NXOS - Apague com segurança o conteúdo do disco

Introdução

Este documento descreve como apagar com segurança o disco de um switch Cisco Nexus, que utiliza utilitários Linux padrão.  Isso é necessário para determinados clientes militares e do governo que estão transferindo o equipamento de uma zona protegida para uma zona não protegida, ou para qualquer outro cliente que tenha requisitos de conformidade para retirar o equipamento de suas instalações.

Informações de Apoio

Há duas opções que dependem de o switch ter uma unidade SSD ou eUSB:

• O Init-System é usado em modelos mais novos de switches com SSDs. O Init-System usa o ATA Secure erase para gravar 0s binários em todos os setores da unidade.  
• Para modelos de switches mais antigos com unidades eUSB, você também pode gravar 0s em todos os setores da unidade, usando o método Zero-Byte Erase (Apagar bytes zero).

Os utilitários padrão usados no procedimento documentado usam uma série de comandos que destroem com segurança os dados no disco de armazenamento e, na maioria dos casos, dificultam ou impossibilitam a recuperação dos dados.

Este guia o orienta nos dois processos com switches Cisco Nexus 3000 Series, switches Cisco Nexus 5000 Series, switches Cisco Nexus 9000 Series, switches Cisco Nexus 7000 Series e switches Cisco MDS Series em mente, mas funciona para a maioria dos outros switches Cisco Nexus, desde que você tenha acesso init-system ou Bash.  Se o switch que você possui ou a versão de software que você está executando não tiver suporte para ativar o recurso bash para obter acesso ao shell Bash, abra uma solicitação de serviço com o Cisco TAC para obter assistência com a utilização de um plug-in de depuração para esse procedimento.

Como determinar o procedimento adequado para si mesmo?

se o seu PID retornar um valor de 0, o sistema estará usando um SSD e poderá usar o método Init-System para apagar a unidade.

Se o PID retornar um valor de 1, o sistema estará usando uma unidade eUSB e você precisará usar o método Zero-Byte Erase (Apagar byte zero).

F340.23.13-C3064PQ-1# config terminal
Enter configuration commands, one per line. End with CNTL/Z.
F340.23.13-C3064PQ-1(config)# feature bash-shell
F340.23.13-C3064PQ-1(config)#
F340.23.13-C3064PQ-1(config)# exit
F340.23.13-C3064PQ-1# run bash
bash-4.2$ cat /sys/block/sda/queue/rotational
1
bash-4.2$

Após a execução do procedimento anterior, se ainda não estiver claro que tipo de unidade está no sistema e que procedimento deve ser usado para limpar com segurança o conteúdo do disco, abra uma solicitação de serviço no Cisco TAC.

Preparação

Antes de limpar a unidade, você deve ter:

1. Acesso do console ao switch.
2. Acesso a um servidor TFTP através da interface management0, que é necessária para fazer backup da configuração atual e, em seguida, restaurar o SO.
3. Um backup da configuração atual e de todos os outros arquivos que você deseja salvar do sistema off-line à medida que forem destruídos neste processo!

Note: É altamente recomendável executar este procedimento em peças que não estão mais em produção ou instaladas em gabinetes de produção. Os dispositivos ou as peças devem ser movidos para um ambiente de não-produção antes da execução deste procedimento para evitar interrupções não intencionais da rede.

Use o procedimento de inicialização do sistema em switches com SSD

Note: Ao executar esse procedimento em um Supervisor dentro de um switch modular, é recomendável ter apenas o Supervisor que você planeja executar o procedimento instalado no sistema.

1. Recarregue ou desligue e religue o switch enquanto estiver conectado via console.
   
   
2. Enquanto o switch estiver sendo inicializado, use CTRL-C para quebrar o switch no prompt loader>.
   
   
3. No prompt loader>, insira cmdline recoverymode=1.  Isso interrompe a inicialização do switch no prompt switch(boot)#:
   
   

   loader > cmdline recoverymode=1 

4. Inicie o procedimento de inicialização com boot bootflash:<nxos_filename.bin>.
   
   

   loader > boot bootflash:nxos.7.0.3.I7.8.bin

5. O switch inicializa no prompt switch(boot)#.  Neste prompt, escreva 0 para todos os blocos na nvram, exceto os blocos de licença, usando clear nvram CLI e init system CLI.

   Note: este teste foi realizado em um N9K-C9372TX-E com uma CPU Intel Core i3 com 2,50 GHz e uma SSD de 110G.  O tempo total do sistema init levou ~8 segundos:

   switch(boot)# clear nvram
   switch(boot)# init system 
   This command is going to erase your startup-config, licenses as well as the contents of your bootflash:.
   Do you want to continue? (y/n)  [n] y

6. Quando a etapa 5 estiver concluída, recarregue o switch:
   
   

   switch(boot)# reload
   This command will reboot this supervisor module. (y/n) ? y

Use o procedimento dd em switches/supervisores/controladores de sistema com eUSB

1. Faça login na conta admin do switch através da porta de console.

Note: Quando você executa esse procedimento em um Supervisor dentro de um switch modular, é recomendável ter apenas o Supervisor que você planeja executar o procedimento instalado no sistema.

2. Ative o recurso bash-shell no modo de configuração e entre no prompt Bash com run bash (somente N3K/9K).  Outros switches Cisco Nexus precisam de um plug-in de depuração para obter acesso ao Bash).

F340.23.13-C3064PQ-1# config terminal
F340.23.13-C3064PQ-1(config)# feature bash-shell
F340.23.13-C3064PQ-1(config)# exit
F340.23.13-C3064PQ-1# run bash
bash-4.2$

N7K-1# load n7000-s2-debug-sh.7.2.1.D1.1.gbin
Loading plugin version 7.2(1)D1(1)
###############################################################
  Warning: debug-plugin is for engineering internal use only!
  For security reason, plugin image has been deleted.
###############################################################
Successfully loaded debug-plugin!!!
Linux(debug)# 

3. Obtenha acesso à raiz com o sudo su -

Note: Esta etapa pode ser ignorada para os switches Cisco Nexus 7000 Series que estão usando um plug-in de depuração para este procedimento.

bash-4.2$ sudo su -
root@F340# 

4. Se você estiver executando este procedimento em um controlador de sistema instalado em um switch Nexus 9000 Series, deverá fazer login remoto no número do slot no qual deseja executar este procedimento.  Por exemplo, aqui isso é feito para o controlador do sistema no slot 29:

N9K-EOR# run bash
bash-4.2$ sudo su -
root@N9K-EOR#rlogin lc29
root@sc29:~# 

5. Verifique o tamanho do bloco de cada disco com fdisk -l.  Em um N3K-C3064PQ-10X ele tem apenas o tamanho de bloco /dev/sda @ 512 bytes, veja aqui:

Note: Em alguns switches Cisco Nexus, pode haver mais de um disco. Ela deve ser levada em conta quando você executa a operação dd. Por exemplo, N7K-SUP2 há /dev/sda, /dev/sdb, /dev/sdc/, /dev/md2, /dev/md3, /dev/md4, /dev/md5 e /dev/md6. Você deve executar a operação dd em cada um deles para concluir o procedimento de apagamento seguro corretamente.

Note: Nos switches Cisco Nexus 9000 Series, o controlador de sistema tem /dev/mtdblock0, /dev/mtdblock1, /dev/mtdbloc2, /dev/mtdblock3, /dev/mtdblock4, /dev/mtdblock5 e /dev/mtdblock6.  Você deve executar a operação Add em cada um deles para concluir corretamente o procedimento de apagamento seguro.

root@F340# fdisk -l

Disk /dev/sda: 2055 MB, 2055208960 bytes
64 heads, 62 sectors/track, 1011 cylinders
Units = cylinders of 3968 * 512 = 2031616 bytes
Disk identifier: 0x8491e758

   Device Boot      Start         End      Blocks   Id  System
/dev/sda1               1           5        9889   83  Linux
/dev/sda2               6          45       79360    5  Extended
/dev/sda3              67        1011     1874880   83  Linux
/dev/sda4              46          66       41664   83  Linux
/dev/sda5               6          26       41633   83  Linux
/dev/sda6              27          45       37665   83  Linux

6. Grave um byte zero em cada setor no disco.

Note: Este teste foi realizado em um N3K-C3064PQ-10X com uma CPU Intel Celeron P4505 @1,87 GHz e eUSB de 13G. O processo de byte zero levou aproximadamente 501 segundos.

root@F340# dd if=/dev/zero of=/dev/sda bs=512

Note: Espera-se ver mensagens de Kernel geradas nesta etapa em algumas partes.

7. Depois que a etapa cinco estiver concluída, recarregue o switch, o Supervisor ou o controlador do sistema:

Note: Para recarregar o controlador do sistema em um switch modular Cisco Nexus 9000 Series, insira a CLI do módulo de recarregamento <slot_number>.

bash-4.2$ exit
F340.23.13-C3064PQ-1# exit
F340.23.13-C3064PQ-1# reload
WARNING: There is unsaved configuration!!!
WARNING: This command will reboot the system
Do you want to continue? (y/n) [n] y

Use Add para gravar Zero-byte em partições relevantes no módulo de I/O

1. Faça login na conta admin do switch através da porta de console.

2. Ative o recurso bash-shell no modo de configuração e entre no prompt Bash com run bash (somente N3K/N9K).  Outros switches Cisco Nexus precisam de um plug-in de depuração para obter acesso ao Bash). Se você precisar de um plug-in de depuração, entre em contato com o TAC da Cisco e siga a etapa 3 em vez da etapa 2.

Note: Para acessar o LC/FM a partir do prompt Bash, insira rlogin lc# CLI depois de obter acesso de raiz. Agora substitua o # no CLI pelo número do slot no qual você deseja executar a operação.

N7K-1# config terminal
Enter configuration commands, one per line. End with CNTL/Z.
N7K-1(config)# feature bash-shell 
N7K-1(config)# exit
N7K-1# run bash 
bash-4.3$ 

N9K-EOR# run bash
bash-4.2$ sudo su -
root@N9K-EOR#rlogin lc22
root@fm22:~#

3. Para Switches Cisco Nexus que usam o plug-in de depuração, certifique-se de que o plug-in de depuração para a versão do software em execução seja copiado para o bootflash e carregue o plug-in de depuração no módulo para o qual você deseja executar o procedimento de apagamento seguro para:

Note: Há uma imagem separada do plug-in de depuração a ser usada para os módulos de E/S dos switches Nexus 7000 Series, ao contrário da imagem do plug-in de depuração disponibilizada para os módulos do Supervisor. Use a imagem LC para a versão de software que é executada no switch.

switch# attach module 3
Attaching to module 3 ...
To exit type 'exit', to abort type '$.' 
module-3# load bootflash:dplug-lc_p476-bin.7.2.1.D1.1.bin
Name of debug-plugin from SUP: '/bootflash/dplug-lc_p476-bin.7.2.1.D1.1.bin'
Downloaded debug-plugin to LC: '/tmp/dplug-lc_p476-bin.7.2.1.D1.1.bin'
Loading plugin version 7.2(1)D1(1)
###############################################################
  Warning: debug-plugin is for engineering internal use only!
###############################################################
Warning: /debug-plugin/.autorun is using deprecated /bin/bash.  Please change to /bin/sh
Successfully loaded debug-plugin!!!
Linux(debug)# 

4. Em seguida, para placas de linha Cisco Nexus 7000 Series, determine onde /logflash/ e /mnt/pss estão montados no sistema de arquivos.  Para fazer isso, use o comando mount para localizar onde /mnt/plog (logflash) e /mnt/pss residem.

Note: Para placas de linha Cisco Nexus 9000 Series, execute a operação dd em /dev/mmcblk0.

Note: Para os módulos de estrutura Cisco Nexus 9000 Series, execute a operação dd em /tmpfs, /dev/root, /dev/zram0, /dev/loop0, /dev/loop1 e /unionfs.

Linux(debug)# mount | grep plog
/dev/mtdblock2 on /mnt/plog type jffs2 (rw,noatime)
Linux(debug)# 
Linux(debug)# mount | grep pss
tmpfs on /mnt/pss type tmpfs (rw,size=409600k,mode=777)
Linux(debug)# 

5. Agora que se sabe que /mnt/plog reside em /dev/mtdblock2 e /mnt/pss reside em /tmpfs, você escreve Zero-Byte para ambos usando o comando dd, sai do plug-in de depuração e recarrega o módulo:

Linux(debug)# dd if=/dev/zero of=/dev/mtdblock2 bs=1024
dd: writing '/dev/mtdblock2': No space left on device
15361+0 records in
15360+0 records out
Linux(debug)# 
Linux(debug)# dd if=dev/zero of=/tmpfs bs=1024
dd: writing '/tmpfs': No space left on device
23781+0 records in
23780+0 records out
Linux(debug)# 
Linux(debug)# exit
####################################################################
  Warning: for security reason, please delete plugin image on sup.
####################################################################
module-3# exit
rlogin: connection closed.
switch# 
switch# reload module 3
This command will reload module 3. Proceed[y/n]?  [n] y
reloading module 3 ...
switch# 

Recupere o switch e reinstale o sistema operacional

Após desligar e religar o switch, ele inicializa no prompt do carregador. 

Para recuperar-se do prompt loader>, o switch deve ser inicializado pelo TFTP de acordo com as seguintes etapas:

1. Defina (ou Atribua) um endereço IP para a interface mgmt0 no switch:
   
   

   loader > set ip <IP_address> <Subnet_Mask> 

2. Se o servidor TFTP a partir do qual você está inicializando estiver em uma sub-rede diferente, atribua um gateway padrão ao switch:

loader > set gw <GW_IP_Address> 

3. Execute o processo de inicialização.  O switch inicializa no prompt switch(boot).

Note: Para switches que usam imagens de sistema/kickstart separadas, como switches Cisco Nexus 5000 Series, switches Cisco Nexus 6000 Series e switches Cisco Nexus 7000 Series, nesta etapa você precisa inicializar a imagem kickstart.  Para switches que usam uma única imagem NXOS, como switches Cisco Nexus 9000 Series e switches Cisco Nexus 3000 Series, nesta etapa você precisa inicializar a imagem única:

loader > boot tftp:/// 

4. Execute clear nvram, Init system e format bootflash:

Note: Para os switches Cisco Nexus 5000 Series e Cisco Nexus 6000 Series, limpar a nvram não está disponível no prompt switch(boot)#.

switch(boot)# clear nvram
switch(boot)# init system 
This command is going to erase your startup-config, licenses as well as the contents of your bootflash:.
Do you want to continue? (y/n) [n] y
Initializing the system ...

<snip>

switch(boot)# format bootflash: 
This command is going to erase the contents of your bootflash:.
Do you want to continue? (y/n) [n] y
get_sup_active_slot failed with -1
Unknown card
Formatting bootflash:

<snip> 

5. Recarregue o switch:

switch(boot)# reload 
This command will reboot this supervisor module. (y/n) ? y
ˇ
(c) Copyright 2011, Cisco Systems.
N3000 BIOS v.5.0.0, Tue 06/05/2018, 05:24 PM 

6. Defina (ou Atribua) um endereço IP para a interface mgmt0 no switch:

loader > set ip <IP_address> <Subnet_Mask> 

7. Se o servidor TFTP a partir do qual você está inicializando estiver em uma sub-rede diferente, atribua um gateway padrão ao switch:

loader > set gw <GW_IP_Address> 

8. Recarregue o switch:

Note: Esta etapa (8) NÃO é necessária quando este procedimento é executado em switches Cisco Nexus 5000 Series, switches Cisco Nexus 6000 Series, módulos Cisco Nexus 7000 Series Switches Supervisor ou módulos Cisco Nexus 9000 Series Switches Supervisor.  Vá para a etapa 9 se você executar esse procedimento em um switch Cisco Nexus 5000 Series, um switch Cisco Nexus 6000 Series, um switch Cisco Nexus 7000 Series ou um switch Supervisor Module Cisco Nexus 9000 Series.

loader> reboot 

9. Execute o processo de inicialização.  O switch inicializa no prompt switch(boot).

Note: Para switches que usam imagens de sistema/kickstart separadas, como os switches Cisco Nexus 7000 Series, nesta etapa você precisa inicializar a imagem kickstart.  Para switches que usam uma única imagem NXOS, como switches Cisco Nexus 9000 Series e switches Cisco Nexus 3000 Series, nesta etapa você precisa inicializar a imagem única:

loader > boot tftp://<server_IP>/<nxos_image_name>

10. Para switches que usam imagens de sistema/kickstart separadas, como os switches Cisco Nexus 5000 Series, os switches Cisco Nexus 6000 Series e os switches Cisco Nexus 7000 Series, nesta etapa você precisa seguir algumas etapas adicionais para inicializar o switch.  Você precisa configurar o endereço IP e a máscara de sub-rede do mgmt 0, bem como definir o gateway padrão.  Quando isso estiver concluído, você poderá copiar o kickstart e a imagem do sistema para o switch e carregá-lo:

switch(boot)# config terminal
Enter configuration commands, one per line.  End with CNTL/Z.
switch(boot)(config)# interface mgmt 0
switch(boot)(config-if)# ip address 10.122.160.55 255.255.255.128
switch(boot)(config-if)# no shutdown
switch(boot)(config-if)# exit
switch(boot)(config)# 
switch(boot)(config)# ip default-gateway 10.122.160.1
switch(boot)(config)#
switch(boot)(config)# exit
switch(boot)#
switch(boot)#
switch(boot)# copy ftp: bootflash:
Enter source filename: 
Enter hostname for the ftp server: 
Enter username: 

Connected to x.x.x.x.
220 CALO Fileserver
331 Please specify the password.
Password: 
230 Login successful.



221 Goodbye.
Copy complete, now saving to disk (please wait)...
switch(boot)# 
switch(boot)# copy ftp: bootflash:
Enter source filename: 
Enter hostname for the ftp server: 
Enter username: 

Connected to x.x.x.x.
220 CALO Fileserver
331 Please specify the password.
Password: 
230 Login successful.



221 Goodbye.
switch(boot)#

11. Para switches Cisco Nexus 5000 Series, switches Cisco Nexus 6000 Series e módulos de supervisor de switch Cisco Nexus 7000 Series, no prompt switch(boot)#, digite load bootflash:<system_image>.  Isso conclui o processo de inicialização do switch. 

switch(boot)# load bootflash:<system_image>

12. Depois que a imagem do sistema for carregada com êxito, você precisará passar pelo prompt de configuração para começar a configurar o dispositivo de acordo com as especificações desejadas.