Lanconfig zerstört root Passwort?
Moderator: Lancom-Systems Moderatoren
Lanconfig zerstört root Passwort?
Hallo Lancom Forum Member,
Wir haben einen Fall, bei dem auf einem Router das Root Passwort nicht mehr funktioniert.
Auf dem Router ist Keep Cleartext Password
noch enabled.
In der gesicherten LCF fehlt allerdings die Felder für den root User und das root Passwort.
Also das Feld für root und das Passwort Feld sind einfach nicht da.
Uns ist jetzt bei einem Router passiert,
das das root Passwort nicht mehr funktioniert.
Vermutlich wurde es beim schreiben der Config durch Lanconfig wegen der fehlenden Einträge in der LCF gelöscht oder der root User entfernt.
Nach kurzer Analyse fehlt der root User Eintrag in den Config Backups von 10.72-RU3, 10.50-RU11 und 10.42-RU11
Zumindest, wenn das Backup an der CLI gemacht wurde.
In den automatischen Backups vom Lancomfig ist das root Passwort enthalten,
es funktioniert allerdings nicht mehr.
Genaueres müssen wir morgen analysieren.
Wer hat dazu Hinweise hat oder was ähnliches beobachtet?
Bei Lancom ist LCSUP-148721 dazu offen.
Wir analysieren die Config Historie um Muster zu erkennen.
Aufgetreten ist das Problem bei einem 7100+ mit 10.42-RU11 während der Firewall Config und Tests der Firewall Regeln.
Dabei habe ich mit Lanconfig mehrfach hintereinander Configs geschrieben.
Zur Regelanlyse habe ich dann die Internet Verbindung
getrennt und auch mittels Lanconfig denn Router neu gestartet.
Danach war der Zugriff mit dem aktuellen und auch mit älteren Root Passwörtern aus der Historie nicht mehr möglich.
Ich habe den Router stromlos machen lassen.
Nach dem booten ist weiterhin kein Root Zugriff möglich.
Der Router arbeitet ansonsten wie er soll.
VPNs und Firewall läuft korrekt, soweit ich das beurteilen kann.
Geht jetzt eigentlich noch der serielle Zugriff
Viele Grüße
ts
Wir haben einen Fall, bei dem auf einem Router das Root Passwort nicht mehr funktioniert.
Auf dem Router ist Keep Cleartext Password
noch enabled.
In der gesicherten LCF fehlt allerdings die Felder für den root User und das root Passwort.
Also das Feld für root und das Passwort Feld sind einfach nicht da.
Uns ist jetzt bei einem Router passiert,
das das root Passwort nicht mehr funktioniert.
Vermutlich wurde es beim schreiben der Config durch Lanconfig wegen der fehlenden Einträge in der LCF gelöscht oder der root User entfernt.
Nach kurzer Analyse fehlt der root User Eintrag in den Config Backups von 10.72-RU3, 10.50-RU11 und 10.42-RU11
Zumindest, wenn das Backup an der CLI gemacht wurde.
In den automatischen Backups vom Lancomfig ist das root Passwort enthalten,
es funktioniert allerdings nicht mehr.
Genaueres müssen wir morgen analysieren.
Wer hat dazu Hinweise hat oder was ähnliches beobachtet?
Bei Lancom ist LCSUP-148721 dazu offen.
Wir analysieren die Config Historie um Muster zu erkennen.
Aufgetreten ist das Problem bei einem 7100+ mit 10.42-RU11 während der Firewall Config und Tests der Firewall Regeln.
Dabei habe ich mit Lanconfig mehrfach hintereinander Configs geschrieben.
Zur Regelanlyse habe ich dann die Internet Verbindung
getrennt und auch mittels Lanconfig denn Router neu gestartet.
Danach war der Zugriff mit dem aktuellen und auch mit älteren Root Passwörtern aus der Historie nicht mehr möglich.
Ich habe den Router stromlos machen lassen.
Nach dem booten ist weiterhin kein Root Zugriff möglich.
Der Router arbeitet ansonsten wie er soll.
VPNs und Firewall läuft korrekt, soweit ich das beurteilen kann.
Geht jetzt eigentlich noch der serielle Zugriff
Viele Grüße
ts
TakeControl: Config Backup für LANCOM Router, ALC, APs und Switche...
https://www.linkedin.com/posts/activity ... 04032-DNQ5
https://www.nmedv.de
https://www.linkedin.com/posts/activity ... 04032-DNQ5
https://www.nmedv.de
Re: Lanconfig zerstört root Passwort?
Ich bin mir nicht sicher, was Du mit "das Feld für den root-User" meinst. Der Root-Account ist immer da, den kann man nicht löschen, der hat keinen Eintrag in der Admin-Tabelle. Das Root-Passwort steht ja auch nicht in der Tabelle, das sind die Einträge 2.1, 2.16 und 2.17 ganz am Ende der LCF.
Auch der will ein Passwort haben. Auf der Outband kannst Du die Seriennummer als Root-Passwort eingeben, das gibt einen Konfig-Reset. Aber das willst Du vermutlich nicht. Du hast nicht zufällig einen SSH Public Key auf dem Gerät hinterlegt?Geht jetzt eigentlich noch der serielle Zugriff
Ohne eine Erläuterung, wie Du in die Situation gekommen bist, wird da bei LANCOM aber kaum jemand etwas nachvollziehen können...Bei Lancom ist LCSUP-148721 dazu offen.
-
- Beiträge: 2924
- Registriert: 12 Jan 2010, 14:10
Re: Lanconfig zerstört root Passwort?
Hast du ein leeres Root-PW probiert?
@rotwang: Bild zeigt, wenn das root PW im Klartext vorhanden ist. Ansonsten fehlen beide Zeilen im LanConfig.
@rotwang: Bild zeigt, wenn das root PW im Klartext vorhanden ist. Ansonsten fehlen beide Zeilen im LanConfig.
Du hast keine ausreichende Berechtigung, um die Dateianhänge dieses Beitrags anzusehen.
Re: Lanconfig zerstört root Passwort?
Ein leeres Root Passwort war mein zweiter Gedanke.Dr.Einstein hat geschrieben: ↑29 Jun 2023, 23:12 Hast du ein leeres Root-PW probiert?
@rotwang: Bild zeigt, wenn das root PW im Klartext vorhanden ist. Ansonsten fehlen beide Zeilen im LanConfig.
Das geht auch nicht.
Viele Grüße
ts
TakeControl: Config Backup für LANCOM Router, ALC, APs und Switche...
https://www.linkedin.com/posts/activity ... 04032-DNQ5
https://www.nmedv.de
https://www.linkedin.com/posts/activity ... 04032-DNQ5
https://www.nmedv.de
Re: Lanconfig zerstört root Passwort?
Ich vermute stark, genau diese Einträge fehlen
in der gesicherten LCF und deshalb zeigt Lanconfig
dann diese Felder, also das Feld mit dem ausgegrauten
root User und das Feld mit dem (bei no clear Text Passwort leerem) Passwort Feld nicht an.
Für mich sieht es so aus, als ob das zum löschen
dieses users geführt hat oder als ob das Passwort zerschriebem wurde.
Nein, leider auch keinen Not Admin …
Wir machen erstmal keine weiteren Konfig Arbeiten auf anderen Routern und analysieren morgen unsere Config Historie.
Als nächstes legen wir in allen Routern Not Admlns an.
Es sieht aber so aus, als würden die betreffenden Felder in den Backups seit 10.72-RU3, 10.50-RU11 und 10.42-RU11 fehlen.
Die Backups machen wir an der CLI.
Vielleicht hat sich auch da was geändert.
Aufgetreten ist das Problem beim anlegen und testen einer
Firewall für TFTP für einen Switch und unsere Management VM.
Dabei wurde mit Lanconfig ca 5 Mal innerhalb einer Minute die Config geschrieben.
Die Firewall Rule griff nicht, danach habe ich mit Lanconfig
den Router neu gestartet.
Dann bin ich nicht mehr auf den Router gekommen.
Er scheint allerdings weiter problemlos zu funktionieren.
Sehr merkwürdig.
Das dumme ist, ich muss ins Rechenzentrum fahren
und da wie es aussieht alle den den letzten LCOS Updates
gespeicherten LCF Files so aussehen erstmal separate
Admin User anlegen oder auf die Vorversion der Firmware zurück gehen.
Äußerst komisch…
Viele Grüße
ts
TakeControl: Config Backup für LANCOM Router, ALC, APs und Switche...
https://www.linkedin.com/posts/activity ... 04032-DNQ5
https://www.nmedv.de
https://www.linkedin.com/posts/activity ... 04032-DNQ5
https://www.nmedv.de
Re: Lanconfig zerstört root Passwort?
Das kann man ja ganz schnell mit einem Texteditor verifizieren...Ich vermute stark, genau diese Einträge fehlen
in der gesicherten LCF
Re: Lanconfig zerstört root Passwort?
ja die Einträge fehlen.
Viele Grüße
ts
TakeControl: Config Backup für LANCOM Router, ALC, APs und Switche...
https://www.linkedin.com/posts/activity ... 04032-DNQ5
https://www.nmedv.de
https://www.linkedin.com/posts/activity ... 04032-DNQ5
https://www.nmedv.de
Re: Lanconfig zerstört root Passwort?
Das hoert sich irgendwie so an, als ob die Konfig mit einem beschraenkten Admin gezogen worden waere, der kein Recht hat den root Benutzer zu aendern.
Dr.House hat geschrieben:Dr. House: Du bist geheilt. Steh auf und wandle.
Patient: Sind Sie geisteskrank?
Dr. House: In der Bibel sagen die Leute schlicht "Ja, Herr" und verfallen dann ins Lobpreisen.
Re: Lanconfig zerstört root Passwort?
Ja irgendwie so, und erst seit 10.72-RU3, 10.50RU11, 10.42-RU11
Wenn wir die Config an der CLI auslesen, erhalten wir eine unvollständige Datei.
Der Baum zumindest ab 2.1 fehlt, auch der abschliessende Hash fehlt.
Zur Zeit stellt sich das so dar:
- Router wird gebootet
- Config wird an der CLI über SSH ausgelesen - LCF File ist vollständig
- Lanconfig wird gestartet, um Konfigurationsänderungen vorzunehmen
- Lanconfig speichert die Konfig in das Gerät
- Config wird an der CLI über SSH ausgelesen - LCF File ist unvollständig
- der nächste Zugriff mit Lanconfig schlägt fehl, das root Passwort geht nicht mehr
Wir können das reproduzierbar nachstellen.
Viele Grüße
ts
TakeControl: Config Backup für LANCOM Router, ALC, APs und Switche...
https://www.linkedin.com/posts/activity ... 04032-DNQ5
https://www.nmedv.de
https://www.linkedin.com/posts/activity ... 04032-DNQ5
https://www.nmedv.de
Re: Lanconfig zerstört root Passwort?
Wenn das PW nicht im Klartext vorhanden ist, sondern nur gehashed gespeichert ist, dann zeigt LANconfig trotzdem den User und auch das PW an, jedoch ist das Kaestchen fuer "Anzeigen" ausgegraut.Dr.Einstein hat geschrieben: ↑29 Jun 2023, 23:12 Hast du ein leeres Root-PW probiert?
@rotwang: Bild zeigt, wenn das root PW im Klartext vorhanden ist. Ansonsten fehlen beide Zeilen im LanConfig.
Im folgenden Bild ist "Keep-Cleartext " unter /setup/config/password auf "Yes" gesetzt und ich kann das PW anzeigen:
Im naechsten Bild sieht man, dass man "Anzeigen" auschalten kann:
Im folgenden Bild ist die Option "Keep-Cleratext" auf "No" gesetzt und LANconfig graut das Kaestchen "Anzeigen" aus:
Hier sieht man nun die Konfig, die mit einem zusaetzlichen User "Test" aus dem LANCOM ausgelesen wurde, da werden die beiden User/PW Zeilen und auchdie zusaetzlichen Administratoren nicht angezeigt.
Du hast keine ausreichende Berechtigung, um die Dateianhänge dieses Beitrags anzusehen.
Dr.House hat geschrieben:Dr. House: Du bist geheilt. Steh auf und wandle.
Patient: Sind Sie geisteskrank?
Dr. House: In der Bibel sagen die Leute schlicht "Ja, Herr" und verfallen dann ins Lobpreisen.
Re: Lanconfig zerstört root Passwort?
Ok das ist genau das was wir sehen.
Allerdings haben wir die Config an der CLI mit dem User root ausgelesen uns weitere Admin user sind garnicht angelegt.
Das heist, das der User root in Lanconfig und der User root an der CLI irgendwie Out Of Sync sind.
Ich hatte schon die Idee, den SNMP Zugriff zu testen, der geht leider auch nicht.
Als wenn der root user weg wäre.
Beispiel des Endes einer korrekt gelesenen LCF:
Code: Alles auswählen
{Firmware}
1.3.3 = 0
1.3.4 = 300
{Secrets}
2.1 xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
2.17 = xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
2.16 = xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
2.2 = 400xxxxxxxxxxxxxxxx
2.3 = 00a057xxxxxx
2.4 = LANCOM WLC-4006+
2.5 = 10.72.0203RU3 / 29.04.2023
2.6 = C
2.9 =
2.10 = 234324324324
2.13 = 0
2.14 = 1026
[END: LCF; HASHVALUE: sdsdfsfasfasdfasdfdsafdasfadsfasdfdsadf5;]
Code: Alles auswählen
(1.2.37.1.14.16.5) =
<1.2.37.1.14>
(1.2.37.1.14.17.1) = 33
(1.2.37.1.14.17.2) = 0
(1.2.37.1.14.17.3) = 233.252.124.33
(1.2.37.1.14.17.4) = 20032
(1.2.37.1.14.17.5) =
<1.2.37.1.15>
(1.2.37.1.15.1.1) = DEFAULT
(1.2.37.1.15.1.2) =
(1.2.37.1.15.1.3) = AutoWDS-Rollout
(1.2.37.1.15.1.4) ==
(1.2.37.1.15.1.6) = 0
(1.2.37.1.15.1.7) = 0
(1.2.37.1.15.1.8) = 0
(1.2.37.1.15.1.10) = 0
(1.2.37.1.15.1.11) = 0
(1.2.37.1.15.1.12) = 4
(1.2.37.1.15.1.14) = 1
(1.2.37.1.15.1.15) = 60
Wenn man nach dem fehlerhaften Auslesen der Konfig zeitnah (innerhalb ein oder zwei Minuten) mit Lanconfig etwas konfiguriert.
Viele Grüße
ts
TakeControl: Config Backup für LANCOM Router, ALC, APs und Switche...
https://www.linkedin.com/posts/activity ... 04032-DNQ5
https://www.nmedv.de
https://www.linkedin.com/posts/activity ... 04032-DNQ5
https://www.nmedv.de
Re: Lanconfig zerstört root Passwort?
Update:
Ich habe die beiden betroffenen Router aud die letzte funktionierende Config zurück geflasht.
Es sieht so aus, als würde die SSH Session für readconfig -h manchmal hängen oder in einen Timeout laufen.
und die Retries lassen dann SSH aufLCOS blockieren.
Das scheint Zeit, Last und Firmware Abhängig zu sein.
Warum das dann den root User kaputt macht, obwohl kein Schreibzugriff erfolgt, ist uns noch ein Rätsel...
Ein klares Muster sehen wir noch nicht.
Es gibt ja auch kein LCOS WatchDog...
Wir analysieren unsere Backup History um herauszufinden, wann das erstmalig auftrat.
Die mit readscript -h erstellten Backup Scripts sind übrigens vollständig.
Die Entscheidung vor vielen Jahren, immer lcf und lcs zu sichern, hat uns mal wieder gerettet
Das Backup Scriptenthält ja nie das Root Password.
Vieleicht hat es doch irgendwie damit zu tun, das bei readconfig -h das root Password mit gelesen werden soll...
Viele Grüße
ts
Ich habe die beiden betroffenen Router aud die letzte funktionierende Config zurück geflasht.
Es sieht so aus, als würde die SSH Session für readconfig -h manchmal hängen oder in einen Timeout laufen.
und die Retries lassen dann SSH aufLCOS blockieren.
Das scheint Zeit, Last und Firmware Abhängig zu sein.
Warum das dann den root User kaputt macht, obwohl kein Schreibzugriff erfolgt, ist uns noch ein Rätsel...
Ein klares Muster sehen wir noch nicht.
Es gibt ja auch kein LCOS WatchDog...
Wir analysieren unsere Backup History um herauszufinden, wann das erstmalig auftrat.
Die mit readscript -h erstellten Backup Scripts sind übrigens vollständig.
Die Entscheidung vor vielen Jahren, immer lcf und lcs zu sichern, hat uns mal wieder gerettet
Das Backup Scriptenthält ja nie das Root Password.
Vieleicht hat es doch irgendwie damit zu tun, das bei readconfig -h das root Password mit gelesen werden soll...
Viele Grüße
ts
TakeControl: Config Backup für LANCOM Router, ALC, APs und Switche...
https://www.linkedin.com/posts/activity ... 04032-DNQ5
https://www.nmedv.de
https://www.linkedin.com/posts/activity ... 04032-DNQ5
https://www.nmedv.de