IPMI: налаштування та віддалене керування серверами Supermicro. Квантор - системний інтегратор Управління сервером через утиліту IPMICFG від SuperMicro

Нещодавно, мені вдалося попрацювати з новими для мене серверами Supermicroвіддалене керування якими здійснюється за допомогою інтерфейсу IPMI. У цій статті я постараюся розкрити основні моменти в налаштуваннях IPMI на серверах Supermciro, покажу основні пункти меню інтерфейсу IPMI, а також розповім про додаткові утиліти, команди і способи моніторингу сервера за допомогою ipmi.

IPMI(Intelligent Platform Management Interface) — інтелектуальний інтерфейс керування платформою, призначений для автономного моніторингу та керування функціями, вбудованими безпосередньо в апаратне та мікропрограмне забезпечення серверних платформ. (Інформація взята з офіційного джерела). IPMI реалізується у вигляді окремого контролера сервера, який не залежить від операційної системи, BIOS, CPU півночі та дозволяє віддалено керувати фізичним обладнанням.

Первинне налаштування IPMI консолі та знайомство з інтерфейсом

Налаштування IPMI починається з налаштування IP-адреси інтерфейсу, який потрібно вказати в BIOS. Якщо сервер встановлений в офісі, це може бути сіра IP-адреса, якщо ваше обладнання розміщується в ДатаЦентрі, то напевно ви використовуєте білу статичну IP-адресу.

На серверах Supermicro до BIOS можна потрапити, натиснувши кнопку “ Del” при завантаженні сервера, я не загострюватиму на цьому увагу і відразу перейду до інтерфейсу самого BIOS.

Як бачите на скріншоті, я увійшов до пункту меню IPMI та активував можливість конфігурації Lan для інтерфейсу (Update IPMI Lan Configuration = Yes, Configuration Address Source = Static), вказав IP-адресу, маску підмережі та основний шлюз.

Застосувати налаштування можна, натиснувши кнопку F4, після чого відбудеться перезавантаження сервера.

Якщо ви все зробили правильно, ввівши в браузері, вказаний для інтерфейсу IPMI IP, у вас відкриється авторизація:

Тепер пройдемо за основними моментами.

Купуючи новий сервер, в IPMI вже створено користувач ADMINз паролем ADMIN, Саме з цими даними ми і авторизуємося. Я завжди рекомендую створювати нового користувача, а стандартного видаляти або міняти у нього пароль, так залишати такий логін і пароль дуже небезпечно. Створити нового користувача або змінити паролі/привілеї у поточних можна в меню Configuration -> Users.

Рестарт інтерфейсу IPMI можна зробити з меню Maintenance -> Unit Reset.

Монтування iso образу ОС для встановлення на сервер виконується у меню Virtual Media -> CD-ROM Image.

У мене iso образи ОС зберігаються на сервері Samba в тій же підмережі, що і інтерфейси IPMI серверів. Я вказую адресу сервера Samba, шлях до образу настановного ISO з ОС, після чого встановлюю ISO образ і приступаю до встановлення операційної системи.

Віддалену графічну Java консоль сервера ( KVM-over-IP) можна відкрити через Remote Control -> Console Redirection.

Консоль загалом зручна, але після встановлення ОС, для роботи з сервером я зазвичай використовую ssh клієнти. Іноді є моменти коли, це неможливо, наприклад, якщо у вас не працює або ще не налаштована мережа на сервері або є якісь проблеми з доступом. Саме тоді на допомогу приходить Remote Console.

Жодних окремих налаштувань у самій консолі робити не потрібно, хочу лише додати, що вона має вбудовану клавіатуру, яку можна викликати з меню Virtual Media -> Virtual Keyboard.

Порада.Після тривалої роботи з серверами Supermicro, я виявив один неприємний баг. Після встановлення операційної системи Centos 7 та встановлення KVM на неї, зникає можливість використовувати Remote Console. Поки сервер у процесі завантаження, консоль відповідає і можна пройти до Bios або побачити завантаження ядра ОС. Але щойно операційна система завантажилася, відео в консолі зникає. Шляхом експериментів мені пощастило перемогти цей баг. Потрібно до завантаження ядра додати параметр завантаження nomodeset. Для цього після встановлення ОС потрібно виконати команду:

grubby --args "nomodeset" --update-kernel /boot/vmlinuz-`uname -r`

Після цього Remote Console працює справно.

Управління сервером через утиліту IPMICFG від SuperMicro

Для керування серверами через IPMI компанія SuperMicro розробляє власну утиліту IPMICFG.

Завантажити файл IPMICFG можна за допомогою команди:

wget ftp://ftp.supermicro.com/utility/IPMICFG/IPMICFG_1.30.0_build.190710.zip

На момент публікації файл був із такою назвою, я рекомендую заходити на репозиторій SuperMicro за посиланням ftp://ftp.supermicro.com/utility/IPMICFG/та копіювати url актуального файлу.

Розпакуємо завантажений файл в директорію якої:

ln -s /root/IPMI*/Linux/64bit/IPMICFG-Linux.x86_64 /usr/local/sbin/ipmicfg

Тепер ми можемо запускати утиліту за допомогою команди ipmicfg (символічного посилання). Розглянемо базові можливості утиліти ipmicfg.

Якщо виконати команду ipmicfg -help, ми отримаємо список усіх можливих параметрів утиліти.

Розберемо основні команди:

• ipmicfg -help - повна довідка по утиліті;
• ipmicfg -m – перегляд поточної IP та mac-адреси для IPMI;
• ipmicfg -k – перегляд маски підмережі;
• ipmicfg -g - Перегляд заданого шлюзу;
• ipmicfg -fd - скидання IPMI до заводських налаштувань;
• ipmicfg -user list – перегляд створених користувачів та їх привілеїв.

Ви можете змінити IP адресу, маску та шлюз інтерфейсу IPMI:

• ipmicfg-m 192.168.1.200
• ipmicfg -k 255.255.255.0
• ipmicfg-g 192.168.1.1

Створити нового користувача IPMI та його пароль:

ipmicfg -user add

За допомогою утиліти робимо таке:

ipmicfg -user add 6 test 123456 4

Тим самим ми створили користувача test з паролем 123456 та привілеями адміністратора.

Список користувачів IPMI та їх привілеї у системі можна вивести командами:

• ipmicfg -user list
• ipmicfg -user help

Як бачите на скріншоті, користувач test створений.

Щоб змінити (скинути) пароль користувача IPMI, виконайте:

ipmicfg -user setpwd

І наведу ще кілька прикладів використання цієї утиліти:

• ipmicfg -hostname - встановити hostname для ipmi інтерфейсу;

Моніторинг заліза на сервері SuperMicro через IPMI та утиліту IPMICFG

Моніторинг сервера SuperMicro через IPMI

Через IPMI моніторити температуру та роботу заліза сервера SuperMicro досить легко. Повна інформація про залізо сервера міститься в пункті System -> Hardware Information.

Інформацію щодо стану процесора, оперативної пам'яті та вентиляторів можна переглянути перейшовши у вкладку Server Health -> Sensor Readings.

Для зручності перегляду, можна змінювати категорії відображення датчиків, наприклад температури:

Або датчики напруги:

Бо в Наразіна нашому сервері немає проблем, ні з температурою, ні з напругою, всі датчики знаходяться у зеленій зоні. Якщо на сервері піднімається температура або є проблеми з напругою, зелені прямокутники фарбуватимуться в червоний колір, що стане сигналом для перевірки вашого сервера.

Моніторинг за допомогою утиліти ipmicfg

Перевірка стану блоків живлення:

# ipmicfg -pminfo

Item | Value ---- | ----- Status | (00h) Input Voltage | 217.5 V Input Current | 1.06 A Main Output Voltage | 12.28 V Main Output Current | 17.93 A Temperature 1 | 23C/73F Temperature 2 | 21C/70F Fan 1 | 2064 RPM Fan 2 | 2032 RPM Main Output Power | 220 W Input Power | 228 W PMBus Revision | 0x22 PWS Serial Number | P2K4FCH02LT0125 PWS Module Number | PWS-2K04F-1R PWS Revision | REV1.0 Current Sharing Control | PEC error Item | Value ---- | ----- Status | (00h) Input Voltage | 217.5 V Input Current | 1.09 A Main Output Voltage | 12.30 V Main Output Current | 18.09 A Temperature 1 | 24C/75F Temperature 2 | 22C/72F Fan 1 | 2064 RPM Fan 2 | 2064 RPM Main Output Power | 223 W Input Power | 234 W PMBus Revision | 0x22 PWS Serial Number | P2K4FCH02LT0126 PWS Module Number | PWS-2K04F-1R PWS Revision | REV1.0 Current Sharing Control | PEC error

Подивитися температуру процесора можна командою:

ipmicfg -nm oemgettemp

Також можна перевірити в якому режимі працюють вентилятори та змінити режим, якщо це необхідно.

Перевірка стану та конфігурації вентилятора

# ipmicfg -fan

Current Fan Speed ​​Mode is [ PUE2 Optimal Mode ] Supported Fan modes: 0:Standard 1:Full 3:PUE2 Optimal 4:Heavy IO

Зміна режиму роботи кулера: ipmicfg-fan Наприклад, ipmicfg-fan 3

Інформація про версію та прошивку IPMI:

# ipmicfg -nm deviceid

Device ID = 50h Firmware Version = 4.1.4.54 IPMI Version = 2.000000 Manufacturer ID = 57 01 00 Product ID Minor Ver = Greenlow platform Implemented DCMI version = DCMI не здійснено/оброблено Firmware implemented version = NM = 50 01 04 14 02 21 57 01 00 09 0b 04 05 40 01

І подивитися всі сенсори можна командою ipmicfg-sdr

При виведенні ми бачимо, що є додаткові стовпці, в яких відображено інформацію про ліміти нижньої та верхньої меж.

Також існує ще чимала кількість утиліт, які можна використовувати для моніторингу і автоматизувати цей процес, наприклад, з nagios. На даний момент загострювати на цьому увагу ми не будемо, оскільки мета статті розповісти основні моменти роботи з IPMI. Якщо вас зацікавить тема моніторингу, ви можете залишити свої побажання і, можливо, надалі ми висвітлимо цю тему. Сподіваюся, ця стаття виявиться для вас корисною!

Абсолютна більшість сучасних серверів мають IPMI/BMC інтерфейс для керування сервером віддалено. Цей інструмент є доступом до віртуальної клавіатури та екрану сервера за допомогою протоколу TCP/IP. Сьогодні ми торкнемося історії дослідження безпеки IPMI, розглянемо вектори для проведення атак та їх подальшого розвитку з використанням IPMI.

IPMI- це набір специфікацій, які регламентують, як спілкуватися та що надавати.
Усі вендори намагаються дотримуватися цих специфікацій.
ВМС- це обгортка із заліза для роботи IPMI. Є одноплатним комп'ютером (system on а chip) з щупальцями в сенсорах основного. Кожен вендор сам вибирає, що за залізо використовувати і як його поєднувати, що природно. Всі наші приклади ми розглядатимемо на lntegrated Lights Out (iLO) від Hewlett-Packard (НР). НР iLO - це саме зв'язування BMC/IPMI. В інших вендорів свої назви, реалізації в залізі та софті. Але, як правило, це одноплатний комп'ютер із процесором ARM та Linux на борту.
Основна функція подібних пристроїв - зробити життя адмінів простішим і зручнішим: зникає необхідність бігти до сервера і натискати кнопку Reset /ставити нову систему/ дивитися, чому він не вантажиться. Тепер можна підключитися до IPMl/BMC і зробити все це віддалено. До того ж з'являється можливість отримувати інформацію з різних датчиків температури,
напруги і так далі, що також досить зручно.

УПРАВЛІННЯ

Інтерфейсів керування кілька:
- Веб - інтерфейс (залежить від вендора);
- IPMI over LAN (UDP 623);
- із встановленої системи на сервері (за умови, що встановлені драйвери від виробника). Софт, що використовується: WMI під віндою, OpenlPMI, IPMltool під Linux.

Із веб-інтерфейсом все зрозуміло. Кожен вендор сам вирішує, як він виглядає та як його реалізувати. Другий і третій інтерфейси схожі, але різниться середовище передачі. У випадку IPMI over LAN, як можна здогадатися, команди передаються через мережу на порт UDP 623. Зі встановленої системи команди для IPMI передаються за допомогою файлу пристрою, зазвичай це /dev/ipm iO, яке з'являється після встановлення драйвера. Стандартна утиліта для взаємодії з IPMI - це IPMltool під GNU/Linux, як найпростіша у використанні.

ЩО ПЕНТЕСТЕР IPMl/BMC

Незважаючи на те, що звіт про вразливості IPMl/BMC був опублікований ще влітку 2013 року, в даний час залишається дуже багато вразливих систем. Дуже часто IPMl/BMC будь-якої масті можна знайти через пошукову систему. Звичайно, не варто тримати подібні системи зовні. Здебільшого вони зустрічаються під час проведення внутрішніх пентестів. Один із найпростіших векторів розвитку атаки з використанням таких систем - «викрадення» сервера за допомогою IPMI/BMC.

Отримавши адміністративний доступ до IPMl/BMC (як буде показано далі, це зовсім нескладно), можна підключитися через VirtualConsole (aka KVM) і, наприклад, скинути пароль root'a або за допомогою LiveCD додати хеш і локальних користувачів, якщо це Windows. При прокачаному скелі удачі можна навіть зловити консоль, з якої root забув розлогитися (дуже часто таке зустрічається на віртуальних машинах). У свою чергу, IPMI можна використовувати як можливість повернути доступ до сервера після повної переустановки системи.
Доступ до IPMI/ВМС засобами ОС за наявності максимальних привілеїв можливий без використання пароля, тобто авторизація взагалі не потрібна. У цьому випадку зловмисник просто створює адміністративний обліковий запис IPMl/BMC. У разі втрати доступу до сервера він заходить на IPMl/BMC і повертає чесно зароблене добро. Взагалі, зв'язок IPMl/BMC з основним комп'ютером досі досконало не вивчений. Це неоране поле для пошуку багів та фіч. Враховуючи кількість вендорів, які реалізують це у своїх серверах, можна говорити про «багатий внутрішній світ».

ПУБЛІЧНІ ДОСЛІДЖЕННЯ

Вперше на безпеку IPMI та ВМС звернув увагу Ден Фармер (DanFarmer). З його повним звітом, що носить назву «Вантажний поїзд у пекло» . Ми розглянемо найцікавіші з погляду злому моменти.
Керуючись дослідженням Дена, уразливості IPMl/BMC можна розділити на дві великі категорії:

· кастомні баги від виробників (наприклад, уразливості веб-інтерфейсу);
· Вразливості протоколу IPMI.

Насправді Ден накопичив багато цікавого, про це нижче.

NULL authentication

Опис
Вразливість дозволяє оминути аутентифікацію. Є тільки в IPMI 1.5. Експлуатація дозволяє керувати пристроєм, просто активувавши опцію відключення аутентифікації. Привілеї різняться у різних вендорів, але зазвичай бувають максимальними.

Вендори
- НР
- Dell
- Supermicro.

Умови
Відкритий порт UDP 623, IPMI 1.5, логін існуючого користувача.

Ipmtiool -А NONE -Н targetIP bmc guid

IPMI Authentication Bypass via Cipher 0

Опис
Вразливість дозволяє оминути аутентифікацію. Бага з'явилася з IPM I версією
2.0. У цій ревізії вирішили додати шифрування. Для експлуатації треба
знати логін валідний облікового запису, а ось пароль знати не обов'язково -
можна вказати будь-хто.

Вендори
- НР
- Dell
- Supermicro.

Умови

Відкритий порт UDP 623, IPMI 2.0, логін існуючого користувача.

Metasploit - auxiliary/scanner/ipmi/ipmi_cipher_zero ipmitool -I lanplus -C 0 -H targetIP -u Administrator -Р anypasswordhere user list

IPMI 2.0 RAKP Authentication Remote Password Hash Retrieval

Опис
Вразливість дозволяє неавторизованого користувача отримати захешовані паролі користувачів для подальшого брутто. Бага з'явилася у специфікації IPMI версії 2.0

Вендори
- НР
- Dell;
- Supermicro.

УМОВИ

Відкритий порт UDP 623, IPMI 2.0 та валідні user-logins.

Metasploit - auxiliary/scanner/ipmi/ipmi_dumphashes http://fish2.com/ipmi/tools/rak-the-ripper.pl

IPMI Anonymous Authentication / Null user

Опис
Хтось називає це null user, хтось - anonymous authentication. Хтось поділяє ці дві вразливості, хтось не має. За замовчуванням існує null user/anonymous - «» (порожній рядок). Якщо кажуть null user, пароль у нього теж порожній. Якщо говорять anonymous authentication, то пас у нього admin і в усьому винне IPMI Chips with ATEN-Software.
Ден у своєму дослідженні вважає це як дві різні вразливості. А в доці Rapid7 про null user вже ні слова.

Вендори:

НР
Dell
Supermicro (використовують IPMI Chips with ATEN-Software).

Умови

Відкритий порт UDP 623

Metasploit - auxiliary/scanner/ipmi/ipmi_dumphashes ipmitool -I lanplus -Н targetIP -U ""-Р"" user list

Supermicro IPMI UPnP Vulnerabllity

Опис
У Supermicro є сервіс UPnP SSDP на порту UDP 1900. Він вразливий до переповнення буфера.

Вендори
Supermicro.

Умови
Відкритий порт 1900 року.

Metasploit exploit/multi/upnp/libupnp _ssdp_overflow metasploit auxiliary/scanner/upnp/ssdp_msearch

Supermicro IPMI Clear-text Passwords

Опис
Специфікація IPMI 2.0 має на увазі, що десь повинні зберігатися паролі у відкритому вигляді. У Supermicro вони знаходяться у файлах /nv/PSBlock або /nv/PSStore, залежно від firmware.
Крім цього, у реалізаціях ВМС на Nuvoton WPCM450 на ТСР-порту 49152 висить сервіс, який дозволяє читати вміст файлів у директорії /nv, наприклад PSBlock, server.pem і таке інше.

Вендори
· Supermicro.

Умови
Shell-доступ

Cat /nv/PSBlock echo (GET /PSBlock" 1 nc targetIP 49152

З приводу вразливостей "NULL authentication / IPMI Authentication Bypass via Cipher О", "IPMI 2.0 RAKP Authentication Remote Password Hash Retrieval", "IPMI Anonymous Authentication" - про все це написано в специфікації IPMI.
Дослідники досконально вивчили її, наголосивши на механізмах автентифікації та шифрування. Вразливість, пов'язана з довільним виконанням коду в UРnР-сервісі в прошивці Supermicro (Supermicro IPMI UPnP Vulnerability), відноситься до CVE-2012-5958 (BoF libupnp). Інші ж торкнуті нами вразливості знайдені за допомогою аналізу прошивки Supermicro для материнських плат Supermicro Х9, причому упор робився саме на аналіз коду, що відповідає за Інтернет.

HANDS-ON LAB

Давай розберемо стандартну схему експлуатації вразливостей IPMI.
За допомогою модуля ipmi_version, доступного у відомому фреймворку Metasploit, можна просканувати периметр мережі. Якщо ти вже знаходишся у внутрішньому сегменті та встановлювати/використовувати Metasploit немає можливості, то можна обійтися простенькою утилітою ipmiping або rmcpping.
Як тільки вдалося виявити відкриті IPMI, в першу чергу слід перевірити їх на вразливість Authentication Bypass via Cipher О (дивись вище). Якщо вона присутня, то можна обійтися без дампа хешів користувачів і просто скинути пароль адміністратору або додати свого. Важливо: для використання цієї вразливості необхідне знання логи на обліковому записі, у нашому випадку обліковий запис має мати адміністративні привілеї. Для початку розглянемо випадок з дампом хеша користувача і брутфорсом, що його послідує.

За допомогою модуля Metasploit'a ipmi_dumphashesми маємо змогу зібрати хеші користувачів. Важливо: без знання логіна користувача не вийде здобути його хеш. В опціях ipmi_dumphashesможна вказати шлях до файлу з логінами, наприклад, якщо адміни створили собі облікові записи. За промовчанням файл містить дефолтні логіни всіх вендорів. Брут хешей підтримують як oclHashcat, так і John the Ripper з jumbо-патчами (community edition). Джона слід брати з гітхабу, тому що на офіційному сайті застаріла версіябез підтримки потрібного формату. остання версія oclHashcat, на даний момент 1.30, підтримує всі коробки.

Якщо у тебе в руках виявився хеш від НР ilO4, то тобі пощастило. Справа в тому, що при конфігуруванні на заводі пароль за замовчуванням для облікового запису Administrator встановлюють довжиною вісім символів – uppercase + numeric. На моїх скромних потужностях пошук подібного значення займає близько півгодини.

У разі наявності вразливості cipher Проможна обійтися без брутфорсу хешів та скинути пароль. Для цього нам знадобиться утилі та IPMitool. Складання під GNU/Linux не викликає питань. А ось під Windows доведеться влаштувати танці з бубном у Cygwin. Послідовність дій для додавання адміністратора така:

1. Дивимося, які користувачі є, і використовуємо наступний вільний ID.

Ipmitool -I lanplus -з 0 -H 1.1.1.1 -U Administrator -Р anypasswordhere user list

2. Встановлюємо логін нашого користувача.

Ipmitool -I lanplus -З 0 -Н 1.1.1.1 -U Administrator -P anypasswordhere user set name hacкer

3. Задаємо пароль.

Ipmitool -I lanplus -З 0 -Н 1.1.1.1 -U Administrator -P anypasswordhere user set password hackerpass

4. Робимо його адміністратором.

Ipmitool -I lanplus -З 0 -Н 1.1.1.1 -U Administrator -Р anypasswordhere user priv 4

5. Активуємо тільки створений обліковий запис.

Ipmitool -I lanplus -C 0 -H 1.1.1.1 -U Administrator -Р anypasswordhere user enable

Після того як хеші зламані, паролі скинуті або доданий новий адміністратор, у тебе з'являється можливість зайти через веб-інтерфейс, SSH на SMASH або підключитися до віддаленого робочого столу, а -ля KVM.
Особливу цінність представляє перемикач KVM, оскільки реалізує доступ безпосередньо до консолі, тим самим дозволяючи отримати доступ до BIOS, встановити операційну систему тощо. За реалізацію перемикача KVMвідповідає кожен вендор сам. Наприклад, у НР
ilO4 для цього використовуються порти ТСР 17988 та 17990. У Dell iDRAC7 це порт ТСР 5900. Cisco ICM порт ТСР 2068.

Варто згадати таку річ, як НР BladeSystem Onboard Administrator. НР BladeSystem є шасі, до якого підключаються блейд-сервери. Так ось, це шасі дозволяє керувати централізовано блейд-серверами за допомогою IPMI. При цьому авторизація на «підлеглі» IPMI відбувається за допомогою механізму SSO. Все, що тобі потрібно, - це отримати хеш користувача з адміністративними привілеями і за допомогою веб-інтерфейсу підключитися на сервер, який тебе цікавить.

Ще одна цікава особливість, знайдена в НР il04 - це можливість підключитися до сервера по KVM прямо з SMASH (читай: SSH) за допомогою команди TEXTCONS. Це дуже корисно, коли закрито порти 80, 443, 17990. Для цього знадобляться права адміністратора, але яка різниця?
Стати адміністратором не так складно. Персонально для тебе, читачу, я підготував програму ipmicd на C під Windows/Linux. Вона дозволяє сканувати діапазон адрес на наявність IPMl/BMC, а також дампіт хеші (аналог ipmi_dumphashes з Metasploit'a). Програми створені на той випадок, коли використовувати Metasploit не найвдаліша ідея, наприклад, IPMl/BMC знаходяться десь далеко, куди Metasploit не прокинеш.

Утиліта доступна на GitHub. Дуже проста у використанні:

1. Параметр -р використовується, коли потрібно провести сканування певного спектра.
2. Параметр -d вказує на необхідність отримати захешований пароль.
3. Параметр -v N вказує ступінь логування під час роботи 0..5. При N = 1 програма видає фінгерпринт.

Комбінуючи різні параметри, можна проводити поведінка програми. Наприклад, при використанні разом опцій -d і -р програма намагатиметься отримати хеші тільки з тих систем, які відповідають на IРМl-пінги. При використанні тільки опції -d намагатиметься отримати хеші з усіх адрес, що зазвичай відбувається нереально повільно. Якщо щось викликає сумніви, то можна використовувати опцію -v 5 - програма виводитиме в зручному форматі отримані повідомлення. Для компілювання під Linux знадобиться лише GCC - gcc ipmicd.c -static -про ipmicd. У разі використання на Windows компілювати слід за допомогою MinGW gcc ipmicd.c -mno-ms-bitfields -lws2_32 -DMINGW.

ВИСНОВОК

Пари слів про високе: вивчення можливостей та реалізацій різними вендорами IPMl/BMC тільки починається. Сюди можна включити не тільки веб-інтерфейс або SMASH, але й драйвери для операційних систем, що дозволяють взаємодіяти з технологіями віддаленого керування сервером IPMI/ВМС із встановленої системи. Внутрішні послуги, що реалізують обмін інформацією в IPMl/BMC. Під приціл може потрапити навіть залізна реалізація самого ВМС і як саме він керує основним сервером. Адміністраторам я рекомендую перевірити всі свої системи на наявність у них публічних уразливостей і по можливості усунути ці вразливості. Найголовніша рекомендація, яку я хотів би дати читачем - приділяйте максимум уваги настройкам обладнання, яким ви керуєте.

Всі сервери, які ми пропонуємо в оренду, оснащені контролером IPMI (Intelligent Platform Management Interface), що дозволяє здійснювати включення, вимкнення, віддалене підключення (KVM) з можливістю монтування ISO-образів, а також забезпечує доступ до інформації про поточний стан сервера.

За допомогою IPMI після видачі сервера ви зможете зробити установку операційної системи та початкове налаштування сервера. Оскільки IPMI-контролер підключений окремим кабелем і має власну IP-адресу, навіть у разі втрати доступу до ОС Ви завжди зможете керувати сервером без необхідності прямого фізичного доступу.

Як встановити ОС?

Для встановлення операційної системи Вам потрібно підключитися до IPMI сервера одним із зручних для вас способів: через Web-інтерфейс або за допомогою програми IPMIView. У статті буде описано обидва варіанти, проте ми рекомендуємо використовувати другий спосіб.

Web-інтерфейс

Для підключення через web-інтерфейс необхідно в адресному рядку вашого браузера ввести IPMI адресу і авторизуватися. Адреса та реквізити для авторизації ви можете знайти у листі з доступом до сервера або у вашому особистому кабінеті. Далі потрібно перейти у вкладку Remote Control -> Console Redirection і натиснути кнопку Launch Console.

У розділі Device 1 виберіть ISO File у списку Logical Drive Type і вкажіть шлях до образу на диску за допомогою кнопки Open Image , після чого підключіть образ кнопкою Plug In .

Після підключення образу перезавантажте ваш сервер у розділі Power Control ->

Деякі сервери дозволяють підключити до трьох пристроїв за допомогою вкладок Device 2 або Device 3 у розділі Virtual Media -> Virtual Storage. Це може бути корисним, якщо потрібно встановити додаткові драйвери під час встановлення.

Якщо ви плануєте встановити на сервер Windows, комбінацію клавіш Ctrl+Alt+Del можна передати в розділі Macro - Macro .

Інструкція по роботі з web-інтерфейсом у старих версіях прошивок IPMI

IPMIView

Для використання програми Supermicro IPMIView необхідно завантажити її з офіційного сайту, вказавши свої дані або безпосередньо з ftp-сервера: https://www.supermicro.com/wftp/utility/IPMIView/

Після встановлення та запуску програми необхідно додати ваш сервер у розділі File-New-System.

В якості System Name вкажіть ім'я вашого сервера, а в графу IP address впишіть IPMI адресу, яку ви можете знайти в листі з доступом до сервера або у вашому особистому кабінеті. Переконайтеся, що в графі адреси відсутні пробіли в кінці рядка та натисніть OK .

У списку ліворуч двічі натисніть ім'я доданого сервера, після чого ви побачите вікно авторизації. Заповніть його за допомогою реквізитів із листа або особистого кабінетуі натисніть Login. У разі успішного підключення ви побачите напис Connected , а внизу вікна з'являться додаткові вкладки для керування сервером.

Для віддаленого керування сервером перейдіть у розділ KVM Console і натисніть кнопку Launch KVM Console .

Подальші дії аналогічні роботі через

За допомогою програми IPMIView ви також можете перезавантажити, увімкнути або вимкнути сервер у вкладці IPMI Device .

Для того, щоб мережевим адміністраторам максимізувати час безвідмовної роботи серверів, існує безліч технологій та продуктів. Тому необхідно було, щоб стандарти управління були єдиними всім. На сьогоднішній день стандарт IPMI (інтерфейс інтелектуального управлінняплатформою) є одним з найважливіших відкритих стандартів і є у всіх платформах Supermicro.

Більшість материнських плат Supermicro містять спеціальний слот, що підтримує IPMI карти стандарту 2.0 (IPMI over LAN). Технологія IPMI дає можливість віддалено керувати та відновлювати сервер незалежно від його статусу та стану. Зв'язок із віддаленою консоллю управління забезпечується за допомогою вбудованого мережевого контролера, використовуючи додаткову смугу пропускання. Це апаратне рішення, що не залежить від операційної системи. IPMI 2.0 - це швидкий та недорогий спосіб віддаленого керування, контролю, діагностики та відновлення сервера.

Так як IPMI повністю незалежний від операційної системи, моніторинг, управління, діагностику та відновлення систем можна проводити навіть у тому випадку, коли ОС "зависла" або сервер вимкнений. У технології IPMI реалізовані функції виведення повідомлень необхідність відновлення компонентів - це дає можливість стежити за станом системи та реагувати на можливі апаратні проблеми до їх прояви. Імовірність таких проблем також знижує функцію моніторингу апаратних засобів. Крім того, можна відстежувати втручання в апаратну частину сервера, якщо налаштувати систему IPMI на виявлення відкриттів корпусу. Безпека роботи персоналу забезпечує використання багаторівневих прав та паролів спільно з технологіями ідентифікації та лінійного шифрування. Деякі модулі IPMI 2.0 підтримують KVM-over-Lan. Це дає можливість віддалено зайти в операційну систему на сервері і провести необхідні маніпуляції з її налаштування або встановлення та видалення необхідних програм.

IPMI відрізняється простотою в експлуатації, оскільки зазвичай він поставляється вже інтегрованим у сервер або окремий пристрій. І що найважливіше – він не потребує фінансових витрат. І дозволяє здійснювати керування системою в ті моменти, коли програмні засоби безсилі – наприклад, при "зависанні" ОС. Таким чином, технологія IPMI та існуючі засоби та методи управління чудово доповнюють один одного. І для управління сервером необхідно використовувати як програмні і апаратні ресурси. -

Переваги технології IPMI

• Віддалене управління блоками живлення, вентиляторами, напругою та температурою незалежно від типу та стану центрального процесора та операційної системи
• Ведення журналу реєстрації поточних подій
• Підтримка DOS, BIOS setup, Windows 2003, Linux
• Управління кнопками на корпусі: Reset; Power down; Power up

Захист паролем

Altusen IP9001 та модулі IPMI: вбудовані засоби для віддаленого керування комп'ютером

Модулі дистанційного керування, серед яких найбільшу популярність отримали KVM-перемикачі, як правило, виконані у вигляді зовнішніх конструктивів. Але є й інший клас пристроїв, який також призначений для здійснення дистанційних маніпуляцій із серверним обладнанням, що вбудовується безпосередньо в контрольований об'єкт. Кожен системний адміністратор не представляє своєї діяльності без використання віддаленого доступу до підопічних серверів, причому у двох варіантах: віддаленого контролю стану обладнання та дистанційного виконання адміністративних функцій. Зазвичай ці завдання вирішуються шляхом доступу до текстової консолі або робочого столу графічної оболонки. Організувати віддалене управління можливо різними способами, найпоширенішими з яких є програмні засоби. Практично кожен виробник серверів та систем зберігання даних постачає в комплекті ПЗ для віддаленого моніторингу стану, оповіщення про критичні ситуації та адміністрування обладнання.

Не останнє місце займають вбудовані кошти дистанційного доступу, що надаються ОС, крім окремих товарів третіх фірм. Але інколи програмні засоби виявляються безсилими допомогти в усуненні несправностей без прямого доступу до сервера. Це буває, наприклад, при апаратному збої, і виправити ситуацію може тільки холодний рестарт або навіть необхідність вимикання/включення живлення. У таких випадках на допомогу приходить спеціалізоване апаратно-програмне рішення, що є спеціальним контролером, що встановлюється на материнську плату. Його харчування забезпечується від чергового джерела чи взагалі автономно. До нього є доступ через мережевий інтерфейс, крім того, може бути ще один канал - через автономний СOM-порт або модем. Керування цими функціями виконується з робочої станції адміністратора, на якій встановлюється клієнт, що взаємодіє з контролерами та допускає моніторинг/управління групою серверів, обладнаних такими модулями.>

Altusen IP9001 Контролер IP9001 – по суті, "комп'ютер у комп'ютері". Таке рішення забезпечує повну апаратну незалежність від керованого сервера Доступ до дистанційного вузла здійснюється за допомогою Web-інтерфейсу і дозволяє проводити будь-які операції з комп'ютером, що обслуговується, аж до включення/вимкнення та апаратного скидання Пристрій являє собою PCI-контролер для дистанційного керуванняза протоколом TCP/IP, розрахований на встановлення будь-який комп'ютер, оснащений відповідним інтерфейсом. По суті, IP9001 - самостійна ЕОМ з власним процесором IBM PowerPC 405GPr - 400-мегагерцева версія вже відомого 405GP, що випускається з тактовими частотами 266 і 300 MHz. Цей процесор включає інтегрований PCI-інтерфейс, контролери SDRAM і Ethernet. Крім обов'язкових ОЗУ та ПЗУ на платі є власний графічний контролер ATI Rage XL, а для підключення до мережі на ній передбачений Ethernet-порт RJ-45. Заслуговує на увагу і можливість роботи через телефонну мережу за допомогою додаткового модемного модуля (роз'єм RJ-11) - вона виручить за відсутності доступу до керованого вузла за допомогою локальної мережі. Крім перерахованого вище, модуль дистанційного керування оснащений пристойним набором периферійних інтерфейсів, серед яких – RS-232 та USB 2.0. Живлення пристрою здійснюється двома шляхами - через шину PCI та зовнішнє джерело, призначене для забезпечення незалежності від керованого комп'ютера. Управління з віддаленої консолі надає оператору весь спектр можливостей, доступних безпосередньо з самого сервера, у тому числі роботу в режимі Remote Console, моніторинг напруги та температури системи, увімкнення/вимкнення, перезавантаження. Підтримка віртуального диска, CD та флоппі-дисковода дозволяє встановлювати оновлення, ПЗ та завантажувати ОС з носія, що фізично знаходиться на віддаленій робочій станції. Програмне забезпечення дозволяє підтримувати 64 облікові записи з розмежуванням прав доступу до управління для кожного оператора. Робота пристрою розрахована на використання операційних систем Windows 2000/2003/XP, Red Hat версій 8.0 та вище. IPMI (Intelligent Platform Management Interface).

Ще один різновид вбудованих пристроїв, призначених виключно для серверних платформ, базується на наборі специфікацій IPMI, розроблених групою-виробником серверного обладнання Intel, HP, NEC і Dell для засобів віддаленого моніторингу/управління. До нього увійшли три специфікації: Intelligent Platform Management Interface; Intelligent Platform Management Bus (IPMB) та Intelligent Chassis Management Bus (ICMB). IPMB - специфікація внутрішнього інтерфейсу розширеного моніторингу/управління у межах однієї системи, ICMB визначає специфікації зовнішнього інтерфейсу між IPMI-сумісними системами.

Розширювачі IPMI, незважаючи на невеликі габарити, забезпечують повний контроль над сервером Після виходу в 1998 версії 1.0 була випущена 1.5, а в даний час актуальна специфікація 2.0. Цей стандарт підтримав вже 171 виробник обладнання, і список продовжує зростати. Версія 1.5 була затверджена в I кварталі 2001 р. Вона вже включала такі можливості: засоби моніторингу температур, напруги, швидкості обертання вентиляторів, датчики розтину корпусу; управління скиданням та харчуванням; ведення журналу подій; сторожову схему (WatchDog Timer); доступ та оповіщення через COM-порт та локальну мережу; спеціалізовані шини для моніторингу Версія 2.0 була прийнята в лютому 2004 р. У ній передбачено низку додаткових можливостей, таких як Serial Over LAN, шифрування пакетів, внутрішні та зовнішні протоколи, удосконалені засоби захисту від несанкціонованого доступу, додані розширення для моніторингу модульних структур (blade-серверів) та засоби для створення віртуальних (management only) мереж. Засобами IPMI оснащувалися серверні материнські плати на платформі Intel 7500 для Xeon Prestonia із шиною 400 MHz. Це був модуль SMC-0001, сумісний з IPMI-1.5, виконаний як невелика хустка зі спеціалізованим процесором та своїм COM-портом у конструктиві, аналогічному модулям пам'яті SO-DIMM. Практично на всі плати на платформі Intel 7520/7525/7320, а також Intel 7221 Pentium 4 встановлюється модуль AOC-IPMI20-E, вже сумісний з IPMI 2.0.

Архітектура IPMI версії 2.0. На сьогоднішній день це основний стандарт, прийнятий розробниками серверних систем

На серверних платформах 7230 для Pentium D та 1U-платформах серії 6014P для Xeon з'явився новий конструктив для IPMI-карток. Він має роз'єм, схожий на PCI-Х16, тільки з "перевернутим" ключем. Ці плати (AOC-1UIPMI-B та AOC-LPIPMI-LANG) функціонально аналогічні AOC-IPMI20-E, але оснащені додатковою гігабітовою мережевою картою Intel 82541PI. Модуль AOC-LPIPMI-LANG призначений для встановлення у звичайний або 2U-корпус, а AOC-1UIPMI-B - у 1U-корпус та не обладнаний мережевою картою (вона опціонально доступна у вигляді окремого модуля AOC-1UIPMI-LANG). За умовчанням AOC-IPMI20-E використовує перший мережевий контролер, наявний на материнській платі, а AOC-1UIPMI-B та AOC-LPIPMI-LANG - свій додатковий, якщо він встановлений. При інсталяції в модулі IPMI спочатку програмується Firmware, що відповідає материнській платі, а потім встановлюється IP-адреса. В операційній системі ця ж мережна карта може паралельно використовуватися для інших потреб з IP-адресою, відмінною від встановленої для IPMI. Як правило, останньому з міркувань безпеки рекомендується виділяти окрему мережу. Для моніторингу/управління систем з IPMI-адаптерами використовується спеціальна утиліта IPMIView20, яка розпізнає адаптери всіх версій. Вона дозволяє знаходити IPMI-адаптери в заданому діапазоні адрес і групувати виявлені системи за певною ознакою. Для отримання доступу до конкретного сервера необхідно пройти парольну автентифікацію, причому в IPMI 2.0 використовується контроль за паролем і шифруванням, а також багаторівневе розмежування прав доступу. формі Основні можливості моніторингу/управління, що надаються адаптерами IPMI, стандарти: ведення журналу системних подій, стеження за температурою, напругою, швидкостями обертання вентиляторів, іншими датчиками. Є можливість перезавантаження, включення/вимикання та Cycle - послідовного вимкнення, а потім включення живлення. Всі ці функції доступні в двох режимах: Graceful Power Control - коректне виконання shutdown операційної системи через встановлений на ній агент (GPC-агент є тільки для Windows і Linux), і Chassis Power Control - апаратне скидання/вимкнення живлення. Доступ до текстової консолі здійснюється за допомогою її перепризначення на COM-порт та реалізації SOL-redirection (Serial Over LAN). Остання дозволяє отримати доступ до текстової консолі віддаленого сервера, та поміняти віддалено, наприклад, налаштування BIOS. Так само можна отримати доступ до завантажувального меню Windows або до текстової консолі Linux/UNIX.

Післямова

Пристрої, описані в огляді, створені для виконання однієї і тієї ж задачі – максимально спростити обслуговування віддалених систем. Головна різниця між ними – сфера застосування. Якщо Altusen IP9001 підходить для будь-якої системи, установка модулів IPMI обмежена виключно серверними платформами. Сьогодні багато компаній-розробників прагнуть включати подібні модулі до складу своїх систем. Так, 15 червня ATEN International Co. Ltd. оголосила, що її нове мікропрограмне рішення IPMI офіційно вибрано Micro-Star International Co. Ltd. (MSI) для своєї серверної лінійки продукції. MSI впровадить мікропрограмне рішення ATEN в лінійку AMD-серверів, щоб надати клієнтам необхідні функції керування серверами. .