Auf den Cisco Ironport Systemen ist keine Funktion zum regelmäßigen Backup der Konfiguration vorhanden. Eine solche Funktion kann allerdings mit einem einfachen SSH Script auf einem Linux System realisiert werden.
Idealerweise arbeitet man in dem Fall mit SSH Authentifizierung mittels Public/Private Keys, um keine Passwörter in den Scripten verwenden zu müssen.
Den Tipp haben wir vor einiger Zeit von Dirk Beste (Cisco Ironport) bekommen.
Der Benutzer auf dem Linux Host, der das Backup Script ausführen soll, benötigt ein SSH Schlüsselpaar. Falls dieses nicht existiert kann es mit dem Befehl ssh-keygen angelegt werden. Bei dem Schlüsselpaar sollte kein Passphrase vergeben werden, um den Ablauf des Scripts zu vereinfachen. Das ist natürlich nur sinnvoll, wenn der Private Key auf einer gesicherten Maschine im internen Netz liegt.
Auf dem Linux System:
user@linux 99:~$ ssh-keygen
Generating public/private rsa key pair.
Enter file in which to save the key (/home/user/.ssh/id_rsa):
Enter passphrase (empty for no passphrase):
Enter same passphrase again:
Your identification has been saved in/home/user/.ssh/id_rsa.
Your public key has been saved in/home/user/.ssh/id_rsa.pub.
The key fingerprint is:
5f:65:72:d0:00:88:7b:aa:af:2d:8a:ce:47:2f:42:15
user@linux 99:~$ cat /home/user/.ssh/id_rsa.pub
ssh-rsa AAAAB3NzaC1yc2EAAAABIwAAAQEAubRWZiRhItCYELRbFevN33LNvXE+Uj02J6………
Der Public Key ist eine Zeile - beim editieren/kopieren darauf achten, dass keine Return dazukommen.
Auf dem Cisco Ironport System (per ssh):
mail.seculonia.local> sshconfig
Currently installed keys for admin:
Choose the operation you want to perform:
- NEW - Add a new key.
- USER - Switch to a different user to edit.
- SETUP - Configure general settings.
[]> new
Please enter the public SSH key for authorization.
Press enter on a blank line to finish.
ssh-rsa ssh-rsa AAAAB3NzaC1yc2EAAAABIwAAAQEAubRWZiRhItCYELRbFevN33LNvXE+Uj02J6………
Currently installed keys for admin:
1. ssh-rsa AAAAB3NzaC1yc2EAA...YK9uGLjQ== (user@linux99)
Script auf dem Linux System
Das Script auf dem Linux System kann nach Belieben abgelegt werden und per CRON regelmäßig gestartet werden. Die XML Dateien der Datensicherung sind nicht sehr groß. Das unten stehende Script sichert ein ESA und ein WSA System von Cisco Ironport.
#! /bin/bash
# Backup Script for Ironport Systeme
MAIL1=mail.seculonia.local
PROXY1=proxy.seculonia.local
USERNAME=admin
DATE=`/bin/date +%Y_%m_%d`
FILE1=`ssh $USERNAME@$MAIL1 "saveconfig yes" | grep xml | cut -f 3 -d " "`
FILE2=`ssh $USERNAME@$PROXY1 "saveconfig yes" | grep xml | cut -f 3 -d " "`
scp $USERNAME@$MAIL1:./configuration/$FILE1 /data/backup/ironport/smtp1_$DATE.xml
scp $USERNAME@$PROXY1:./configuration/$FILE2 /data/backup/ironport/proxy1_$DATE.xml
Viel Erfolg beim Sichern der Cisco Ironport Konfigurationen. Weitere Unterstützung zu Cisco Ironport und weiteren interessanten Themen gibt es bei uns unter http://www.seculonia.net.
Kontaktieren Sie uns auch gerne persönlich.
Ihr SECULONIA Team
