Lanconfig zerstört root Passwort?

[tstimper]

Hallo Lancom Forum Member,

Wir haben einen Fall, bei dem auf einem Router das Root Passwort nicht mehr funktioniert.

Auf dem Router ist Keep Cleartext Password
noch enabled.

In der gesicherten LCF fehlt allerdings die Felder für den root User und das root Passwort.

Also das Feld für root und das Passwort Feld sind einfach nicht da.

Uns ist jetzt bei einem Router passiert,
das das root Passwort nicht mehr funktioniert.

Vermutlich wurde es beim schreiben der Config durch Lanconfig wegen der fehlenden Einträge in der LCF gelöscht oder der root User entfernt.

Nach kurzer Analyse fehlt der root User Eintrag in den Config Backups von 10.72-RU3, 10.50-RU11 und 10.42-RU11

Zumindest, wenn das Backup an der CLI gemacht wurde.

In den automatischen Backups vom Lancomfig ist das root Passwort enthalten,
es funktioniert allerdings nicht mehr.


Genaueres müssen wir morgen analysieren.

Wer hat dazu Hinweise hat oder was ähnliches beobachtet?

Bei Lancom ist LCSUP-148721 dazu offen.

Wir analysieren die Config Historie um Muster zu erkennen.

Aufgetreten ist das Problem bei einem 7100+ mit 10.42-RU11 während der Firewall Config und Tests der Firewall Regeln.

Dabei habe ich mit Lanconfig mehrfach hintereinander Configs geschrieben.

Zur Regelanlyse habe ich dann die Internet Verbindung
getrennt und auch mittels Lanconfig denn Router neu gestartet.

Danach war der Zugriff mit dem aktuellen und auch mit älteren Root Passwörtern aus der Historie nicht mehr möglich.

Ich habe den Router stromlos machen lassen.
Nach dem booten ist weiterhin kein Root Zugriff möglich.
Der Router arbeitet ansonsten wie er soll.
VPNs und Firewall läuft korrekt, soweit ich das beurteilen kann.

Geht jetzt eigentlich noch der serielle Zugriff

Viele Grüße

ts

[rotwang]

Ich bin mir nicht sicher, was Du mit "das Feld für den root-User" meinst. Der Root-Account ist immer da, den kann man nicht löschen, der hat keinen Eintrag in der Admin-Tabelle. Das Root-Passwort steht ja auch nicht in der Tabelle, das sind die Einträge 2.1, 2.16 und 2.17 ganz am Ende der LCF.

Geht jetzt eigentlich noch der serielle Zugriff

Auch der will ein Passwort haben. Auf der Outband kannst Du die Seriennummer als Root-Passwort eingeben, das gibt einen Konfig-Reset. Aber das willst Du vermutlich nicht. Du hast nicht zufällig einen SSH Public Key auf dem Gerät hinterlegt?

Bei Lancom ist LCSUP-148721 dazu offen.

Ohne eine Erläuterung, wie Du in die Situation gekommen bist, wird da bei LANCOM aber kaum jemand etwas nachvollziehen können...

[Dr.Einstein]

Hast du ein leeres Root-PW probiert?

@rotwang: Bild zeigt, wenn das root PW im Klartext vorhanden ist. Ansonsten fehlen beide Zeilen im LanConfig.

[tstimper]

Hast du ein leeres Root-PW probiert?

@rotwang: Bild zeigt, wenn das root PW im Klartext vorhanden ist. Ansonsten fehlen beide Zeilen im LanConfig.

Ein leeres Root Passwort war mein zweiter Gedanke.

Das geht auch nicht.

Viele Grüße

ts

[tstimper]

Das Root-Passwort steht ja auch nicht in der Tabelle, das sind die Einträge 2.1, 2.16 und 2.17 ganz am Ende der LCF.

Ich vermute stark, genau diese Einträge fehlen
in der gesicherten LCF und deshalb zeigt Lanconfig
dann diese Felder, also das Feld mit dem ausgegrauten
root User und das Feld mit dem (bei no clear Text Passwort leerem) Passwort Feld nicht an.

Für mich sieht es so aus, als ob das zum löschen
dieses users geführt hat oder als ob das Passwort zerschriebem wurde.

Du hast nicht zufällig einen SSH Public Key auf dem Gerät hinterlegt?

Nein, leider auch keinen Not Admin …

Wir machen erstmal keine weiteren Konfig Arbeiten auf anderen Routern und analysieren morgen unsere Config Historie.

Als nächstes legen wir in allen Routern Not Admlns an.

Es sieht aber so aus, als würden die betreffenden Felder in den Backups seit 10.72-RU3, 10.50-RU11 und 10.42-RU11 fehlen.

Die Backups machen wir an der CLI.

Vielleicht hat sich auch da was geändert.

Aufgetreten ist das Problem beim anlegen und testen einer
Firewall für TFTP für einen Switch und unsere Management VM.

Dabei wurde mit Lanconfig ca 5 Mal innerhalb einer Minute die Config geschrieben.

Die Firewall Rule griff nicht, danach habe ich mit Lanconfig
den Router neu gestartet.
Dann bin ich nicht mehr auf den Router gekommen.

Er scheint allerdings weiter problemlos zu funktionieren.

Sehr merkwürdig.

Das dumme ist, ich muss ins Rechenzentrum fahren
und da wie es aussieht alle den den letzten LCOS Updates
gespeicherten LCF Files so aussehen erstmal separate
Admin User anlegen oder auf die Vorversion der Firmware zurück gehen.

Äußerst komisch…

Viele Grüße
ts

[rotwang]

Ich vermute stark, genau diese Einträge fehlen
in der gesicherten LCF

Das kann man ja ganz schnell mit einem Texteditor verifizieren...

[tstimper]

Ich vermute stark, genau diese Einträge fehlen
in der gesicherten LCF

Das kann man ja ganz schnell mit einem Texteditor verifizieren...

ja die Einträge fehlen.

Viele Grüße
ts

[LoUiS]

Das hoert sich irgendwie so an, als ob die Konfig mit einem beschraenkten Admin gezogen worden waere, der kein Recht hat den root Benutzer zu aendern.

[tstimper]

Das hoert sich irgendwie so an, als ob die Konfig mit einem beschraenkten Admin gezogen worden waere, der kein Recht hat den root Benutzer zu aendern.

Ja irgendwie so, und erst seit 10.72-RU3, 10.50RU11, 10.42-RU11

Wenn wir die Config an der CLI auslesen, erhalten wir eine unvollständige Datei.

Der Baum zumindest ab 2.1 fehlt, auch der abschliessende Hash fehlt.

Zur Zeit stellt sich das so dar:

- Router wird gebootet
- Config wird an der CLI über SSH ausgelesen - LCF File ist vollständig
- Lanconfig wird gestartet, um Konfigurationsänderungen vorzunehmen
- Lanconfig speichert die Konfig in das Gerät
- Config wird an der CLI über SSH ausgelesen - LCF File ist unvollständig
- der nächste Zugriff mit Lanconfig schlägt fehl, das root Passwort geht nicht mehr

Wir können das reproduzierbar nachstellen.

Viele Grüße

ts

[LoUiS]

Hast du ein leeres Root-PW probiert?

@rotwang: Bild zeigt, wenn das root PW im Klartext vorhanden ist. Ansonsten fehlen beide Zeilen im LanConfig.

Wenn das PW nicht im Klartext vorhanden ist, sondern nur gehashed gespeichert ist, dann zeigt LANconfig trotzdem den User und auch das PW an, jedoch ist das Kaestchen fuer "Anzeigen" ausgegraut.

Im folgenden Bild ist "Keep-Cleartext " unter /setup/config/password auf "Yes" gesetzt und ich kann das PW anzeigen:

admin-pw1.png

Im naechsten Bild sieht man, dass man "Anzeigen" auschalten kann:

admin-pw2.png

Im folgenden Bild ist die Option "Keep-Cleratext" auf "No" gesetzt und LANconfig graut das Kaestchen "Anzeigen" aus:

admin-pw3.png

Hier sieht man nun die Konfig, die mit einem zusaetzlichen User "Test" aus dem LANCOM ausgelesen wurde, da werden die beiden User/PW Zeilen und auchdie zusaetzlichen Administratoren nicht angezeigt.

admin-pw4.png

[tstimper]

Hier sieht man nun die Konfig, die mit einem zusaetzlichen User "Test" aus dem LANCOM ausgelesen wurde, da werden die beiden User/PW Zeilen und auchdie zusaetzlichen Administratoren nicht angezeigt.

Ok das ist genau das was wir sehen.
Allerdings haben wir die Config an der CLI mit dem User root ausgelesen uns weitere Admin user sind garnicht angelegt.

Das heist, das der User root in Lanconfig und der User root an der CLI irgendwie Out Of Sync sind.

Ich hatte schon die Idee, den SNMP Zugriff zu testen, der geht leider auch nicht.
Als wenn der root user weg wäre.

Beispiel des Endes einer korrekt gelesenen LCF:

Code: Alles auswählen

{Firmware}
    1.3.3 = 0
    1.3.4 = 300
  {Secrets}
    2.1	xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
    2.17 = xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
    2.16 = xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
    2.2 = 400xxxxxxxxxxxxxxxx
    2.3 = 00a057xxxxxx
    2.4 = LANCOM WLC-4006+
    2.5 = 10.72.0203RU3 / 29.04.2023
    2.6 = C
    2.9 = 
    2.10 = 234324324324
    2.13 = 0
    2.14 = 1026
[END: LCF; HASHVALUE: sdsdfsfasfasdfasdfdsafdasfadsfasdfdsadf5;]

Beispiel des Endes einer fehlerhaft gelesenen LCF:

Code: Alles auswählen

   (1.2.37.1.14.16.5) = 
    <1.2.37.1.14>
      (1.2.37.1.14.17.1) = 33
      (1.2.37.1.14.17.2) = 0
      (1.2.37.1.14.17.3) = 233.252.124.33
      (1.2.37.1.14.17.4) = 20032
      (1.2.37.1.14.17.5) = 
    <1.2.37.1.15>
      (1.2.37.1.15.1.1) = DEFAULT
      (1.2.37.1.15.1.2) = 
      (1.2.37.1.15.1.3) = AutoWDS-Rollout
      (1.2.37.1.15.1.4) == 
      (1.2.37.1.15.1.6) = 0
      (1.2.37.1.15.1.7) = 0
      (1.2.37.1.15.1.8) = 0
      (1.2.37.1.15.1.10) = 0
      (1.2.37.1.15.1.11) = 0
      (1.2.37.1.15.1.12) = 4
      (1.2.37.1.15.1.14) = 1
      (1.2.37.1.15.1.15) = 60

Also sobald mal ein fehlerhaftes Auslesen erfolgt ist, kann der Root User defekt sein.
Wenn man nach dem fehlerhaften Auslesen der Konfig zeitnah (innerhalb ein oder zwei Minuten) mit Lanconfig etwas konfiguriert.

Viele Grüße

ts

[tstimper]

Update:

Ich habe die beiden betroffenen Router aud die letzte funktionierende Config zurück geflasht.

Es sieht so aus, als würde die SSH Session für readconfig -h manchmal hängen oder in einen Timeout laufen.
und die Retries lassen dann SSH aufLCOS blockieren.
Das scheint Zeit, Last und Firmware Abhängig zu sein.

Warum das dann den root User kaputt macht, obwohl kein Schreibzugriff erfolgt, ist uns noch ein Rätsel...

Ein klares Muster sehen wir noch nicht.

Es gibt ja auch kein LCOS WatchDog...

Wir analysieren unsere Backup History um herauszufinden, wann das erstmalig auftrat.

Die mit readscript -h erstellten Backup Scripts sind übrigens vollständig.

Die Entscheidung vor vielen Jahren, immer lcf und lcs zu sichern, hat uns mal wieder gerettet

Das Backup Scriptenthält ja nie das Root Password.

Vieleicht hat es doch irgendwie damit zu tun, das bei readconfig -h das root Password mit gelesen werden soll...


Viele Grüße

ts