1、F5 升级注意事项 - License问题
(1)检查 F5 设备 Service Check Date
# 方式一:
grep "Service check date" /config/bigip.license
# 方式二:
tmsh show sys license | grep "Service Check Date"
(2)查看目标版本 License Check Date
https://support.f5.com/csp/article/K7727
(3)F5 设备升级
如果 Service Check Date
早于 License Check Date
,则需要重新激活License,再进行升级,反之不需要重新激活License进行升级。
2、修改日志服务器
tmsh modify /sys syslog remote-servers add { name { host ip remote-port 514 } }
#官方文档:https://support.f5.com/csp/article/K13080
3、修改密码策略
tmsh modify auth password-policy minimum-length 8 password-memory 3 max-duration 90 max-login-failures 5
#注:mininum-length为最小密码长度,password-memory最少密码复杂度,max-duration密码最大期限
#官方文档:https://clouddocs.f5.com/cli/tmsh-reference/latest/modules/auth/auth_password-policy.html
4、登录超时时间设置
# SSH 登陆超时时间
tmsh modify /sys sshd inactivity-timeout 300
#官方文档:https://support.f5.com/csp/article/K9908
# console 会话超时时间
tmsh modify /sys global-setting console-inactivity-timeout 300
# HTTP 会话超时时间
tmsh modify sys httpd auth-pam-idle-timeout 180
5、banner 配置
(1)登陆前 banner 配置
# 配置登陆前 banner,“” 中添加 banner 语。
tmsh modify sys sshd banner enabled banner-text "Authorized users only. All activity may be monitored and reported."
# 取消登陆前 banner 配置
tmsh modify /sys sshd banner disabled banner-text none
(2)登录后 banner 配置
# 配置登陆后 banner,在 “” 中添加 banner 语。
echo " banner " > /etc/motd
# 取消登陆后 banner 配置
cat /dev/null > /etc/motd
6、查看当前硬件支持软件版本
https://support.f5.com/csp/article/K9476
7、修改 web 登录端口
修改业务地址 httpd 端口1200,注意修改端口后,业务地址需要放通该端口。
# 使用 1200 端口登录为例
tmsh modify sys httpd ssl-port 1200
tmsh modify net self-allow defaults add { tcp:1200 }
tmsh save sys config
修改管理地址 httpd 端口1200,管理地址默认放通全部端口
# 使用 1200 端口登录为例
tmsh modify sys httpd ssl-port 1200
tmsh save sys config
8、查看不同系统的 TTL
https://subinsb.com/default-device-ttl-values/
9、重新加载系统
image2disk --format=volumes --nosaveconfig /shared/images/BIGIP-13.0.1-0.0.3.iso
# 官方文档:https://support.f5.com/csp/article/K13117
10、HTTP Monitor
# HTTP 0.9
"GET /\n" or "GET /\r\n".
# HTTP 1.0
"GET / HTTP/1.0\r\n\r\n" or "GET / HTTP/1.0\n\n"
# HTTP 1.1
"GET / HTTP/1.1\r\nHost: server.com\r\n\r\n" or "GET / HTTP/1.1\r\nHost: server.com\r\nConnection: close\r\n\r\n"
# 或者
GET /index.html HTTP/1.1\r\nHost: host.domain.com\r\nConnection: Close\r\n\r\n
11、清除设备告警
# i系列清除lcd警告
tmsh reset-stats sys alert lcd
# 其他除VIPRION清除lcd告警
BIG-IP 12.1.5, BIG-IP 13.1.0 and later
for i in 0 1 2 3 4 5; do lcdwarn -c "${i}"; done
BIG-IP 13.0.0, BIG-IP 12.1.4 and earlier
for i in 0 1 2 3 4 5; do lcdwarn -c "${i}" 0; done
# 官方文档:https://support.f5.com/csp/article/K11094>
12、三角传输 loopback 接口配置
cat ifcfg-lo:1
DEVICE=lo:1
IPADDR=10.10.1.1
NETMASK=255.255.255.255
ONBOOT=yes
NAME=loopback1
13、F5 大文件查询
find /usr/ -xdev -type f -exec du {} \; | sort -rn | head -20
14、禁用httpd支持的密码套件
示例:禁用DES密码
禁用前:
root@(localdns3)(cfg-sync Disconnected)(LICENSE EXPIRED)(/Common)(tmos)# list sys httpd ssl-ciphersuite
sys httpd {
ssl-ciphersuite ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-SHA:ECDHE-RSA-AES256-SHA:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES128-SHA:ECDHE-ECDSA-AES256-SHA:ECDHE-ECDSA-AES128-SHA256:ECDHE-ECDSA-AES256-SHA384:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA:AES256-SHA:AES128-SHA256:AES256-SHA256:!3DES
}
禁用:
root@(localdns3)(cfg-sync Disconnected)(LICENSE EXPIRED)(/Common)(tmos)# modify sys httpd ssl-ciphersuite '"ssl-ciphersuite ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-SHA:ECDHE-RSA-AES256-SHA:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES128-SHA:ECDHE-ECDSA-AES256-SHA:ECDHE-ECDSA-AES128-SHA256:ECDHE-ECDSA-AES256-SHA384:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA:AES256-SHA:AES128-SHA256:AES256-SHA256:!3DES:DES"'
官方KB:https://support.f5.com/csp/article/K61363565
15、Xshell 连接F5记住密码登录
默认 Xshell 连接 F5 设备需要键盘交互输入密码,无法记住密码。希望下次登录记住密码直接登录。
优化方式:登录 F5 设备 修改 sshd 配置,如下所示:
vim /run/config/sshd_config
# 配置允许root登录
PermitRootLogin yes
# 允许用密码方式登陆
PasswordAuthentication yes
# 把上述参数前面的#注释去掉
# 把上述参数的no改成yes
# 按键【Esc】,输入:wq!,即保存并退出编辑状态
重启 SSHD 服务
systemctl restart sshd
16、清除LTM会话保持
tmsh delete ltm persistence persist-records virtual virtual_名称
17、查看 F5 第三方服务版本
https://support.f5.com/csp/article/K65097545
18、查看 F5 14版本所支持密码套件,其他版本也通过本链接进行跳转
https://support.f5.com/csp/article/K54125331
19、查看 F5 操作系统信息(操作系统和内核版本等)
https://support.f5.com/csp/article/K3645
20、F5 external monitor 脚本(仅供参考)
#!/bin/bash
server=192.168.6.80
port=8080
status=`curl -s -X GET "http://${server}:${port}/test/" -H "accept: */*"`
if [ $status -eq 1 ]; then
echo "UP"
fi
exit
请问 这是什么程序源码啊