Sécurité : Appareil de sécurité de courriel Cisco

Comment est-ce que moi peut automatiser ou les sauvegardes de fichier de configuration de script ?

17 décembre 2015 - Traduction automatique
Autres versions: PDFpdf | Anglais (22 août 2015) | Commentaires

Introduction

Ce document décrit des concepts de base et la compréhension associés avec créer des scripts pour qu'un hôte externe exécute et pour récupère des mises à jour contre une appliance de sécurité du courrier électronique de Cisco (ESA).

Contribué par Andrew Wurster et Robert Sherwin, ingénieurs TAC Cisco.

Remarque: Cet article est un preuve-de-concept et si comme exemple base. Tandis que ces étapes ont été avec succès testées, cet article est principalement pour des buts de démonstration et d'illustration. Les scripts personnalisés sont en dehors de la portée et de la prise en charge de Cisco. L'assistance technique Cisco n'écrira pas, mettra à jour, ou dépannera les scripts externes de coutume à tout moment.

Conditions préalables

Conditions requises

Cisco vous recommande de prendre connaissance des rubriques suivantes :

  • Script de SYSTÈME D'EXPLOITATION et établissement du programme de tâche
  • Configuration et procédures de keypair de SSH

Comment est-ce que moi peut automatiser ou les sauvegardes de fichier de configuration de script ?

Le fichier de configuration est dynamiquement généré en utilisant le saveconfig ou le mailconfig du CLI, ou les options de sauvegarde associées par le GUI (administration système > fichier de configuration). Pour avoir une sauvegarde efficace qui peut être chargé et appliqué à un ESA, il est le meilleur « démasquent » les mots de passe. Ceci permet à l'appliance pour placer une forme hachée des mots de passe pour les comptes administratifs locaux dans le fichier de configuration. Pour cette raison, nous ne pouvons pas simplement copier un fichier plat de « configuration en cours » du périphérique. Cette méthode nous permet à d'abord accèdent à l'appliance, émettent une commande d'établir dynamiquement la configuration en cours, et sauvegardez ou envoyez par mail une copie de ce fichier quelque part à distance, sans n'importe quelle intervention de l'utilisateur. Une fois que ce fait, nous pouvons alors répéter ou programmer cette tâche de se produire de façon régulière.

À rapidement et automatique fichiers de configuration de sauvegarde avec des mots de passe démasqués :

  1. Générez un keypair de SSH pour l'utiliser, et le vérifiez que vous pouvez accéder à votre appliance par l'intermédiaire du SSH sans devoir manuellement entrer un mot de passe.  
  2. Créez le script pour ouvrir une session à l'appliance, pour sauvegarder le config, et pour le copier (ou l'envoyer par mail).  

Remarque: La logique semblable peut être appliquée en n'importe quel langage de script de SYSTÈME D'EXPLOITATION tel que le VB ou les scripts en lots pour Windows.

Enregistrer la configuration à un hôte spécifié utilisant le saveconfig

#! /bin/bash
#
# Simple script to save the ESA config, then copy locally via SCP.
#
# $HOSTNAME can be either FQDN or IP address.
HOSTNAME=[FQDN OR IP ADDRESS]
# $USERNAME assumes that you have preconfigured SSH key from this host to your ESA.
USERNAME=admin
FILENAME=`ssh $USERNAME@$HOSTNAME "saveconfig yes" | grep xml | sed -e 's/\/
configuration\///g' | sed 's/\.$//g' | tr -d "\""`
scp $USERNAME@$HOSTNAME:/configuration/$FILENAME .

Une fois que vous rendez le script exexcutable, vous devriez voir semblable à ce qui suit :

jsmith@linux_server:~$ ./esa_backup 
C000V-564D1A718795ACFED603-1A77BAD60A5A-20140902T222913.xml 100% 158KB 157.9KB/
s 00:00

jsmith@linux_server:~$ ls -la
total 1196
drwx------ 10 jsmith jsmith 40960 Sep 2 22:29 .
drwxr-xr-x 13 root root 4096 Aug 13 22:22 ..
-rw-rw---- 1 jsmith jsmith 161642 Sep 2 22:29 C000V-564D1A718795ACFED603-
1A77BAD60A5A-20140902T222913.xml

Exécutant la commande LS - la La répertorie le contenu du répertoire sur votre système local ou hôte. Vous devriez vérifier le nom du fichier, l'horodateur, et le volume de fichier XML global.

Envoi par courrier électronique de la configuration à une adresse e-mail utilisant le mailconfig

#! /bin/bash
#
# Simple script to email the ESA config to pre-specified email address.
#
# $HOSTNAME can be either FQDN or IP address.
HOSTNAME=[FQDN OR IP ADDRESS]
# $USERNAME assumes that you have preconfigured SSH key from this host to your ESA.
USERNAME=admin
# $MAILDEST is preconfigured email address
MAILDEST=backups@example.com
ssh $USERNAME@$HOSTNAME 'mailconfig $MAILDEST yes'

Programmez votre tâche de s'exécuter de façon régulière (UNIX/Linux)

Employez le cron (UNIX/Linux) pour donner un coup de pied hors fonction le travail régulièrement. Cron est piloté par un fichier de crontab (table de cron), un fichier de configuration qui spécifie des commandes shell de s'exécuter périodiquement sur un programme donné. Les fichiers de crontab sont enregistrés où les listes des travaux et d'autres instructions au démon de cron sont gardées.  

Le fichier de config de cron UNIX/Linux suit typiquement ce format :

minute (0-59), heure (0-23, 0 = minuit), jour (1-31), mois (1-12), jour de semaine (0-6, 0 = dimanche), commande

 
Ainsi une entrée de bon exemple pour exécuter ce script que chaque jour à 2:00 AM ressemblerait à :

00 02 * * * /home/jsmith/esa_backup

Comment est-ce que moi peut automatiser ou les sauvegardes de fichier de configuration de script d'un système Windows ?

Avec la procédure suivante, vous pouvez sauvegarde le fichier de configuration régulièrement d'un système Windows.

  1. Installez le mastic de terminal emulator.
  2. Créez un fichier texte nommé « send_config » avec la commande de mailconfig et l'adresse e-mail valide.  (Pour la simplicité, placez-la sous C:\)
    mailconfig example@example.com
  3. Créez un fichier texte nommé « send_config_batch » avec la commande suivante de mastic.  (Pour la simplicité, placez-également la sous C:\)
    C:\putty.exe -ssh hostname -l admin -pw password -m C:\send_config.txt
    exit

    Remarque: Soyez sûr de changer l'adresse Internet au FQDN ou à l'adresse IP de votre ESA, et le mot de passe à votre mot de passe réel pour le compte d'admin.

Programmez votre tâche de s'exécuter de façon régulière (Windows)

Utilisant la tâche Scheulder, ou un outil de établissement du programme semblable dans Windows, la découverte et ajoutent le « send_config_batch » aux tâches programmées de Windows.

Le fichier de configuration ESA sera envoyé à l'adresse spécifiée dans le fichier texte de « send_config » comme spécifié.

Remarque: Cet article est un preuve-de-concept et si comme exemple base. Tandis que ces étapes ont été avec succès testées, cet article est principalement pour des buts de démonstration et d'illustration. Les scripts personnalisés sont en dehors de la portée et de la prise en charge de Cisco. L'assistance technique Cisco n'écrira pas, mettra à jour, ou dépannera les scripts externes de coutume à tout moment.

Informations connexes


Conversations connexes de la communauté de soutien de Cisco

Le site Cisco Support Community est un forum où vous pouvez poser des questions, répondre à des questions, faire part de suggestions et collaborer avec vos pairs.


Document ID: 118372