IPMI: configurarea și gestionarea de la distanță a serverelor Supermicro. Quantor - integrator de sistem Gestionare server prin utilitarul IPMICFG de la SuperMicro

Nu cu mult timp în urmă, am reușit să lucrez cu servere care erau noi pentru mine Supermicro telecomandă care se realizează cu ajutorul interfeței IPMI. În acest articol, voi încerca să acopăr principalele puncte în configurarea IPMI pe serverele Supermciro, să arăt elementele principale din meniul interfeței IPMI și, de asemenea, să vorbesc despre utilități, comenzi și metode suplimentare pentru monitorizarea unui server folosind ipmi.

IPMI(Intelligent Platform Management Interface) este o interfață inteligentă de gestionare a platformei concepută pentru monitorizarea și gestionarea autonomă a funcțiilor integrate direct în hardware-ul și firmware-ul platformelor server. (informații preluate dintr-o sursă oficială). IPMI este implementat ca un controler de server separat, care este independent de sistem de operare, BIOS, server CPU și vă permite să gestionați de la distanță echipamentele fizice.

Configurarea inițială a consolei IPMI și familiarizarea cu interfața

Configurarea IPMI începe cu setarea adresei IP a interfeței, care trebuie specificată în BIOS. Dacă serverul este instalat într-un birou, aceasta poate fi o adresă IP gri, dar dacă echipamentul dvs. este situat într-un centru de date, atunci probabil că utilizați o adresă IP statică albă.

Pe serverele Supermicro, puteți accesa BIOS-ul apăsând butonul „ Del” la încărcarea serverului, nu mă voi concentra asupra acestui lucru și voi trece imediat la interfața BIOS-ului în sine.

După cum puteți vedea în captură de ecran, am intrat în elementul de meniu IPMI și am activat opțiunea de configurare Lan pentru interfață (Update IPMI Lan Configuration = Yes, Configuration Address Source = Static), am specificat adresa IP, masca de subrețea și gateway-ul implicit.

Puteți aplica setările făcând clic pe butonul F4, după care serverul se va reporni.

Dacă ați făcut totul corect, atunci prin introducerea în browserul specificat pentru interfața IPMI IP, se va deschide autorizarea:

Acum să trecem prin punctele principale.

La achiziționarea unui nou server, un utilizator a fost deja creat în IPMI ADMIN cu parola ADMIN, cu aceste date ne logăm. Recomand întotdeauna crearea unui utilizator nou și ștergerea celui standard sau schimbarea parolei acestuia; lăsarea unei astfel de date de conectare și parolă este extrem de nesigură. Puteți crea un utilizator nou sau puteți schimba parolele/privilegiile pentru cele actuale în meniu Configurare -> Utilizatori.

Repornirea interfeței IPMI se poate face din meniu Întreținere -> Resetare unitate.

Montarea unei imagini ISO OS pentru instalare pe un server se face în meniu Virtual Media -> CD-ROM Image.

Imaginile mele ISO ale sistemului de operare sunt stocate pe un server Samba în aceeași subrețea ca și interfețele serverului IPMI. Specific adresa serverului Samba, calea către imagine ISO de instalare cu OS, dupa care montez imaginea ISO si trec la instalarea sistemului de operare.

Consolă de server grafic Java la distanță ( KVM-over-IP) poate fi deschis prin Telecomandă -> Redirecționare consolă.

Consola este în general convenabilă, dar după instalarea sistemului de operare, folosesc de obicei clienți ssh pentru a lucra cu serverul. Uneori există momente în care acest lucru este imposibil, de exemplu, dacă rețeaua dvs. nu funcționează sau nu a fost încă configurată pe server sau există unele probleme cu accesul. Atunci Remote Console vine în ajutor.

Nu este nevoie să faceți setări separate în consola în sine, vreau doar să adaug că are o tastatură încorporată care poate fi apelată din meniu Virtual Media -> Tastatură virtuală.

Sfat. După ce am lucrat mult timp cu serverele SUpermicro, am descoperit o eroare neplăcută. După instalarea sistemului de operare Centos 7 și instalarea KVM pe acesta, capacitatea de a utiliza Consola la distanță dispare. În timp ce serverul pornește, consola răspunde și puteți accesa Bios sau puteți vedea încărcarea nucleului sistemului de operare. Dar, de îndată ce sistemul de operare pornește, videoclipul din consolă dispare. Prin experimentare am reușit să depășesc acest bug. Trebuie să adăugați parametrul de boot nomodeset la boot-ul kernelului. Pentru a face acest lucru, după instalarea sistemului de operare, trebuie să rulați comanda:

grubby --args "nomodeset" --update-kernel /boot/vmlinuz-`uname -r`

După aceasta, Consola la distanță funcționează bine.

Administrare server prin utilitarul IPMICFG de la SuperMicro

Pentru a gestiona serverele prin IPMI, SuperMicro își dezvoltă propriul utilitar IPMICFG.

Puteți descărca fișierul IPMICFG folosind comanda:

wget ftp://ftp.supermicro.com/utility/IPMICFG/IPMICFG_1.30.0_build.190710.zip

La momentul publicării, fișierul avea acest nume, recomand să mergeți la depozitul SuperMicro folosind link-ul ftp://ftp.supermicro.com/utility/IPMICFG/și copiați adresa URL a fișierului curent.

Să despachetăm fișierul descărcat în directorul în care ne aflăm:

ln -s /root/IPMI*/Linux/64bit/IPMICFG-Linux.x86_64 /usr/local/sbin/ipmicfg

Acum putem rula utilitarul folosind comanda ipmicfg (link simbolic). Să ne uităm la capacitățile de bază ale utilitarului ipmicfg.

Dacă rulăm comanda ipmicfg -help vom obține o listă cu toți parametrii utilitarului posibil.

Să ne uităm la comenzile de bază:

• ipmicfg -help – ajutor complet asupra utilitarului;
• ipmicfg -m – vizualizați adresa IP și mac curentă pentru IPMI;
• ipmicfg -k - vizualizați masca de subrețea;
• ipmicfg -g – vizualizați gateway-ul specificat;
• ipmicfg -fd - resetează IPMI la setările din fabrică;
• ipmicfg -listă de utilizatori – vedeți utilizatorii creați și privilegiile acestora.

Puteți schimba adresa IP, masca și gateway-ul interfeței IPMI:

• ipmicfg -m 192.168.1.200
• ipmicfg -k 255.255.255.0
• ipmicfg -g 192.168.1.1

Creați un nou utilizator și parolă IPMI:

ipmicfg -adăugare utilizator

Folosind utilitarul facem următoarele:

ipmicfg -user add 6 test 123456 4

Astfel, am creat testul de utilizator cu parola 123456 și privilegii de administrator.

Lista utilizatorilor IPMI și privilegiile acestora în sistem pot fi afișate cu comenzile:

• ipmicfg -lista de utilizatori
• ipmicfg -ajutor utilizator

După cum puteți vedea deja în captură de ecran, utilizatorul de testare a fost creat.

Pentru a schimba (reseta) parola utilizatorului IPMI, utilizați comanda:

ipmicfg -user setpwd

Și voi da încă câteva exemple de utilizare a acestui utilitar:

• ipmicfg -hostname - setează numele de gazdă pentru interfața ipmi;

Monitorizarea hardware-ului pe un server SuperMicro prin IPMI și utilitarul IPMICFG

Monitorizarea serverului SuperMicro prin IPMI

Prin IPMI, monitorizarea temperaturii și a funcționării hardware-ului serverului SuperMicro este destul de simplă. Informațiile complete despre hardware-ul serverului sunt conținute în elementul System -> Hardware Information.

Informațiile despre starea procesorului, RAM și ventilatoare pot fi vizualizate accesând fila Server Health -> Sensor Readings.

Pentru ușurință de vizualizare, puteți modifica categoriile de afișare ale senzorilor, de exemplu, temperatura:

Sau senzori de tensiune:

Din moment ce în acest moment Nu sunt probleme pe serverul nostru, nici cu temperatura, nici cu tensiunea, toti senzorii sunt in zona verde. Dacă temperatura serverului crește sau există probleme de tensiune, dreptunghiurile verzi vor deveni roșii, ceea ce va fi un semnal pentru verificarea serverului.

Monitorizare folosind utilitarul ipmicfg

Verificarea stării surselor de alimentare:

# ipmicfg -pminfo

Articol | Valoare ---- | ----- Stare | (00h) Tensiune de intrare | 217,5 V curent de intrare | 1,06 A Tensiune principală de ieșire | 12,28 V curent de ieșire principală | 17,93 A Temperatura 1 | 23C/73F Temperatura 2 | 21C/70F Ventilator 1 | 2064 RPM Ventilator 2 | Putere de ieșire principală 2032 RPM | Putere de intrare 220 W | 228 W PMBus Revizuire | 0x22 PWS Număr de serie | P2K4FCH02LT0125 Număr modul PWS | PWS-2K04F-1R PWS Revizie | REV1.0 Control partajare curentă | Eroare PEC Element | Valoare ---- | ----- Stare | (00h) Tensiune de intrare | 217,5 V curent de intrare | 1,09 A Tensiune principală de ieșire | 12,30 V curent de ieșire principală | 18,09 A Temperatura 1 | 24C/75F Temperatura 2 | 22C/72F Ventilator 1 | 2064 RPM Ventilator 2 | Putere de ieșire principală 2064 RPM | Putere de intrare 223 W | 234 W PMBus Revizuire | 0x22 PWS Număr de serie | P2K4FCH02LT0126 Număr modul PWS | PWS-2K04F-1R PWS Revizie | REV1.0 Control partajare curentă | Eroare PEC

Puteți vizualiza temperatura procesorului cu comanda:

ipmicfg -nm oemgettemp

De asemenea, puteți verifica în ce mod funcționează ventilatoarele și puteți schimba modul dacă este necesar.

Verificarea stării și configurației ventilatorului

# ipmicfg -fan

Modul curent de viteză a ventilatorului este [ PUE2 Optimal Mode ] Moduri de ventilator acceptate: 0:Standard 1:Full 3:PUE2 Optimal 4:Heavy IO

Schimbarea modului de funcționare a răcitorului: ipmicfg -fan De exemplu, ipmicfg -fan 3

Versiunea IPMI și informații de firmware:

# ipmicfg -nm deviceid

ID dispozitiv = 50h Versiunea firmware = 4.1.4.54 Versiunea IPMI = 2.000000 ID producător = 57 01 00 ID produs Versiune minoră = platforma Greenlow Versiunea DCMI implementată = DCMI neimplementat/activat Versiunea implementată firmware = NM Revizia 4.0 Image Flag = imagine operațională 11 = 50 01 04 14 02 21 57 01 00 09 0b 04 05 40 01

Și puteți vizualiza toți senzorii cu comanda ipmicfg -sdr

În rezultat, vedem că există coloane suplimentare care afișează informații despre limitele inferioare și superioare.

Există, de asemenea, destul de multe utilitare care pot fi folosite pentru a monitoriza și automatiza acest proces, de exemplu, cu nagios. Momentan, nu ne vom concentra asupra acestui lucru, deoarece scopul articolului este de a spune principalele puncte în lucrul cu IPMI. Dacă sunteți interesat de subiectul monitorizării, vă puteți lăsa dorințele și poate că în viitor vom trata acest subiect. Sper că veți găsi acest articol util!

Marea majoritate a serverelor moderne au o interfață IPMI/BMC pentru gestionarea serverului de la distanță. Acest instrument oferă acces la tastatura virtuală și la ecranul serverului prin protocolul TCP/IP. Astăzi vom aborda istoria cercetării securității IPMI, vom lua în considerare vectorii pentru efectuarea atacurilor și dezvoltarea lor ulterioară folosind IPMI.

IPMI este un set de specificații care guvernează modul de comunicare și ce să furnizeze.
Toți vânzătorii încearcă să respecte aceste specificații.
Marinei este un pachet hardware pentru operarea IPMI. Este un computer cu o singură placă (sistem pe un cip) cu tentacule în senzorii principali. Fiecare furnizor alege ce fel de hardware să folosească și cum să-l combine, ceea ce este firesc. Vom lua în considerare toate exemplele noastre folosind Lights Out (iLO) integrat de la Hewlett-Packard (HP). HP iLO este doar o combinație BMC/IPMI. Alți furnizori au propriile nume, implementări în hardware și software. Dar, de regulă, este un computer cu o singură placă, cu un procesor ARM și Linux la bord.
Funcția principală a unor astfel de dispozitive este de a face viața administratorilor mai simplă și mai convenabilă: nu este nevoie să alergați la server și să apăsați butonul Resetare sistem nou/ văd de ce nu se încarcă. Acum vă puteți conecta la IPMl/BMC și faceți toate acestea de la distanță. În plus, devine posibil să primiți informații de la diverși senzori de temperatură,
tensiune și așa mai departe, ceea ce este, de asemenea, destul de convenabil.

CONTROL

Există mai multe interfețe de control:
- interfata web (in functie de furnizor);
- IPMI prin LAN (UDP 623);
- din sistemul instalat pe server (cu condiția să fie instalate drivere de la producător). Software utilizat: WMI pentru Windows, OpenlPMI, IPMltool pentru Linux.

Totul este clar cu interfața web. Fiecare furnizor decide singur cum arată și cum să-l implementeze. A doua și a treia interfață sunt similare, dar mediul de transmisie este diferit. În cazul IPMI prin LAN, după cum ați putea ghici, comenzile sunt trimise prin rețea la portul UDP 623. Din sistemul instalat, comenzile pentru IPMI sunt trimise printr-un fișier de dispozitiv, de obicei /dev/ipm iO, care apare după instalare. soferul. Utilitarul standard pentru interacțiunea cu IPMI este IPMltool pentru GNU/Linux, deoarece este cel mai ușor de utilizat.

CE PENTESTER IPMl/BMC

În ciuda faptului că raportul privind vulnerabilitățile IPMl/BMC a fost publicat în vara anului 2013, în prezent au rămas multe sisteme vulnerabile. Foarte des, IPMl/BMC de orice tip poate fi găsit printr-un motor de căutare. Desigur, nu ar trebui să păstrați astfel de sisteme afară. Ele sunt întâlnite în principal în timpul pentestelor interne. Unul dintre cei mai simpli vectori de atac care folosesc astfel de sisteme este „deturnarea” unui server folosind IPMI/BMC.

După ce ați obținut acces administrativ la IPMl/BMC (după cum se va arăta mai jos, acest lucru nu este deloc dificil), vă puteți conecta prin VirtualConsole (aka KVM) și, de exemplu, să resetați parola de root sau să utilizați LiveCD pentru a descărca hash-ul și localul. utilizatorii dacă este Windows. Cu o abilitate de noroc intens, poți chiar să prinzi o consolă de la care root a uitat să se deconecteze (acest lucru se întâmplă foarte des pe mașini virtuale). La rândul său, IPMI poate fi folosit și ca o oportunitate de a recâștiga accesul la server după o reinstalare completă a sistemului.
Accesul la IPMI/BMC folosind sistemul de operare cu privilegii maxime este posibil fără utilizarea unei parole, adică nu este deloc necesară autorizarea. În acest caz, atacatorul creează pur și simplu un cont administrativ IPMl/BMC. Dacă pierde accesul la server, merge la IPMl/BMC și returnează bunurile câștigate în mod onest. În general, legătura dintre IPMl/BMC și computerul principal nu a fost încă studiată temeinic. Acesta este un câmp nearat pentru găsirea de erori și caracteristici. Având în vedere numărul de furnizori care implementează acest lucru în serverele lor, putem vorbi despre o „lume internă bogată”.

CERCETARE PUBLICĂ

Dan Farmer a fost primul care a atras atenția asupra securității IPMI și DIU. Cu raportul său complet, intitulat potrivit Trenul de marfă spre iad. Ne vom uita la cele mai interesante puncte din punct de vedere al hackingului.
Pe baza cercetărilor lui Dan, vulnerabilitățile IPMl/BMC pot fi împărțite în două mari categorii:

· erori personalizate de la producători (de exemplu, vulnerabilități ale interfeței web);
· Vulnerabilitatea protocolului IPMI.

De fapt, Dan a dezgropat o mulțime de lucruri interesante, mai multe despre asta mai jos.

Autentificare NULL

Descriere
Vulnerabilitatea vă permite să ocoliți autentificarea. Prezent numai în IPMI 1.5. Funcționarea face posibilă gestionarea dispozitivului prin simpla activare a opțiunii de dezactivare a autentificării. Privilegiile variază între furnizori, dar sunt de obicei maxime.

Furnizori
- HP
- Dell
- Supermicro.

Condiții
Deschideți portul UDP 623, IPMI 1.5, autentificarea unui utilizator existent.

Ipmtiool -A NONE -H targetIP bmc guid

Bypass autentificare IPMI prin Cipher 0

Descriere
Vulnerabilitatea vă permite să ocoliți autentificarea. Bug-ul a apărut cu IPM versiunea I
2.0. În această revizuire am decis să adăugăm criptarea. Pentru a opera ai nevoie
știi că autentificarea este validă cont, dar nu trebuie să știți parola -
puteti specifica oricare.

Furnizori
- HP
- Dell
- Supermicro.

Condiții

Deschideți portul UDP 623, IPMI 2.0, autentificarea unui utilizator existent.

Metasploit - auxiliar/scanner/ipmi/ipmi_cipher_zero ipmitool -I lanplus -C 0 -H targetIP -u Administrator -P anypasswordaici lista de utilizatori

Autentificare IPMI 2.0 RAKP Recuperare hash de la distanță a parolei

Descriere
Vulnerabilitatea permite unui utilizator neautorizat să obțină parole de utilizator hashing pentru forța brută ulterioară. Bug-ul a apărut în specificația IPMI versiunea 2.0

Furnizori
- HP
- Dell;
- Supermicro.

CONDIȚII

Deschideți portul UDP 623, IPMI 2.0 și date de autentificare valide.

Metasploit - auxiliar/scanner/ipmi/ipmi_dumphashes http://fish2.com/ipmi/tools/rak-the-ripper.pl

Autentificare anonimă IPMI / utilizator nul

Descriere
Unii îl numesc utilizator nul, alții îl numesc autentificare anonimă. Unii împărtășesc aceste două vulnerabilități, alții nu. În mod implicit, există utilizator nul/anonim - "" (șir gol). Dacă spun utilizator nul, atunci parola lui este, de asemenea, goală. Dacă spun autentificare anonimă, atunci permisul lui este administrator și toate cipurile IPMI cu ATEN-Software sunt vina.
Dan, în cercetările sale, consideră că acestea sunt două vulnerabilități diferite. Iar în doc. de la Rapid7 nu mai există niciun cuvânt despre utilizator nul.

Furnizori:

HP
Dell
Supermicro (utilizați cipuri IPMI cu ATEN-Software).

Condiții

Deschideți portul UDP 623.

Metasploit - auxiliar/scanner/ipmi/ipmi_dumphashes ipmitool -I lanplus -H targetIP -U "" -P "" lista de utilizatori

Vulnerabilitatea Supermicro IPMI UPnP

Descriere
Supermicro are un serviciu UPnP SSDP pe portul UDP 1900. Este vulnerabil la o depășire a tamponului.

Furnizori
Supermicro.

Condiții
Deschideți portul 1900.

Metasploit exploit/multi/upnp/libupnp _ssdp_overflow metasploit auxiliar/scanner/upnp/ssdp_msearch

Parole cu text clar Supermicro IPMI

Descriere
Specificația IPMI 2.0 implică faptul că parolele trebuie stocate undeva. formă deschisă. În Supermicro se află în fișierele /nv/PSBlock sau /nv/PSStore, în funcție de firmware.
În plus, în implementările Navy pe Nuvoton WPCM450, pe portul TCP 49152 există un serviciu care vă permite să citiți conținutul fișierelor din directorul /nv, de exemplu PSBlock, server.pem și așa mai departe.

Furnizori
· Supermicro.

Condiții
Acces Shell

Cat /nv/PSBlock ecou (GET /PSBlock" 1 nc targetIP 49152

În ceea ce privește vulnerabilitățile „Autentificare NULL / Bypass autentificare IPMI prin Cipher O”, „Autentificare IPMI 2.0 RAKP Remote Password Hash Retrieval”, „Autentificare anonimă IPMI” - toate acestea sunt scrise în specificația IPMI.
Cercetătorii l-au studiat amănunțit, concentrându-se pe mecanismele de autentificare și criptare. O vulnerabilitate arbitrară de execuție a codului în serviciul UPnP din firmware-ul Supermicro (Supermicro IPMI UPnP Vulnerability) se referă la CVE-2012-5958 (BoF în libupnp). Restul vulnerabilităților pe care le-am atins au fost găsite prin analiza firmware-ului Supermicro pentru plăcile de bază Supermicro X9, iar accentul a fost pus în mod special pe analiza codului responsabil pentru web.

HAND-ON LAB

Să ne uităm la schema standard pentru exploatarea vulnerabilităților IPMI.
Folosind modulul ipmi_version, disponibil în binecunoscutul framework Metasploit, puteți scana perimetrul rețelei. Dacă vă aflați deja în segmentul intern și nu există nicio modalitate de a instala/utiliza Metasploit, atunci vă puteți descurca cu simplul utilitar ipmiping sau rmcpping.
Odată ce ați descoperit IPMI-uri deschise, ar trebui mai întâi să le verificați pentru vulnerabilitatea „Ocolire autentificare prin Cipher O” (vezi mai sus). Dacă este prezent, atunci puteți face fără descărcarea hash-urilor utilizatorului și pur și simplu resetați parola administratorului sau adăugați-o pe a dvs. Important: pentru a exploata această vulnerabilitate, trebuie să cunoașteți jurnalele din contul dvs.; în cazul nostru, contul trebuie să aibă privilegii administrative. În primul rând, să luăm în considerare cazul unui utilizator hash dump și al forței brute ulterioare.

Folosind modulul Metasploit ipmi_dumphashes avem capacitatea de a colecta hash-uri utilizator. Important: fără a cunoaște autentificarea utilizatorului, nu va fi posibilă obținerea hash-ului acestuia. În opțiuni ipmi_dumphashes puteți specifica calea către fișier cu datele de conectare, de exemplu, dacă administratorii și-au creat conturi pentru ei înșiși. Fișierul implicit conține login-urile implicite ale tuturor furnizorilor. Hashe-urile brute sunt acceptate ca oclHashcat, și Ioan Spintecătorul cu jumbo-patch-uri (ediție comunitară). John ar trebui luat de pe Github, deoarece pe site-ul oficial versiune învechită fără suport pentru formatul de care avem nevoie. Ultima versiune oclHashcat, în prezent 1.30, acceptă totul din cutie.

Dacă ai un hash de la HP ilO4 în mâini, atunci ești norocos. Faptul este că atunci când este configurată din fabrică, parola implicită pentru contul de administrator este setată la opt caractere - majuscule + numerice. Folosind resursele mele modeste, căutarea unei astfel de valori durează aproximativ o jumătate de oră.

Dacă există o vulnerabilitate cifr Despre Puteți face fără hash-uri de forță brută și vă puteți reseta parola. Pentru a face acest lucru, avem nevoie de utilitarul IPMitool. Construirea pentru GNU/Linux nu ridică întrebări. Dar sub Windows va trebui să dansezi cu o tamburină înăuntru Cygwin. Secvența de acțiuni pentru adăugarea unui administrator este următoarea:

1. Ne uităm la ce utilizatori sunt prezenți și folosim următorul ID gratuit.

Ipmitool -I lanplus -с 0 -H 1.1.1.1 -U Administrator -Р orice parolă aici lista de utilizatori

2. Setați datele de conectare ale utilizatorului nostru.

Ipmitool -I lanplus -С 0 -Н 1.1.1.1 -U Administrator -P oriceparolă aici numele setului utilizatorului hacker

3. Setați o parolă pentru aceasta.

Ipmitool -I lanplus -С 0 -Н 1.1.1.1 -U Administrator -P oriceparolă aici setarea utilizatorului parola hackerpass

4. Fă-l administrator.

Ipmitool -I lanplus -С 0 -Н 1.1.1.1 -U Administrator -Р orice parolă aici utilizator privat 4

5. Activați contul nou creat.

Ipmitool -I lanplus -C 0 -H 1.1.1.1 -U Administrator -P orice parolă aici utilizator activat

După ce hashe-urile sunt sparte, parolele sunt resetate sau este adăugat un nou administrator, aveți posibilitatea să vă conectați prin interfața web, prin SSH la SMASH, sau să vă conectați la un desktop la distanță, așa cum este KVM.
Comutatorul KVM este de o valoare deosebită, deoarece oferă acces direct la consola însăși, permițându-vă astfel să accesați BIOS-ul, să instalați sistemul de operare și altele asemenea. Fiecare furnizor este responsabil pentru implementarea comutatorului KVM. De exemplu, în HP
ilO4 folosește porturile TCP 17988 și 17990 pentru aceasta. Dell iDRAC7 utilizează portul TCP 5900. Cisco ICM portul TCP 2068.

Merită menționat un astfel de lucru precum HP BladeSystem Onboard Administrator. HP BladeSystem este un șasiu la care sunt conectate serverele blade. Deci, acest șasiu vă permite să gestionați central serverele blade utilizând IPMI. În acest caz, autorizarea pentru IPMI „Sclav” are loc utilizând mecanismul SSO. Tot ce aveți nevoie este să obțineți hash-ul unui utilizator cu privilegii administrative și să utilizați interfața web pentru a vă conecta la serverul care vă interesează.

O altă caracteristică interesantă găsită în HP il04 este capacitatea de a vă conecta la server prin KVM direct din SMASH (a se citi: SSH) folosind comanda TEXTCONS. Acest lucru este destul de util când porturile 80, 443, 17990 sunt închise. Veți avea nevoie de drepturi de administrator pentru a face acest lucru, dar cui îi pasă?
A deveni administrator nu este atât de dificil. Personal pentru tine, cititorule, am pregătit programul ipmicd în C pentru Windows/Linux. Vă permite să scanați o serie de adrese pentru prezența IPMl/BMC, precum și hash-uri de descărcare (analog cu ipmi_dumphashes de la Metasploit). Programele au fost create pentru cazurile în care utilizarea Metasploit nu este cea mai bună idee, de exemplu, IPMl/BMC sunt situate undeva departe, unde Metasploit nu poate fi transmis.

Utilitarul este disponibil pe GitHub. Foarte usor de folosit:

1. Parametrul -p este utilizat atunci când este necesară scanarea unui interval specific.
2. Parametrul -d specifică dacă se obține parola codificată.
3. Parametrul -v N indică gradul de logare în timpul funcționării, 0..5. Când N = 1, programul produce amprente.

Combinând diferiți parametri, puteți influența comportamentul programului. De exemplu, atunci când utilizați opțiunile -d și -p împreună, programul va încerca să obțină hashuri numai de la acele sisteme care răspund la ping-urile IPMl. Utilizarea numai a opțiunii -d va încerca să obțineți hash-uri de la toate adresele, ceea ce este de obicei incredibil de lent. Dacă există ceva îndoieli, puteți utiliza opțiunea -v 5 - programul va afișa mesajele primite într-un format convenabil. Pentru a compila sub Linux, aveți nevoie doar de GCC - gcc ipmicd.c -static -o ipmicd. Dacă este folosit pe Windows, compilați folosind MinGW gcc ipmicd.c -mno-ms-bitfields -lws2_32 -DMINGW.

CONCLUZIE

Câteva cuvinte despre mare: studiul capabilităților și implementărilor de către diferiți furnizori IPMl/BMC este abia la început. Aceasta poate include nu numai interfețe web sau SMASH, ci și drivere pentru sistemele de operare care vă permit să interacționați cu tehnologii de control de la distanță a serverului IPMI/BMC din sistemul instalat. Servicii interne care implementează schimbul de informații în IPMl/BMC. Chiar și implementarea „hardware” a Marinei în sine și modul în care controlează exact serverul principal poate fi vizată. Recomand administratorilor să verifice toate sistemele lor pentru vulnerabilități publice și, dacă este posibil, să elimine aceste vulnerabilități. Cea mai importantă recomandare pe care aș dori să o fac cititorului este să acorde o atenție maximă setărilor echipamentelor pe care le controlezi.

Toate serverele pe care le oferim spre închiriere sunt echipate cu un controler IPMI (Intelligent Platform Management Interface), care vă permite să activați, să dezactivați conexiunea la distanță (KVM) cu posibilitatea de a monta imagini ISO și, de asemenea, oferă acces la informații despre starea curentă. a serverului.

Folosind IPMI, după eliberarea serverului, veți putea instala sistemul de operare și configurația inițială a serverului. Deoarece controlerul IPMI este conectat cu un cablu separat și are propria sa adresă IP, chiar dacă pierdeți accesul la sistemul de operare, puteți oricând să gestionați serverul de la distanță, fără a fi nevoie de acces fizic direct.

Cum se instalează sistemul de operare?

Pentru a instala sistemul de operare, va trebui să vă conectați la serverul IPMI într-unul din modalitățile convenabile pentru dvs.: prin interfața Web sau folosind programul IPMIView. Articolul va descrie ambele opțiuni, dar vă recomandăm să utilizați a doua metodă.

Interfață web

Pentru a vă conecta prin interfața web, trebuie să introduceți adresa IPMI în bara de adrese a browserului și să vă conectați. Adresa și detaliile pentru autorizare o găsiți în scrisoarea cu acces la server sau în contul personal. Apoi, trebuie să accesați fila Telecomandă -> Redirecționare consolă și să faceți clic pe butonul Lansare consolă.

În secțiunea Dispozitiv 1, selectați ISO File din lista derulantă Logical Drive Type și specificați calea către imaginea de pe disc folosind butonul Open Image, apoi conectați imaginea cu butonul Plug In.

După conectarea imaginii, reporniți serverul sub Power Control ->

Unele servere vă permit să conectați până la trei dispozitive folosind filele Dispozitiv 2 sau Dispozitiv 3 din secțiunea Virtual Media -> Virtual Storage. Acest lucru poate fi util dacă trebuie să instalați drivere suplimentare în timpul instalării.

Dacă intenționați să instalați sistemul de operare Windows pe server, combinația de taste Ctrl+Alt+Del poate fi trecută în secțiunea Macro - Macro.

Instrucțiuni pentru lucrul cu interfața web în versiunile mai vechi de firmware IPMI

IPMIView

Pentru a utiliza programul Supermicro IPMIView, trebuie să îl descărcați de pe site-ul oficial, indicând datele dvs., sau direct de pe serverul ftp: https://www.supermicro.com/wftp/utility/IPMIView/

După instalarea și rularea programului, trebuie să adăugați serverul în secțiunea Fișier - Nou - Sistem.

Pentru System Name, introduceți numele serverului dvs., iar în coloana IP address introduceți adresa IPMI, pe care o găsiți în scrisoarea cu acces la server sau în contul personal. Asigurați-vă că nu există spații la sfârșitul rândului în coloana cu adresă și faceți clic pe OK.

În lista din stânga, faceți dublu clic pe numele serverului adăugat, după care veți vedea o fereastră de autorizare. Completați-l folosind detaliile din scrisoare sau cont personalși faceți clic pe Conectare. Dacă conexiunea reușește, veți vedea Conectat, iar filele suplimentare pentru gestionarea serverului vor apărea în partea de jos a ferestrei.

Pentru a gestiona serverul de la distanță, accesați secțiunea Consola KVM și faceți clic pe butonul Lansați Consola KVM.

Actiunile urmatoare similar cu lucrul prin

Folosind programul IPMIView, puteți, de asemenea, să reporniți, să activați sau să dezactivați serverul dvs. în fila Dispozitiv IPMI.

Există multe tehnologii și produse disponibile pentru a ajuta administratorii de rețea să maximizeze timpul de funcționare a serverului. Prin urmare, a fost necesar ca standardele de management să fie aceleași pentru toată lumea. Astăzi, standardul IPMI (interfață control inteligent platformă) este unul dintre cele mai importante standarde deschise și este prezent pe toate platformele Supermicro.

Majoritatea plăcilor de bază Supermicro conțin un slot special care acceptă carduri IPMI 2.0 (IPMI over LAN). Tehnologia IPMI face posibilă gestionarea și restaurarea de la distanță a unui server, indiferent de starea și starea acestuia. Comunicarea cu consola de management de la distanță este asigurată folosind controlerul de rețea încorporat, folosind lățimea de bandă suplimentară. Aceasta este o soluție hardware care este independentă de sistemul de operare. IPMI 2.0 este o modalitate rapidă și ieftină de a gestiona, monitoriza, diagnostica și restaura un server de la distanță.

Deoarece IPMI este complet independent de sistemul de operare, monitorizarea, managementul, diagnosticarea și recuperarea sistemului pot fi efectuate chiar și atunci când sistemul de operare este înghețat sau serverul este offline. Tehnologia IPMI implementează funcții pentru a afișa notificări despre necesitatea restabilirii componentelor - acest lucru face posibilă monitorizarea stării sistemului și răspunsul la eventualele probleme hardware înainte ca acestea să apară. Probabilitatea unor astfel de probleme este redusă și de funcția de monitorizare hardware. În plus, puteți monitoriza manipularea hardware-ului serverului dacă configurați sistemul IPMI pentru a detecta deschiderile carcasei. Securitatea personalului este asigurată prin utilizarea drepturilor și parolelor pe mai multe niveluri, împreună cu tehnologiile de identificare și criptare liniară. Unele module IPMI 2.0 acceptă KVM-over-Lan. Acest lucru face posibilă conectarea de la distanță în sistemul de operare de pe server și efectuarea manipulărilor necesare pentru a-l configura sau pentru a instala și elimina programele necesare.

IPMI este ușor de utilizat deoarece vine de obicei deja integrat într-un server sau un dispozitiv separat. Și cel mai important, nu necesită cheltuieli financiare. Și vă permite să controlați sistemul în acele momente în care software-ul este neputincios - de exemplu, când sistemul de operare îngheață. Astfel, tehnologia IPMI și instrumentele și metodele de management existente se completează perfect. Iar pentru un management eficient al serverului este necesar să folosiți atât resurse software, cât și hardware. -

Beneficiile tehnologiei IPMI

• Control de la distanță al surselor de alimentare, ventilatoarelor, tensiunii și temperaturii, indiferent de tipul și starea procesorului și a sistemului de operare
• Păstrarea unui jurnal al evenimentelor curente
• Suport DOS configurarea BIOS-ului, Windows 2003, Linux
• Controlul butoanelor de pe corp: Resetare; Putere scazuta; Porniți

Protecție cu parolă

Altusen IP9001 și module IPMI: instrumente încorporate pentru gestionarea computerelor de la distanță

Modulele de control de la distanță, printre care comutatoarele KVM sunt cele mai cunoscute, sunt de obicei realizate sub formă de structuri externe. Dar există o altă clasă de dispozitive, concepute și pentru manipularea de la distanță a echipamentelor server, încorporate direct în obiectul controlat. Fiecare administrator de sistem nu își poate imagina activitățile fără a utiliza accesul de la distanță la serverele supravegheate și în două opțiuni: monitorizarea de la distanță a stării echipamentelor și executarea de la distanță a funcțiilor administrative. De obicei, aceste sarcini sunt rezolvate accesând o consolă text sau un desktop shell grafic. Este posibil să organizați controlul de la distanță în diferite moduri, dintre care cele mai comune sunt software-ul. Aproape fiecare producător de servere și sisteme de stocare include software pentru monitorizarea stării de la distanță, notificarea situațiilor critice și administrarea echipamentelor.

Nu în ultimul rând sunt instrumentele de acces la distanță încorporate furnizate de sistemul de operare, fără a lua în considerare produsele individuale ale terților. Dar uneori instrumentele software sunt neputincioase pentru a ajuta la depanarea problemelor fără acces direct la server. Acest lucru se întâmplă, de exemplu, în timpul unei defecțiuni hardware și doar o repornire „la rece” sau chiar nevoia de a opri/porni alimentarea poate corecta situația. În astfel de cazuri, o soluție hardware și software specializată vine în ajutor, care este un controler special instalat pe placa de bază. Puterea sa este furnizată dintr-o sursă de așteptare sau chiar autonom. Poate fi accesat printr-o interfață de rețea; în plus, poate exista un alt canal - printr-un port COM autonom sau modem. Un astfel de controler are acces la senzorii de pe placa de bază și poate, de asemenea, efectua o resetare hardware și porni alimentarea/ oprit. Aceste funcții sunt gestionate de la stația de lucru a administratorului, pe care este instalat un client care interacționează cu controlerele și permite monitorizarea/controlul unui grup de servere echipate cu astfel de module.>

Altusen IP9001 Controlerul IP9001 este în esență un „calculator într-un computer”. Această soluție asigură independența hardware completă față de serverul administrat.Accesul la nodul la distanță se realizează printr-o interfață Web și vă permite să efectuați orice operațiuni cu computerul care este deservit, inclusiv pornirea/oprirea și resetarea hard Dispozitivul este un PCI controler pentru telecomandă prin protocolul TCP/IP, conceput pentru instalare pe orice computer echipat cu interfata corespunzatoare. De fapt, IP9001 este un computer independent cu propriul procesor IBM PowerPC 405GPr - o versiune de 400 MHz a deja cunoscutului 405GP, disponibilă cu frecvențe de ceas de 266 și 300 MHz. Acest procesor include o interfață PCI integrată, SDRAM și controlere Ethernet. Pe lângă RAM și ROM necesare, placa are propriul controler grafic ATI Rage XL, iar pentru conectarea la rețea are un port Ethernet RJ-45. Abilitatea de a lucra printr-o rețea telefonică folosind un modul modem suplimentar (conector RJ-11) merită de asemenea atenție - va ajuta dacă nu există acces la nodul gestionat printr-o rețea locală. Pe lângă cele de mai sus, modulul de telecomandă este echipat cu un set decent de interfețe periferice, inclusiv RS-232 și un hub USB 2.0. Dispozitivul este alimentat în două moduri - prin magistrala PCI și sursă externă, conceput pentru a asigura independența față de computerul gestionat. Controlul de la o consolă la distanță oferă operatorului întreaga gamă de capabilități disponibile direct de la serverul însuși, inclusiv lucrul în modul Consolă la distanță, monitorizarea tensiunii și temperaturii sistemului, pornirea/oprirea și repornirea. Suportul pentru disc virtual, CD și unitatea de dischetă vă permite să instalați actualizări, software și să porniți sistemul de operare de pe mediile aflate fizic pe stația de lucru la distanță. Software-ul permite suport pentru 64 de conturi cu drepturi de acces la management diferențiate pentru fiecare operator. Dispozitivul este proiectat să utilizeze sistemele de operare Windows 2000/2003/XP, versiunile Red Hat 8.0 și mai recente. IPMI (Interfață inteligentă de gestionare a platformei).

Un alt tip de dispozitiv încorporat conceput exclusiv pentru platforme de server se bazează pe un set de specificații IPMI dezvoltate de un grup de companii de hardware pentru server Intel, HP, NEC și Dell pentru instrumente de monitorizare/management de la distanță. Acesta a inclus trei specificații: Intelligent Platform Management Interface; Intelligent Platform Management Bus (IPMB) și Intelligent Chassis Management Bus (ICMB). IPMB este o specificație internă de interfață pentru monitorizarea/controlul avansat în cadrul unui singur sistem, ICMB definește specificațiile interfeței externe între sistemele compatibile IPMI.

Extensoarele IPMI, în ciuda dimensiunilor lor mici, oferă control deplin asupra serverului După lansarea versiunii 1.0 în 1998, a fost lansată versiunea 1.5, iar specificația 2.0 este relevantă în prezent. Acest standard a fost deja susținut de 171 de producători de echipamente, iar lista continuă să crească. Versiunea 1.5 a fost aprobată în primul trimestru al anului 2001. Includea deja următoarele caracteristici: mijloace de monitorizare a temperaturilor, tensiunilor, vitezei ventilatorului, senzori de manipulare a carcasei; resetarea și gestionarea energiei; înregistrarea evenimentelor; circuit watchdog (WatchDog Timer); acces și notificare prin portul COM și retea locala; anvelope specializate pentru monitorizare. Versiunea 2.0 a fost adoptată în februarie 2004. Include un număr de caracteristici suplimentare, cum ar fi Serial Over LAN, criptarea pachetelor, protocoale interne și externe, protecție îmbunătățită împotriva accesului neautorizat, extensii adăugate pentru monitorizarea structurilor modulare (servere blade) și instrumente pentru crearea de rețele virtuale (numai de gestionare). Plăcile de bază pentru server de pe platforma Intel 7500 pentru Xeon Prestonia cu o magistrală de 400 MHz au fost echipate cu IPMI. Era un modul SMC-0001, compatibil cu IPMI-1.5, proiectat ca o placă mică cu un procesor specializat și propriul port COM într-un design similar cu modulele de memorie SO-DIMM.Aproape toate plăcile de pe Intel 7520/7525/7320 platforma, precum și Intel 7221 pentru Pentium 4 este echipat cu modulul AOC-IPMI20-E, care este deja compatibil cu IPMI 2.0.

Arhitectura IPMI versiunea 2.0. Astăzi, acesta este standardul principal adoptat de dezvoltatorii de sisteme server

Pe platformele de server 7230 pentru platformele Pentium D și 1U din seria 6014P pentru Xeon, a apărut un nou design pentru cardurile IPMI. Are un conector similar cu PCI-X x16, doar cu o cheie „inversată”. Aceste plăci (AOC-1UIPMI-B și AOC-LPIPMI-LANG) sunt similare din punct de vedere funcțional cu AOC-IPMI20-E, dar sunt echipate cu o placă de rețea Gigabit Intel 82541PI suplimentară. Modulul AOC-LPIPMI-LANG este proiectat pentru instalare într-o carcasă obișnuită sau 2U, iar AOC-1UIPMI-B este proiectat pentru instalare într-o carcasă 1U și nu este echipat cu o placă de rețea (este disponibil opțional ca AOC separat -1modul UIPMI-LANG). În mod implicit, AOC-IPMI20-E îl folosește pe primul Controlor de rețea, disponibil pe placa de bază și AOC-1UIPMI-B și AOC-LPIPMI-LANG - unul suplimentar al acestora, dacă este instalat. Când este instalat în modulul IPMI, Firmware-ul corespunzător plăcii de bază este mai întâi programat, apoi este setată adresa IP. În sistemul de operare, aceeași placă de rețea poate fi utilizată în paralel pentru alte nevoi cu o adresă IP diferită de cea setată pentru IPMI. De regulă, din motive de securitate se recomandă alocarea unei rețele separate acestuia din urmă. Folosit pentru monitorizarea/controlul sistemelor cu adaptoare IPMI utilitate specială IPMIView20, care recunoaște adaptoarele tuturor versiunilor. Vă permite să găsiți adaptoare IPMI într-un anumit interval de adrese și să grupați sistemele detectate în funcție de un anumit criteriu. Pentru a obține acces la un anumit server, este necesar să treceți autentificarea prin parolă, iar IPMI 2.0 utilizează controlul și criptarea parolei, precum și diferențierea pe mai multe niveluri a drepturilor de acces.Software-ul pentru administrarea serverelor prin IPMI oferă operatorului nu numai un set de funcții de bază, dar și de monitorizare a datelor într-o formă grafică convenabilă Principalele capacități de monitorizare/control oferite de adaptoarele IPMI, standarde: înregistrarea evenimentelor sistemului, monitorizarea temperaturilor, tensiunilor, vitezei ventilatorului și alți senzori. Este posibil să reporniți, porniți/opriți și ciclați - oprirea secvențială și apoi pornirea alimentării. Toate aceste funcții sunt disponibile în două moduri: Graceful Power Control - închiderea corectă a sistemului de operare prin agentul instalat pe acesta (agentul GPC este disponibil numai pentru Windows și Linux) și Chassis Power Control - resetare hardware/oprire. la consola text este furnizată prin reatribuirea acesteia la un port COM și implementarea redirecționării SOL (Serial Over LAN). Acesta din urmă vă permite să accesați consola de text a unui server la distanță și să schimbați de la distanță, de exemplu, setări BIOS. În același mod, puteți accesa meniul de pornire Windows sau consola text Linux/UNIX.

Postfaţă

Dispozitivele descrise în recenzie sunt concepute pentru a îndeplini aceeași sarcină - simplificați cât mai mult posibil întreținerea sisteme de la distanță. Principala diferență dintre ele este domeniul de aplicare. În timp ce Altusen IP9001 este potrivit pentru orice sistem, instalarea modulelor IPMI este limitată exclusiv la platformele server. Astăzi, multe companii de dezvoltare se străduiesc să includă astfel de module ca parte a sistemelor lor. Așadar, pe 15 iunie, ATEN International Co. Ltd. a anunțat că noua sa soluție de firmware IPMI a fost selectată oficial de Micro-Star International Co. Ltd. (MSI) pentru linia sa de produse server. MSI va integra soluția firmware ATEN în linia sa de servere AMD pentru a oferi clienților funcțiile necesare de gestionare a serverului.Separat, este de remarcat faptul că Supermicro pregătește noi instrumente de monitorizare/management AOC-SIMLP IPMI 2.0 pentru platforma Bensley, care va au capabilități KVM Over LAN încorporate prin IPMI.