NXOS - Effacement sécurisé du contenu du disque

Introduction

Ce document décrit comment essuyer en toute sécurité le disque d'un commutateur Cisco Nexus, qui utilise des utilitaires Linux standard.  Cela est nécessaire pour certains clients militaires et gouvernementaux qui déplacent des équipements d'une zone sécurisée à une zone non sécurisée, ou pour tout autre client ayant des exigences de conformité de déplacer des équipements hors de leurs locaux.

Informations générales

Deux options sont possibles, selon que le commutateur est équipé d'un disque SSD ou d'une clé eUSB :

• Init-System est utilisé sur les commutateurs de modèle plus récent avec des disques SSD. Init-System utilise l'effacement sécurisé ATA pour écrire des 0 binaires sur tous les secteurs du lecteur.  
• Pour les anciens modèles de commutateurs équipés de lecteurs eUSB, vous pouvez également écrire des 0 dans tous les secteurs du lecteur, à l'aide de la méthode d'effacement zéro octet.

Les utilitaires standard utilisés dans la procédure documentée utilisent une série de commandes qui détruisent en toute sécurité les données sur le disque de stockage et, dans la plupart des cas, rendent difficile, voire impossible, la récupération des données.

Ce guide vous guide à travers les deux processus avec les commutateurs de la gamme Cisco Nexus 3000, les commutateurs de la gamme Cisco Nexus 5000, les commutateurs de la gamme Cisco Nexus 9000, les commutateurs de la gamme Cisco Nexus 7000 et les commutateurs de la gamme Cisco MDS à l'esprit, mais fonctionne pour la plupart des autres commutateurs Cisco Nexus, à condition que vous ayez un accès au système d'initialisation ou Bash.  Si le commutateur que vous utilisez ou la version du logiciel que vous exécutez n'a pas de support pour permettre à feature bash d'accéder à l'interpréteur de commandes Bash, ouvrez une demande de service avec le TAC de Cisco pour obtenir de l'aide sur l'utilisation d'un plug-in de débogage pour cette procédure.

Comment déterminer la procédure appropriée pour vous-même ?

si votre PID renvoie la valeur 0, le système utilise un SSD et peut utiliser la méthode Init-System pour effacer le lecteur.

Si votre PID renvoie la valeur 1, le système utilise une clé eUSB et vous devez utiliser la méthode d'effacement de zéro octet.

F340.23.13-C3064PQ-1# config terminal
Enter configuration commands, one per line. End with CNTL/Z.
F340.23.13-C3064PQ-1(config)# feature bash-shell
F340.23.13-C3064PQ-1(config)#
F340.23.13-C3064PQ-1(config)# exit
F340.23.13-C3064PQ-1# run bash
bash-4.2$ cat /sys/block/sda/queue/rotational
1
bash-4.2$

Une fois la procédure précédente effectuée, si vous ne savez toujours pas quel type de lecteur se trouve dans votre système et quelle procédure doit être utilisée pour effacer le contenu du disque en toute sécurité, ouvrez une demande de service auprès du TAC Cisco.

Préparation

Avant d'essuyer votre lecteur, vous devez disposer des éléments suivants :

1. Accès au commutateur par la console.
2. Accès à un serveur TFTP via l’interface management0, nécessaire pour sauvegarder la configuration actuelle, puis pour restaurer le système d’exploitation.
3. Une sauvegarde de la configuration en cours et de tous les autres fichiers que vous voulez enregistrer hors connexion du système car ils sont détruits dans ce processus !

Remarque : Il est vivement recommandé d'effectuer cette procédure sur les pièces qui ne sont plus en production ou installées dans les châssis de production. Les périphériques ou les pièces doivent être déplacés dans un environnement hors production avant d'effectuer cette procédure afin d'éviter toute interruption involontaire du réseau.

Utilisation de la procédure Init-System sur les commutateurs avec SSD

Remarque : Lorsque vous effectuez cette procédure sur un superviseur à l'intérieur d'un commutateur modulaire, il est recommandé de n'installer dans le système que le superviseur dont vous prévoyez d'effectuer la procédure.

1. Rechargez ou mettez le commutateur hors tension puis sous tension lorsqu'il est connecté via la console.
   
   
2. Pendant le démarrage du commutateur, utilisez CTRL-C pour le diviser en invite loader>.
   
   
3. À l'invite loader>, entrez cmdline recoverymode=1.  Cela arrête le démarrage du commutateur à l'invite switch(boot)# :
   
   

   loader > cmdline recoverymode=1 

4. Commencez la procédure de démarrage avec boot bootflash:<nxos_filename.bin>.
   
   

   loader > boot bootflash:nxos.7.0.3.I7.8.bin

5. Le commutateur démarre à l’invite switch(boot)#.  À cette invite, écrivez 0 pour tous les blocs de la nvram, à l'exception des blocs de licence, en utilisant clear nvram CLI ainsi que init system CLI.

   Remarque : ce test a été effectué sur un N9K-C9372TX-E avec un processeur Intel Core i3- à 2,50 GHz et un SSD 110G.  Le temps total pour le système d'initialisation a pris ~8 secondes :

   switch(boot)# clear nvram
   switch(boot)# init system 
   This command is going to erase your startup-config, licenses as well as the contents of your bootflash:.
   Do you want to continue? (y/n)  [n] y

6. Une fois l'étape 5 terminée, rechargez le commutateur :
   
   

   switch(boot)# reload
   This command will reboot this supervisor module. (y/n) ? y

Utiliser la procédure d'ajout sur les commutateurs/superviseurs/contrôleurs système avec eUSB

1. Connectez-vous au compte admin du commutateur via le port de console.

Remarque : Lorsque vous effectuez cette procédure sur un superviseur à l'intérieur d'un commutateur modulaire, il est recommandé de n'installer que le superviseur dont vous prévoyez d'effectuer la procédure dans le système.

2. Activez feature bash-shell à partir du mode de configuration et entrez l'invite Bash avec run bash (N3K/9K uniquement.  D'autres commutateurs Cisco Nexus ont besoin d'un plug-in de débogage pour accéder à Bash).

F340.23.13-C3064PQ-1# config terminal
F340.23.13-C3064PQ-1(config)# feature bash-shell
F340.23.13-C3064PQ-1(config)# exit
F340.23.13-C3064PQ-1# run bash
bash-4.2$

N7K-1# load n7000-s2-debug-sh.7.2.1.D1.1.gbin
Loading plugin version 7.2(1)D1(1)
###############################################################
  Warning: debug-plugin is for engineering internal use only!
  For security reason, plugin image has been deleted.
###############################################################
Successfully loaded debug-plugin!!!
Linux(debug)# 

3. Obtenez l'accès racine avec sudo su -

Remarque : Cette étape peut être ignorée pour les commutateurs de la gamme Cisco Nexus 7000 qui utilisent un plug-in de débogage pour cette procédure.

bash-4.2$ sudo su -
root@F340# 

4. Si vous effectuez cette procédure sur un contrôleur système installé dans un commutateur de la gamme Nexus 9000, vous devez vous connecter à distance au numéro du logement sur lequel vous souhaitez effectuer cette procédure.  Par exemple, ici, il est fait pour le contrôleur système dans le logement 29 :

N9K-EOR# run bash
bash-4.2$ sudo su -
root@N9K-EOR#rlogin lc29
root@sc29:~# 

5. Vérifiez la taille de bloc de chaque disque avec fdisk -l.  Sur un N3K-C3064PQ-10X, il n'a que /dev/sda @ 512 octets de taille de bloc, voir ici :

Remarque : Sur certains commutateurs Cisco Nexus, il peut y avoir plusieurs disques. Il doit être pris en compte lorsque vous effectuez l'opération d'ajout. Par exemple, N7K-SUP2 contient /dev/sda, /dev/sdb, /dev/sdc/, /dev/md2, /dev/md3, /dev/md4, /dev/md5, et /dev/md6. Vous devez effectuer l'opération dd sur chacun de ces éléments pour terminer correctement la procédure d'effacement sécurisé.

Remarque : Sur les commutateurs de la gamme Cisco Nexus 9000, le contrôleur système a /dev/mtdblock0, /dev/mtdblock1, /dev/mtdbloc2, /dev/mtdblock3, /dev/mtdblock4, /dev/mtdblock5, et /dev/mtdblock6.  Vous devez effectuer l'opération d'ajout sur chacun d'eux pour terminer la procédure d'effacement sécurisé correctement.

root@F340# fdisk -l

Disk /dev/sda: 2055 MB, 2055208960 bytes
64 heads, 62 sectors/track, 1011 cylinders
Units = cylinders of 3968 * 512 = 2031616 bytes
Disk identifier: 0x8491e758

   Device Boot      Start         End      Blocks   Id  System
/dev/sda1               1           5        9889   83  Linux
/dev/sda2               6          45       79360    5  Extended
/dev/sda3              67        1011     1874880   83  Linux
/dev/sda4              46          66       41664   83  Linux
/dev/sda5               6          26       41633   83  Linux
/dev/sda6              27          45       37665   83  Linux

6. Écrivez un octet zéro dans chaque secteur du disque.

Remarque : Ce test a été effectué sur un N3K-C3064PQ-10X avec un processeur Intel Celeron P4505 @1.87 GHz et eUSB 13G. Le processus Zero-Byte a pris ~501 secondes.

root@F340# dd if=/dev/zero of=/dev/sda bs=512

Remarque : Il est prévu que les messages du noyau générés à cette étape apparaîtront sur certaines parties.

7. Une fois l’étape 5 terminée, rechargez le commutateur, le superviseur ou le contrôleur système :

Remarque : Afin de recharger le contrôleur système dans un commutateur modulaire de la gamme Cisco Nexus 9000, entrez l'interface de ligne de commande reload module <slot_number>.

bash-4.2$ exit
F340.23.13-C3064PQ-1# exit
F340.23.13-C3064PQ-1# reload
WARNING: There is unsaved configuration!!!
WARNING: This command will reboot the system
Do you want to continue? (y/n) [n] y

Utilisez dd pour écrire zéro octet dans les partitions appropriées du module E/S

1. Connectez-vous au compte d’administrateur du commutateur via le port de console.

2. Activez feature bash-shell à partir du mode de configuration et entrez l'invite Bash avec run bash (N3K/N9K uniquement).  D'autres commutateurs Cisco Nexus ont besoin d'un plug-in de débogage pour accéder à Bash). Si vous avez besoin d'un plug-in de débogage, contactez le TAC Cisco et suivez l'étape 3 au lieu de l'étape 2.

Remarque : Afin d'accéder au LC/FM à partir de Bash-prompt, entrez rlogin lc# CLI une fois que vous avez obtenu l'accès racine. Remplacez à présent le # dans la CLI par le numéro de logement sur lequel vous souhaitez effectuer l'opération.

N7K-1# config terminal
Enter configuration commands, one per line. End with CNTL/Z.
N7K-1(config)# feature bash-shell 
N7K-1(config)# exit
N7K-1# run bash 
bash-4.3$ 

N9K-EOR# run bash
bash-4.2$ sudo su -
root@N9K-EOR#rlogin lc22
root@fm22:~#

3. Pour les commutateurs Cisco Nexus qui utilisent le plug-in de débogage, assurez-vous que le plug-in de débogage pour la version du logiciel en cours d'exécution est copié dans bootflash, et chargez le plug-in de débogage sur le module pour lequel vous souhaitez exécuter la procédure d'effacement sécurisé pour :

Remarque : Une image de plug-in de débogage distincte doit être utilisée pour les modules d'E/S des commutateurs de la gamme Nexus 7000, contrairement à l'image de plug-in de débogage disponible pour les modules Supervisor. Utilisez l'image LC pour la version du logiciel qui s'exécute sur le commutateur.

switch# attach module 3
Attaching to module 3 ...
To exit type 'exit', to abort type '$.' 
module-3# load bootflash:dplug-lc_p476-bin.7.2.1.D1.1.bin
Name of debug-plugin from SUP: '/bootflash/dplug-lc_p476-bin.7.2.1.D1.1.bin'
Downloaded debug-plugin to LC: '/tmp/dplug-lc_p476-bin.7.2.1.D1.1.bin'
Loading plugin version 7.2(1)D1(1)
###############################################################
  Warning: debug-plugin is for engineering internal use only!
###############################################################
Warning: /debug-plugin/.autorun is using deprecated /bin/bash.  Please change to /bin/sh
Successfully loaded debug-plugin!!!
Linux(debug)# 

4. Ensuite, pour les cartes de ligne de la gamme Cisco Nexus 7000, déterminez où /logflash/ et /mnt/pss est monté sur le système de fichiers.  Pour ce faire, utilisez la commande mount pour trouver où résident /mnt/plog (logflash) et /mnt/pss.

Remarque : Pour les cartes de ligne de la gamme Cisco Nexus 9000, exécutez l'opération dd sur /dev/mmcblk0.

Remarque : Pour les modules de fabric Cisco Nexus 9000, exécutez l'opération dd sur /tmpfs, /dev/root, /dev/zram0, /dev/loop0, /dev/loop1 et /unionfs.

Linux(debug)# mount | grep plog
/dev/mtdblock2 on /mnt/plog type jffs2 (rw,noatime)
Linux(debug)# 
Linux(debug)# mount | grep pss
tmpfs on /mnt/pss type tmpfs (rw,size=409600k,mode=777)
Linux(debug)# 

5. Maintenant qu'il est connu que /mnt/plog réside sur /dev/mtdblock2 et /mnt/pss réside sur /tmpfs, vous écrivez Zero-Byte sur les deux en utilisant la commande dd, quittez le plug-in de débogage et rechargez le module :

Linux(debug)# dd if=/dev/zero of=/dev/mtdblock2 bs=1024
dd: writing '/dev/mtdblock2': No space left on device
15361+0 records in
15360+0 records out
Linux(debug)# 
Linux(debug)# dd if=dev/zero of=/tmpfs bs=1024
dd: writing '/tmpfs': No space left on device
23781+0 records in
23780+0 records out
Linux(debug)# 
Linux(debug)# exit
####################################################################
  Warning: for security reason, please delete plugin image on sup.
####################################################################
module-3# exit
rlogin: connection closed.
switch# 
switch# reload module 3
This command will reload module 3. Proceed[y/n]?  [n] y
reloading module 3 ...
switch# 

Récupérer le commutateur et réinstaller le système d'exploitation

Après avoir mis le commutateur hors tension puis sous tension, il démarre à l'invite du chargeur. 

Afin de récupérer à partir de l'invite loader>, le commutateur doit être démarré TFTP selon les étapes suivantes :

1. Définissez (ou attribuez) une adresse IP à l’interface mgmt0 sur le commutateur :
   
   

   loader > set ip <IP_address> <Subnet_Mask> 

2. Si le serveur TFTP à partir duquel vous démarrez se trouve dans un sous-réseau différent, affectez une passerelle par défaut au commutateur :

loader > set gw <GW_IP_Address> 

3. Exécutez le processus de démarrage.  Le commutateur démarre à l’invite switch(boot).

Remarque : Pour les commutateurs qui utilisent des images système/de démarrage distinctes, tels que les commutateurs Cisco Nexus 5000, Cisco Nexus 6000 et Cisco Nexus 7000, vous devez à cette étape démarrer l'image de démarrage.  Pour les commutateurs qui utilisent une image NXOS unique, comme les commutateurs Cisco Nexus 9000 et les commutateurs Cisco Nexus 3000, à cette étape, vous devez démarrer l'image unique :

loader > boot tftp:/// 

4. Exécutez clear nvram, Init system et formatez bootflash :

Remarque : Pour les commutateurs Cisco Nexus 5000 et Cisco Nexus 6000, la mémoire vive non volatile n'est pas disponible à l'invite switch(boot)#.

switch(boot)# clear nvram
switch(boot)# init system 
This command is going to erase your startup-config, licenses as well as the contents of your bootflash:.
Do you want to continue? (y/n) [n] y
Initializing the system ...

<snip>

switch(boot)# format bootflash: 
This command is going to erase the contents of your bootflash:.
Do you want to continue? (y/n) [n] y
get_sup_active_slot failed with -1
Unknown card
Formatting bootflash:

<snip> 

5. Rechargez le commutateur :

switch(boot)# reload 
This command will reboot this supervisor module. (y/n) ? y
ˇ
(c) Copyright 2011, Cisco Systems.
N3000 BIOS v.5.0.0, Tue 06/05/2018, 05:24 PM 

6. Définissez (ou attribuez) une adresse IP à l’interface mgmt0 du commutateur :

loader > set ip <IP_address> <Subnet_Mask> 

7. Si le serveur TFTP à partir duquel vous démarrez se trouve dans un sous-réseau différent, affectez une passerelle par défaut au commutateur :

loader > set gw <GW_IP_Address> 

8. Rechargez le commutateur :

Remarque : Cette étape (8) n'est PAS requise lorsque cette procédure est exécutée sur les commutateurs Cisco Nexus 5000, les commutateurs Cisco Nexus 6000, les commutateurs Cisco Nexus 7000, les modules Supervisor ou les commutateurs Cisco Nexus 9000, le module Supervisor.  Passez à l'étape 9 si vous effectuez cette procédure sur un commutateur de la gamme Cisco Nexus 5000, un commutateur de la gamme Cisco Nexus 6000, un module de supervision du commutateur de la gamme Cisco Nexus 7000 ou un module de supervision des commutateurs de la gamme Cisco Nexus 9000.

loader> reboot 

9. Exécutez le processus de démarrage.  Le commutateur démarre à l’invite switch(boot).

Remarque : Pour les commutateurs qui utilisent des images système/de démarrage distinctes, comme les commutateurs Cisco Nexus 7000, vous devez à cette étape démarrer l'image de démarrage.  Pour les commutateurs qui utilisent une image NXOS unique, comme les commutateurs Cisco Nexus 9000 et les commutateurs Cisco Nexus 3000, à cette étape, vous devez démarrer l'image unique :

loader > boot tftp://<server_IP>/<nxos_image_name>

10. Pour les commutateurs qui utilisent des images système/de démarrage distinctes, comme les commutateurs Cisco Nexus 5000, les commutateurs Cisco Nexus 6000 et les commutateurs Cisco Nexus 7000, à cette étape, vous devez prendre des mesures supplémentaires pour démarrer le commutateur.  Vous devez configurer l'adresse IP et le masque de sous-réseau mgmt 0, ainsi que la passerelle par défaut.  Une fois cette opération terminée, vous pouvez copier l'image de démarrage et l'image système sur le commutateur et la charger :

switch(boot)# config terminal
Enter configuration commands, one per line.  End with CNTL/Z.
switch(boot)(config)# interface mgmt 0
switch(boot)(config-if)# ip address 10.122.160.55 255.255.255.128
switch(boot)(config-if)# no shutdown
switch(boot)(config-if)# exit
switch(boot)(config)# 
switch(boot)(config)# ip default-gateway 10.122.160.1
switch(boot)(config)#
switch(boot)(config)# exit
switch(boot)#
switch(boot)#
switch(boot)# copy ftp: bootflash:
Enter source filename: 
Enter hostname for the ftp server: 
Enter username: 

Connected to x.x.x.x.
220 CALO Fileserver
331 Please specify the password.
Password: 
230 Login successful.



221 Goodbye.
Copy complete, now saving to disk (please wait)...
switch(boot)# 
switch(boot)# copy ftp: bootflash:
Enter source filename: 
Enter hostname for the ftp server: 
Enter username: 

Connected to x.x.x.x.
220 CALO Fileserver
331 Please specify the password.
Password: 
230 Login successful.



221 Goodbye.
switch(boot)#

11. Pour les commutateurs Cisco Nexus 5000, les commutateurs Cisco Nexus 6000 et les modules de supervision des commutateurs Cisco Nexus 7000, à partir de l'invite switch(boot)#, entrez load bootflash:<image_système>.  Ceci termine le processus de démarrage du commutateur. 

switch(boot)# load bootflash:<system_image>

12. Une fois l'image du système chargée avec succès, vous devez passer par l'invite de configuration pour commencer à configurer le périphérique selon vos spécifications.