NX-OS - Sicheres Löschen des Inhalts der Festplatte

Einleitung

In diesem Dokument wird beschrieben, wie Sie die Festplatte eines Cisco Nexus-Switches, der standardmäßige Linux-Dienstprogramme verwendet, sicher löschen können.  Dies ist für bestimmte Kunden aus dem Militär- und Regierungsbereich erforderlich, die Ausrüstung aus einem gesicherten Bereich in einen nicht gesicherten Bereich verlegen, oder für alle anderen Kunden, die Compliance-Anforderungen erfüllen, um Ausrüstung von ihrem Standort aus zu verlegen.

Hintergrundinformationen

Je nachdem, ob der Switch über ein SSD- oder ein eUSB-Laufwerk verfügt, stehen zwei Optionen zur Auswahl:

• Init-System wird auf neueren Switch-Modellen mit SSDs verwendet. Init-System verwendet ATA Secure erase, um binäre 0 auf alle Sektoren des Laufwerks zu schreiben.  
• Bei älteren Switches mit eUSB-Laufwerken können Sie auch mit der Zero-Byte-Erase-Methode in alle Sektoren des Laufwerks 0s schreiben.

Die in dem dokumentierten Verfahren verwendeten Standard-Dienstprogramme verwenden eine Reihe von Befehlen, die die Daten auf der Speicherfestplatte sicher zerstören und in den meisten Fällen eine Wiederherstellung der Daten erschweren oder unmöglich machen.

Dieser Leitfaden führt Sie durch beide Prozesse mit Cisco Nexus Switches der Serie 3000, Cisco Nexus Switches der Serie 5000, Cisco Nexus Switches der Serie 9000, Cisco Nexus Switches der Serie 7000 und Cisco Switches der Serie MDS. Er funktioniert jedoch auch für die meisten anderen Cisco Nexus Switches, sofern Sie über einen systeminternen oder Bash-Zugriff verfügen.  Wenn der Switch oder die Softwareversion, die Sie verwenden, nicht unterstützt wird, um Feature-Bash für den Zugriff auf die Bash-Shell zu aktivieren, öffnen Sie eine Serviceanfrage beim Cisco TAC, um Unterstützung bei der Verwendung eines Debug-Plug-ins für dieses Verfahren zu erhalten.

Wie bestimmen Sie die geeignete Vorgehensweise für sich?

Wenn Ihre PID den Wert 0 zurückgibt, verwendet das System ein SSD und kann das Laufwerk mit der Init-System-Methode löschen.

Wenn Ihre PID den Wert 1 zurückgibt, verwendet das System ein eUSB-Laufwerk, und Sie müssen die Zero-Byte-Löschmethode verwenden.

F340.23.13-C3064PQ-1# config terminal
Enter configuration commands, one per line. End with CNTL/Z.
F340.23.13-C3064PQ-1(config)# feature bash-shell
F340.23.13-C3064PQ-1(config)#
F340.23.13-C3064PQ-1(config)# exit
F340.23.13-C3064PQ-1# run bash
bash-4.2$ cat /sys/block/sda/queue/rotational
1
bash-4.2$

Wenn nach Durchführung des vorherigen Verfahrens noch nicht klar ist, welcher Laufwerkstyp in Ihrem System vorhanden ist und mit welchem Verfahren der Inhalt der Festplatte sicher gelöscht werden soll, öffnen Sie ein Serviceticket beim Cisco TAC.

Vorbereitung

Bevor Sie das Laufwerk löschen können, müssen Sie über Folgendes verfügen:

1. Konsolenzugriff auf den Switch.
2. Zugriff auf einen TFTP-Server über die management0-Schnittstelle - dies ist erforderlich, um die aktuelle Konfiguration zu sichern und anschließend das Betriebssystem wiederherzustellen.
3. Eine Sicherung der running-config und aller anderen Dateien, die Sie aus dem System offline speichern möchten, da sie in diesem Prozess zerstört werden!

Anmerkung: Es wird dringend empfohlen, dieses Verfahren für Teile auszuführen, die nicht mehr in der Produktion sind oder nicht mehr in den Produktionsgehäusen installiert sind. Vor der Durchführung dieses Verfahrens sollten die Geräte oder Teile in eine nicht produktive Umgebung verschoben werden, um unbeabsichtigte Netzwerkstörungen zu vermeiden.

Verwenden des Init-System-Verfahrens bei Switches mit SSD

Anmerkung: Wenn Sie dieses Verfahren auf einem Supervisor innerhalb eines modularen Switches durchführen, wird empfohlen, nur den Supervisor, der das Verfahren ausführen soll, im System zu installieren.

1. Laden Sie den Switch neu, oder schalten Sie ihn aus, während er über die Konsole verbunden ist.
   
   
2. Drücken Sie beim Hochfahren des Switches STRG+C, um den Switch in die Eingabeaufforderung loader> umzuschalten.
   
   
3. Geben Sie an der Eingabeaufforderung loader> den Befehl cmdline recoveryMode=1 ein.  Dadurch wird der Switch an der switch(boot)#-Eingabeaufforderung gestoppt:
   
   

   loader > cmdline recoverymode=1 

4. Beginnen Sie den Bootvorgang mit boot bootflash:<nxos_filename.bin>.
   
   

   loader > boot bootflash:nxos.7.0.3.I7.8.bin

5. Der Switch wird über die Eingabeaufforderung switch(boot)# gestartet.  Schreiben Sie an dieser Eingabeaufforderung 0 für alle Blöcke in nvram, mit Ausnahme der Lizenzblöcke, wobei Sie clear nvram CLI sowie init system CLI verwenden.

   Anmerkung: Dieser Test wurde auf einem N9K-C9372TX-E mit einer Intel Core i3 CPU mit 2,50 GHz und einer 110G SSD durchgeführt.  Die Gesamtzeit für das init-System dauerte ~8 Sekunden:

   switch(boot)# clear nvram
   switch(boot)# init system 
   This command is going to erase your startup-config, licenses as well as the contents of your bootflash:.
   Do you want to continue? (y/n)  [n] y

6. Laden Sie den Switch nach Abschluss von Schritt 5 neu:
   
   

   switch(boot)# reload
   This command will reboot this supervisor module. (y/n) ? y

Verfahren zum Hinzufügen von Switches/Supervisoren/System-Controllern mit eUSB verwenden

1. Melden Sie sich über den Konsolen-Port beim Admin-Konto des Switches an.

Anmerkung: Wenn Sie dieses Verfahren auf einem Supervisor innerhalb eines modularen Switches durchführen, wird empfohlen, nur den Supervisor, den Sie für dieses Verfahren planen, im System zu installieren.

2. Aktivieren Sie die Funktion bash-shell aus dem Konfigurationsmodus und rufen Sie die Bash-Eingabeaufforderung mit run bash (nur N3K/9K) auf.  Andere Cisco Nexus-Switches benötigen ein Debug-Plug-in, um auf Bash zugreifen zu können).

F340.23.13-C3064PQ-1# config terminal
F340.23.13-C3064PQ-1(config)# feature bash-shell
F340.23.13-C3064PQ-1(config)# exit
F340.23.13-C3064PQ-1# run bash
bash-4.2$

N7K-1# load n7000-s2-debug-sh.7.2.1.D1.1.gbin
Loading plugin version 7.2(1)D1(1)
###############################################################
  Warning: debug-plugin is for engineering internal use only!
  For security reason, plugin image has been deleted.
###############################################################
Successfully loaded debug-plugin!!!
Linux(debug)# 

3. Erhalten Sie Root-Zugriff mit sudo su -

Anmerkung: Dieser Schritt kann für Cisco Nexus Switches der Serie 7000 übersprungen werden, die ein Debug-Plug-In für dieses Verfahren verwenden.

bash-4.2$ sudo su -
root@F340# 

4. Wenn Sie dieses Verfahren auf einem System-Controller ausführen, der auf einem Nexus Switch der Serie 9000 installiert ist, müssen Sie sich remote bei der Steckplatznummer anmelden, an der dieses Verfahren durchgeführt werden soll.  Hier ist es zum Beispiel für den System-Controller in Steckplatz 29:

N9K-EOR# run bash
bash-4.2$ sudo su -
root@N9K-EOR#rlogin lc29
root@sc29:~# 

5. Überprüfen Sie die Blockgröße jedes Datenträgers mit fdisk -l.  Auf einem N3K-C3064PQ-10X hat es nur /dev/sda @ 512 Byte Blockgröße, siehe hier:

Anmerkung: Bei einigen Cisco Nexus Switches kann es mehr als eine Festplatte geben. Sie muss berücksichtigt werden, wenn Sie die Funktion "Hinzufügen" ausführen. N7K-SUP2 gibt es beispielsweise /dev/sda, /dev/sdb, /dev/sdc/, /dev/md2, /dev/md3, /dev/md4, /dev/md5 und /dev/md6. Sie müssen die dd an jedem dieser Elemente, um den sicheren Löschvorgang ordnungsgemäß abzuschließen.

Anmerkung: Auf Cisco Nexus Switches der Serie 9000 verfügt der System-Controller über /dev/mtdblock0, /dev/mtdblock1, /dev/mtdbloc2, /dev/mtdblock3, /dev/mtdblock4, /dev/mtdblock5 und /dev/dev/dev mtdblock6.  Sie müssen für jedes dieser Elemente den Befehl "Hinzufügen" ausführen, um den sicheren Löschvorgang ordnungsgemäß abzuschließen.

root@F340# fdisk -l

Disk /dev/sda: 2055 MB, 2055208960 bytes
64 heads, 62 sectors/track, 1011 cylinders
Units = cylinders of 3968 * 512 = 2031616 bytes
Disk identifier: 0x8491e758

   Device Boot      Start         End      Blocks   Id  System
/dev/sda1               1           5        9889   83  Linux
/dev/sda2               6          45       79360    5  Extended
/dev/sda3              67        1011     1874880   83  Linux
/dev/sda4              46          66       41664   83  Linux
/dev/sda5               6          26       41633   83  Linux
/dev/sda6              27          45       37665   83  Linux

6. Schreiben Sie ein Null-Byte auf jeden Sektor auf der Festplatte.

Anmerkung: Dieser Test wurde auf einem N3K-C3064PQ-10X mit einer Intel Celeron CPU P4505 @1,87 GHz und 13G eUSB durchgeführt. Der Zero-Byte-Prozess dauerte ca. 501 Sekunden.

root@F340# dd if=/dev/zero of=/dev/sda bs=512

Anmerkung: Es wird erwartet, dass Kernel-Meldungen, die in diesem Schritt erzeugt werden, an einigen Stellen angezeigt werden.

7. Sobald Schritt fünf abgeschlossen ist, laden Sie den Switch, den Supervisor oder den System-Controller neu:

Anmerkung: Um den System-Controller in einem modularen Switch der Cisco Nexus Serie 9000 neu zu laden, geben Sie das Modul <slot_number> CLI zum erneuten Laden ein.

bash-4.2$ exit
F340.23.13-C3064PQ-1# exit
F340.23.13-C3064PQ-1# reload
WARNING: There is unsaved configuration!!!
WARNING: This command will reboot the system
Do you want to continue? (y/n) [n] y

Mit dd können Sie Zero-Byte in relevante Partitionen auf dem E/A-Modul schreiben.

1. Melden Sie sich über den Konsolen-Port beim Admin-Konto des Switches an.

2. Aktivieren Sie die Funktion bash-shell aus dem Konfigurationsmodus, und geben Sie die Bash-Eingabeaufforderung mit run bash ein (nur N3K/N9K).  Andere Cisco Nexus-Switches benötigen ein Debug-Plug-in, um auf Bash zugreifen zu können). Wenn Sie ein Debug-Plug-in benötigen, wenden Sie sich an das Cisco TAC, und befolgen Sie Schritt 3 anstelle von Schritt 2.

Anmerkung: Um von der Bash-Eingabeaufforderung aus auf den LC/FM zuzugreifen, geben Sie rlogin lc# CLI ein, sobald Sie Root-Zugriff erhalten haben. Ersetzen Sie nun das # in der CLI durch die Steckplatznummer, für die Sie den Vorgang durchführen möchten.

N7K-1# config terminal
Enter configuration commands, one per line. End with CNTL/Z.
N7K-1(config)# feature bash-shell 
N7K-1(config)# exit
N7K-1# run bash 
bash-4.3$ 

N9K-EOR# run bash
bash-4.2$ sudo su -
root@N9K-EOR#rlogin lc22
root@fm22:~#

3. Stellen Sie bei Cisco Nexus Switches, die das Debug-Plug-In verwenden, sicher, dass das Debug-Plug-In für die ausgeführte Softwareversion in bootflash kopiert wird, und laden Sie das Debug-Plug-In für das Modul, für das Sie die sichere Löschprozedur ausführen möchten, für:

Anmerkung: Für die I/O-Module der Nexus Switches der Serie 7000 ist ein separates Debugmodul-Image erforderlich, im Gegensatz zu dem für Supervisor-Module bereitgestellten Debugmodul-Image. Verwenden Sie das LC-Image für die Softwareversion, die auf dem Switch ausgeführt wird.

switch# attach module 3
Attaching to module 3 ...
To exit type 'exit', to abort type '$.' 
module-3# load bootflash:dplug-lc_p476-bin.7.2.1.D1.1.bin
Name of debug-plugin from SUP: '/bootflash/dplug-lc_p476-bin.7.2.1.D1.1.bin'
Downloaded debug-plugin to LC: '/tmp/dplug-lc_p476-bin.7.2.1.D1.1.bin'
Loading plugin version 7.2(1)D1(1)
###############################################################
  Warning: debug-plugin is for engineering internal use only!
###############################################################
Warning: /debug-plugin/.autorun is using deprecated /bin/bash.  Please change to /bin/sh
Successfully loaded debug-plugin!!!
Linux(debug)# 

4. Bestimmen Sie anschließend für Cisco Nexus Line Cards der Serie 7000, wo /logflash/ und/mnt/pss im Dateisystem gemountet ist.  Um dies zu tun, verwenden Sie den mount-Befehl, um herauszufinden, wo sich /mnt/plog (logflash) und /mnt/pss befinden.

Anmerkung: Führen Sie für Cisco Nexus Line Cards der Serie 9000 den Vorgang "dd" unter /dev/mmcblk0 aus.

Anmerkung: Führen Sie für Cisco Nexus Fabric-Module der Serie 9000 den Vorgang "Hinzufügen" unter /tmpfs, /dev/root, /dev/zram0, /dev/loop0, /dev/loop1 und /unionfs aus.

Linux(debug)# mount | grep plog
/dev/mtdblock2 on /mnt/plog type jffs2 (rw,noatime)
Linux(debug)# 
Linux(debug)# mount | grep pss
tmpfs on /mnt/pss type tmpfs (rw,size=409600k,mode=777)
Linux(debug)# 

5. Nun, da bekannt ist, dass /mnt/plog auf /dev/mtdblock2 liegt und /mnt/pss auf /tmpfs liegt, schreiben Sie Zero-Byte an beide mit dem Befehl dd, beenden Sie das Debugmodul und laden das Modul neu:

Linux(debug)# dd if=/dev/zero of=/dev/mtdblock2 bs=1024
dd: writing '/dev/mtdblock2': No space left on device
15361+0 records in
15360+0 records out
Linux(debug)# 
Linux(debug)# dd if=dev/zero of=/tmpfs bs=1024
dd: writing '/tmpfs': No space left on device
23781+0 records in
23780+0 records out
Linux(debug)# 
Linux(debug)# exit
####################################################################
  Warning: for security reason, please delete plugin image on sup.
####################################################################
module-3# exit
rlogin: connection closed.
switch# 
switch# reload module 3
This command will reload module 3. Proceed[y/n]?  [n] y
reloading module 3 ...
switch# 

Stellen Sie den Switch wieder her, und installieren Sie das Betriebssystem neu

Nach dem Aus- und Einschalten des Switches wird er in der Lader-Eingabeaufforderung gestartet. 

Um den Loader>-Prompt zu beenden, muss der Switch über das TFTP gestartet werden. Gehen Sie dazu wie folgt vor:

1. Richten Sie eine IP-Adresse für die mgmt0-Schnittstelle auf dem Switch ein (oder weisen Sie diese zu):
   
   

   loader > set ip <IP_address> <Subnet_Mask> 

2. Wenn sich der TFTP-Server, von dem Sie booten, in einem anderen Subnetz befindet, weisen Sie dem Switch ein Standard-Gateway zu:

loader > set gw <GW_IP_Address> 

3. Führen Sie den Bootvorgang durch.  Der Switch wird über die Switch(boot)-Eingabeaufforderung gestartet.

Anmerkung: Bei Switches, die separate System-/Kickstart-Images verwenden, wie Switches der Cisco Nexus 5000 Serie, Switches der Cisco Nexus 6000 Serie und Switches der Cisco Nexus 7000 Serie, müssen Sie in diesem Schritt das Kickstart-Image starten.  Für Switches, die ein einzelnes NXOS-Image verwenden, wie Cisco Nexus Switches der Serie 9000 und Cisco Nexus Switches der Serie 3000, müssen Sie in diesem Schritt das einzelne Image booten:

loader > boot tftp:/// 

4. Führen Sie clear nvram, init system und format bootflash:

Anmerkung: Bei Cisco Nexus Switches der Serie 5000 und Cisco Nexus Switches der Serie 6000 ist kein leeres nvram an der switch(boot)#-Eingabeaufforderung verfügbar.

switch(boot)# clear nvram
switch(boot)# init system 
This command is going to erase your startup-config, licenses as well as the contents of your bootflash:.
Do you want to continue? (y/n) [n] y
Initializing the system ...

<snip>

switch(boot)# format bootflash: 
This command is going to erase the contents of your bootflash:.
Do you want to continue? (y/n) [n] y
get_sup_active_slot failed with -1
Unknown card
Formatting bootflash:

<snip> 

5. Laden Sie den Switch neu:

switch(boot)# reload 
This command will reboot this supervisor module. (y/n) ? y
ˇ
(c) Copyright 2011, Cisco Systems.
N3000 BIOS v.5.0.0, Tue 06/05/2018, 05:24 PM 

6. Legen Sie eine IP-Adresse für die mgmt0-Schnittstelle auf dem Switch fest (oder weisen Sie sie zu):

loader > set ip <IP_address> <Subnet_Mask> 

7. Wenn sich der TFTP-Server, von dem Sie booten, in einem anderen Subnetz befindet, weisen Sie dem Switch ein Standard-Gateway zu:

loader > set gw <GW_IP_Address> 

8. Laden Sie den Switch neu:

Anmerkung: Dieser Schritt (8) ist NICHT erforderlich, wenn dieses Verfahren mit Cisco Nexus Switches der Serie 5000, Cisco Nexus Switches der Serie 6000, Cisco Nexus Switches der Serie 7000 Supervisor-Modulen oder Cisco Nexus Switches der Serie 9000 Supervisor-Modulen durchgeführt wird.  Fahren Sie mit Schritt 9 fort, wenn Sie dieses Verfahren für Cisco Nexus Switches der Serie 5000, Cisco Nexus Switches der Serie 6000, Cisco Nexus Switch Supervisor-Modul der Serie 7000 oder Cisco Nexus Switches der Serie 9000 ausführen.

loader> reboot 

9. Führen Sie den Bootvorgang durch.  Der Switch wird über die Switch(boot)-Eingabeaufforderung gestartet.

Anmerkung: Für Switches, die separate System-/Kickstart-Images verwenden, wie z. B. Cisco Nexus Switches der Serie 7000, müssen Sie in diesem Schritt das Kickstart-Image booten.  Für Switches, die ein einzelnes NXOS-Image verwenden, wie Cisco Nexus Switches der Serie 9000 und Cisco Nexus Switches der Serie 3000, müssen Sie in diesem Schritt das einzelne Image booten:

loader > boot tftp://<server_IP>/<nxos_image_name>

10. Bei Switches, die separate System-/Kickstart-Images verwenden, wie Switches der Cisco Nexus 5000 Serie, Switches der Cisco Nexus 6000 Serie und Switches der Cisco Nexus 7000 Serie, müssen Sie in diesem Schritt einige zusätzliche Schritte ausführen, um den Switch zu starten.  Sie müssen die mgmt0-IP-Adresse und die Subnetzmaske sowie das Standard-Gateway konfigurieren.  Anschließend können Sie den Kickstart und das System-Image auf den Switch kopieren und laden:

switch(boot)# config terminal
Enter configuration commands, one per line.  End with CNTL/Z.
switch(boot)(config)# interface mgmt 0
switch(boot)(config-if)# ip address 10.122.160.55 255.255.255.128
switch(boot)(config-if)# no shutdown
switch(boot)(config-if)# exit
switch(boot)(config)# 
switch(boot)(config)# ip default-gateway 10.122.160.1
switch(boot)(config)#
switch(boot)(config)# exit
switch(boot)#
switch(boot)#
switch(boot)# copy ftp: bootflash:
Enter source filename: 
Enter hostname for the ftp server: 
Enter username: 

Connected to x.x.x.x.
220 CALO Fileserver
331 Please specify the password.
Password: 
230 Login successful.



221 Goodbye.
Copy complete, now saving to disk (please wait)...
switch(boot)# 
switch(boot)# copy ftp: bootflash:
Enter source filename: 
Enter hostname for the ftp server: 
Enter username: 

Connected to x.x.x.x.
220 CALO Fileserver
331 Please specify the password.
Password: 
230 Login successful.



221 Goodbye.
switch(boot)#

11. Geben Sie für Cisco Nexus Switches der Serie 5000, Cisco Nexus Switches der Serie 6000 und Cisco Nexus Switches der Serie 7000 Supervisor-Module über die Eingabeaufforderung switch(boot)# den Befehl load bootflash:<system_image> ein.  Damit ist der Bootvorgang des Switches abgeschlossen. 

switch(boot)# load bootflash:<system_image>

12. Wenn das System-Image erfolgreich geladen wurde, müssen Sie die Setup-Eingabeaufforderung durchlaufen, um mit der Konfiguration des Geräts gemäß den gewünschten Spezifikationen zu beginnen.