Importazione ed esportazione automatizzate della configurazione degli alias

Introduzione

In questo documento viene descritto come automatizzare le attività di importazione ed esportazione della configurazione degli alias in Email Security Appliance.

Prerequisiti

Requisiti

Cisco raccomanda la conoscenza dei seguenti argomenti:

• Cisco Secure Email Gateway (SEG/ESA) AsyncOS 16.0.2
• Accesso dell'interfaccia della riga di comando a Cloud Appliance
• CLI Linux
• Script della shell

Componenti usati

Le informazioni fornite in questo documento si basano sui seguenti software:

• Cloud Email Security Appliance (CESA)
• Bash

Le informazioni discusse in questo documento fanno riferimento a dispositivi usati in uno specifico ambiente di emulazione. Su tutti i dispositivi menzionati nel documento la configurazione è stata ripristinata ai valori predefiniti. Se la rete è operativa, valutare attentamente eventuali conseguenze derivanti dall'uso dei comandi.

Premesse

L'obiettivo è quello di automatizzare alcune attività, ma alcuni processi in genere richiedono un intervento manuale. Tuttavia, nel caso di importazione ed esportazione della configurazione alias corrente, queste operazioni possono essere completamente automatizzate, eliminando la necessità di input manuale.

Esportazione e importazione della tabella alias

Per importare una tabella di alias, iniziare verificando l'accesso SSH e SCP per essere certi di potersi connettere al gateway e-mail.

Prima di continuare, è necessario che nell'accessorio esista una tabella di alias:

(Machine esa1.xyz.iphmx.com) (SERVICE)> clustermode cluster; aliasconfig print

test: test@example.com, test@example2.com, test@example3.com
test2: test@domain.com, test@domain2.com, test@domain3.com
(Cluster Hosted_Cluster) (SERVICE)>

Quando si utilizza il sottocomando export del comando aliasconfig per eseguire il backup di una tabella di alias esistente, viene generato un file (con un nome specificato) che viene salvato nella directory /configuration del listener.

Esportazione della tabella alias mediante lo script Bash

In questo caso, uno script bash si connette all'accessorio CES e procede all'esportazione del file alias

Lo script bash è strutturato come mostrato di seguito:

#!/bin/bash

# Configuration of SSH keys and paths
PROXY_KEY="/full/path/folder/.ssh/id_rsa"
SECOND_KEY="/full/path/folder/.ssh/id_rsa"
LOCAL_PORT="2200"
PROXY_USER="dh-user"
PROXY_HOST="f4-ssh.iphmx.com"
TARGET_HOST="esa1.xyz.iphmx.com"
REMOTE_USER="local_server_user"
REMOTE_FILE="/configuration/filename.csv"
LOCAL_DIR="/full/path/folder/Downloads"
LOCAL_FILE_PATH="${LOCAL_DIR}/aliasconfig-file.csv"

# 1. Connect to the proxy and set up the SSH tunnel
echo "Establishing connection to the proxy..."
ssh -i "$PROXY_KEY" -l "$PROXY_USER" -N -f "$PROXY_HOST" -L "$LOCAL_PORT:${TARGET_HOST}:22"
if [ $? -ne 0 ]; then
    echo "Error: Failed to establish connection to the proxy."
    exit 1
fi
echo "Proxy connection established."

# Pause for 5 seconds before proceeding
sleep 5

# 2. Export the aliasconfig file from the remote system
echo "Exporting aliasconfig file from the remote system..."
ssh -i "$SECOND_KEY" "$REMOTE_USER"@127.0.0.1 -p "$LOCAL_PORT" 'clustermode cluster; aliasconfig export aliasconfig-file.csv' 2>/dev/null
if [ $? -ne 0 ]; then
    echo "Error: Failed to export the aliasconfig file."
    exit 1
fi
echo "Aliasconfig file successfully exported."

# Pause for 5 seconds before proceeding
sleep 5

# 3. Download the file to the local directory
echo "Downloading file to the local directory..."
scp -i "$SECOND_KEY" -P "$LOCAL_PORT" -O "$REMOTE_USER"@127.0.0.1:"$REMOTE_FILE" "$LOCAL_DIR" 2>/dev/null
if [ $? -ne 0 ]; then
    echo "Error: Failed to download the file to the local directory."
    exit 1
fi
echo "File successfully downloaded to: $LOCAL_FILE_PATH"

# Pause for 5 seconds before finalizing
sleep 5

# Finalizing the script
echo "Process completed successfully."
exit 0

Spiegazione

1.- Configurazione delle chiavi e dei percorsi SSH

• PROXY_KEY e SECOND_KEY: Percorso completo del file della chiave privata SSH utilizzato per l'autenticazione. Entrambe le chiavi sono impostate sullo stesso percorso in questo caso.
• Esempio: /full/path/folder/.ssh/id_rsa
• PORTA_LOCALE: Specifica la porta locale (2200) per il tunnel SSH.
• UTENTE_PROXY: Nome utente utilizzato per la connessione al server proxy.
• HOST_PROXY: Il nome host del server proxy.
• HOST_DESTINAZIONE: Il nome di dominio completo (FQDN) dell'host di destinazione, aggiornato in esa1.xyz.iphmx.com.
• UTENTE_REMOTO: Il nome utente usato per il collegamento all'accessorio remoto tramite il tunnel SSH.
• FILE_REMOTO: Il percorso del sistema remoto in cui è archiviato il file esportato (/configuration/filename.csv).
• DIR_LOCALE: La directory locale per il salvataggio del file è impostata su /full/path/folder/Downloads.
• PERCORSO_FILE_LOCALE: Percorso locale completo del file scaricato, aggiornato in ${LOCAL_DIR}/aliasconfig-file.csv.

2.- Collegarsi al proxy e configurare il tunnel SSH

echo "Establishing connection to the proxy..."
ssh -i "$PROXY_KEY" -l "$PROXY_USER" -N -f "$PROXY_HOST" -L "$LOCAL_PORT:${TARGET_HOST}:22"

• Scopo:
  - Configurare un tunnel SSH sul server proxy per comunicare in modo sicuro con l'host di destinazione.
• Aggiornamenti:
  - La chiave privata SSH si trova in /full/path/folder/.ssh/id_rsa.
  - Il nome host di destinazione è stato aggiornato in esa1.xyz.iphmx.com.
• Gestione errori:
  - Se la connessione non riesce, viene visualizzato un messaggio di errore e lo script termina con un codice di errore (uscita 1).

3.- Pausa di 5 secondi prima di procedere

• Scopo:
  - Introduce un ritardo per assicurare che il tunnel SSH sia interamente stabilito prima di procedere alla fase successiva.

4.- Esportare il file aliasconfig dal sistema remoto

echo "Exporting aliasconfig file from the remote system..."
ssh -i "$SECOND_KEY" "$REMOTE_USER"@127.0.0.1 -p "$LOCAL_PORT" 'clustermode cluster; aliasconfig export aliasconfig-file.csv' 2>/dev/null

• Scopo:
  - Si connette all'host di destinazione tramite il tunnel SSH ed esporta la configurazione degli alias in un file denominato aliasconfig-file.csv.
• Aggiornamenti:
  - Il nome del file esportato è stato aggiornato in aliasconfig-file.csv.
• Reindirizzamento output:
  - 2>/dev/null elimina tutti i messaggi di errore dal comando SSH.
• Gestione errori:
  - Se l'esportazione non riesce, viene visualizzato un messaggio di errore e lo script viene chiuso.

5.- Scaricare il file nella directory locale

echo "Downloading file to the local directory..."
scp -i "$SECOND_KEY" -P "$LOCAL_PORT" -O "$REMOTE_USER"@127.0.0.1:"$REMOTE_FILE" "$LOCAL_DIR" 2>/dev/null

• Scopo:
  - Utilizza SCP per copiare in modo sicuro il file esportato dal sistema remoto alla directory locale.
• Aggiornamenti:
  - Il file locale viene salvato come aliasconfig-file.csv nella directory /full/path/folder/Downloads.
• Gestione errori:
  - Se il download del file ha esito negativo, viene visualizzato un messaggio di errore e lo script viene chiuso.

Finalizzazione dello script

echo "Process completed successfully."
exit 0

• Scopo:
  - Genera un messaggio di operazione riuscita ed esce dallo script con un codice di operazione riuscita (uscita 0), che indica che tutte le operazioni sono state completate correttamente.

Chiavi SSH

Nello script è possibile notare due variabili PROXY_KEY e HOST_KEY. Queste chiavi potrebbero essere uguali o diverse.

PROXY_KEY viene utilizzato per connettersi al cloud proxy obbligatorio per passare ai server CESA.

HOST_KEY è la chiave utilizzata per accedere come utente locale, eliminando la necessità di una password.

Nota: Per configurare l'accesso SSH al proxy CES e configurare una chiave SSH per un utente locale sull'accessorio, consultare la guida alla configurazione.

Verifica del file esportato

Una volta eseguito lo script di esportazione, è possibile verificarne il contenuto e osservare che contiene le stesse informazioni dell'originale presentate nel comando aliasconfig CLI dell'accessorio.

$ pwd
/full/path/folder/Downloads
$ ls
filename.csv
$ cat filename.csv
# File exported by the CLI at 20250702T125347
test: test@example.com, test@example2.com, test@example3.com
test2: test@domain.com, test@domain2.com, test@domain3.com⏎

Importazione della tabella alias mediante lo script Bash

Una volta esportato il file alias corrente, è possibile modificarlo, aggiungere le voci necessarie e quindi importarlo nella configurazione ESA alia.

Lo script bash di importazione è strutturato come illustrato di seguito.

#!/bin/bash

# Configuration of SSH keys and paths
SSH_KEY="/full/path/folder/.ssh/id_rsa"
LOCAL_PORT="2200"
REMOTE_USER="local_server_user"
LOCAL_FILE="/full/path/folder/Downloads/new-filename.csv"
OUTPUT_DIR="/full/path/folder/Downloads"

# Get the current local date in the desired format
CURRENT_DATE=$(date +"%Y-%m-%d_%H-%M-%S")

# 1. Upload the new aliasconfig file
echo "Uploading new aliasconfig file to the remote system..."
scp -i "$SSH_KEY" -P "$LOCAL_PORT" -O "$LOCAL_FILE" "$REMOTE_USER"@127.0.0.1:/configuration 2>/dev/null
if [ $? -ne 0 ]; then
    echo "Error: Failed to upload the aliasconfig file."
    exit 1
fi
echo "Aliasconfig file successfully uploaded."

# Pause for 5 seconds before proceeding
sleep 5

# 2. Import the new aliasconfig file and commit with a comment
COMMIT_COMMENT="Importing new entries to aliasconfig - $CURRENT_DATE"
echo "Importing the new aliasconfig file and committing changes..."
ssh -i "$SSH_KEY" "$REMOTE_USER"@127.0.0.1 -p "$LOCAL_PORT" "clustermode cluster; aliasconfig import new-filename.csv; commit \"$COMMIT_COMMENT\"" 2>/dev/null
if [ $? -ne 0 ]; then
    echo "Error: Failed to import the aliasconfig file or commit changes."
    exit 1
fi
echo "Aliasconfig file successfully imported and committed with comment: '$COMMIT_COMMENT'."

# Pause for 5 seconds before proceeding
sleep 5

# 3. Print the current aliasconfig and save it to a new file
OUTPUT_FILE="${OUTPUT_DIR}/current-aliasconfig-${CURRENT_DATE}.txt"
echo "Printing current aliasconfig and saving it to: $OUTPUT_FILE..."
ssh -i "$SSH_KEY" "$REMOTE_USER"@127.0.0.1 -p "$LOCAL_PORT" 'clustermode cluster; aliasconfig print' > "$OUTPUT_FILE" 2>/dev/null
if [ $? -ne 0 ]; then
    echo "Error: Failed to print the current aliasconfig."
    exit 1
fi
echo "Current aliasconfig successfully saved to: $OUTPUT_FILE"

# Finalizing the script
echo "Process completed successfully."
exit 0

Spiegazione

1.- Configurazione del percorso SSH e della chiave

• CHIAVE_SSH: Percorso del file della chiave privata SSH, utilizzato per autenticare in modo sicuro il server remoto.
• PORTA_LOCALE: Porta locale designata per il tunnel SSH.
• UTENTE_REMOTO: Account utente per l'autenticazione nel server remoto.
• FILE_LOCALE: Percorso locale del file CSV aliasconfig da importare.
• DIR_OUTPUT: Cartella locale in cui viene salvata una copia della configurazione corrente dopo il processo di importazione.

2.- Ottieni data e ora correnti

CURRENT_DATE=$(date +"%Y-%m-%d_%H-%M-%S")

• Scopo:
  - Memorizzare la data e l'ora correnti in un formato specifico da utilizzare nei nomi di file e nei commenti.
• Aggiornamenti:
  - Facile tracciatura e organizzazione di registri e backup in base all'indicatore orario.

3.- Caricare il nuovo file aliasconfig sul server ESA remoto

Questo è il nuovo contenuto del file aliasconfig:

# File exported by the CLI at 20250709T112719
test: new-data@example.com, new-date@example2.com, new-date@example3.com
test2: new-date@domain.com, new-data@domain2.com, new-data@domain3.com⏎

Procedere con le istruzioni per caricare il file:

echo "Uploading new aliasconfig file to the remote system..."
scp -i "$SSH_KEY" -P "$LOCAL_PORT" -O "$LOCAL_FILE" "$REMOTE_USER"@127.0.0.1:/configuration 2>/dev/null
if [ $? -ne 0 ]; then
    echo "Error: Failed to upload the aliasconfig file."
    exit 1
fi
echo "Aliasconfig file successfully uploaded."

• Scopo:
  - Trasferire il file CSV aliasconfig dal computer locale alla directory /configuration sul server remoto utilizzando SCP over SSH.
• Aggiornamenti:
  - Se il caricamento non riesce, lo script visualizza un errore e si arresta per impedire importazioni incomplete.

4.- Importare il nuovo file aliasconfig e confermare con un commento

COMMIT_COMMENT="Importing new entries to aliasconfig - $CURRENT_DATE"
echo "Importing the new aliasconfig file and committing changes..."
ssh -i "$SSH_KEY" "$REMOTE_USER"@127.0.0.1 -p "$LOCAL_PORT" "clustermode cluster; aliasconfig import new-filename.csv; commit \"$COMMIT_COMMENT\"" 2>/dev/null
if [ $? -ne 0 ]; then
    echo "Error: Failed to import the aliasconfig file or commit changes."
    exit 1
fi
echo "Aliasconfig file successfully imported and committed with comment: '$COMMIT_COMMENT'."

• Scopo:
  - Connettersi tramite SSH, importare il file CSV caricato nella configurazione alias ed eseguire il commit delle modifiche con un commento di data e ora per la verifica.
• Aggiornamenti:
  - Se l'importazione o il commit hanno esito negativo, viene visualizzato un messaggio di errore e lo script viene chiuso per mantenere la configurazione coerente.

5.- Stampare la configurazione alias corrente e salvarla in un nuovo file locale

OUTPUT_FILE="${OUTPUT_DIR}/current-aliasconfig-${CURRENT_DATE}.txt"
echo "Printing current aliasconfig and saving it to: $OUTPUT_FILE..."
ssh -i "$SSH_KEY" "$REMOTE_USER"@127.0.0.1 -p "$LOCAL_PORT" 'clustermode cluster; aliasconfig print' > "$OUTPUT_FILE" 2>/dev/null
if [ $? -ne 0 ]; then
    echo "Error: Failed to print the current aliasconfig."
    exit 1
fi
echo "Current aliasconfig successfully saved to: $OUTPUT_FILE"

• •Scopo:
  - Connettersi tramite SSH, stampare la configurazione alias corrente e salvare l'output in un file locale con timestamp per il backup e il controllo.
• Aggiornamenti:
  - Se l'operazione non riesce, lo script visualizza un errore e si interrompe per evitare di fornire risultati incompleti.

Verifica delle modifiche

Una volta eseguito lo script, è possibile verificare le modifiche nella tabella di configurazione degli alias e controllare i commit nei log di sistema.

Verifica nuove voci della tabella aliasconfig

Le nuove modifiche sono state applicate alla tabella.

(Machine esa1.xyz.iphmx.com) (SERVICE)> clustermode cluster; aliasconfig print

test: new-data@example.com, new-data@example2.com, new-data@example3.com
test2: new-data@domain.com, new-data@domain2.com, new-data@domain3.com

Verifica Commit Modifiche

Questo comando consente di tenere traccia e rivedere le modifiche di cui è stato eseguito il commit nell'ESA, incluso l'utente che ha apportato la modifica e la data in cui si è verificata.

(Machine esa1.xyz-66.iphmx.com) (SERVICE)> grep "commit" system_logs
Wed Jul  9 11:29:42 2025 Info: PID 95790: User local_server_user commit changes: Importing new entries to aliasconfig - 2025-07-09_11-29-15

Flessibilità script

Sebbene questo script sia attualmente scritto in Bash, può essere facilmente adattato o riscritto in altri linguaggi di script o programmazione, come Python, PowerShell o Perl, per allinearsi meglio alle preferenze o ai requisiti dei diversi amministratori e ambienti. Questa flessibilità assicura il mantenimento della logica e del workflow di base, utilizzando un linguaggio o strumenti che si allineano al meglio alle esigenze operative.

Considerazioni finali

Questo script di importazione/esportazione rappresenta una soluzione pratica ed efficiente per la gestione delle configurazioni degli alias direttamente sull'accessorio. Automatizzando il caricamento, l'importazione e il backup dei file di configurazione, gli amministratori possono introdurre modifiche in modo sicuro e affidabile senza alcun intervento manuale. Lo script non solo semplifica il processo, ma garantisce anche la tracciabilità attraverso backup con timestamp e commenti di commit.

Inoltre, la disponibilità di uno script di questo tipo consente di mantenere la coerenza e la conformità dell'ambiente, in particolare quando sono necessarie più modifiche o aggiornamenti di massa. I backup regolari della configurazione corrente offrono un ulteriore livello di sicurezza, consentendo il ripristino rapido o il rollback, se necessario.

In generale, questo approccio consente ai team di gestire gli aggiornamenti della configurazione con maggiore sicurezza, controllo ed efficienza. Per qualsiasi modifica futura, lo script può essere facilmente adattato per gestire altri tipi di file di configurazione o per automatizzare ulteriormente le attività di manutenzione aggiuntive in base alle esigenze.

Link di riferimento

• Accesso all'interfaccia della riga di comando (CLI) della soluzione Cloud Email Security (CES)
• Istruzioni CLI: PuTTY [Utenti Windows/PC]
• Come configurare l'autenticazione con chiave pubblica SSH per il login all'ESA senza password