On 02/08/16 19:37, Zbyněk Burget wrote:
Klicovou je otazka nouzove vzdalene spravy. Zjistis, ze vnitrni sit neni ze sveta dostupna, takze se potrebujes pripojit a vyresit to. Skrz vnitrni sit to nepujde, protoze vnitrni site o konektivitu prisla.
Tak tohle je resitelne pomoci IPMI. Tedy za predpokladu, ze IPMI bude mit verejnou IP adresu. Coz je samozrejme zase krok proti bezpecnosti, jen jeste nemame uplne neposouzena rizika takove konfigurace.
No, IPMI na opravdu verejny adrese mam v tuto chvili na jedinem pocitaci a jestli mi neco kazi klidny spani, tak urcite tohle.
Nic moc odolnost proti DoS. Cimz nemyslim odolnosti proti akutnim utokum, jako to, ze se ten BMC chip driv nebo pozdec zadre. Takze nikdy nevim, jestli az ten pristup budu potrebovat bude skutecne moznej.
Obecne nemiva IPMI velkou schopnost sebeochrany. Minimalni nebo zadny vnitrni firewall, nulova ochrana proti brutal-force.
Dneska bezne umoznuje pripojit si vzdalenej ISO image a nabootovat z nej. Takze kdo prolomi IPMI je schopen ziskat plnou kontrolu aniz by musel prolomit ochranu OS neb si bootne svuj. Zlaty casy kdy mi to mohli "jen" vypnout.
A kazdy IPMI, do kteryho jsem mel moznost hloubeji stourat, melo nedokumentovany funkce, ktery umoznovaly ledacoz o cem beznej clovek nevedel. A kdovi, kolik tam bylo dalsich takovejch, ktery jsem nenasel ani ja.
Nijak zvlast me v tomhle kontextu neuklidnuje, ze prilis mnoho BMC chipu ma stejnyho vyrobce a uvnitr bezi zrejme tentyz Linux prelozeny z jedne code-base. Je to kod, ktery se nejenze obcas zadre pod vnejsim utokem, ale zhruba jednou za rok a pul zacne bez ciziho zavineni piskat poplach zadrenyho vetraku. Ma pravdu - skutecne se vevnitr zadnej vetrak netoci, deska je pasivni, nikdy tam zadnej nebyl.
IPMI je dabelska vec. Ale kvuli nekterejm vlastnostem natolik svudna, ze je tezky odolat.
Jestli mas moznost mit separatni verejne dostupnou adresu pro IPMI, tak snad radsi abys ji zastrcil do nejakyho malyho pocitace a IPMI propojil az z nej - a radsi ne na urovni IP/TCP forwardingu, lec tak, ze na IPMI budes pristupovat z prikazovy radky toho predrazenyho stroje.
Este sa da do niektoreho pocitaca pripojit GSM modem
Rozhodne bych radsi sel do klasickyho modemu (a nejen GSM, klidne i klasickyho, na analogovy lince), nez do externiho NECO<->IP bridge.
FreeBSD velmi dobre "umi" modem zapojenej do seriaku, v roli vzdaleneho pristupu k seriovy konzoli.
A ziskas tak pristup uz na urovni uvodniho loaderu aniz musis cekat az se plne rozjete IP stack. Coz ocenis nejpozdeji ve chvili, kdy ti po padu server kvuli chybam ve FS a neschopnosti namountovat nejaky volume system skonci v singlu.
Pricemz o pristup skrz IP jsi tim neprisel, kdybys to chtel. ppp na tom seriaku rozjedes taky. Pravda, nikoliv LTE rychlosti, ale tadu je preci rec o nouzove vzdalne sprave, ted neresime upgrade systemu.
A pokud mas pocitac co ma jeste skutecnej seriak, je nemala sance, ze ho tim modemem pujde v pripade nutnosti i zapnout. To pres ten IP bridge pujde tezko i v pripade, ze sitovka WOL umi.
Akoratze dneska je cim dal slozitejsi nejakej obycejnej modem sehnat. Dan -- FreeBSD mailing list ([email protected]) http://www.freebsd.cz/listserv/listinfo/users-l
