[Eisfair] lm-sensors "IPMI BMC KCS"

Kay Martinen kay at martinen.de
So Dez 3 00:20:45 CET 2017 

Am 02.12.2017 um 23:00 schrieb Uwe Kunze:
> 
>> und generell kann man da wohl VIEL konfigurieren wie z.b. eine 
>> firewall, SerialOverLAN, Controller abfragen, Resetten, Selbsttest, 
>> Watchdog konfigurieren, Power Off, Maschinen-Reset u.v.m.
> 
> Dieser Chip auf den Boards ist wohl extra für NSA & Co. designed wurden, 
> damit die per Fernzugriff nun Server mit unliebsamen Inhalten 
> herunterfahren oder die Lüfter abschalten und die CPUs brutzeln können 
> :-) ?

Ich persönlich kenne nur die ILOs von HP und auch dort nur die älteren 
G4 und einen Generation 5 Server. Und es ist deren Hauptzweck den Server 
möglichst komplett aus der Ferne steuern zu können. D.h. 
Ein/aus/Reset/Kaltstart, Remote zugang zur Systemkonsole inkl. 
BIOS-Setup (im Textmodus), Auslesen von Seriennummern, MAC-Adressen und 
mehr. Das meiste davon Kontrolliert der BMC der dazu quasi eine eigene 
Schnittstelle zur Onboard-Grafik und Tastatur hat. Und natürlich muss 
der dazu ausgaben ausleiten und eingaben in das Gerät ein leiten können.

Das hat mit Spionage erst mal nix zu tun. Nur mit der Option/Möglichkeit 
das ein Admin z.b. eine Falsch gestellte Option im BIOS korrigieren kann 
- wenn er selbst 1000 Meilen entfernt ist. Denn dazu reicht ein 
Textterminal und eine langsame Modemverbindung.


> Soll das nicht mit dem UEFI-Kram (theoretisch) wirklich möglich sein 
> (z.B. Spionage, ich meine, sowas gelesen zu haben) ?

Bei IntelME: Möglich bis sicherlich...

Bei älteren Proliant Modellen (IMHO bis Gen.3) war der LAN-Zugang des 
BMC mit einem der beiden Netzwerk-ports im Gerät zusammen (Shared-Port) 
ähnlich wie die IntelME es bei vPro-Systemen generell macht. Bei denen 
liegt so weit ich weiß die Firmware der IntelME aber mit im BIOS, kann 
aber ggf. separat geflasht werden.

Bei einem Echten Server dürften nach meinem Eindruck das BIOS und die 
Firmware des BMC in getrennten Speichern liegen. Jedenfalls musste ich 
die BMC Fw mal gesondert updaten. Das heißt nicht das die nicht zusammen 
arbeiten, aber vermutlich anders als die Intel-Lösung. Die ist eine 
komplette Blackbox und was drin steckt gleicht einer Wundertüte. Die 
Features einer ILO sind dagegen bekannt. Und manches davon wird gar erst 
mit einer Speziellen Lizenz frei geschaltet.

Im Grunde sind es aber beides eigenständige dauernd aktive Prozessoren 
mit LAN-Zugang und schnittstellen zur Überwachung und Kontrolle aller 
wichtigen Systembestandteile. Siehe 'ipmitool sdr' oder schau bei dir 
mal das nach

> root at pve:~# ipmitool chassis status
> System Power         : on
> Power Overload       : false
> Power Interlock      : inactive
> Main Power Fault     : false
> Power Control Fault  : false
> Power Restore Policy : previous
> Last Power Event     :
> Chassis Intrusion    : inactive
> Front-Panel Lockout  : inactive
> Drive Fault          : false
> Cooling/Fan Fault    : false
> Front Panel Control  : none
> root at pve:~#

Ich denke wenn die Letzere auf Active stünde nützen dir die Tasten vorn 
am Gerät auch nichts mehr. Nur noch der Griff zum Netzstecker.

Oder probiere mal ob eine Option hiervon bei dir funktioniert

> root at pve:~# ipmitool chassis bootparam
> bootparam get <param #>
> bootparam set bootflag <device> [options=...]
>  Legal devices are:
>   none        : No override
>   force_pxe   : Force PXE boot
>   force_disk  : Force boot from default Hard-drive
>   force_safe  : Force boot from default Hard-drive, request Safe Mode
>   force_diag  : Force boot from Diagnostic Partition
>   force_cdrom : Force boot from CD/DVD
>   force_bios  : Force boot into BIOS Setup
>  Legal options are:
>   help    : print this message
>   PEF     : Clear valid bit on reset/power cycle cause by PEF
>   timeout : Automatically clear boot flag valid bit on timeout
>   watchdog: Clear valid bit on reset/power cycle cause by watchdog
>   reset   : Clear valid bit on push button reset/soft reset
>   power   : Clear valid bit on power up via power push button or wake event
>  Any Option may be prepended with no- to invert sense of operation

OBTW, es gibt von HP auch linux-tools mit denen man den SmartArray 
Controller umprogrammieren kann, das Raid verändern, das Caching und das 
Restore-verhalten steuern kann und dies sogar per Script. Und die SMH 
genannte SystemManagement HomePage ist ein Eigener Webserver der alle 
diese Funktionen bündelt und abseits des getrennten ILO-Ports über das 
laufende OS gestartet wird. Wenn da jemand eine Lücke nutzt kann er den 
Server per Browser kapern. Über dessen normalen LAN-Port.

Ja, es gibt viele Möglichkeiten auf so ein Gerät zu kommen. Darum werden 
die ILO Ports normalerweise in einem Abgeschotteten LAN versteckt in das 
nur die Admins rein dürfen (sollen).

Wenn ein Böser Bube allerdings eh schon auf der Maschine ist, dann ist 
das eh alles unwichtig - wenn er root werden kann. :-/

Kay

Mehr Informationen über die Mailingliste Eisfair