodes também podemos alterar a senha conectando em cada um deles e executando um "passwd" ou então, ainda conectado em um compute node, podemos usar o DCLI apenas ajustando o grupo para cell_group e alterar a senha de todos os cell nodes de uma única vez.


Exemplo:



Para outras contas padrões de instalação:



  • Componente: ILOM


Para alterar a senha na ILOM (Integrated Lights Out Manager), além do DCLI que veremos mais abaixo, temos ainda a possibilidade de alterar a senha via interface web (https://<ilom_ip>)


No menu Navigation > ILOM Administration > User Management > User Accounts > Escolha o usuário > Edit > Altere a senha > Save.


OBS: Dependendo da versão da ILOM, o layout da página pode ser diferente tanto quanto o local de ajuste da senha.


Para alterar conectado na ILOM via command-line:


E finalmente a partir do DCLI que permite alterar facilmente em todos os dbnodes e cellnodes.




  • Componente: KVM


A conta de usuário padrão para o KVM é Admin.

Para alterar a senha do KVM (Keyboard, Vídeo, Mouse) siga conforme os procedimentos abaixo:


  1. Puxe a bandeja KVM para fora (localizado na frente do rack), abra-a usando a alça;

  2. Toque no touch pad;

  3. Alterne entre o host e a interface KVM pressionando a tecla CTRL no lado esquerdo duas vezes;

  4. Selecione "local" em User Accounts;

  5. Clique em Admin;

  6. Defina a senha para a conta administrador e Salve.


  • Componente: PDU


Acesse a interface web da PDU e clique sobre "Net Configuration", será solicitado usuário e senha.


Na PDU as credenciais podem ser:


admin/admin

admin/adm1n

admin/welcome1


dependendo da verão do firmware.


Estando conectado, role página até encontrar "Admin/User"



Altere a senha e clique em "Submit"


  • Componente: Infiniband Switch


Conectando na IB via ssh, verifique a versão do firmware.


Estando na versão 1.3.* use a ILOM para alterar a senha para evitar o bug 13494021



Para versões 2.0.3 e superiores:


Conectado no SO usar o "passwd <username>" (com exceção da conta ilom_admin que é necessário conectar na ILOM para realizar a alteração "set /SP/users/ilom-admin password")


Usar o DCLI para alterar a senha em todos os Switches da Infiniband (IB)


a) Verifique a equivalência com os switches

Caso o grupo "ibswitch_group" não exista, basta criar o arquivo contendo o IP dos IB switches


Crie a equivalência:

b) Altere a senha em todos os switches da IB de uma única vez via DCLI




Referências:


How to change OS user password for Cell Node, Database Node , ILOM, KVM , Infiniband Switch , GigaBit Ethernet Switch and PDU on Exadata Database Machine (Doc ID 1291766.1)


PDU default password changed after firmware 1.06 and above on Sun Rack II platforms and Engineered Systems (Doc ID 1570252.1)


Oracle® Exadata Database Machine Maintenance Guide

10 visualizações0 comentário

Posts recentes

Ver tudo