TL;DR:是否有任何选项可以禁用操作系统(带内)访问 SuperMicro 板上的 Aspeed AST 2500 BMC 或至少以某种方式限制它(例如通过特定密码或通过将权限级别设置为只读访问)?
长版:
去年我们购买了几台装有 Aspeed AST2500 BMC 的 SuperMicro 服务器。到目前为止,我们还没有使用 BMC,但现在正在设置它们,可以通过单独的带外管理网络访问它们。在研究重置 BMC 密码的选项时,我发现了多个帖子(例如这个),表明一旦我在主机上获得了 root 权限,我也可以访问 BMC 并更改管理员密码,而无需任何额外的安全措施。
我真的不喜欢能够从主机操作系统中更改 BMC 参数的想法,特别是因为 BMC 经常被严重修补并且是 rootkit 的一个非常有趣的目标(顺便说一下,前几天发现了这样一个 rootkit ; 至少,据我所知,它无法通过带内接口进入 BMC)
是否有任何选项可以限制主机到 BMC 的通信?
编辑:我们服务器中使用的服务器主板是“ASRock ROMED8-2T”。
有谁知道如何通过命令行/ipmitool 获取这个确切的信息,而不是这个页面。
似乎找不到它......我什至试图刮掉页面(但这本身就是一堂课的斗争)......
任何,甚至是疯狂的想法都会有所帮助......(希望它没有盯着我的脸)
我刚刚从客户端获得了服务器,我需要重置 BMC 凭据。
我连接了一个外部 KVM,我可以访问 BIOS 并为 BMC 设置网络地址,但我找不到重置凭据的地方。
我还可以访问机器操作系统(Windows)。
我应该怎么做才能重置 BMC 凭据?
谢谢你。
我买了新的(未使用的)SuperMicro MBD-X11DPI 和
当我启动时,2xCPU 和不同 RAM 模块的 10 种不同组合总是给我这样的画面:
System Initializing...
P1-DIMMA1:DIMM Mapped Out
P1-DIMMA1(runtime)Failing DIMM: DIMM location
MAP Failure
All channels are disabled due to memory test failures
在右/下角闪烁代码:AF - BB - B7 - BB - 53
https://www.supermicro.com/manuals/other/AMI_BIOS_POST_Codes_for_Grantley_Motherboards.pdf
0xAF 退出引导服务事件
0xB8 – 0xBF 为将来的 AMI 代码保留 - ...
0xB7 配置复位(NVRAM 设置复位)
0x53 内存初始化错误。未检测到可用内存
谷歌说,我将更新 BIOS 以在此板上使用 gen2 Xeon,似乎。
此外,我已经通过 LAN / 浏览器获得了 IMPI 访问权限,但我无法使用默认 ADMIN/ADMIN 登录
用户名或密码无效
从手册中,我了解到 IMPI 应从 BIOS 启用。因此,默认情况下,它甚至不应该通过 http 回答我。但它回答了......奇怪......
SSH - 使用 [email protected] 连接到 22,但“ADMIN” - 据说密码不正确。admin/admin、ADMIN/admin、admin/ADMIN、root/toor - 一切都无效...
# ssh [email protected]
[email protected]'s password:
Permission denied, please try again.
[email protected]'s password:
ipmitool 一样:
# ipmitool -H 192.168.10.12 -U ADMIN -P ADMIN
Activate Session error: Command response could not be provided
Error: Unable to establish LAN session
Error: Unable to establish IPMI v1.5 / RMCP session
插入 USB0 的 USB 键盘 - 似乎也没有响应。所以,我无法进入BIOS。我只在黑色SupermicrOascii 标签上看到这个蓝色
All channels are disabled due to memory test failures
System Initializing... 53
是不是没有安装正确的处理器和RAM模块我无法进入BIOS,或者BMC模块即使没有安装CPU也会通过控制器给我VGA并将我传递给BIOS?
购买较旧的 gen1 Intel Xeon - 启动、更新 BIOS 是为我启动此设置的唯一方法,还是存在旁路?
我已经更新了我的 dhcp 服务器的配置,所以该服务器应该获得一个新的 ipmi 地址。但是服务器会在其旧地址停留一段时间。如果我不想等待,我想去服务器并强制它询问 dhcp 地址。有专门的命令吗?
我知道我能做到
ipmitool bmc reset cold
它可以工作,但只是想知道是否可以不重新启动 ipmi。
假设我想通过with将Get Device Id命令从LAN一个通道发送到另一个通道,我需要完成这些步骤:IPMBBMCmessage tracking
Get Device Id在命令中封装Send Message命令Send Message命令LAN以BMC提供所需的数据,如目标IPMB地址、所有这些NetFns、LUNs 和在这种情况下最相关的:请求唯一 Sequence Number和message tracking参数位设置这里开始我的困惑..因为我看到了两种不同的解决方案如何BMC处理这种请求:
A 响应在响应中Get Device Id返回Send Message
B 分开Send Message和IPMB回应
,结果取决于BMC生产者。
所以我需要一些专家知识:
这是IPMI标准代表的方式,BMC实现可以提供A和/或B?BMC或者这是对生产者的错误解释?
在我看来和我理解的方式IPMI 2.0 spec中,唯一的B解决方案是一个唯一兼容的流程,它应该如何工作,如以下所示6.13.4 Bridged Request Example:
当通过将请求消息封装在发送消息命令中(来自系统接口以外的源通道)将请求消息桥接到另一个通道时,BMC 立即返回对发送消息命令本身的响应。同时,从发送消息命令中提取请求并转发到指定的目标通道。
IPMI 2.0 spec甚至提供示例描述:
例如,假设Get Device ID命令已封装在从 LAN 通道定向到 IPMB 的Send Message命令中。BMC 将立即在 LAN 上发送对Send Message命令的响应。BMC 将提取封装的Get Device ID消息内容并将其格式化为 IPMB 的Get Device ID请求。IPMB 上的目标设备以 IPMB 格式的Get Device ID响应消息进行响应。BMC 获取发出发送消息命令时存储的跟踪信息,并使用它来创建 LAN 格式的获取设备 ID响应。
我有一台戴尔 DSC6005/ C6105服务器(固件中显示 DSC6005,但根据互联网,它实际上称为 C6105)。 编辑:DCS6005 是非官方 OEM,使用与 C6100 相同的机箱。
其中一个节点的 IPMI 接口有问题,所以我尝试重置它。这显然是一个错误的举动,因为 IPMI 接口进入了引导循环。当我 ping 它时,我观察到它应答了 62 次,然后下降了大约 46 秒,然后故事重演了。
远程ipmitool命令超时Error: Unable to establish LAN session并且 BIOS 报告BMC: Not working。幸运的是它不会阻止节点启动,它只需要几分钟。取出电源并卸下 CMOS 电池不会改变这一点。
根据戴尔支持论坛,可以尝试系统重置,这是目前我能想到的唯一出路,除了更换节点。但是从这个线程我不明白我需要设置哪个跳线。我的硬件与该线程中的照片匹配,而不是绘图。据我了解,这应该是一些跳线,但我根本找不到。我对这块板的文档的搜索也很短。
有没有办法强制我的 Dell BMC 和 iDrac 卡只使用 lanplus 接口而不使用不安全的“lan”接口。我知道 IPMI 规范中有一些“防火墙”功能。限制机箱等之间的某些功能,但我不知道它是否可以这样使用。
更新:我所有的盒子都在一个切换的环境中。我的服务器或工作桌面之间没有进行 NAT。我正在使用 ipmitool -I lanplus -H myhost -u root -p password -K sol activate" 通过 IPMI 与串行控制台通信。
update2:当我处于切换环境中时,我无法控制开关。如果我不能在主机或 iDRAC 本身上执行此操作,那么它就无法启动。
我正在尝试保护我的某些戴尔服务器(R210、R410、R510)上的 iDRAC 和 BMC。我想将对 IPMI 命令的访问限制为仅几个 IP 地址。我已经使用http://support.dell.com/support/edocs/software/smdrac3/idrac/idrac10mono/en/ug/html/racugc2d.htm#wp1181529中的说明成功限制了对 iDrac 的访问,但是 IP限制不会影响 IPMI。由于缺少端口,此时单独的管理网络并不实用,而且一些 Dell BMC 不提供单独的端口。我的网络组告诉我我们的交换机不支持中继,因此使用 vlan 标记也不是一个选项。
有没有办法限制 IPMI 访问允许的地址列表?
仅供参考,出于各种原因,我混合使用了具有 BMC、iDrac Express 和 iDrac 企业管理功能的戴尔服务器。
更新:我所有的盒子都在一个切换的环境中。我的服务器或工作桌面之间没有进行 NAT。我正在使用 ipmitool -I lanplus -H myhost -u root -p password -K sol activate" 通过 IPMI 与串行控制台通信。
Update2:当我处于切换环境中时,我无权更改由不同部门管理的网络交换机。网络部门不喜欢在路由器上设置 ACL,并且不能/不会在我们的端口上使用 vlan 标记。