Alterando senhas no ExadataDatabaseMachine (Database Node, Cell Node, ILOM, KVM, Switches e PDU).

Por Anderson Graf
Publicado en Fevereiro 2017

Com a globalização, passamos a viver em um mundo cada vez mais digital, redes sociais, comercio eletrônico e até computação nas nuvens passou a fazer parte do dia-a-dia de muitas pessoas.

É fatídico dizer que, quanto mais nos tornamos digitais mais nos tornamos vulneráveis. Ataques a grandes sistemas e empresas são exemplos atuais do que podemos dizer, frutos da globalização e agora internet das coisas (do inglês, Internet ofThings).

Investir em segurança deixou de ser banal e cada vez mais se faz necessário estarmos seguros.

Muitos sistemas e equipamentos adquiridos no mercado possuem senhas padrões. No Exadata não é diferente, ele também é implementado com várias contas de usuários e senhas padrões. Estando ele na internet, com as senhas padrões, qual seria a probabilidade de não ser invadido em um tentativa de ataque?

É o mesmo que dizer que as senhas bancárias das pessoas correspondem ao seu próprio nome, desta forma, o que me impediria de acessar a conta alheia? .

Veremos a seguir como alterar estas senhas.

  • Componente: DatabaseNode (compute node)

Estando conectado nodatabase node, podemos alterar a senha com o comando "passwd" ou "passwd < username >", ou para tornar o trabalho mais rápido e prático, podemos utilizar o DCLI para alterar a senha em todos os database nodes de uma única vez.

Exemplo:

Alterando a senha do usuário oracle para H4rdPwd234 em todos os database nodes de uma única vez.

[root@dbnode1 ~]# dcli -g dbs_group -l root "echo H4rdPwd234 | passwd --stdinoracle"
170.10.0.10: Changing password for user oracle.
170.10.0.10: passwd: all authentication tokens updated successfully.
170.10.0.11: Changing password for user oracle.
170.10.0.11: passwd: all authentication tokens updated successfully.

O comando pode ser executado para qualquer conta a nível de sistema operacional.

Para outras contas padrões de instalação:

dcli -g dbs_group -l root "echo H4rdPwd234 | passwd --stdin oracle"
dcli -g dbs_group -l root "echo H4rdPwd234 | passwd --stdin grid"
dcli -g dbs_group -l root "echo H4rdPwd234 | passwd --stdindbmadmin"

Podemos também atribuir diferentes senhas para cada usuário:

dcli -g dbs_group -l root "echo pWD4acc355 | passwd --stdin root"

Se ao executar o DCLI informar que o grupo não existe, basta criar um arquivo com o nome do grupo que você desejar (dbs_groups, cell_groups, dbs_cell_groups) e adicionar neste arquivo os ips dos servidores que você quer que façam parte dele.

[root@dbnode1 ~]# cat cell_group
170.10.0.12
170.10.0.13
170.10.0.14
[root@dbnode1 ~]# cat dbs_group
170.10.0.10
170.10.0.11

Pode ocorrer também problema por falta de equivalência (chave pública) entre os servidores.
Para testar se a equivalência do grupo está funcionando:

[root@dbnode1 ~]# dcli -g cell_group -l root 'hostname'
170.10.0.12: cellnode1
170.10.0.13: cellnode2
170.10.0.14: cellnode3

Caso ocorra erros informando a necessidade de password, basta executar o procedimento abaixo para criar a equivalência.

[root@dbnode1 ~]# dcli -g cell_group -l root -k
root@cellnode1's password:
root@cellnode2's password:
root@cellnode3's password:
cellnode1: ssh key added
cellnode2: ssh key added
cellnode3: ssh key added

  • Componente: Cell node

Da mesma forma que nos compute nodes, nos cell nodes também podemos alterar a senha conectando em cada um deles e executando um "passwd" ou então, ainda conectado em um compute node, podemos usar o DCLI apenas ajustando o grupo para cell_group e alterar a senha de todos os cell nodes de uma única vez.

Exemplo:


[root@dbnode1 ~]# dcli -g cell_group -l root "echo H4rdPwd234 | passwd --stdincelladmin"
170.10.0.12: Changing password for user celladmin.
170.10.0.12: passwd: all authentication tokens updated successfully.
170.10.0.13: Changing password for user celladmin.
170.10.0.13: passwd: all authentication tokens updated successfully.
170.10.0.14: Changing password for user celladmin.
170.10.0.14: passwd: all authentication tokens updated successfully.
[root@dbnode1 ~]#

Para outras contas padrões de instalação:

dcli -g cell_group -l root "echo pWD4acc355 | passwd --stdin root" 
dcli -g cell_group -l root "echo H4rdPwd234 | passwd --stdincellmonitor"

  • Componente: ILOM

Para alterar a senha na ILOM (IntegratedLights Out Manager), além do DCLI que veremos mais abaixo, temos ainda a possibilidade de alterar a senha via interface web (https://< ilom_ip >)

No menu Navigation ILOM Administration->User Management->UserAccounts->Escolha o usuário->Edit->Altere a senha->Save.

OBS: Dependendo da versão da ILOM, o layout da página pode ser diferente tanto quanto o local de ajuste da senha.

Para alterar conectado na ILOM via command-line:

-> set /SP/users/root password

E finalmente a partir do DCLI que permite alterar facilmente em todos os dbnodes e cellnodes.

[root@dbnode1 ~]# dcli -g dbs_group -l root " ipmitoolsunoem cli 'set 
/SP/users/root password=pWD4acc355' pWD4acc355 "

170.10.0.10: Connected. Use ^D to exit.
170.10.0.10: -> set /SP/users/root password=pWD4acc355
170.10.0.10: Changing password for user /SP/users/root...
170.10.0.10: Enter new password again: ***********
170.10.0.10: New password was successfully set for user /SP/users/root
170.10.0.10:
170.10.0.10: -> Session closed
170.10.0.10: Disconnected
170.10.0.11: Connected. Use ^D to exit.
170.10.0.11: -> set /SP/users/root password=pWD4acc355
170.10.0.11: Changing password for user /SP/users/root...
170.10.0.11: Enter new password again: ***********
170.10.0.11: New password was successfully set for user /SP/users/root
170.10.0.11:
170.10.0.11: ->Sessionclosed
170.10.0.11: Disconnected

[root@dbnode1 ~]# dcli -g cell_group -l root " ipmitoolsunoem cli 'set 
/SP/users/root password=pWD4acc355' pWD4acc355 "

170.10.0.12: Connected. Use ^D to exit.
170.10.0.12: -> set /SP/users/root password=pWD4acc355
170.10.0.12: Changing password for user /SP/users/root...
170.10.0.12: Enter new password again: ***********
170.10.0.12: New password was successfully set for user /SP/users/root
170.10.0.12:
170.10.0.12: -> Session closed
170.10.0.12: Disconnected
170.10.0.13: Connected. Use ^D to exit.
170.10.0.13: -> set /SP/users/root password=pWD4acc355
170.10.0.13: Changing password for user /SP/users/root...
170.10.0.13: Enter new password again: ***********
170.10.0.13: New password was successfully set for user /SP/users/root
170.10.0.13:
170.10.0.13: -> Session closed
170.10.0.13: Disconnected
170.10.0.14: Connected. Use ^D to exit.
170.10.0.14: -> set /SP/users/root password=pWD4acc355
170.10.0.14: Changing password for user /SP/users/root...
170.10.0.14: Enter new password again: ***********
170.10.0.14: New password was successfully set for user /SP/users/root
170.10.0.14:
170.10.0.14: ->Sessionclosed
170.10.0.14: Disconnected

  • Componente: KVM

Para alterar a senha do KVM (Keyboard, Vídeo, Mouse) siga conforme os procedimentos abaixo:

  1. Puxe a bandeja KVM para fora (localizado na frente do rack), abra-a usando a alça;
  2. Toque no touchpad;
  3. Alterne entre o host e a interface KVM pressionando a tecla CTRL no lado esquerdo duas vezes;
  4. Selecione "local" em UserAccounts;
  5. Clique em Admin;
  6. Defina a senha para a conta administrador e Salve.

  • Componente: PDU

Acesse a interface web da PDU e clique sobre "Net Configuration", será solicitado usuário e senha.

Conforme supracitado, na PDU o usuário/senha também pode ser admin/admin ou admin/adm1n dependendo da verão do firmware.

Estando conectado, role página até encontrar "Admin/User"

Altere a senha e clique em "Submit"

  • Componente:Infiniband Switch

Conectando na IB via ssh, verifique a versão do firmware.

[root@sw-iba01 ~]# version
SUN DCS 36p version: 2.1.5-1

Estando na versão 1.3.* use a ILOM para alterar a senha para evitar o bug 13494021

ssh -l ilom-admin < switch-name >

set /SP/users/< username >password

Para versões 2.0.3 e superiores:

  1. Conectado no SO usar o "passwd< username >" (com exceção da conta ilom_admin que é necessário conectar na ILOM para realizar a alteração "set /SP/users/ilom-adminpassword")
  2. Usar o DCLI para alterar a senha em todos os Switches da Infiniband (IB)

    1. Verifique a equivalência com os switches
      dcli -g ibswitch_group -l root "hostname"

      Caso o grupo "ibswitch_group" não exista, basta criar o arquivo contendo o IP dos IB switches

      Crie a equivalência:

      [root@dbnode1 ~]# dcli -g ibswitch_group -l root -k
      root@170.10.0.22's password:
      root@170.10.0.21's password:
      170.10.0.21: ssh key added
      170.10.0.22: ssh key added
      [root@dbnode1 ~]# dcli -g ibswitch_group -l root "hostname"
      170.10.0.21: sw-iba01
      170.10.0.22: sw-ibb01
      			
    2. Altere a senha em todos os switches da IB de uma única vez via DCLI

      [root@dbnode1 ~]# dcli -g ibswitch_group -l root "echo pWD4acc355 | passwd --stdin root"
      170.10.0.21: Changing password for user root.
      170.10.0.21: passwd: all authentication tokens updated successfully.
      170.10.0.22: Changing password for user root.
      170.10.0.22: passwd: all authentication tokens updated successfully.					
      				

Referências:

How to change OS user password for Cell Node, Database Node , ILOM, KVM , Infiniband Switch , GigaBit Ethernet Switch and PDU on Exadata Database Machine (Doc ID 1291766.1)

PDU default password changed after firmware 1.06 and above on Sun Rack II platforms and Engineered Systems (Doc ID 1570252.1)

Anderson Graf, Bacharel em Sistemas de Informação e MBA em Gestão de Banco de Dados Oracle. Trabalha com banco de dados Oracle desde 2009, é Oracle OCP 10g/11g/12c, OCS Linux, Database e Cloud Control. OCE Performance Tuning; OPNCS. É um entusiasta da tecnologia Oracle e autor dos blogs andersondba.com.br e oraclehome.com.br.

Este artigo foi revisto pela equipe de produtos Oracle e está em conformidade com as normas e práticas para o uso de produtos Oracle.