H3C交换机系统时间设置漏洞

H3C交换机系统时间设置存在漏洞

1. 背景说明

由于在编写《主机房网络延伸实施方案》，调试H3C S5120S-28P-EI交换机时，发现交换机设置成现在的时间后，导致本地用户通过ssh或者console口不能登录，只能通过重启机器才能再次登录。而交换机重启之后，交换机的时间统一重写写入系统时间为2000年。该时间肯定跟我们目前的时间不一致，不利于以后排查问题。

2. 排查导致不可登录造成的原因

2.1登录报错

Failed to log in because the login idle timer expired

通过分析报错造成的原因是由于交换机启用了以下策略

password-control enable

password-control aging 365

password-control composition type-number 3 type-length 1

password-control history 2

password-control login-attempt 10 exceed lock-time 1

password-control complexity user-name check

###以上策略是为了交换机登录安全所设置

由于设置密码有效期为365天（此时间为可设置的最长有效时间），如果用户是2000年创建的，突然把系统设置成2017年，就导致该用户不能登录了。经过测试，在系统时间为2017年时新建用户，是可以登录的。但是，如果交换机重启之后，系统时间被重写成2000年时，该用户登录过一次，在把系统设置成2017年时，该用户也不能登录。这样会导致以后如果更新系统时间为当前时间，跟用户创建时间之间超过365天时，导致用户不可登录，只能通过重启交换机解决。（考虑到交换机在机房，且交换机不可能随便重启，固存在较大安全隐患）

如果undo password-control enable

本地用户就可以登录，但是如果这样的话，交换机在登录方面的安全策略都被取消了，存在安全隐患。不建议这样做。

3. 跟售后技术支持沟通反馈

3.1确定交换机能否保存系统时间的问题

跟h3c售后技术支持沟通之后，h3c所有中低端交换机（包括我们现在所用H3C S5500-28C-EI和我目前测试的H3C S5120S-28P-EI）都不具备保存系统时间的功能，及交换机重启之后，时间统一被设置2000年某月某日，该时间沟通过，不能重新设置。沟通过，h3c交换机只有少许的某些高端交换机才有保存系统时间功能。

3.2在不采用同步现在当时时间是否存在未知隐患的问题

如果不采用同步目前的时间的做法，跟售后技术支持沟通后，得出不影响交换机的使用，不影响生成树协议的使用

4. 沟通之后的解决办法

4.1取消password-control策略

取消该项策略，用户可以登录，存在安全隐患，不建议使用。

4.2不采用同步现在时间，及使用本系统固有时间（2000年某年某月）

该做法时间时钟跟目前的真实时间不一致，不利用debug排查后来问题,勉强能用。

4.3采购能够保存系统时间的高端交换机

采购能够保存系统时间的高端交换机，就不存在上述问题，缺点，可能费用要比现在要高。

5. 参考

经测试配置好ntp服务器后，在以下几个条件满足的情况下，可以成功登陆

①-交换机重启之后，通过配置的ntp服务器同步到当前时间（意味着ntp服务器是好的，且能同步到当前时间）

②-在交换机重启之后，时间未同步到当前时间，不能通过console登陆，以免造成该用户最后登陆成功登陆时间为2000年

③-登陆的用户最近的一次成功登陆的时间必须不能提前于当前时间的365天（交换机重启前，用户最后成功登陆交换机的时间不得早于当前时间的365天）

综上所述，为避免ssh 登陆不上交换机，必须保证以下几个条件

①-必须保证创建的用户为当前或者不得早于当前时间365天。

②-重启交换机之前必须有用户在365天内登陆成功的记录。

③-在交换机为完成或者不能完成时间同步的条件下，不得用console连接交换机，防止该用户在交换机同步完时间后，远程ssh登陆不进系统。