Comments 23
У меня давно чешутся руки описать уязвимость подхода «физического присутствия», особенно для серверов.
Наверное, сейчас опишу.
Наверное, сейчас опишу.
Собственно, вот: habrahabr.ru/post/150226/
спасибо, все здорово, но KVM подключен далеко не к каждой серверной станции :)
IPMI, iLO, DRAC…?
На которые надо покупать лицензии, что в эру виртуализации не всегда оправдано.
Ага. а аппаратный виртуализатор, тот же ESXi, по Вашему не требует доступа к консоли и вмешательства, например когда внезапно надо менеджмент гипервизора перевести из одного влана в другой, а в ESXi это делается только из консоли. Или когда железка уплава и умерла, и Вам надо понять, кто умер — железка, рейд или ESXi.
Посмотрю я, как Вы поедете в датацентр Хетзнера, к примеру, ручками менеджмент влан менять у того же ESXi для примера.
Посмотрю я, как Вы поедете в датацентр Хетзнера, к примеру, ручками менеджмент влан менять у того же ESXi для примера.
Специально проверил, VLAN для VMkernel прекрасно меняется через клиент, лезть в DCUI совсем необязательно.
А для остального есть мониторинг и логи, впрочем, я не отрицаю необходимость в BMC, но без IP-KVM можно обойтись во многих случаях.
А для остального есть мониторинг и логи, впрочем, я не отрицаю необходимость в BMC, но без IP-KVM можно обойтись во многих случаях.
Навернется у вас гипервизор, посмотрим как вы обойдетесь без посмотреть, что у вас в core dumpв консоль вылезло. А у меня было, когда мать накрылась и флешка с ESXi накрылась вместе с двойным адаптековским контроллером. и ползи в серверную за 3 дня до сдачи бухгалтерией отчета, когда телефоны разрываются у всех ИТ и у топ менеджмента.
Хорошо хоть накануне была пятница с полными бекапами в другую стойку и свежекупленная под ESXi железка.
Кстати, где он там хоть меняется в сфере то? — я как то не нашел.
Кстати, Вы бекапы виртуалок с ESXi чем делаете?
Хорошо хоть накануне была пятница с полными бекапами в другую стойку и свежекупленная под ESXi железка.
Кстати, где он там хоть меняется в сфере то? — я как то не нашел.
Кстати, Вы бекапы виртуалок с ESXi чем делаете?
Я бэкапилю связкой bacula + ghettoVCB (bacula ходит через ssh на гипервизор с ESXi 4.1 и запускет ghettoVCB).
Сейчас, после перехода на ESXi 5, потихоньку буду тестировать и переходить на Veem Backup & Replication.
Сейчас, после перехода на ESXi 5, потихоньку буду тестировать и переходить на Veem Backup & Replication.
Смена VLAN в сфере:
1. Открываем сферу и подключается к нужному гипервизору
2. Идем в «Configuration» -> «Networking» -> жмем «Properties...» для нужного «Standard Switch»
3. На закладке «Ports» выделяем нужный «VM Network» и жмем кнопку «Edit...»
4. На закладке «General» есть поле «VLAN ID (Optional)»
5.…
6. Profit?
На случай если не понятно...
1. Открываем сферу и подключается к нужному гипервизору
2. Идем в «Configuration» -> «Networking» -> жмем «Properties...» для нужного «Standard Switch»
3. На закладке «Ports» выделяем нужный «VM Network» и жмем кнопку «Edit...»
4. На закладке «General» есть поле «VLAN ID (Optional)»
5.…
6. Profit?
На случай если не понятно...
Вы не поверите, но виртуализация и гипервизор такая же ось, как и винда с линуксом. и точно так же требуют консоли при первоначальной настройке.
Речь про IPMI, который не «подключен», а «встроен».
Например у нас, все dedicated-серверы оснащены IPMI. Для понимания: стоят рядами десятки тысяч серверов, находятся под управлением разных лиц, и все они имеют на борту IPMI.
И чем дальше, тем дешевле будет IPMI в стоимости железки.
Например у нас, все dedicated-серверы оснащены IPMI. Для понимания: стоят рядами десятки тысяч серверов, находятся под управлением разных лиц, и все они имеют на борту IPMI.
И чем дальше, тем дешевле будет IPMI в стоимости железки.
Спасибо, тем не менее, это брендовое железо — HP (iLo), DRAC (Dell), я абсолютно согласен с такой возможностью, но боюсь, что конкретно с перепрошивкой firmware там будет много нюансов, нужно пробывать
Ну вот я о нём. у меня на прошлой работе iLO 1.9х версии шло штатно в материнке третим only iLO езернет портом.
сейчас стоит пачка деллов с IPMI, которые прозрачно смотрят сетевой трафик на обоих езернетах.
А еще есть аппаратные/внешние KVM с езернетом в том числе, угу. со своей прошивкой, да. на прошлой работе одно такое чудо прошивалось не через ps/2 консольный порт, а как-то вообще очень хитро. про IP KVM молчу
сейчас стоит пачка деллов с IPMI, которые прозрачно смотрят сетевой трафик на обоих езернетах.
А еще есть аппаратные/внешние KVM с езернетом в том числе, угу. со своей прошивкой, да. на прошлой работе одно такое чудо прошивалось не через ps/2 консольный порт, а как-то вообще очень хитро. про IP KVM молчу
оно все понятно, только много ли будет интереса злоумышленников размещать буткиты в серверных станциях таким образом? в основном, речь идет именно о клиентских станциях, в которых изменяют MBR, чтобы закрепиться и делать какие-либо злонамеренные действия долго и хорошо (например, для хищения в ДБО), смысл так извращаться с серверами? если там наружу висит WEB-морда консоли, так и пароль там может быть «123456» — это другая тема
Если админ идиот и менеджмент трафик у него бугает по влану с рабочими станциями — то гнать такого админа или на курсы, или с пляжа.
А у нормального администратора мало того что рабочие станции с серверами в разных вланах, так еще и менеджмент трафик отдельно бегает, а там, хоть без пароля…
А у нормального администратора мало того что рабочие станции с серверами в разных вланах, так еще и менеджмент трафик отдельно бегает, а там, хоть без пароля…
в расчёте на всякие локальные офисные облака из серверов виртуальных рабочих столов, где бегает всякая бухгалтерия, вполне. ну и всякие DoS/спам рассыльные узлы…
как то все сложно у них. не проще поставить джампер «write enable» на ПЗУ биоса? кому надо — переключат, а кто не в состоянии переключить его — не стоит лезть в обновления биоса.
А теперь покажите мне его на SPI =)
В дополнение — я вот до сих пор не понимаю кому мешали USB-флешки с аппаратной защитой от записи. Однако, факт: нынче они — совсем редкий вид.
Глядя на картинку, можно подумать, что это всё затевалось ради того, чтобы линуксы не загружались.
Sign up to leave a comment.
NIST принимает стандарт для защиты BIOS