IPMI: Supermicro szerverek konfigurálása és távoli kezelése. Quantor – rendszerintegrátor Szerverkezelés a SuperMicro IPMICFG segédprogramján keresztül

Nem is olyan régen sikerült új szerverekkel dolgoznom a számomra Supermicro amelynek távvezérlése az interfész segítségével történik IPMI. Ebben a cikkben megpróbálom lefedni a Supermciro szerverek IPMI-beállításainak főbb pontjait, bemutatni az IPMI-felület főmenüpontjait, valamint beszélni további segédprogramokról, parancsokról és a szerver ipmi segítségével történő figyelésének módjairól.

IPMI(Intelligent Platform Management Interface) egy intelligens platformkezelő interfész, amelyet közvetlenül a szerverplatformok hardverébe és firmware-ébe épített funkciók autonóm megfigyelésére és kezelésére terveztek. (Az információ hivatalos forrásból származik). Az IPMI külön szervervezérlőként van megvalósítva, amely nem függ a szerver operációs rendszerétől, BIOS-ától, CPU-jától, és lehetővé teszi a fizikai berendezések távoli vezérlését.

Az IPMI konzol kezdeti konfigurálása és az interfész ismerete

Az IPMI beállítása az interfész IP-címének beállításával kezdődik, amelyet meg kell adni a BIOS-ban. Ha a szerver az irodában van telepítve, ez lehet szürke IP-cím, de ha a berendezése az adatközpontban található, akkor valószínűleg fehér statikus IP-címet használ.

Supermicro szervereken a BIOS a „ gomb megnyomásával érhető el. Del” a szerver betöltésekor nem fogok erre összpontosítani, és azonnal megyek magának a BIOS felületére.

Ahogy a képernyőképen is látható, beléptem az IPMI menüpontba, és aktiváltam az interfész Lan konfigurációs opcióját (Update IPMI Lan Configuration=Yes, Configuration Address Source = Static), megadtam az IP címet, alhálózati maszkot és alapértelmezett átjárót.

A beállításokat a gombra kattintva tudja alkalmazni. F4, ami után a szerver újraindul.

Ha mindent jól csinált, akkor az IPMI interfészhez megadott IPMI IP böngészőben történő megadásával megnyílik az engedélyezés:

Most menjünk végig a főbb pontokon.

Új szerver vásárlásakor már létrejött egy felhasználó az IPMI-ben ADMIN jelszóval ADMIN, ezekkel az adatokkal engedélyezzük. Mindig azt javaslom, hogy hozzon létre egy új felhasználót, és törölje a normál felhasználót vagy módosítsa a jelszavát, így egy ilyen felhasználónév és jelszó elhagyása rendkívül nem biztonságos. A menüben létrehozhat új felhasználót, vagy módosíthatja a jelenlegi jelszavakat / jogosultságokat Konfiguráció -> Felhasználók.

Az IPMI felület újraindítása a menüből történhet Karbantartás -> Egység visszaállítása.

Az operációs rendszer iso képének beszerelése a szerverre történő telepítéshez a menüben történik Virtuális média -> CD-ROM kép.

Az én operációs rendszer iso képei a Samba szerveren vannak tárolva ugyanazon az alhálózaton, mint a szerverek IPMI interfészei. Megadom a Samba szerver címét, a telepítési ISO képfájl elérési útját az operációs rendszerrel, majd felcsatolom az ISO lemezképet és folytatom az operációs rendszer telepítését.

A szerver távoli grafikus Java konzolja ( KVM-over-IP) keresztül nyitható meg Távirányító -> Konzol átirányítás.

A konzol általában kényelmes, de az operációs rendszer telepítése után általában ssh klienseket használok a szerverrel való együttműködéshez. Néha előfordul, hogy ez nem lehetséges, például ha a kiszolgálón lévő hálózat nem működik, vagy még nincs konfigurálva, vagy hozzáférési problémák vannak. Ekkor jön a Remote Console segítségére.

Magában a konzolban nem kell külön beállításokat végezni, csak annyit szeretnék hozzátenni, hogy van benne beépített billentyűzet, ami a menüből hívható Virtuális média -> Virtuális billentyűzet.

Tanács. Miután hosszú ideig dolgoztam a SUpermicro szerverekkel, találtam egy bosszantó hibát. A Centos 7 operációs rendszer telepítése és a KVM telepítése után megszűnik a Remote Console használatának lehetősége. Amíg a szerver betöltés alatt áll, a konzol válaszol, és beléphet a Biosba, vagy megnézheti az operációs rendszer kernelének betöltését. De amint az operációs rendszer elindul, a videó eltűnik a konzolból. Kísérletezéssel sikerült legyőznöm ezt a hibát. Hozzá kell adni a nomodeset rendszerindítási paramétert a kernel rendszerindításához. Ehhez az operációs rendszer telepítése után futtassa a parancsot:

mocskos --args "nomodeset" --update-kernel /boot/vmlinuz-`uname -r`

Ezt követően a Remote Console megfelelően működik.

Szerverkezelés a SuperMicro IPMICFG segédprogramján keresztül

A kiszolgálók IPMI-n keresztüli kezelésére a SuperMicro saját segédprogramot fejleszt IPMICFG.

Az IPMICFG fájlt a következő paranccsal töltheti le:

wget ftp://ftp.supermicro.com/utility/IPMICFG/IPMICFG_1.30.0_build.190710.zip

Közzétételkor a fájlnak ez volt a neve, javaslom a SuperMicro repository felkeresését a hivatkozás segítségével ftp://ftp.supermicro.com/utility/IPMICFG/és másolja ki a tényleges fájl URL-jét.

Csomagolja ki a letöltött fájlt abba a könyvtárba, ahol vagyunk:

ln -s /root/IPMI*/Linux/64bit/IPMICFG-Linux.x86_64 /usr/local/sbin/ipmicfg

Most már futtathatjuk a segédprogramot az ipmicfg paranccsal (szimbolikus hivatkozás). Tekintsük az ipmicfg segédprogram alapvető szolgáltatásait.

Ha lefuttatjuk az ipmicfg -help parancsot, akkor listát kapunk az összes lehetséges segédprogramról.

Elemezzük a főbb parancsokat:

• ipmicfg -help - teljes segítség a segédprogramhoz;
• ipmicfg -m - az IPMI aktuális IP- és Mac-címének megtekintése;
• ipmicfg -k - az alhálózati maszk megtekintése;
• ipmicfg -g - a megadott átjáró megtekintése;
• ipmicfg -fd - az IPMI visszaállítása a gyári beállításokra;
• ipmicfg -user list - A létrehozott felhasználók és jogosultságaik megtekintése.

Megváltoztathatja az IPMI interfész IP-címét, maszkját és átjáróját:

• ipmicfg -m 192.168.1.200
• ipmicfg -k 255.255.255.0
• ipmicfg -g 192.168.1.1

Hozzon létre egy új IPMI felhasználót és jelszót:

ipmicfg -user add

A segédprogram segítségével a következőket tesszük:

ipmicfg -user add 6 teszt 123456 4

Így létrehoztunk egy tesztfelhasználót 123456 jelszóval és rendszergazdai jogosultságokkal.

Az IPMI felhasználók listája és jogosultságaik a rendszerben a következő parancsokkal jeleníthetők meg:

• ipmicfg -felhasználók listája
• ipmicfg -user help

Amint a képernyőképen látható, a tesztfelhasználó létrejött.

Egy IPMI-felhasználó jelszavának megváltoztatásához (visszaállításához) használja a következő parancsot:

ipmicfg -user setpwd

És adok még néhány példát ennek a segédprogramnak a használatára:

• ipmicfg -hostname - az ipmi interfész gazdagépnevének beállítása;

Hardver figyelése SuperMicro szerveren IPMI-n és az IPMICFG segédprogramon keresztül

SuperMicro Server Monitoring IPMI-n keresztül

Az IPMI-n keresztül a SuperMicro szerver hardverének hőmérsékletének és működésének figyelése meglehetősen egyszerű. A szerver hardverével kapcsolatos teljes információ a Rendszer -> Hardverinformáció menüpontban található.

A processzor, a RAM és a ventilátorok állapotával kapcsolatos információkat a Kiszolgáló állapota -> Érzékelőolvasási lapon tekintheti meg.

A megtekintés megkönnyítése érdekében módosíthatja az érzékelők megjelenítési kategóriáit, például a hőmérsékletet:

Vagy feszültségérzékelők:

óta ben Ebben a pillanatban szerverünkön nincs probléma sem hőmérséklettel, sem feszültséggel, minden érzékelő zöld zónában van. Ha a szerver hőmérséklet- vagy feszültségproblémákat tapasztal, a zöld téglalapok pirosra váltanak, jelezve, hogy a szerver tesztelése folyamatban van.

Megfigyelés az ipmicfg segédprogrammal

A tápegységek állapotának ellenőrzése:

# ipmicfg -pminfo

tétel | Érték ---- | ----- Állapot | (00h) Bemeneti feszültség | 217,5 V bemeneti áram | 1,06 A fő kimeneti feszültség | 12,28 V fő kimeneti áram | 17,93 A Hőmérséklet 1 | 23C/73F Hőmérséklet 2 | 21C/70F ventilátor 1 | 2064 RPM 2. ventilátor | 2032 RPM fő kimeneti teljesítmény | 220 W bemeneti teljesítmény | 228 W PMBus Revision | 0x22 PWS sorozatszám | P2K4FCH02LT0125 PWS modul száma | PWS-2K04F-1R PWS Revízió | REV1.0 Aktuális megosztási vezérlés | PEC hiba | tétel Érték ---- | ----- Állapot | (00h) Bemeneti feszültség | 217,5 V bemeneti áram | 1,09 A fő kimeneti feszültség | 12,30 V fő kimeneti áram | 18.09 A Hőmérséklet 1 | 24C/75F Hőmérséklet 2 | 22C/72F ventilátor 1 | 2064 RPM 2. ventilátor | 2064 RPM fő kimeneti teljesítmény | 223 W bemeneti teljesítmény | 234 W PMBus Revision | 0x22 PWS sorozatszám | P2K4FCH02LT0126 PWS modul száma | PWS-2K04F-1R PWS Revízió | REV1.0 Aktuális megosztási vezérlés | PEC hiba

A processzor hőmérsékletét a következő paranccsal tekintheti meg:

ipmicfg -nm oemgettemp

Azt is ellenőrizheti, hogy a ventilátorok milyen üzemmódban vannak, és szükség esetén módosíthatja az üzemmódot.

Ventilátor állapotának és konfigurációjának ellenőrzése

# ipmicfg -fan

A jelenlegi ventilátorsebesség-mód [PUE2 optimális mód] Támogatott ventilátor üzemmódok: 0:Normál 1:Teljes 3:PUE2 Optimális 4:Heavy IO

A hűtő üzemmód megváltoztatása: ipmicfg -fan Például ipmicfg -fan 3

IPMI verzió és firmware információ:

# ipmicfg -nm eszközazonosító

Eszközazonosító = 50 órás Firmware verzió = 4.1.4.54 IPMI verzió = 2.000000 Gyártói azonosító = 57 01 00 Termékazonosító Minor Ver = Greenlow platform Megvalósított DCMI verzió = DCMI nincs implementálva/engedélyezve A firmware implementált verziója = NM image Flag 4 raw működés. = 50 01 04 14 02 21 57 01 00 09 0b 04 05 40 01

És az ipmicfg -sdr paranccsal láthatja az összes érzékelőt

A kimenetben azt látjuk, hogy vannak további oszlopok, amelyek információkat jelenítenek meg az alsó és felső határ határértékeiről.

Jó néhány segédprogram is használható ennek a folyamatnak a megfigyelésére és automatizálására, például a nagiosokkal. Jelenleg nem erre összpontosítunk, mivel a cikk célja, hogy elmondja az IPMI-vel való munka főbb pontjait. Ha érdekli a monitorozás témaköre, akkor elmondhatja kívánságait, és talán a jövőben ezzel a témával is foglalkozunk. Remélem, ez a cikk hasznos lesz számodra!

A modern szerverek túlnyomó többsége rendelkezik IPMI/BMC interfésszel a szerver távoli kezeléséhez. Ez az eszköz hozzáférést biztosít a kiszolgáló virtuális billentyűzetéhez és képernyőjéhez a TCP/IP protokollon keresztül. Ma kitérünk az IPMI biztonságkutatás történetére, áttekintjük a támadási vektorokat és azok továbbfejlesztését az IPMI segítségével.

IPMI olyan specifikációk halmaza, amelyek szabályozzák, hogyan kell kommunikálni és mit kell biztosítani.
Minden gyártó igyekszik betartani ezeket az előírásokat.
haditengerészet egy vasburkoló az IPMI működéséhez. Ez egy egylapos számítógép (rendszer egy chipen), csápokkal a fő érzékelőkben. Minden gyártó kiválasztja, hogy milyen hardvert használ, és hogyan kombinálja azt, ami természetes. Minden példánkat megtekintheti a Hewlett-Packard (HP) integrált fénykimenetén (iLO). A HP iLO csak egy csomag BMC/IPMI. Más gyártóknak saját nevük, hardver- és szoftvermegvalósításuk van. De általában ez egy egylapos számítógép ARM processzorral és Linuxszal a fedélzeten.
Az ilyen eszközök fő funkciója, hogy megkönnyítsék és kényelmesebbé tegyék az adminisztrátorok életét: nem kell a szerverre futni és megnyomni a Reset gombot / telepíteni egy új rendszert / megnézni, miért nem indul el. Most már csatlakozhat az IPMl/BMC-hez, és mindezt távolról is megteheti. Ezenkívül lehetővé válik a különböző hőmérséklet-érzékelőktől származó információk fogadása,
feszültség és így tovább, ami szintén nagyon kényelmes.

ELLENŐRZÉS

Számos vezérlő interfész létezik:
- webes felület (szállítótól függően);
- IPMI LAN-on keresztül (UDP 623);
- a szerveren lévő telepített rendszerről (feltéve, hogy a gyártótól származó illesztőprogramok telepítve vannak). Használt szoftverek: WMI Windows alatt, OpenlPMI, IPMltool Linux alatt.

A webes felülettel minden világos. Minden szállító maga dönti el, hogyan néz ki és hogyan valósítja meg. A második és a harmadik interfész hasonló, de az átviteli közeg eltérő. Az IPMI over LAN esetén, ahogy sejthető, a parancsok a hálózaton keresztül a 623-as UDP-portra kerülnek. A telepített rendszerből az IPMI-parancsok egy eszközfájlon, általában a /dev/ipm iO-n keresztül kerülnek elküldésre, amely a telepítés után jelenik meg. a sofőr. Az IPMI-vel való interakció szabványos segédprogramja az IPMltool GNU/Linux alatt, mivel a legkönnyebben használható.

MIT KELL PENTESTER IPMl/BMC

Annak ellenére, hogy az IPMl/BMC sebezhetőségi jelentést még 2013 nyarán tették közzé, jelenleg nagyon sok a sebezhető rendszer. Nagyon gyakran bármely öltöny IPMl / BMC-je megtalálható a keresőn keresztül. Természetesen az ilyen rendszereket nem szabad kívül tartani. Főleg belső penetrációs tesztek során találkozunk velük. Az egyik legegyszerűbb ilyen rendszert használó támadási vektor az IPMI/BMC segítségével történő szerver-eltérítés.

Miután megszerezte adminisztrátori hozzáférést az IPMl / BMC-hez (ahogy később látni fogjuk, ez egyáltalán nem nehéz), csatlakozhat a VirtualConsole-on (más néven KVM) keresztül, és például visszaállíthatja a root jelszót, vagy használhatja a LiveCD-t a hash kiíratásához és helyi felhasználók, ha Windowsról van szó. Jó szerencsével még olyan konzolt is elkaphatsz, amelyről a root elfelejtett kijelentkezni (ez nagyon gyakran előfordul virtuális gépek). Az IPMI viszont arra is használható, hogy a rendszer teljes újratelepítése után visszanyerje a hozzáférést a szerverhez.
Az IPMI/VMS-hez való hozzáférés az operációs rendszeren keresztül maximális jogosultságokkal lehetséges jelszó használata nélkül, vagyis egyáltalán nincs szükség engedélyezésre. Ebben az esetben a támadó egyszerűen létrehoz egy adminisztratív IPMl/BMC fiókot. Ha elveszíti hozzáférését a szerverhez, akkor az IPMl / BMC-hez megy, és visszaadja a becsületesen megkeresett árut. Általánosságban elmondható, hogy az IPMl / BMC kapcsolatát a fő számítógéppel még nem vizsgálták alaposan. Ez egy fel nem szántott mező a hibák és szolgáltatások keresésére. Tekintettel a szervereiken ezt megvalósító szállítók számára, egy "gazdag belső világról" beszélhetünk.

KÖZTANULMÁNYOK

Dan Farmer először hívta fel a figyelmet az IPMI és a haditengerészet biztonságára. Teljes riportjával, amely sokatmondó címet viseli Tehervonat a pokolba. Megvizsgáljuk a legérdekesebb pillanatokat a hackelés szempontjából.
Dan kutatásai alapján az IPMl/BMC sebezhetőségei két nagy kategóriába sorolhatók:

egyedi hibák a gyártóktól (például webes felület biztonsági rései);
Az IPMI protokoll biztonsági rései.

Valójában Dan sok érdekes dolgot kiásott, erről lentebb.

NULL hitelesítés

Leírás
A biztonsági rés lehetővé teszi a hitelesítés megkerülését. Csak az IPMI 1.5-ben van jelen. A működés lehetővé teszi az eszköz vezérlését a hitelesítés letiltásának egyszerű aktiválásával. A jogosultságok szállítókonként eltérőek, de általában a legmagasabbak.

Eladók
- HP
- Dell
- Supermicro.

Feltételek
Nyissa meg az UDP 623 portot, IPMI 1.5, meglévő felhasználói bejelentkezés.

ipmtiool -A NINCS -H targetIP bmc guid

IPMI hitelesítés megkerülése a 0. titkosításon keresztül

Leírás
A biztonsági rés lehetővé teszi a hitelesítés megkerülését. A hiba az IPM I verziónál jelent meg
2.0. Ebben a felülvizsgálatban úgy döntöttünk, hogy hozzáadjuk a titkosítást. A működéshez szükséges
tudja, hogy a bejelentkezés érvényes fiókot, de nem kell tudnia a jelszót -
bármelyiket megadhatja.

Eladók
- HP
- Dell
- Supermicro.

Feltételek

Nyissa meg az UDP 623 portot, IPMI 2.0, meglévő felhasználói bejelentkezés.

Metasploit - Auxiliary/scanner/ipmi/ipmi_cipher_zero ipmitool -I lanplus -C 0 -H targetIP -u Administrator -P anypassworditt felhasználói lista

IPMI 2.0 RAKP hitelesítés távoli jelszó-kivonatlekérése

Leírás
A biztonsági rés lehetővé teszi az illetéktelen felhasználók számára, hogy kivonatolt felhasználói jelszavakat szerezzenek a későbbi brutális erőszakhoz. A hiba az IPMI specifikáció 2.0-s verziójában jelent meg

Eladók
- HP
- Dell;
- Supermicro.

FELTÉTELEK

Nyissa meg az UDP 623 portot, az IPMI 2.0-t és érvényes felhasználói bejelentkezéseket.

Metasploit – segédprogram/scanner/ipmi/ipmi_dumphashes http://fish2.com/ipmi/tools/rak-the-ripper.pl

IPMI Anonymous Authentication / Null felhasználó

Leírás
Egyesek null felhasználónak, mások névtelen hitelesítésnek hívják. Valaki megosztja ezt a két sebezhetőséget, valaki nem. Alapértelmezés szerint null user / anonymous - "" (üres karakterlánc). Ha azt mondják, hogy null user, akkor a jelszava is üres. Ha anonim hitelesítést mondanak, akkor a pass admin, és mindenért az ATEN-Software-es IPMI chipek a hibásak.
Dan kutatásai során ezt két különböző sebezhetőségnek tekinti. A Rapid7 dokkolójában pedig egy szó sincs null userről.

Eladók:

HP
Dell
Supermicro (IPMI chipek használata ATEN-szoftverrel).

Feltételek

Nyissa meg az UDP 623 portot.

Metasploit -auxiliary/scanner/ipmi/ipmi_dumphashes ipmitool -I lanplus -H targetIP -U "" -P "" felhasználói lista

Supermicro IPMI UPnP sebezhetőség

Leírás
A Supermicro rendelkezik UPnP SSDP szolgáltatással az 1900-as UDP-porton. Sebezhető a puffer túlcsordulása miatt.

Eladók
Supermicro.

Feltételek
Nyissa meg az 1900-as portot.

metasploit exploit/multi/upnp/libupnp _ssdp_overflow metasploit auxiliary/scanner/upnp/ssdp_msearch

Supermicro IPMI tiszta szövegű jelszavak

Leírás
Az IPMI 2.0 specifikációja azt jelenti, hogy a világos szövegű jelszavakat valahol tárolni kell. Supermicro esetén a firmware-től függően az /nv/PSBlock vagy az /nv/PSStore könyvtárban találhatók.
Ezenkívül a Nuvoton WPCM450 BMC-megvalósításaiban a 49152-es TCP-porton lefagy egy szolgáltatás, amely lehetővé teszi a / nv könyvtárban lévő fájlok tartalmának olvasását, például a PSBlock, a server.pem és így tovább.

Eladók
Supermicro.

Feltételek
Shell hozzáférés

Cat /nv/PSBlock echo (GET /PSBlock" 1 nc targetIP 49152

Ami a sebezhetőséget illeti: "NULL hitelesítés / IPMI Authentication Bypass via Cipher O", "IPMI 2.0 RAKP Authentication Remote Password Hash Retrieval", "IPMI Anonymous Authentication" - mindez meg van írva az IPMI specifikációban.
A kutatók alaposan tanulmányozták, miközben a hitelesítési és titkosítási mechanizmusokra összpontosítottak. A Supermicro firmware UPnP szolgáltatásában található tetszőleges kódvégrehajtási rés (Supermicro IPMI UPnP Vulnerability) a CVE-2012-5958 (BoF a libupnp-ben) sérülékenységhez kapcsolódik. Az általunk érintett többi sebezhetőséget a Supermicro X9 alaplapokhoz készült Supermicro firmware elemzésével találtuk meg, és a hangsúly a webért felelős kód elemzésén volt.

KÉZEK A LABORON

Vessünk egy pillantást az IPMI sebezhetőségeinek kihasználására szolgáló szabványos sémára.
A jól ismert Metasploit keretrendszerben elérhető ipmi_version modul segítségével ellenőrizheti a hálózat kerületét. Ha már a belső szegmensben vagy, és nincs mód a Metasploit telepítésére/használatára, akkor egy egyszerű ipmiping vagy rmcpping segédprogrammal meg lehet oldani.
Amint lehetséges volt a nyitott IPMI-k észlelése, először ellenőrizni kell, hogy nincs-e bennük "Authentication Bypass via Cipher O" sebezhetőség (lásd fent). Ha jelen van, akkor megteheti a felhasználói kivonat törlése nélkül, és egyszerűen visszaállíthatja a rendszergazdai jelszót, vagy hozzáadhatja a sajátját. Fontos: a biztonsági rés kihasználásához ismernie kell a fiók naplóit, esetünkben a fióknak rendszergazdai jogosultságokkal kell rendelkeznie. Először is nézze meg a felhasználói hash dump és az azt követő brutális erőszak esetét.

A Metasploit modul használata ipmi_dumphashes lehetőségünk van felhasználói hash-ek gyűjtésére. Fontos: a felhasználó bejelentkezési nevének ismerete nélkül nem lehet elérni a hash-t. A Beállításokban ipmi_dumphashes bejelentkezési adatokkal megadhatja a fájl elérési útját, például ha az adminisztrátorok létrehoztak maguknak fiókokat. Az alapértelmezett fájl tartalmazza az összes szállító alapértelmezett bejelentkezési adatait. A brutális hash-ek támogatottak: oclHashcat, és Hasfelmetsző János -val óriási- javítások (közösségi kiadás). Johnt a githubból kell venni, mint a hivatalos weboldalon elavult verzió a szükséges formátum támogatása nélkül. legújabb verzió oclHashcat, jelenleg 1,30, mindent támogat a dobozból.

Ha HP ilO4 hash van a kezében, akkor szerencséje van. A helyzet az, hogy gyári beállításkor az Adminisztrátor fiók alapértelmezett jelszava nyolc karakter hosszú - nagybetű + numerikus. Szerény kapacitásomnál egy ilyen érték keresése körülbelül fél órát vesz igénybe.

Ha van sebezhetőség titkosítás Ó nélkülözheti a brute force hash-eket és visszaállíthatja a jelszót. Ehhez olyan segédprogramokra van szükségünk, amelyek az IPMitool. A GNU/Linux alatti fordítás nem vet fel kérdéseket. De Windows alatt táncokat kell rendeznie egy tamburával Cygwin. Az adminisztrátor hozzáadásához szükséges műveletek sorrendje a következő:

1. Megnézzük, mely felhasználók vannak jelen, és a következő ingyenes azonosítót használjuk.

Ipmitool -I lanplus -c 0 -H 1.1.1.1 -U rendszergazda -P tetszőleges jelszó itt a felhasználói lista

2. Állítsa be felhasználónk bejelentkezési adatait.

Ipmitool -I lanplus -C 0 -H 1.1.1.1 -U rendszergazda -P tetszőleges jelszó itt a felhasználókészlet neve hacker

3. Állítson be jelszót.

Ipmitool -I lanplus -C 0 -H 1.1.1.1 -U rendszergazda -P anypasswordide felhasználói jelszó hackerpass

4. Adminisztrátorrá tesszük.

Ipmitool -I lanplus -C 0 -H 1.1.1.1 -U Administrator -P anypasswordhere user priv 4

5. Aktiválja az újonnan létrehozott fiókot.

Ipmitool -I lanplus -C 0 -H 1.1.1.1 -U rendszergazda -P tetszőleges jelszó itt felhasználói engedélyezés

A kivonatok feltörése, a jelszavak visszaállítása vagy új rendszergazda felvétele után lehetősége van bejelentkezni a webes felületen, az SSH to SMASH-ba, vagy csatlakozni egy távoli asztalhoz, a la KVM-hez.
Különösen értékes a KVM switch, mivel közvetlenül magához a konzolhoz biztosít hozzáférést, ezáltal lehetővé teszi a BIOS elérését, az operációs rendszer telepítését és hasonlókat. A megvalósításhoz KVM kapcsoló minden eladó felelős. Például az NR
Az ilO4 ehhez az 17988-as és 17990-es TCP-portokat, a Dell iDRAC7 az 5900-as TCP-portot, a Cisco ICM 2068-as TCP-portját használja.

Említést érdemel a HP BladeSystem Onboard Administrator. A HP BladeSystem az a ház, amely a blade szerverekhez csatlakozik. Tehát ez a ház lehetővé teszi a blade szerverek központi kezelését IPMI használatával. Ebben az esetben a „Slave” IPMI engedélyezése az egyszeri bejelentkezési mechanizmus segítségével történik. Mindössze annyit kell tennie, hogy megszerezze a rendszergazdai jogosultságokkal rendelkező felhasználó hash-jét, és a webes felület segítségével csatlakozzon az Önt érdeklő szerverhez.

A HP il04 másik érdekes funkciója az, hogy a TEXTCONS paranccsal közvetlenül kapcsolódhat egy KVM szerverhez a SMASH-ból (értsd: SSH). Ez nagyon hasznos, ha a 80-as, 443-as, 17990-es port zárva van.. Ehhez rendszergazdai jogokra lesz szüksége, de mi a különbség?
Rendszergazdának lenni nem olyan nehéz. Személyesen neked, olvasó, elkészítettem az ipmicd programot C nyelven Windows/Linux rendszerre. Lehetővé teszi egy sor cím vizsgálatát az IPMl / BMC jelenlétére, valamint a kivonatok kiíratására (a Metasploit ipmi_dumphasheséhez analóg). A programokat arra az esetre tervezték, amikor a Metasploit használata nem a legjobb ötlet, például az IPMl / BMC valahol messze vannak, ahol a Metasploit nem dobható.

A segédprogram elérhető a GitHubon. Nagyon könnyen használható:

1. A -p kapcsolót akkor használja, ha egy adott tartományt kell vizsgálni.
2. A -d kapcsoló megadja, hogy kapjon-e kivonatolt jelszót.
3. A -v N paraméter határozza meg a naplózás mértékét a működés közben 0..5. Ha N = 1, a program ujjlenyomatokat ad ki.

A különböző paraméterek kombinálásával befolyásolhatja a program viselkedését. Például a -d és -p kapcsolók együttes használatakor a program csak az IPMl pingekre válaszoló rendszerektől próbál kivonatokat kérni. Csak a -d kapcsoló használata megpróbálja lekérni a hash-eket az összes címről, ami általában irreálisan lassú. Ha valami kétséges, akkor használhatja a -v 5 opciót - a program kényelmes formátumban jeleníti meg a fogadott üzeneteket. A Linux alatti fordításhoz csak a GCC-re van szüksége - gcc ipmicd.c -static -o ipmicd. Ha Windowson használja, fordítsa le a MinGW használatával gcc ipmicd.c -mno-ms-bitfields -lws2_32 -DMINGW.

KÖVETKEZTETÉS

Néhány szó a high-ről: az IPMl / BMC különböző gyártóinak lehetőségeinek és megvalósításának tanulmányozása még csak most kezdődik. Ez nem csak a webes felületet vagy a SMASH-t foglalhatja magában, hanem az operációs rendszerek illesztőprogramjait is, amelyek lehetővé teszik az IPMI/BMC szerver távvezérlési technológiáival való interakciót a telepített rendszerről. Belső szolgáltatások, amelyek megvalósítják az információcserét az IPMl / BMC-ben. Még magának a haditengerészetnek a „vas” megvalósítása és az is, hogy pontosan hogyan kezeli a fő szervert, a hatálya alá tartozhat. Az adminisztrátoroknak azt javaslom, hogy minden rendszerükön ellenőrizzenek nyilvános biztonsági réseket, és lehetőség szerint javítsák ki ezeket. A legfontosabb ajánlás, amit szeretnék az olvasónak adni, hogy maximálisan figyeljen az Ön által irányított berendezés beállításaira.

Az összes bérelhető szerver IPMI (Intelligent Platform Management Interface) vezérlővel van felszerelve, amely lehetővé teszi a távoli kapcsolat (KVM) be- és kikapcsolását, ISO-képek csatlakoztatásának lehetőségével, valamint hozzáférést biztosít az aktuális állapotra vonatkozó információkhoz. a szerverről.

Az IPMI segítségével a szerver kiadása után telepíthető lesz az operációs rendszer és a szerver kezdeti konfigurációja. Mivel az IPMI-vezérlő külön kábelen keresztül csatlakozik, és saját IP-címmel rendelkezik, még akkor is, ha elveszíti hozzáférését az operációs rendszerhez, mindig távolról kezelheti a szervert közvetlen fizikai hozzáférés nélkül.

Hogyan telepítsem az OS-t?

Az operációs rendszer telepítéséhez csatlakoznia kell az IPMI-kiszolgálóhoz az Önnek megfelelő módszerek egyikével: a webes felületen vagy az IPMIView program segítségével. A cikk mindkét lehetőséget leírja, de javasoljuk a második módszer használatát.

Webes felület

A webes felületen keresztüli csatlakozáshoz írja be az IPMI címet a böngésző címsorába, és jelentkezzen be. Az engedélyezéshez szükséges címet és részleteket a szerverhez való hozzáféréssel rendelkező levélben vagy a személyes fiókjában találja. Ezután lépjen a Remote Control -> Console Redirection fülre, és kattintson a Konzol indítása gombra.

Az 1. eszköz részben válassza ki az ISO fájlt a Logikai meghajtó típusa legördülő listából, és adja meg a lemezen lévő kép elérési útját a Kép megnyitása gombbal, majd csatlakoztassa a képet a Plug In gombbal.

A kép csatlakoztatása után indítsa újra a szervert a Power Control részben ->

Egyes szerverek akár három eszköz csatlakoztatását is lehetővé teszik a Virtuális média -> Virtuális tárhely alatti Eszköz 2 vagy Eszköz 3 lapok használatával. Ez akkor lehet hasznos, ha további illesztőprogramokat kell telepítenie a telepítés során.

Ha Windows operációs rendszert kíván telepíteni a kiszolgálóra, akkor átadhatja a Ctrl+Alt+Del billentyűkombinációt a Makró - Makró részben.

Útmutató az IPMI firmware régebbi verzióiban a webes felület használatához

IPMIView

A Supermicro IPMIView program használatához le kell töltenie a hivatalos webhelyről, megadva adatait, vagy közvetlenül az ftp-kiszolgálóról: https://www.supermicro.com/wftp/utility/IPMIView/

A program telepítése és futtatása után a Fájl - Új - Rendszer részben hozzá kell adnia a szerverét.

Rendszernévként adja meg szervere nevét, majd az IP-cím oszlopba írja be az IPMI-címet, amelyet a szerver hozzáféréssel rendelkező levélben vagy a személyes fiókjában talál. Győződjön meg arról, hogy nincs szóköz a sor végén a cím oszlopban, majd kattintson az OK gombra.

A bal oldali listában kattintson duplán a hozzáadott szerver nevére, ami után megjelenik az engedélyezési ablak. Töltse ki a levélben szereplő adatok segítségével, ill személyes fiókés kattintson a Bejelentkezés gombra. Sikeres csatlakozás esetén megjelenik a Connected felirat, és az ablak alján további fülek jelennek meg a szerver kezeléséhez.

A szerver távoli kezeléséhez lépjen a KVM konzol részre, és kattintson a KVM konzol indítása gombra.

A további lépések hasonlóak az átdolgozáshoz

Az IPMIView programmal újraindíthatja, be- vagy kikapcsolhatja a szervert az IPMI-eszköz lapon.

Számos technológia és termék áll rendelkezésre ahhoz, hogy a hálózati rendszergazdák maximalizálják a szerver üzemidejét. Ezért szükséges volt, hogy az irányítási szabványok mindenki számára azonosak legyenek. A mai napig az IPMI szabvány (Interface intelligens vezérlés platform) az egyik legfontosabb nyílt szabvány, és minden Supermicro platformon jelen van.

A legtöbb Supermicro alaplap tartalmaz egy dedikált bővítőhelyet, amely támogatja az IPMI 2.0 (IPMI over LAN) kártyákat. Az IPMI technológia lehetővé teszi a szerver távoli kezelését és visszaállítását, függetlenül annak állapotától és állapotától. A távoli felügyeleti konzollal való kommunikáció a beépített hálózati vezérlővel történik, további sávszélességet használva. Ez egy hardveres megoldás, amely nem függ az operációs rendszertől. Az IPMI 2.0 gyors és olcsó módja a szerver távoli kezelésének, figyelésének, diagnosztizálásának és visszaállításának.

Mivel az IPMI teljesen független az operációs rendszertől, a rendszerek felügyelete, kezelése, diagnosztikája és helyreállítása akkor is elvégezhető, ha az operációs rendszer „lógott”, vagy a szerver ki van kapcsolva. Az IPMI technológia az összetevők visszaállításának szükségességéről szóló értesítések megjelenítésének funkcióit valósítja meg – ez lehetővé teszi a rendszer állapotának nyomon követését és az esetleges hardverproblémák fellépése előtti reagálást. Az ilyen problémák valószínűségét a hardverfigyelő funkció is csökkenti. A kiszolgáló hardveres szabotázsát úgy is figyelheti, hogy az IPMI rendszert úgy konfigurálja, hogy észlelje a háznyílásokat. A személyzeti munka biztonságát a többszintű jogok és jelszavak használata az azonosítási és lineáris titkosítási technológiákkal együtt biztosítja. Egyes IPMI 2.0 modulok támogatják a KVM-over-Lan-t. Ez lehetővé teszi a kiszolgálón lévő operációs rendszer távoli belépését és a konfigurálásához szükséges műveletek elvégzését, vagy a szükséges programok telepítését és eltávolítását.

Az IPMI használata egyszerű, mert általában már integrálva van egy szerverbe vagy önálló eszközbe. És ami a legfontosabb, nem igényel pénzügyi kiadásokat. És lehetővé teszi a rendszer kezelését azokban a pillanatokban, amikor a szoftver tehetetlen - például amikor az operációs rendszer "lefagy". Így az IPMI technológia és a meglévő menedzsment eszközök és módszerek tökéletesen kiegészítik egymást. A hatékony szerverkezeléshez pedig szoftveres és hardveres erőforrások felhasználása is szükséges. -

Az IPMI technológia előnyei

• Tápegységek, ventilátorok, feszültség és hőmérséklet távvezérlése a CPU és az operációs rendszer típusától és állapotától függetlenül
• Napló vezetése az aktuális eseményekről
• DOS támogatás, BIOS beállítások, Windows 2003, Linux
• Gombvezérlés a házon: Reset; kikapcsolás; kapcsold be

Jelszó védelem

Altusen IP9001 és IPMI modulok: beágyazott eszközök a számítógép távoli kezeléséhez

A távirányító modulok, amelyek között a KVM kapcsolók a leghíresebbek, általában külső konstrukciók formájában készülnek. De van egy másik eszközosztály is, amelyet szintén arra terveztek, hogy távoli manipulációkat végezzenek szerverberendezésekkel, közvetlenül a vezérelt objektumba építve. Minden rendszergazda nem tudja elképzelni tevékenységét a megbízható szerverekhez való távoli hozzáférés nélkül, és két változatban: a berendezés állapotának távvezérlése és az adminisztrációs funkciók távoli végrehajtása. Ezeket a feladatokat általában egy szöveges konzol vagy egy grafikus asztal elérésével hajtják végre. A távirányítást többféleképpen lehet megszervezni, amelyek közül a legelterjedtebbek a szoftveres eszközök. Gyakorlatilag minden szerver- és tárológyártó kínál szoftvereket a távoli állapotfigyeléshez, kritikus riasztásokhoz és hardveradminisztrációhoz.

Nem az utolsó helyet foglalják el az operációs rendszer által biztosított beépített távoli hozzáférési eszközök, nem számítva az egyes harmadik féltől származó termékeket. De néha a szoftvereszközök tehetetlenek a hibaelhárításban a szerverhez való közvetlen hozzáférés nélkül. Ez például hardverhiba esetén fordul elő, és csak a "hideg" újraindítás vagy akár az áramellátás ki-/bekapcsolásának szükségessége javíthatja a helyzetet. Ilyenkor egy speciális hardveres és szoftveres megoldás jön a segítségre, amely az alaplapra telepített speciális vezérlő. Az áramellátása készenléti forrásból vagy akár autonóm módon történik. Hálózati interfészen keresztül érhető el, ezen kívül lehet még egy csatorna - önálló COM porton vagy modemen keresztül.Egy ilyen vezérlő hozzáfér az alaplapon lévő szenzorokhoz, illetve hardveres visszaállítást és ki/bekapcsolást is tud végezni. Ezeket a funkciókat egy adminisztrátori munkaállomásról vezérlik, amelyre egy kliens van telepítve, amely együttműködik a vezérlőkkel, és lehetővé teszi az ilyen modulokkal felszerelt szervercsoportok megfigyelését/kezelését.>

Altusen IP9001 Az IP9001 vezérlő lényegében egy "számítógép a számítógépben". Ez a megoldás biztosítja a teljes hardverfüggetlenséget a felügyelt szervertől A távoli csomóponthoz való hozzáférés webes interfészen keresztül történik, és lehetővé teszi bármilyen művelet végrehajtását a karbantartott számítógépen a be- és kikapcsolásig és a hardver visszaállításáig. Az eszköz egy PCI vezérlő távirányító TCP/IP protokollon keresztül, amelyet bármilyen, megfelelő interfésszel felszerelt számítógépre történő telepítésre terveztek. Valójában az IP9001 egy önálló számítógép saját IBM PowerPC 405GPr processzorral - a már jól ismert 405GP 400 MHz-es változata, amely 266 és 300 MHz-es órajelekkel is elérhető. Ez a processzor integrált PCI interfészt, SDRAM és Ethernet vezérlőket tartalmaz. A szükséges RAM és ROM mellett az alaplap saját ATI Rage XL grafikus vezérlővel rendelkezik, a hálózathoz való csatlakozáshoz pedig egy RJ-45 Ethernet port is biztosított. Figyelemre méltó a telefonhálózaton keresztüli munkavégzés lehetősége egy további modemmodul (RJ-11 csatlakozó) segítségével - ez segít abban az esetben, ha nincs hozzáférés a felügyelt csomóponthoz a helyi hálózaton keresztül. A fentieken kívül a távirányító modul megfelelő perifériális interfészkészlettel van felszerelve, beleértve az RS-232-t és az USB 2.0 hubot. Az eszköz tápellátása kétféleképpen történik - a PCI buszon és egy külső forráson keresztül, amely biztosítja a vezérelt számítógéptől való függetlenséget. A távoli konzolkezelés a közvetlenül a szerverről elérhető opciók teljes skáláját biztosítja a kezelő számára, beleértve a Remote Console módban végzett munkát, a rendszer feszültségének és hőmérsékletének figyelését, be- és kikapcsolását, újraindítását. A virtuális lemezek, CD-k és hajlékonylemez-meghajtók támogatása lehetővé teszi a frissítések, a szoftverek és a rendszerindító operációs rendszer telepítését egy távoli munkaállomáson található adathordozóról. A szoftver 64 fiók támogatását teszi lehetővé, az egyes kezelők számára megkülönböztetett hozzáférési jogokkal. Az eszköz működését Windows 2000/2003/XP, Red Hat 8.0 és újabb operációs rendszerek használatára tervezték. IPMI (Intelligent Platform Management Interface).

A beágyazott eszközök másik típusa, kizárólag szerverplatformokhoz, az Intel, a HP, a NEC és a Dell szervergyártók egy csoportja által kifejlesztett IPMI-specifikáción alapulnak távfelügyeletre/kezelésre. Három specifikációt tartalmaz: Intelligens platformkezelő felület; Intelligens platformkezelő busz (IPMB) és intelligens vázkezelő busz (ICMB). Az IPMB egy belső interfész specifikáció a kiterjesztett felügyelethez/kezeléshez egyetlen rendszeren belül, az ICMB pedig külső interfész specifikációkat határoz meg az IPMI-kompatibilis rendszerek között.

Az IPMI-bővítők kis méretük ellenére teljes irányítást biztosítanak a szerver felett. Az 1.0-s verzió 1998-as kiadása után megjelent az 1.5-ös verzió, és most a 2.0-s specifikáció érvényes. Ezt a szabványt már 171 berendezésgyártó támogatta, és a lista folyamatosan bővül. Az 1.5-ös verziót 2001 első negyedévében hagyták jóvá. Már a következő funkciókat tartalmazta: hőmérséklet-, feszültség-, ventilátor-sebesség-figyelő eszközök, háznyitás-érzékelők; alaphelyzetbe állítás és energiagazdálkodás; eseménynaplózás; watchdog áramkör (WatchDog Timer); hozzáférés és értesítés COM porton keresztül és helyi hálózat; speciális gumiabroncsok a megfigyeléshez. A 2.0-s verziót 2004 februárjában fogadták el. Számos lehetőséget biztosít további jellemzők, mint például a Serial Over LAN, a csomagtitkosítás, a belső és külső protokollok, az illetéktelen hozzáférés elleni védelem továbbfejlesztett eszközei, a moduláris struktúrák (blade szerverek) megfigyelésére szolgáló bővítmények, valamint a virtuális (csak felügyeleti) hálózatok létrehozására szolgáló eszközök. Az Intel 7500 platformon alapuló, 400 MHz-es busszal rendelkező Xeon Prestonia szerveralaplapokat IPMI eszközökkel látták el. Ez egy IPMI-1.5 kompatibilis SMC-0001 modul volt, kis kártyaként, speciális processzorral és saját COM-porttal, az SO-DIMM memóriamodulokhoz hasonló kialakításban.Az Intel 7221 for Pentium 4 az AOC-IPMI20-E modult telepíti , amely már kompatibilis az IPMI 2.0-val.

Architektúra IPMI 2.0 verzió. Ma ez a fő szabvány, amelyet a szerverrendszerek fejlesztői alkalmaznak.

A 7230-as Pentium D és az 1U 6014P sorozatú Xeon-platformok IPMI-kártyákhoz új dizájnt kaptak. A PCI-X x16-hoz hasonló csatlakozója van, csak "fordított" kulccsal. Ezek az alaplapok (AOC-1UIPMI-B és AOC-LPIPMI-LANG) funkcionálisan hasonlóak az AOC-IPMI20-E-hez, de egy további Intel 82541PI gigabites hálózati kártyával vannak felszerelve. Az AOC-LPIPMI-LANG modult normál vagy 2U-os házba, míg az AOC-1UIPMI-B modult 1U-os házba történő beépítésre tervezték, és nincs felszerelve hálózati kártyával (opcionálisan külön kapható AOC-1UIPMI-LANG modul). Alapértelmezés szerint az AOC-IPMI20-E az elsőt használja Hálózati vezérlő, amely elérhető az alaplapon, valamint az AOC-1UIPMI-B és az AOC-LPIPMI-LANG - a további egy, ha telepítve van. Az IPMI modulba történő telepítéskor először az alaplaphoz tartozó firmware programozása, majd az IP-cím beállítása történik meg. Az operációs rendszerben ugyanaz a hálózati kártya párhuzamosan használható más célokra is, az IPMI-hez beállítotttól eltérő IP-címmel. Utóbbihoz általában biztonsági okokból külön hálózatot kell kijelölni. Az IPMI-adapterekkel rendelkező rendszerek figyelésére/kezelésére egy speciális IPMIView20 segédprogramot használnak, amely minden verziójú adaptert felismer. Lehetővé teszi az IPMI adapterek adott címtartományban történő megtalálását, és az észlelt rendszerek csoportosítását egy adott attribútum szerint. Egy adott szerverhez való hozzáféréshez jelszavas hitelesítésen kell átmenni, az IPMI 2.0 pedig jelszóvezérlést és titkosítást, valamint a hozzáférési jogok többszintű differenciálását alkalmazza.Az IPMI szerverkezelő szoftver az üzemeltető számára nem csak egy sor alapvető funkciót, hanem az adatok monitorozása is kényelmes grafikus formában Az IPMI adapterek által biztosított alapvető felügyeleti/kezelési képességek szabványosak: rendszeresemények naplózása, hőmérséklet, feszültségek, ventilátorsebesség és egyéb érzékelők figyelése. Lehetőség van újraindításra, be- és kikapcsolásra és ciklusra - egymás után kapcsolja ki, majd kapcsolja be. Mindezek a funkciók kétféleképpen érhetők el: Graceful Power Control - az operációs rendszer helyes leállítása a rá telepített ügynökön keresztül (a GPC ügynök csak Windows és Linux rendszeren érhető el), és a Chassis Power Control - hardver visszaállítása / kikapcsolás. A szöveges konzolhoz úgy lehet hozzáférni, hogy újra hozzárendeli egy COM-porthoz, és megvalósítja a SOL-átirányítást (Serial Over LAN). Ez utóbbi lehetővé teszi egy távoli szerver szöveges konzoljának elérését, és távolról történő módosítását, pl. BIOS beállítások. Ugyanígy elérheti a Windows rendszerindító menüjét vagy a Linux/UNIX szövegkonzolt.

Utószó

Az áttekintésben ismertetett eszközök ugyanazt a feladatot hivatottak ellátni - a távoli rendszerek karbantartásának lehetőség szerinti egyszerűsítésére. A fő különbség köztük a terjedelem. Míg az Altusen IP9001 bármilyen rendszerhez alkalmas, az IPMI modulok telepítése csak szerverplatformokra korlátozódik. Manapság sok fejlesztő cég hajlamos ilyen modulokat beépíteni a rendszerébe. Így június 15-én az ATEN International Co. kft bejelentette, hogy új IPMI firmware-megoldását a Micro-Star International Co. hivatalosan is kiválasztotta. kft (MSI) kiszolgáló termékcsaládjához. Az MSI az ATEN firmware-megoldását integrálja az AMD szerverkínálatába, hogy biztosítsa az ügyfelek számára a szükséges szerverfelügyeleti funkciókat. A Supermicro különösen új AOC-SIMLP IPMI 2.0 felügyeleti/felügyeleti eszközöket készít a Bensley platformhoz, amely beépített KVM Over-t tartalmaz majd. LAN képességek az IPMI-n keresztül.