1. Foren
  2. Kommentare
  3. Security-Forum
  4. Alle Kommentare zum Artikel
  5. › Myloc/Webtropia: Offene VNC…

iLO ebenfalls nach aussen offen und veraltet

Neue Foren im Freiraum! Raumfahrt und freie Software haben jetzt einen Platz, die Games tummeln sich jetzt alle in einem Forum.
  1. Thema

Neues Thema


  1. iLO ebenfalls nach aussen offen und veraltet

    Autor: Robian 23.12.17 - 09:33

    Webtropia/MyLoc hat leider noch mehr Probleme (von der unstabilen Netzwerk- und Strom-Infrastruktur mal abgesehen). Ich habe dort mehrere HP Server und dort ist das extrem veraltete iLO über eine Public-IP erreichbar. Die Firmware ist von 2011/2012:

    System ROM: J01 02/01/2012
    Backup System ROM: 02/01/2012
    License Type iLO 3 Advanced
    iLO Firmware Version: 1.26 Aug - 26 2011

    Also sollten alle lustigen Sachen wie https://www.cvedetails.com/cve/CVE-2013-4784/ dort problemlos gehen. Mein iLO-User hat leider keine Rechte, um die iLO zu aktualisieren und Webtropia/MyLoc scheint das völlig egal zu sein.

    Ein Scan in der iLO-Portrange (die ich hier lieber nicht nenne!) bringt hier dutzende offene alte iLOs zu Tage.

    Fazit:
    Vorsicht ist geboten bei diesem Hoster! Der Hoster sollte dringend seine VNC/iLO/IPMI Struktur hinter ein VPN packen, wie es jeder vernünftige Hoster tut!

    GNU/Linux

  2. Re: iLO ebenfalls nach aussen offen und veraltet

    Autor: xploded 23.12.17 - 09:42

    Robian schrieb:
    --------------------------------------------------------------------------------

    > Ein Scan in der iLO-Portrange (die ich hier lieber nicht nenne!) bringt
    > hier dutzende offene alte iLOs zu Tage.
    >

    Hat schon jemand anderes für dich erledigt ;-)

  3. Re: iLO ebenfalls nach aussen offen und veraltet

    Autor: Robian 23.12.17 - 09:55

    xploded schrieb:
    --------------------------------------------------------------------------------
    > Robian schrieb:
    > ---------------------------------------------------------------------------
    > -----
    >
    > > Ein Scan in der iLO-Portrange (die ich hier lieber nicht nenne!) bringt
    > > hier dutzende offene alte iLOs zu Tage.
    > >
    >
    > Hat schon jemand anderes für dich erledigt ;-)

    Jo klar, das passiert wohl täglich dutzende Male automatisiert.
    Dennoch sollte der Hoster hier Abhilfe schaffen!

    GNU/Linux

  4. Re: iLO ebenfalls nach aussen offen und veraltet

    Autor: xploded 23.12.17 - 13:11

    Das machen die bestimmt irgendwann. Wenn der erste Kunde mal seinen Server neu installiert bekommt :) Ohne das er es wollte...

  5. Re: iLO ebenfalls nach aussen offen und veraltet

    Autor: Kubax 23.12.17 - 22:00

    Mehr rechte für dein Ilo sind kein problem, solange du zugriff auf den Server ansich hast.

    https://support.hpe.com/hpsc/swd/public/detail?sp4ts.oid=1009143853&swItemId=MTX_cf0f23cce7f04d13b924019997&swEnvOid=4184 Herunterladen / Installieren (ich find im netz leider nur das RPM, aber man kann das Binary einfach entpacken und im regelfall läuft das auch ohne installation)

    Damit kannst du dir einen neuen User erstellen und dem volle Admin rechte geben.


    Mit wäre es prinzipiell auch lieber wenn Webtropia / myLoc die Remote Console (iLO + IPMI) nur per VPN erreichbar machen würde.

    Es würde ja ein VPN für alle IPMI bzw. ILO verbindungen reichen. Wer sich einen Dedicated Server mietet kann auch mit VPN umgehen.

  6. Re: iLO ebenfalls nach aussen offen und veraltet

    Autor: xploded 23.12.17 - 22:12

    Ich kenne nur Lenovo/IBM. Da kann man der IMM kein VPN auf dem Weg geben. Jedenfalls nicht ohne Zugriff auf die Switche an denen die angeschlossen sind.
    Wie würde das bei iLO gelöst? Welchen VPN-Client haben die mit drin?

  7. Re: iLO ebenfalls nach aussen offen und veraltet

    Autor: Robian 24.12.17 - 09:35

    Die haben keinen drin, der Hoster muss eben die iLO Interfaces in ein privates Netz packen und den Kunden dann darauf Zugriff geben (Cisco, Juniper, whatever).

    GNU/Linux

  8. Re: iLO ebenfalls nach aussen offen und veraltet

    Autor: Robian 24.12.17 - 09:43

    Kubax schrieb:
    --------------------------------------------------------------------------------
    > Mehr rechte für dein Ilo sind kein problem, solange du zugriff auf den
    > Server ansich hast.
    >
    > support.hpe.com Herunterladen / Installieren (ich find im netz leider nur
    > das RPM, aber man kann das Binary einfach entpacken und im regelfall läuft
    > das auch ohne installation)
    >
    > Damit kannst du dir einen neuen User erstellen und dem volle Admin rechte
    > geben.
    >
    > Mit wäre es prinzipiell auch lieber wenn Webtropia / myLoc die Remote
    > Console (iLO + IPMI) nur per VPN erreichbar machen würde.
    >
    > Es würde ja ein VPN für alle IPMI bzw. ILO verbindungen reichen. Wer sich
    > einen Dedicated Server mietet kann auch mit VPN umgehen.


    Ok das mag gehen, dann brauche ich aber eigentlich noch die aktuelle HP SPP ISO bzw. wenigstens das iLO Binfile, um auch das Update vornehmen zu können. Das gibt HP afaik nur an Lizenzinhaber weiter, das wäre dann wieder der Hoster.

    Imho steht hier der Hoster für die Updates in der Pflicht, das kann der User nicht sinnvoll durchführen, ohne dass ihm User, Tools und Anleitungen vom Hoster zur Verfügung gestellt werden.

    GNU/Linux

  9. Re: iLO ebenfalls nach aussen offen und veraltet

    Autor: xploded 24.12.17 - 10:15

    Robian schrieb:
    --------------------------------------------------------------------------------
    > Kubax schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Mehr rechte für dein Ilo sind kein problem, solange du zugriff auf den
    > > Server ansich hast.
    > >
    > > support.hpe.com Herunterladen / Installieren (ich find im netz leider
    > nur
    > > das RPM, aber man kann das Binary einfach entpacken und im regelfall
    > läuft
    > > das auch ohne installation)
    > >
    > > Damit kannst du dir einen neuen User erstellen und dem volle Admin
    > rechte
    > > geben.
    > >
    > >
    > > Mit wäre es prinzipiell auch lieber wenn Webtropia / myLoc die Remote
    > > Console (iLO + IPMI) nur per VPN erreichbar machen würde.
    > >
    > > Es würde ja ein VPN für alle IPMI bzw. ILO verbindungen reichen. Wer
    > sich
    > > einen Dedicated Server mietet kann auch mit VPN umgehen.
    >
    > Ok das mag gehen, dann brauche ich aber eigentlich noch die aktuelle HP SPP
    > ISO bzw. wenigstens das iLO Binfile, um auch das Update vornehmen zu
    > können. Das gibt HP afaik nur an Lizenzinhaber weiter, das wäre dann wieder
    > der Hoster.
    >
    > Imho steht hier der Hoster für die Updates in der Pflicht, das kann der
    > User nicht sinnvoll durchführen, ohne dass ihm User, Tools und Anleitungen
    > vom Hoster zur Verfügung gestellt werden.

    Wenn ich Hoster wäre, würde ich niemanden auf die Schnittstelle Zugriff geben. Ich hätte nämlich auch etwas dagegen, wenn da Kunden mit irgendwelchen Firmwares auf "meinen" Servern rumspielen. Wüsste auch nicht, was der Kunde grundsätzlich auf dieser Schnittstelle will. Mir will einzig einfallen, das er vielleicht ein bestimmtes ISO booten will - das kann er ja auch anders eingebunden bekommen.
    Aber es stimmt schon: In der Pflicht ist hier der Hoster, es ist schließlich sein Metall.

  10. Re: iLO ebenfalls nach aussen offen und veraltet

    Autor: Anonymer Nutzer 24.12.17 - 12:25

    du kannst die firmware ganz ohne login oder so von der hpe webseite laden. wenn du sie dort findest. die seite ist noch viel schlimmer als jene von cisco. man findet nichts und bei jedem versuch ist es zeug an anderer stelle zu finden.

    zb hier für ilo4: https://support.hpe.com/hpsc/swd/public/detail?sp4ts.oid=1009143853&swItemId=MTX_32179cba6b174fb4a43c47fd45&swEnvOid=4184



    1 mal bearbeitet, zuletzt am 24.12.17 12:28 durch bjs.

  11. Re: iLO ebenfalls nach aussen offen und veraltet

    Autor: Robian 24.12.17 - 12:27

    xploded schrieb:

    > Wenn ich Hoster wäre, würde ich niemanden auf die Schnittstelle Zugriff
    > geben. Ich hätte nämlich auch etwas dagegen, wenn da Kunden mit
    > irgendwelchen Firmwares auf "meinen" Servern rumspielen. Wüsste auch nicht,
    > was der Kunde grundsätzlich auf dieser Schnittstelle will. Mir will einzig
    > einfallen, das er vielleicht ein bestimmtes ISO booten will - das kann er
    > ja auch anders eingebunden bekommen.
    > Aber es stimmt schon: In der Pflicht ist hier der Hoster, es ist
    > schließlich sein Metall.


    Naja, die Remote Console ist schon ganz cool, wenn die Kiste mal nicht mehr bootet oder das Netzwerk falsch konfiguriert wurde etc. - das spart dem Hoster ja auch Supportaufwand, wenn der Kunde selbst schauen kann. Aber das wäre hinter einem VPN eben die deutlich bessere Variante.

    GNU/Linux

  12. Re: iLO ebenfalls nach aussen offen und veraltet

    Autor: Kubax 24.12.17 - 12:30

    Robian schrieb:
    --------------------------------------------------------------------------------
    > Ok das mag gehen, dann brauche ich aber eigentlich noch die aktuelle HP SPP
    > ISO bzw. wenigstens das iLO Binfile, um auch das Update vornehmen zu
    > können. Das gibt HP afaik nur an Lizenzinhaber weiter, das wäre dann wieder
    > der Hoster.
    >
    > Imho steht hier der Hoster für die Updates in der Pflicht, das kann der
    > User nicht sinnvoll durchführen, ohne dass ihm User, Tools und Anleitungen
    > vom Hoster zur Verfügung gestellt werden.

    Das man die Binary nur mit Konto und passender Lizenz bekommt hatte ich so nicht mehr im Kopf. Mein Server bei Webtropia ist mittlerweile ein SuperMicro Server (also mit IPMI) und dort hätte ich das Update (wenn ich mich recht entsinne) zumindest herunterladen können.

    Getraut hab ich mich "damals" aber wegen dem fehlenden Hardwarezugriff auf den Server nicht. Im Fehlerfall hätte ich halt mit Webtropia das ganze lösen müssen, und das war mir im Fehlerfall zu teuer.

    Aber ich sehe es genau so. EIGENTLICH müsste der Provider die Schnittstelle aktualisieren. Selbst auf eine Anfrage ist "damals" leider nicht eingegangen worden.

    xploded schrieb:
    --------------------------------------------------------------------------------
    > Wenn ich Hoster wäre, würde ich niemanden auf die Schnittstelle Zugriff
    > geben. Ich hätte nämlich auch etwas dagegen, wenn da Kunden mit
    > irgendwelchen Firmwares auf "meinen" Servern rumspielen. Wüsste auch nicht,
    > was der Kunde grundsätzlich auf dieser Schnittstelle will. Mir will einzig
    > einfallen, das er vielleicht ein bestimmtes ISO booten will - das kann er
    > ja auch anders eingebunden bekommen.
    > Aber es stimmt schon: In der Pflicht ist hier der Hoster, es ist
    > schließlich sein Metall.

    Wenn ich Kunde wäre, bei einem Hoster der mit auf den von mir gemieteten Server keinen RemoteConsole Zugriff erlaubt, würde ich schlichtweg nicht mieten.

    Ohne die RemoteConsole wäre ich schon das ein oder andere mal aufgeschmissen gewesen. Alles vorweg bei der Installation. Ich bin kein freund von vorinstallierten Systemen. Ich hab den Server sofort auf die aktuellste ESXi installiert, und die damals inaktuelle vorinstallierte wieder runter geschmissen. Und das hätte ohne RemoteConsole nicht funktioniert.

    Außerdem ist das mehr als praktisch wenn man sich z.b. durch Unachtsamkeit seine Netzwerkkonfig geschossen hat. Oder die Firewall mal eben zu gemacht hat. Ohne Remote Console kann da dann nur noch der Provider eingreifen und helfen. Das ist dann wiederum kostenpflichtig.

    Dedicated Server ohne RemoteConsole Zugriff sind einfach ein no-go.



    2 mal bearbeitet, zuletzt am 24.12.17 12:31 durch Kubax.

  13. Re: iLO ebenfalls nach aussen offen und veraltet

    Autor: xploded 24.12.17 - 14:31

    Kubax schrieb:
    --------------------------------------------------------------------------------
    > Robian schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Ok das mag gehen, dann brauche ich aber eigentlich noch die aktuelle HP
    > SPP
    > > ISO bzw. wenigstens das iLO Binfile, um auch das Update vornehmen zu
    > > können. Das gibt HP afaik nur an Lizenzinhaber weiter, das wäre dann
    > wieder
    > > der Hoster.
    > >
    > > Imho steht hier der Hoster für die Updates in der Pflicht, das kann der
    > > User nicht sinnvoll durchführen, ohne dass ihm User, Tools und
    > Anleitungen
    > > vom Hoster zur Verfügung gestellt werden.
    >
    > Das man die Binary nur mit Konto und passender Lizenz bekommt hatte ich so
    > nicht mehr im Kopf. Mein Server bei Webtropia ist mittlerweile ein
    > SuperMicro Server (also mit IPMI) und dort hätte ich das Update (wenn ich
    > mich recht entsinne) zumindest herunterladen können.
    >
    > Getraut hab ich mich "damals" aber wegen dem fehlenden Hardwarezugriff auf
    > den Server nicht. Im Fehlerfall hätte ich halt mit Webtropia das ganze
    > lösen müssen, und das war mir im Fehlerfall zu teuer.
    >
    > Aber ich sehe es genau so. EIGENTLICH müsste der Provider die Schnittstelle
    > aktualisieren. Selbst auf eine Anfrage ist "damals" leider nicht
    > eingegangen worden.
    >
    > xploded schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Wenn ich Hoster wäre, würde ich niemanden auf die Schnittstelle Zugriff
    > > geben. Ich hätte nämlich auch etwas dagegen, wenn da Kunden mit
    > > irgendwelchen Firmwares auf "meinen" Servern rumspielen. Wüsste auch
    > nicht,
    > > was der Kunde grundsätzlich auf dieser Schnittstelle will. Mir will
    > einzig
    > > einfallen, das er vielleicht ein bestimmtes ISO booten will - das kann
    > er
    > > ja auch anders eingebunden bekommen.
    > > Aber es stimmt schon: In der Pflicht ist hier der Hoster, es ist
    > > schließlich sein Metall.
    >
    > Wenn ich Kunde wäre, bei einem Hoster der mit auf den von mir gemieteten
    > Server keinen RemoteConsole Zugriff erlaubt, würde ich schlichtweg nicht
    > mieten.
    >
    > Ohne die RemoteConsole wäre ich schon das ein oder andere mal
    > aufgeschmissen gewesen. Alles vorweg bei der Installation. Ich bin kein
    > freund von vorinstallierten Systemen. Ich hab den Server sofort auf die
    > aktuellste ESXi installiert, und die damals inaktuelle vorinstallierte
    > wieder runter geschmissen. Und das hätte ohne RemoteConsole nicht
    > funktioniert.
    >
    > Außerdem ist das mehr als praktisch wenn man sich z.b. durch Unachtsamkeit
    > seine Netzwerkkonfig geschossen hat. Oder die Firewall mal eben zu gemacht
    > hat. Ohne Remote Console kann da dann nur noch der Provider eingreifen und
    > helfen. Das ist dann wiederum kostenpflichtig.
    >
    > Dedicated Server ohne RemoteConsole Zugriff sind einfach ein no-go.

    IMM/iLO sind mehr wie eine RemoteConsole. Den Zugang soll er gerne haben.
    Bin gespannt, wie es mit der Haftung aussieht, wenn du durch ein manipuliertes/defektes/fehlgeschlagendes Update der IMM/iLO whatever den Server ins Nirvana schickst. Oder durch Unachtsamkeit die Netzwerkkonfig der IMM/iLO jene nicht mehr erreichbar machst. Wie sieht es dann aus?

  14. Re: iLO ebenfalls nach aussen offen und veraltet

    Autor: GoBaer 14.05.19 - 07:32

    Gibt es in dieser Sache Neuigkeiten?

    Welche Zugriffe (außer VNC) sind denn via IPMI möglich?

  1. Thema

Neues Thema


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. Applikationsbetreuer*in CRM-System Vertrieb
    Kölner Verkehrs-Betriebe AG, Köln
  2. Scrum-Master (m/w/d) eGovernment
    Anstalt für Kommunale Datenverarbeitung in Bayern (AKDB), verschiedene Standtorte
  3. SAP HANA Administrator (m/w/d)
    OEDIV KG, Bielefeld
  4. Software Entwickler:in (m/w/d) PL/SQL / .NET/vue.js
    DKMS gemeinnützige GmbH, Tübingen

Detailsuche


Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Top-Angebote
  1. (u. a. Patriot Burst Elite 120 GB für 10,49€ + 6,99€ Versand)
  2. 15% Extra-Rabatt mit Code MMS15 bei eBay


Haben wir etwas übersehen?

E-Mail an news@golem.de


Ankermake M5: Der rasend schnelle 3D-Drucker
Ankermake M5
Der rasend schnelle 3D-Drucker

Achtung, bewegliche Teile: Der Ankermake M5 von Anker ist aufs schnelle 3D-Drucken ausgelegt. Das funktioniert gut, die Software weniger.
Ein Test von Oliver Nickel und Friedhelm Greis

  1. 3D4U Miele-3D-Druckvorlagen für Kaffee, Bohrlöcher und Düsen
  2. Schusswaffen Interpol warnt vor verbesserten Waffen aus dem 3D-Drucker
  3. Dreidimensionaler Druck Drohnenschwärme werden zu Baumeistern

80 Plus: Netzteile richtig auswählen
80 Plus
Netzteile richtig auswählen

Bei jedem Rechnerkauf stellt sich die Frage nach dem Netzteil: Reichen eigentlich 500 Watt oder sollte man lieber der Empfehlung mit 850 Watt folgen?
Ein Test von Martin Böckmann

  1. Brandgefahr Der 12VHPWR-Stecker hat ein Problem
  2. MEG Ai1300P PCIE5 MSI hat das erste ATX-3.0-Netzteil
  3. Galliumnitrid Anker präsentiert kompakte GaN-Ladegeräte

Hardware auf dem Schreibtisch: Der Tastaturen-Leitfaden
Hardware auf dem Schreibtisch
Der Tastaturen-Leitfaden

Was für Tastaturen, welche Größen und welche Layouts gibt es? Und was ist eine 40-Prozent-Tastatur? Wir geben Antworten auf Tastaturfragen.
Von Oliver Nickel

  1. Azio Cascade Slim Flache, kompakte Tastatur hat austauschbare Switches