NXOS - Borrar de forma segura el contenido del disco

Introducción

Este documento describe cómo borrar de forma segura el disco de un switch Cisco Nexus, que utiliza utilidades estándar de Linux.  Esto es necesario para determinados clientes militares y gubernamentales que trasladan equipos de una zona segura a una zona no segura, o para cualquier otro cliente que tenga requisitos de conformidad para trasladar equipos fuera de sus instalaciones.

Antecedentes

Hay dos opciones que dependen de si el switch tiene una unidad SSD o eUSB:

• Init-System se utiliza en switches de modelos más nuevos con SSD. Init-System utiliza ATA Secure erase para escribir números binarios 0s en todos los sectores de la unidad.  
• Para los switches de modelos más antiguos con unidades eUSB, también puede escribir 0 en todos los sectores de la unidad mediante el método de eliminación de bytes cero.

Las utilidades estándar utilizadas en el procedimiento documentado utilizan una serie de comandos que destruyen de forma segura los datos del disco de almacenamiento y, en la mayoría de los casos, dificultan o impiden la recuperación de los datos.

Esta guía le guía por los dos procesos en los que se han tenido en cuenta los switches Nexus de Cisco serie 3000, los switches Nexus de Cisco serie 5000, los switches Nexus de Cisco serie 9000, los switches Nexus de Cisco serie 7000 y los switches de la serie MDS de Cisco, pero funciona con la mayoría de los switches Nexus de Cisco, siempre que disponga de acceso al sistema de inicialización o a Bash.  Si el switch que tiene o la versión de software que está ejecutando no tiene soporte para habilitar la función bash para obtener acceso al shell Bash, abra una Solicitud de servicio con el TAC de Cisco para obtener asistencia con el uso de un plugin de depuración para este procedimiento.

¿Cómo determinar el procedimiento adecuado para usted?

si su PID devuelve un valor de 0, el sistema está utilizando una SSD y puede utilizar el método Init-System para borrar la unidad.

Si su PID devuelve un valor de 1, el sistema está utilizando una unidad eUSB y debe utilizar el método de eliminación de bytes cero.

F340.23.13-C3064PQ-1# config terminal
Enter configuration commands, one per line. End with CNTL/Z.
F340.23.13-C3064PQ-1(config)# feature bash-shell
F340.23.13-C3064PQ-1(config)#
F340.23.13-C3064PQ-1(config)# exit
F340.23.13-C3064PQ-1# run bash
bash-4.2$ cat /sys/block/sda/queue/rotational
1
bash-4.2$

Después de realizar el procedimiento anterior, si todavía no está claro qué tipo de unidad está en su sistema y qué procedimiento se debe utilizar para borrar de forma segura el contenido del disco, abra una solicitud de servicio con el TAC de Cisco.

Preparación

Antes de limpiar la unidad, debe tener lo siguiente:

1. Acceso de consola al switch.
2. Acceso a un servidor TFTP a través de la interfaz management0, necesario para realizar una copia de seguridad de la configuración actual y, a continuación, restaurar el sistema operativo.
3. Una copia de seguridad de running-config y cualquier otro archivo que desee guardar del sistema sin conexión, ya que se destruyen en este proceso.

Nota: Se recomienda encarecidamente realizar este procedimiento en piezas que ya no se encuentran en producción o instaladas en los chasis de producción. Los dispositivos o piezas deben trasladarse a un entorno de no producción antes de realizar este procedimiento para evitar cualquier interrupción involuntaria de la red.

Utilice el procedimiento del sistema inicial en switches con SSD

Nota: Al realizar este procedimiento en un Supervisor dentro de un switch modular, se recomienda tener solo el Supervisor que planea realizar el procedimiento instalado en el sistema.

1. Recargue o apague y encienda el switch mientras está conectado mediante la consola.
   
   
2. Mientras el switch se está iniciando, utilice CTRL-C para interrumpir el switch en el mensaje loader>.
   
   
3. En el símbolo del sistema loader>, ingrese cmdline recovery mode=1.  Esto detiene el arranque del switch en el mensaje switch(boot)#:
   
   

   loader > cmdline recoverymode=1 

4. Inicie el procedimiento de arranque con boot bootflash:<nxos_filename.bin>.
   
   

   loader > boot bootflash:nxos.7.0.3.I7.8.bin

5. El switch se inicia en la indicación switch(boot)#.  En este mensaje, escriba 0 en todos los bloques de nvram, excepto los bloques de licencia, usando clear nvram CLI así como init system CLI.

   Nota: esta prueba se llevó a cabo en un N9K-C9372TX-E con una CPU Intel Core i3- a 2,50 GHz y una SSD de 110 G.  El tiempo total para el sistema de inicialización tardó aproximadamente 8 segundos:

   switch(boot)# clear nvram
   switch(boot)# init system 
   This command is going to erase your startup-config, licenses as well as the contents of your bootflash:.
   Do you want to continue? (y/n)  [n] y

6. Una vez completado el paso 5, recargue el switch:
   
   

   switch(boot)# reload
   This command will reboot this supervisor module. (y/n) ? y

Utilice el procedimiento dd en switches/supervisores/controladores del sistema con eUSB

1. Inicie sesión en la cuenta de administrador del switch a través del puerto de la consola.

Nota: Cuando realiza este procedimiento en un Supervisor dentro de un switch modular, se recomienda tener solamente el Supervisor que planea realizar el procedimiento instalado en el sistema.

2. Habilite feature bash-shell desde el modo de configuración e ingrese el prompt de Bash con run bash (N3K/9K solamente).  Otros switches Cisco Nexus necesitan un complemento de depuración para obtener acceso a Bash).

F340.23.13-C3064PQ-1# config terminal
F340.23.13-C3064PQ-1(config)# feature bash-shell
F340.23.13-C3064PQ-1(config)# exit
F340.23.13-C3064PQ-1# run bash
bash-4.2$

N7K-1# load n7000-s2-debug-sh.7.2.1.D1.1.gbin
Loading plugin version 7.2(1)D1(1)
###############################################################
  Warning: debug-plugin is for engineering internal use only!
  For security reason, plugin image has been deleted.
###############################################################
Successfully loaded debug-plugin!!!
Linux(debug)# 

3. Obtener acceso a la raíz con sudo su -

Nota: Este paso se puede omitir para los switches Nexus de Cisco serie 7000 que utilizan un complemento de depuración para este procedimiento.

bash-4.2$ sudo su -
root@F340# 

4. Si está realizando este procedimiento en un controlador de sistema instalado en un switch Nexus serie 9000, debe iniciar sesión de forma remota en el número de ranura en el que desea realizar este procedimiento.  Por ejemplo, aquí se hace para el controlador del sistema en la ranura 29:

N9K-EOR# run bash
bash-4.2$ sudo su -
root@N9K-EOR#rlogin lc29
root@sc29:~# 

5. Verifique el tamaño del bloque de cada disco con fdisk -l.  En un N3K-C3064PQ-10X sólo tiene un tamaño de bloque de /dev/sda @ 512 bytes, vea aquí:

Nota: En algunos switches Nexus de Cisco puede haber más de un disco. Se debe tener en cuenta al realizar la operación dd. Por ejemplo, N7K-SUP2 hay /dev/sda, /dev/sdb, /dev/sdc/, /dev/md2, /dev/md3, /dev/md4, /dev/md5, y /dev/md6. Debe realizar la operación dd en cada uno de ellos para completar el procedimiento de borrado seguro correctamente.

Nota: En los switches Nexus de Cisco serie 9000, el controlador del sistema tiene /dev/mtdblock0, /dev/mtdblock1, /dev/mtdbloc2, /dev/mtdblock3, /dev/mtdblock4, /dev/mtdblock5 y dev/mtdblock6.  Debe realizar la operación dd en cada una de ellas para completar el procedimiento de borrado seguro correctamente.

root@F340# fdisk -l

Disk /dev/sda: 2055 MB, 2055208960 bytes
64 heads, 62 sectors/track, 1011 cylinders
Units = cylinders of 3968 * 512 = 2031616 bytes
Disk identifier: 0x8491e758

   Device Boot      Start         End      Blocks   Id  System
/dev/sda1               1           5        9889   83  Linux
/dev/sda2               6          45       79360    5  Extended
/dev/sda3              67        1011     1874880   83  Linux
/dev/sda4              46          66       41664   83  Linux
/dev/sda5               6          26       41633   83  Linux
/dev/sda6              27          45       37665   83  Linux

6. Escribe un byte cero en cada sector del disco.

Nota: Esta prueba se llevó a cabo en un N3K-C3064PQ-10X con una CPU Intel Celeron P4505 @1,87 GHz y 13G eUSB; el proceso de cero bytes tardó aproximadamente 501 segundos.

root@F340# dd if=/dev/zero of=/dev/sda bs=512

Nota: Se espera ver mensajes del núcleo generados en este paso en algunas partes.

7. Una vez completado el paso cinco, recargue el switch, el supervisor o el controlador del sistema:

Nota: Para recargar el controlador del sistema en un switch modular Nexus de Cisco serie 9000, ingrese la CLI reload module <slot_number>.

bash-4.2$ exit
F340.23.13-C3064PQ-1# exit
F340.23.13-C3064PQ-1# reload
WARNING: There is unsaved configuration!!!
WARNING: This command will reboot the system
Do you want to continue? (y/n) [n] y

Utilice dd para escribir cero bytes en las particiones relevantes en el módulo de E/S

1. Inicie sesión en la cuenta de administrador del switch a través del puerto de la consola.

2. Habilite feature bash-shell desde el modo de configuración e ingrese el prompt de Bash con run bash (N3K/N9K solamente).  Otros switches Cisco Nexus necesitan un complemento de depuración para obtener acceso a Bash). Si necesita un plugin de depuración, póngase en contacto con Cisco TAC y siga el paso 3 en lugar del paso 2.

Nota: Para acceder a LC/FM desde el prompt de Bash, ingrese rlogin lc# CLI una vez que haya obtenido el acceso root. Ahora reemplace el # de la CLI por el número de ranura en el que desea realizar la operación.

N7K-1# config terminal
Enter configuration commands, one per line. End with CNTL/Z.
N7K-1(config)# feature bash-shell 
N7K-1(config)# exit
N7K-1# run bash 
bash-4.3$ 

N9K-EOR# run bash
bash-4.2$ sudo su -
root@N9K-EOR#rlogin lc22
root@fm22:~#

3. En el caso de los switches Cisco Nexus que utilicen el complemento de depuración, asegúrese de que el complemento de depuración de la versión de software que se ejecuta se copia en bootflash y cargue el complemento de depuración en el módulo para el que desea ejecutar el procedimiento de borrado seguro para:

Nota: Existe una imagen de plugin de depuración independiente que se utilizará para los módulos de E/S de los switches Nexus serie 7000 en lugar de la imagen de plugin de depuración disponible para los módulos supervisores. Utilice la imagen LC para la versión de software que se ejecuta en el switch.

switch# attach module 3
Attaching to module 3 ...
To exit type 'exit', to abort type '$.' 
module-3# load bootflash:dplug-lc_p476-bin.7.2.1.D1.1.bin
Name of debug-plugin from SUP: '/bootflash/dplug-lc_p476-bin.7.2.1.D1.1.bin'
Downloaded debug-plugin to LC: '/tmp/dplug-lc_p476-bin.7.2.1.D1.1.bin'
Loading plugin version 7.2(1)D1(1)
###############################################################
  Warning: debug-plugin is for engineering internal use only!
###############################################################
Warning: /debug-plugin/.autorun is using deprecated /bin/bash.  Please change to /bin/sh
Successfully loaded debug-plugin!!!
Linux(debug)# 

4. A continuación, para las tarjetas de línea Cisco Nexus serie 7000, determine dónde se monta /logflash/ y /mnt/pss en el sistema de archivos.  Para hacer esto, utilice el comando mount para encontrar dónde reside /mnt/plog (logflash) y /mnt/pss.

Nota: Para las tarjetas de línea Cisco Nexus serie 9000, realice la operación dd en /dev/mmcblk0.

Nota: Para los módulos de fabric Nexus de Cisco serie 9000, realice la operación dd en /tmpfs, /dev/root, /dev/zram0, /dev/loop0, /dev/loop1 y /unionfs.

Linux(debug)# mount | grep plog
/dev/mtdblock2 on /mnt/plog type jffs2 (rw,noatime)
Linux(debug)# 
Linux(debug)# mount | grep pss
tmpfs on /mnt/pss type tmpfs (rw,size=409600k,mode=777)
Linux(debug)# 

5. Ahora que se sabe que /mnt/plog reside en /dev/mtdblock2 y /mnt/pss reside en /tmpfs, se escribe Zero-Byte en ambos mediante el comando dd, se sale del plugin de depuración y se recarga el módulo:

Linux(debug)# dd if=/dev/zero of=/dev/mtdblock2 bs=1024
dd: writing '/dev/mtdblock2': No space left on device
15361+0 records in
15360+0 records out
Linux(debug)# 
Linux(debug)# dd if=dev/zero of=/tmpfs bs=1024
dd: writing '/tmpfs': No space left on device
23781+0 records in
23780+0 records out
Linux(debug)# 
Linux(debug)# exit
####################################################################
  Warning: for security reason, please delete plugin image on sup.
####################################################################
module-3# exit
rlogin: connection closed.
switch# 
switch# reload module 3
This command will reload module 3. Proceed[y/n]?  [n] y
reloading module 3 ...
switch# 

Recuperación del switch y reinstalación del sistema operativo

Después de apagar y encender el switch, se inicia en el mensaje del cargador. 

Para recuperarse de la indicación loader>, el switch debe arrancar TFTP de acuerdo con los siguientes pasos:

1. Establezca (o asigne) una dirección IP a la interfaz mgmt0 en el switch:
   
   

   loader > set ip <IP_address> <Subnet_Mask> 

2. Si el servidor TFTP desde el que está iniciando se encuentra en una subred diferente, asigne una gateway predeterminada al switch:

loader > set gw <GW_IP_Address> 

3. Realice el proceso de arranque.  El switch se inicia en la indicación switch(boot).

Nota: Para los switches que utilizan imágenes de inicio/sistema independientes, como los switches Nexus de Cisco serie 5000, los switches Nexus de Cisco serie 6000 y los switches Nexus de Cisco serie 7000, en este paso debe iniciar la imagen de inicio.  Para los switches que utilizan una única imagen de Nexus, como los switches Nexus de Cisco serie 9000 y los switches Nexus de Cisco serie 3000, en este paso debe arrancar la única imagen:

loader > boot tftp:/// 

4. Ejecute clear nvram, Init system, y formatee bootflash:

Nota: Para los switches Nexus de Cisco serie 5000 y los switches Nexus de Cisco serie 6000, la opción clear nvram no está disponible en el mensaje switch(boot)#.

switch(boot)# clear nvram
switch(boot)# init system 
This command is going to erase your startup-config, licenses as well as the contents of your bootflash:.
Do you want to continue? (y/n) [n] y
Initializing the system ...

<snip>

switch(boot)# format bootflash: 
This command is going to erase the contents of your bootflash:.
Do you want to continue? (y/n) [n] y
get_sup_active_slot failed with -1
Unknown card
Formatting bootflash:

<snip> 

5. Recargue el switch:

switch(boot)# reload 
This command will reboot this supervisor module. (y/n) ? y
ˇ
(c) Copyright 2011, Cisco Systems.
N3000 BIOS v.5.0.0, Tue 06/05/2018, 05:24 PM 

6. Establezca (o asigne) una dirección IP a la interfaz mgmt0 en el switch:

loader > set ip <IP_address> <Subnet_Mask> 

7. Si el servidor TFTP desde el que está iniciando se encuentra en una subred diferente, asigne una gateway predeterminada al switch:

loader > set gw <GW_IP_Address> 

8. Recargue el switch:

Nota: Este paso (8) NO es necesario cuando este procedimiento se realiza en switches Nexus de Cisco serie 5000, switches Nexus de Cisco serie 6000, módulos de supervisor de switches Nexus de Cisco serie 7000 o módulos de supervisor de switches Nexus de Cisco serie 9000.  Vaya al paso 9 si realiza este procedimiento en un switch Nexus de Cisco serie 5000, un switch Nexus de Cisco serie 6000, un módulo supervisor de switch Nexus de Cisco serie 7000 o un módulo supervisor de switches Nexus de Cisco serie 9000.

loader> reboot 

9. Realice el proceso de arranque.  El switch se inicia en la indicación switch(boot).

Nota: Para los switches que utilizan imágenes de inicio/sistema independientes, como los switches Nexus de Cisco serie 7000, en este paso debe iniciar la imagen de inicio.  Para los switches que utilizan una única imagen de Nexus, como los switches Nexus de Cisco serie 9000 y los switches Nexus de Cisco serie 3000, en este paso debe arrancar la única imagen:

loader > boot tftp://<server_IP>/<nxos_image_name>

10. En el caso de los switches que utilizan imágenes de inicio/sistema independientes, como los switches Nexus de Cisco serie 5000, los switches Nexus de Cisco serie 6000 y los switches Nexus de Cisco serie 7000, en este paso debe realizar algunos pasos adicionales para arrancar el switch.  Debe configurar la dirección IP de administración 0 y la máscara de subred, así como definir la gateway predeterminada.  Una vez que se complete, puede copiar el kickstart y la imagen del sistema en el switch y cargarlo:

switch(boot)# config terminal
Enter configuration commands, one per line.  End with CNTL/Z.
switch(boot)(config)# interface mgmt 0
switch(boot)(config-if)# ip address 10.122.160.55 255.255.255.128
switch(boot)(config-if)# no shutdown
switch(boot)(config-if)# exit
switch(boot)(config)# 
switch(boot)(config)# ip default-gateway 10.122.160.1
switch(boot)(config)#
switch(boot)(config)# exit
switch(boot)#
switch(boot)#
switch(boot)# copy ftp: bootflash:
Enter source filename: 
Enter hostname for the ftp server: 
Enter username: 

Connected to x.x.x.x.
220 CALO Fileserver
331 Please specify the password.
Password: 
230 Login successful.



221 Goodbye.
Copy complete, now saving to disk (please wait)...
switch(boot)# 
switch(boot)# copy ftp: bootflash:
Enter source filename: 
Enter hostname for the ftp server: 
Enter username: 

Connected to x.x.x.x.
220 CALO Fileserver
331 Please specify the password.
Password: 
230 Login successful.



221 Goodbye.
switch(boot)#

11. En el caso de los switches Nexus de Cisco serie 5000, los switches Nexus de Cisco serie 6000 y los módulos supervisores de switches Nexus de Cisco serie 7000, en el mensaje switch(boot)#, introduzca load bootflash:<system_image>.  Esto finaliza el proceso de arranque del switch. 

switch(boot)# load bootflash:<system_image>

12. Una vez que la imagen del sistema se carga correctamente, debe pasar por el mensaje de configuración para comenzar a configurar el dispositivo según las especificaciones deseadas.