Kuidas kasutada IPMI liidest

Sissejuhatus

IPMI (Intelligent Platform Management Interface) on serverite haldamiseks mõeldud liides. See on rakendatud emaplaadi BMC (Baseboard Management Controller) abil. Selle liidesele pääsete juurde käsurea programmi abil (nagu IPMItool) või veebiliidese kaudu, millega saate serverit administreerida. Saate teha lähtestamisi, käivitada KVM-i ja lugeda emaplaadi sensorite väljundit.

Mudeli ülevaade

Kui te pole kindel, milline serverimudel on teie SB-serveri aluseks, võtke ühendust toe meeskonnaga, kirjutades toetusavalduse kliendi alale. Meie meeskond saab teile öelda.

• Intel S1200V3RPL(-SSD) – BMC sisaldab IPMI-d (valikuline tasuline KVM-over-IP moodul)
• Supermicro X9SRi-F(-SSD) – BMC sisaldab IPMI-d ja KVM-i
• Asus Z10PA-U8(-SSD) – tasuline valikuline BMC moodul koos IPMI/KVM-iga

Võrguliidese aktiveerimine

Integreeritud BMC-ga on võrgukonfiguratsioon vaikimisi keelatud. IPMI ja Serial over LAN ja/või KVM-funktsiooni kasutamiseks peate tellima lisaks IP-aadressi (millega kaasneb väike tasu).

Oluline: Peate määrama BMC MAC-aadressi, kui tellite lisaaadressi.

MAC-aadressi saate lugeda kasutades IPMItooli. Pärast IP-aadressi määramist saate selle staatiliselt konfigureerida või määrata selle DHCP kaudu BMC-le.

Ohutusjuhised

Kui BMC on tehtud juurdepääsetavaks, määrates sellele avaliku IP-aadressi, võib see olla rünnaku all ja teatud tingimustel võib see viia serveri ohustamiseni. Seetõttu peaksite võtma meetmeid kõige tuntumate rünnakustsenaariumide vastu. Lisateavet nende rünnakute kohta leiate Metasploit-i läbitungimistööriistade kogumiku kohta (https://community.rapid7.com/community/metasploit/blog/2013/07/02/a-penetration-testers-guide-to-ipmi).

Mudeli Intel S1200V3RPL emaplaat ei ole vastuvõtlik linkides kirjeldatud valikutele, kuna vaikimisi on juba paigaldatud mõned kaitsemehhanismid. Üldiselt peaksite muutma vaikeparoole ja keelama või ümber nimetama juba olemasolevad kasutajad. Anonüümne juurdepääs on kõigil mudelitel vaikimisi keelatud. Vaadake allpool teavet teiste rünnakutevektorite ja nende ennetamise kohta.

Praegused ohud

Haavatavused

Kuna IPMI funktsionaalsust pakkuv BMC on lihtsalt tarkvara, võib selles olla haavatavusi.

Supermicro X9SRi-F

Mudeli Supermicro X9SRi-F emaplaadi versioonis 2.14 avastati haavatavus, mis võimaldab kasutajanime ja paroole loetleda selges tekstis. Kui teie serveril on see tarkvaraversioon, peate enne võrguliidese aktiveerimist tegema tarkvarauuenduse.

Tarkvaraversiooni saate lugeda, kasutades impitool:

ipmitool mc info
...
Firmware Revision         : 3.50

Kui olete IPMI võrgu juba aktiveerinud, saate värskenduse teha veebiliidese kaudu.

Asus Z10PA-U8

Asus Z10PA-U8 lisamoodul kasutab versioonides enne 1.11 ebaturvalisi SSL-protokolle ja aegunud SSL-sertifikaati.

Seetõttu võib sõltuvalt sellest, millist veebibrauserit kasutate, turvalisi (HTTPS) ühendusi olla alles pärast värskenduse tegemist.

Värskenduse saate alla laadida veebiliidese kaudu.

Cipher 0 rünnakud

Cipher 0 tähendab, et krüptimist ei kasutata ja seega möödub igasugune autentimine. Vaikimisi on Cipher 0 emaplaadil lubatud ainult tagasikutsumise jaoks, mis tähendab, et sisselogimine pole võimalik; saate ainult vastuse selle kohta, kas BMC on olemas või mitte. Sellegipoolest, et tagada, et mingit kuritarvitamist ei toimuks, on Cipher 0 vaikimisi sünnipäraselt keelatud serveri tarnimisel ja seetõttu ei saa seda enam kasutada.

Parooli räsi edastamine

IPMI spetsifikatsiooni kohaselt on kasutaja autentimine võimalik ainult kasutaja poolel. Seetõttu edastatakse nõudvatele kasutajatele parooli räsi. Kuna see määratleb täpselt, mida see räsi sisaldab, on võimalik parool leida brute force rünnaku abil. Kuna see on osa IPMI spetsifikatsioonist, esineb see probleem kõigil BMC-del ja seda saab lahendada ainult spetsifikatsiooni muutmisega. Seetõttu on ainus praegune soovitus selle probleemi kohta kasutada tõesti pika ja tugeva parooli BMC jaoks, et muuta see võimalikult raskeks igasuguste ründajate jaoks. Kui kasutate BMC jaoks lühikest või lihtsalt äratuntavat parooli, võib see olla kompromiteeritud mõne tunni või isegi minutite jooksul.

Siin on mõned näpunäited turvalise parooli loomiseks:

• Kui peate parooli kergesti meelde jätma, on mõistlik ühendada mitu omavahel mitteseotud sõna (http://correcthorsebatterystaple.net/). See on turvaline tänu pikkusele ja on siiski kerge meelde jätta.
• Kui kavatsete parooli andmebaasis salvestada ega pea seda meelde jätma, saate kasutada piisavalt juhuslikke numbreid ja tähti mõistliku pikkusega (>30 tähemärki), et luua turvaline parool.

SNMP-peegeldus

Mõned IPMI moodulid (näiteks Asus Z10PA-U8 mudelitel ASMB8-iKVM) lubavad päringuid SNMP kaudu. Seetõttu võib väike päring põhjustada suure hulga andmete kaotuse, kui päringut allikaadressilt kuritarvitatakse rünnakus. Kui kasutate SNMP-i, peate veenduma, et kasutate tugevat parooli (mis tähendab SNMP kogukonna stringi kasutamist). Kui te ei kasuta SNMP-i, saate selle pordi ASMB8-iKVM moodulitel Asus Z10PA-U81 mudelites tulemüüri abil blokeerida. Mõlemat valikut saate teha veebiliidese kaudu.

Individuaalsete funktsioonide selgitus

Veebiliides

Saate veebiliidese abil BMC-st andmeid hõlpsalt ja turvaliselt lugeda. See kuvab kõik andurid, saate lisada ja muuta kasutajaid, saate määrata võrgukonfiguratsiooni ning KVM-i olemasolul saate selle käivitada.

Süsteemiinfo: Selles jaotises leiate teavet oma serveri kohta (BIOS-versioon, praegune olek, CPU ja RAM-i teave) ning näete kasutajaid, kes on praegu sisse logitud.

Serveri tervis: Siin näete emaplaadi ja CPU individuaalsete andurite väljundit. Kui esineb termilisi probleeme, saate need siin tuvastada. Lisaks on sündmuste logis. Logis saate leida süsteemisündmusi, nagu kriitilised temperatuurid, taaskäivitused ja CPU piiramine. See võib aidata teil võimalikku probleemi diagnoosida. Lehekülg Power Statistics ei tööta selle mudeliga, kuna toiteplokil pole vajalikku PMBUS-liidest.

Konfiguratsioon: Siin saate konfigureerida mitmeid BMC suvandeid. Tavaliselt pole vaja muuta võrguseadeid, kuna IPv4 konfiguratsioon on DHCP kaudu automaatselt määratud. IPv6 saate seadistada käsitsi. Samuti saate siin lisada uusi kasutajaid ja muuta ning kustutada olemasolevaid. Lisaks võimaldab suvand Alerts teil saada teateid SNMP või e-posti teel, kui serveris ilmnevad teatud sündmused. See võib olla kasulik serveri jälgimisel.

Kaugjuhtimine: Sellel lehel saate kasutada BMC KVM-funktsionaalsust. Kuid suvand Console Redirection on saadaval ainult lisamooduli aktiveerimisel. Saate alati kasutada Server Power Control. See võimaldab teil saata serverile riist- ja tarkvaralähtestusi, saate selle välja lülitada või käivitada.

Konfiguratsioon

Selles jaotises näete mõningaid põhilisi konfiguratsioonivalikuid. Tavaliselt saate BMC veebiliidest kasutada. Samuti on soovitatav installida ipmitool, mille saate installida kõigi suuremate distributsioonide pakihalduri abil. See annab teile juurdepääsu täiendavatele funktsioonidele, mida te veebiliidese abil konfigureerida ei saa.

Debiani näide:

Paigaldamine pakihalduri kaudu:

apt install ipmitool

Selleks, et ipmitool korralikult toimiks, peaksite laadima järgmised moodulid läbi modprobe:

modprobe ipmi_devintf
modprobe ipmi_si

Selleks, et kontrollida, kas kõik oluline on õigesti laaditud ja installitud, kasutage järgmist näidiskäsku, mis näitab andmeid kõigist saadaolevatest anduritest:

ipmitool sensor list

Kasutajad

Te saate luua mitu kasutajat erinevate õigustega BMC-s. Pärast uue administraatorõigustega kasutaja loomist ipmitool abil saate veebiliidese kaudu hallata rohkem kasutajaid. On 4 erinevat õiguste/tõkenditaseme taset:

• Tagasikutsumine (1): Saab alustada ainult tagasikutsumist
• Kasutaja (2): Saab saata ainult lugemispäringuid, kuid ei saa muuta konfiguratsioonifaile
• Operaator (3): Saab muuta kõiki konfiguratsioone, välja arvatud kanali deaktiveerimine ja õiguste muutmine
• Administraator (4): Saab muuta kõiki konfiguratsioone

Tavaliselt on juba olemas üks või mitu kasutajat. Saate ülevaate olemasolevatest kasutaja ID-dest ja sisselogimistest järgmiselt:

ipmitool user list 1

Supermicro X9SRi-F mudelitel on juba olemas aktiivne administraatorõigustega kasutaja:

ID  Name             Callin  Link Auth  IPMI Msg   Channel Priv Limit
2   ADMIN            false   false      true       ADMINISTRATOR

Asus Z10PA-U8 mudeli BMC/KVM moodulites on kaks aktiivset administraatorõigustega kasutajat:

ID  Name             Callin  Link Auth  IPMI Msg   Channel Priv Limit
1                    false   false      true       ADMINISTRATOR
2   admin            false   false      true       ADMINISTRATOR

Intel S1200V3RPL mudelites on 5 vaikimisi mitteaktiivset kasutajat. Saate muuta kõiki neist, välja arvatud esimene.

ID  Name             Callin  Link Auth  IPMI Msg   Channel Priv Limit
1                    true    false      true       ADMINISTRATOR
2   root             false   true       true       ADMINISTRATOR
3   test1            true    false      true       ADMINISTRATOR
4   test2            true    false      true       ADMINISTRATOR
5   test3            true    false      true       ADMINISTRATOR

Peaksite keelama root (või ADMIN) kasutaja ID ja võimalusel selle ümber nimetama pärast kliendikasutaja loomist ja võrgukonfiguratsiooni aktiveerimist.

Muutke sisselogimise nime järgmise ipmitool käsu abil:

ipmitool user set name 2 john-doe

Uue kasutaja loomiseks määrake lihtsalt eelnevalt kasutamata ID-le nimi. Menetlus on siin identne ID sisselogimise muutmisega. Saate ID-sid kustutada ainult BMC seadete muutmisega.

Uue kasutaja loomine:

ipmitool user set name 6 max+meier

Seejärel peaksite määrama parooli:

ipmitool user set password 6 Correct-Battery-Horse-Staple

Aktiveerige selle kasutaja juurdepääs nüüd:

ipmitool channel setaccess 1 6 link=on ipmi=on callin=on privilege=4

Aktiveerige kasutaja ise:

ipmitool user enable 6

Kasutaja parooli muutmiseks sisestage lihtsalt järgmine käsk:

ipmitool user set password 6 Battery+Staple-Horse$Correct

Lõpuks saate vaikimisi administraatori kasutaja keelata:

ipmitool user disable 2

Võrk

BMC-i internetist ligipääsetavaks muutmiseks peate selle jaoks lisaks IP-aadressi Roboti kaudu tellima. Selle IP-aadressi eest võetakse väike tasu. BMC IPv4 konfiguratsiooni saate teha kas käsitsi või kasutades ipmitool-i DHCP-d. Võite teha muudatusi selle konfiguratsiooni jaoks veebiliidese kaudu, minnes menüüsse Configuration / IPv4 Network. Hetkel IPv6 kasutamine ei ole võimalik, kuid IPv6 konfiguratsioon saab veebiliidesel hiljem saadaval olema.

Algse konfiguratsiooni saate määrata kasutades ipmitool-i. Vastav IPMI kanal sõltub emaplaadist ja millise liidese soovite konfigureerida.

Jagatud LAN-port põhi-IP jaoks:

• Intel S1200V3RPL ja Supermicro X9SRi-F: Kanal 1
• Asus Z10PA-U8: Kanal 8

Aktuaalse konfiguratsiooni ja BMC MAC-aadressi nägemiseks kasutage järgmist käsku:

• Intel S1200V3RPL ja Supermicro X9SRi-F:

• ipmitool lan print 1

• Asus Z10PA-U8:

• ipmitool lan print 8

Nagu ülalpool näidatud, kasutage Asus Z10PA-U8 mudelite jaoks set 8 asemel set 1 kõigi teiste käskude jaoks.

DHCP kaudu IP saamiseks kasutage järgmist käsku:

ipmitool lan set 1 ipsrc dhcp

Kui soovite kasutada vaike staatilist konfiguratsiooni, sisestage järgmine käsk:

ipmitool lan set 1 ipsrc static

IP-aadressi määramiseks sisestage:

ipmitool lan set 1 ipaddr <IP aadress>

Võrgu maski määramiseks sisestage:

ipmitool lan set 1 netmask <võrgu mask>

Vaikimisi marsuudi määramiseks sisestage:

ipmitool lan set 1 defgw ipaddr <marsuudi IP aadress>

Serial over LAN

Serial over LAN (SOL) aktiveerimiseks sisestage järgmine käsk:

ipmitool -C 3 -I lanplus -H <ipaddr> -U <kasutaja> -P <parool> sol activate

3. krüpto-suite’i kasutamine on oluline (kui see ei ole vaikeväärtus), sest muudmoodi ei ole võimalik suhelda LANplus-i kaudu.

Kui ilmub järgmine tõrketeade, peate SOL-i kasutaja jaoks aktiveerima:

ipmitool -C 3 -I lanplus -H <ipaddr> -U <kasutaja> -P <parool> sol activate
Info: SOL payload disabled

ipmitool -C 3 -I lanplus -H <ipaddr> -U <kasutaja> -P <parool> sol payload enable <kanal> <kasutaja-id>

Pärast seda näete BIOS-i väljundit. Käivituslaaduri ja/või käivitatud süsteemile juurdepääsuks on vajalikud täiendavad seaded.

GRUB2

GRUB2 jaoks muutke mõningaid ridu vastavalt järgmisele failile: /etc/default/grub ja taastage sätted.

Supermicro X9SRi-F-i puhul on seriaalkonsool ttyS2/unit=2. Asus Z10PA-U8 puhul on see ttyS1/unit=1. Ja Intel S1200V3RPL puhul on see ttyS0/unit=0. MÄRKUS: Asus Z10PA-U8 mudelitel tuleb baudikiiruseks seada 57600, kõikide teiste mudelite puhul 115200.

Intel S1200V3RPL

GRUB_CMDLINE_LINUX_DEFAULT="nomodeset console=tty0 console=ttyS0,115200n8"
GRUB_TERMINAL=serial
GRUB_SERIAL_COMMAND="serial --speed=115200 --unit=0 --word=8 --parity=no --stop=1"

Asus Z10PA-U8

GRUB_CMDLINE_LINUX_DEFAULT="nomodeset console=tty0 console=ttyS2,115200n8"
GRUB_TERMINAL=serial
GRUB_SERIAL_COMMAND="serial --speed=115200 --unit=2 --word=8 --parity=no --stop=1"

Asus Z10PA-U8

GRUB_CMDLINE_LINUX_DEFAULT="nomodeset console=tty0 console=ttyS1,57600n8"
GRUB_TERMINAL=serial
GRUB_SERIAL_COMMAND="serial --speed=57600 --unit=1 --word=8 --parity=no --stop=1"

GRUB (grub-legacy)

GRUB1 (grub-legacy) puhul lisage järgmised read faili /boot/grub/menu.lst või /boot/grub/grub.conf (CentOS):

Intel S1200V3RPL

serial --unit=0 --speed=115200 --word=8 --parity=no --stop=1
terminal --timeout=5 serial console

Supermicro X9SRi-F

serial --unit=2 --speed=57600 --word=8 --parity=no --stop=1
terminal --timeout=5 serial console

Asus Z10PA-U8

serial --unit=1 --speed=115200 --word=8 --parity=no --stop=1
terminal --timeout=5 serial console

Samaaegselt peate lisama sama seerilise pordi ka kerneli käivitamise valikutesse. Intel S1200V3RPL puhul on selleks ttyS0, sus Z10PA-U8 puhul ttyS1 ja Supermicro X9SRi-F puhul ttyS2.

console=tty0 console=ttyS0,115200n8

See ütleb kernelile, et väljundit tuleb kuvada esimesel seerilisel pordil. Muutes GRUB_TERMINAL väärtuseks serial, suunatakse kogu sisend/väljund seerilisele pordile. Kohalik ekraan enam käivitusmenüüd ei näita ja seetõttu ei saa te enam KVM-konsooli või KVM-i kaudu käivitamise kirjet valida. Pärast taaskäivitamist saadetakse väljund paralleelselt nii kohalikule ekraanile kui ka seerilisele pordile.

Selle järel peate seadistama seerilise pordi oma süsteemis.

Ubuntu

Looge fail /etc/init/ttyS0.conf järgmise sisuga (või alternatiivselt fail ttyS2.conf mudelite Supermicro X9SRi-F jaoks ttyS2 ja 115200 baudiga või fail ttyS1.conf mudelite Asus Z10PA-U8 jaoks ttyS1 ja 57600 baudiga):

# ttyS0 - getty
#
# See teenus hoiab ttyS0-s getty't alates süsteemi käivitamise hetkest kuni selle sulgemiseni.

start on stopped rc RUNLEVEL=[2345]
stop on runlevel [!2345]

respawn
exec /sbin/getty -L ttyS0 115200 vt100

Selle järel saate terminali aktiveerida, sisestades start ttyS0.

CentOS

CentOS-is on konfiguratsioon sarnane Ubuntu omaga. Siiski käivitab /etc/init/serial.conf automaatselt getty seriaalpordil, lisades pordi /etc/securetty-sse. Peate lihtsalt konfigureerima seriaalkonsooli grub.conf-i ja lisama vastava kerneli valiku.

Debian / OpenSuSE / Fedora

Debiani, OpenSuSE’i ja teiste jaoks, nagu Fedora, mis kasutavad systemd-i ja GRUB2-d, muutke lihtsalt vastavalt faili /etc/default/grub ja uuendage konfiguratsiooni kasutades grub2-mkconfig. Järgmisel käivitamisel käivitab systemd automaatselt GRUB2 seriaalpordi.

Serial Console

Nüüd näete kiiresti sisselogimist, kui ühendate ipmitool-i kaudu:

ipmitool -C 3 -I lanplus -H <ipaddr> -U <kasutaja> -P <parool> sol activate
[SOL Session operational.  Use ~? for help]

Debian GNU/Linux 7 Debian-70-wheezy-64-minimal ttyS0

Debian-70-wheezy-64-minimal login: