1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Myloc/Webtropia: Offene VNC-Ports…

iLO ebenfalls nach aussen offen und veraltet

  1. Thema

Neues Thema Ansicht wechseln


  1. iLO ebenfalls nach aussen offen und veraltet

    Autor: Robian 23.12.17 - 09:33

    Webtropia/MyLoc hat leider noch mehr Probleme (von der unstabilen Netzwerk- und Strom-Infrastruktur mal abgesehen). Ich habe dort mehrere HP Server und dort ist das extrem veraltete iLO über eine Public-IP erreichbar. Die Firmware ist von 2011/2012:

    System ROM: J01 02/01/2012
    Backup System ROM: 02/01/2012
    License Type iLO 3 Advanced
    iLO Firmware Version: 1.26 Aug - 26 2011

    Also sollten alle lustigen Sachen wie https://www.cvedetails.com/cve/CVE-2013-4784/ dort problemlos gehen. Mein iLO-User hat leider keine Rechte, um die iLO zu aktualisieren und Webtropia/MyLoc scheint das völlig egal zu sein.

    Ein Scan in der iLO-Portrange (die ich hier lieber nicht nenne!) bringt hier dutzende offene alte iLOs zu Tage.

    Fazit:
    Vorsicht ist geboten bei diesem Hoster! Der Hoster sollte dringend seine VNC/iLO/IPMI Struktur hinter ein VPN packen, wie es jeder vernünftige Hoster tut!

    GNU/Linux

  2. Re: iLO ebenfalls nach aussen offen und veraltet

    Autor: xploded 23.12.17 - 09:42

    Robian schrieb:
    --------------------------------------------------------------------------------

    > Ein Scan in der iLO-Portrange (die ich hier lieber nicht nenne!) bringt
    > hier dutzende offene alte iLOs zu Tage.
    >

    Hat schon jemand anderes für dich erledigt ;-)

  3. Re: iLO ebenfalls nach aussen offen und veraltet

    Autor: Robian 23.12.17 - 09:55

    xploded schrieb:
    --------------------------------------------------------------------------------
    > Robian schrieb:
    > ---------------------------------------------------------------------------
    > -----
    >
    > > Ein Scan in der iLO-Portrange (die ich hier lieber nicht nenne!) bringt
    > > hier dutzende offene alte iLOs zu Tage.
    > >
    >
    > Hat schon jemand anderes für dich erledigt ;-)

    Jo klar, das passiert wohl täglich dutzende Male automatisiert.
    Dennoch sollte der Hoster hier Abhilfe schaffen!

    GNU/Linux

  4. Re: iLO ebenfalls nach aussen offen und veraltet

    Autor: xploded 23.12.17 - 13:11

    Das machen die bestimmt irgendwann. Wenn der erste Kunde mal seinen Server neu installiert bekommt :) Ohne das er es wollte...

  5. Re: iLO ebenfalls nach aussen offen und veraltet

    Autor: Kubax 23.12.17 - 22:00

    Mehr rechte für dein Ilo sind kein problem, solange du zugriff auf den Server ansich hast.

    https://support.hpe.com/hpsc/swd/public/detail?sp4ts.oid=1009143853&swItemId=MTX_cf0f23cce7f04d13b924019997&swEnvOid=4184 Herunterladen / Installieren (ich find im netz leider nur das RPM, aber man kann das Binary einfach entpacken und im regelfall läuft das auch ohne installation)

    Damit kannst du dir einen neuen User erstellen und dem volle Admin rechte geben.


    Mit wäre es prinzipiell auch lieber wenn Webtropia / myLoc die Remote Console (iLO + IPMI) nur per VPN erreichbar machen würde.

    Es würde ja ein VPN für alle IPMI bzw. ILO verbindungen reichen. Wer sich einen Dedicated Server mietet kann auch mit VPN umgehen.

  6. Re: iLO ebenfalls nach aussen offen und veraltet

    Autor: xploded 23.12.17 - 22:12

    Ich kenne nur Lenovo/IBM. Da kann man der IMM kein VPN auf dem Weg geben. Jedenfalls nicht ohne Zugriff auf die Switche an denen die angeschlossen sind.
    Wie würde das bei iLO gelöst? Welchen VPN-Client haben die mit drin?

  7. Re: iLO ebenfalls nach aussen offen und veraltet

    Autor: Robian 24.12.17 - 09:35

    Die haben keinen drin, der Hoster muss eben die iLO Interfaces in ein privates Netz packen und den Kunden dann darauf Zugriff geben (Cisco, Juniper, whatever).

    GNU/Linux

  8. Re: iLO ebenfalls nach aussen offen und veraltet

    Autor: Robian 24.12.17 - 09:43

    Kubax schrieb:
    --------------------------------------------------------------------------------
    > Mehr rechte für dein Ilo sind kein problem, solange du zugriff auf den
    > Server ansich hast.
    >
    > support.hpe.com Herunterladen / Installieren (ich find im netz leider nur
    > das RPM, aber man kann das Binary einfach entpacken und im regelfall läuft
    > das auch ohne installation)
    >
    > Damit kannst du dir einen neuen User erstellen und dem volle Admin rechte
    > geben.
    >
    > Mit wäre es prinzipiell auch lieber wenn Webtropia / myLoc die Remote
    > Console (iLO + IPMI) nur per VPN erreichbar machen würde.
    >
    > Es würde ja ein VPN für alle IPMI bzw. ILO verbindungen reichen. Wer sich
    > einen Dedicated Server mietet kann auch mit VPN umgehen.


    Ok das mag gehen, dann brauche ich aber eigentlich noch die aktuelle HP SPP ISO bzw. wenigstens das iLO Binfile, um auch das Update vornehmen zu können. Das gibt HP afaik nur an Lizenzinhaber weiter, das wäre dann wieder der Hoster.

    Imho steht hier der Hoster für die Updates in der Pflicht, das kann der User nicht sinnvoll durchführen, ohne dass ihm User, Tools und Anleitungen vom Hoster zur Verfügung gestellt werden.

    GNU/Linux

  9. Re: iLO ebenfalls nach aussen offen und veraltet

    Autor: xploded 24.12.17 - 10:15

    Robian schrieb:
    --------------------------------------------------------------------------------
    > Kubax schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Mehr rechte für dein Ilo sind kein problem, solange du zugriff auf den
    > > Server ansich hast.
    > >
    > > support.hpe.com Herunterladen / Installieren (ich find im netz leider
    > nur
    > > das RPM, aber man kann das Binary einfach entpacken und im regelfall
    > läuft
    > > das auch ohne installation)
    > >
    > > Damit kannst du dir einen neuen User erstellen und dem volle Admin
    > rechte
    > > geben.
    > >
    > >
    > > Mit wäre es prinzipiell auch lieber wenn Webtropia / myLoc die Remote
    > > Console (iLO + IPMI) nur per VPN erreichbar machen würde.
    > >
    > > Es würde ja ein VPN für alle IPMI bzw. ILO verbindungen reichen. Wer
    > sich
    > > einen Dedicated Server mietet kann auch mit VPN umgehen.
    >
    > Ok das mag gehen, dann brauche ich aber eigentlich noch die aktuelle HP SPP
    > ISO bzw. wenigstens das iLO Binfile, um auch das Update vornehmen zu
    > können. Das gibt HP afaik nur an Lizenzinhaber weiter, das wäre dann wieder
    > der Hoster.
    >
    > Imho steht hier der Hoster für die Updates in der Pflicht, das kann der
    > User nicht sinnvoll durchführen, ohne dass ihm User, Tools und Anleitungen
    > vom Hoster zur Verfügung gestellt werden.

    Wenn ich Hoster wäre, würde ich niemanden auf die Schnittstelle Zugriff geben. Ich hätte nämlich auch etwas dagegen, wenn da Kunden mit irgendwelchen Firmwares auf "meinen" Servern rumspielen. Wüsste auch nicht, was der Kunde grundsätzlich auf dieser Schnittstelle will. Mir will einzig einfallen, das er vielleicht ein bestimmtes ISO booten will - das kann er ja auch anders eingebunden bekommen.
    Aber es stimmt schon: In der Pflicht ist hier der Hoster, es ist schließlich sein Metall.

  10. Re: iLO ebenfalls nach aussen offen und veraltet

    Autor: Anonymer Nutzer 24.12.17 - 12:25

    du kannst die firmware ganz ohne login oder so von der hpe webseite laden. wenn du sie dort findest. die seite ist noch viel schlimmer als jene von cisco. man findet nichts und bei jedem versuch ist es zeug an anderer stelle zu finden.

    zb hier für ilo4: https://support.hpe.com/hpsc/swd/public/detail?sp4ts.oid=1009143853&swItemId=MTX_32179cba6b174fb4a43c47fd45&swEnvOid=4184



    1 mal bearbeitet, zuletzt am 24.12.17 12:28 durch bjs.

  11. Re: iLO ebenfalls nach aussen offen und veraltet

    Autor: Robian 24.12.17 - 12:27

    xploded schrieb:

    > Wenn ich Hoster wäre, würde ich niemanden auf die Schnittstelle Zugriff
    > geben. Ich hätte nämlich auch etwas dagegen, wenn da Kunden mit
    > irgendwelchen Firmwares auf "meinen" Servern rumspielen. Wüsste auch nicht,
    > was der Kunde grundsätzlich auf dieser Schnittstelle will. Mir will einzig
    > einfallen, das er vielleicht ein bestimmtes ISO booten will - das kann er
    > ja auch anders eingebunden bekommen.
    > Aber es stimmt schon: In der Pflicht ist hier der Hoster, es ist
    > schließlich sein Metall.


    Naja, die Remote Console ist schon ganz cool, wenn die Kiste mal nicht mehr bootet oder das Netzwerk falsch konfiguriert wurde etc. - das spart dem Hoster ja auch Supportaufwand, wenn der Kunde selbst schauen kann. Aber das wäre hinter einem VPN eben die deutlich bessere Variante.

    GNU/Linux

  12. Re: iLO ebenfalls nach aussen offen und veraltet

    Autor: Kubax 24.12.17 - 12:30

    Robian schrieb:
    --------------------------------------------------------------------------------
    > Ok das mag gehen, dann brauche ich aber eigentlich noch die aktuelle HP SPP
    > ISO bzw. wenigstens das iLO Binfile, um auch das Update vornehmen zu
    > können. Das gibt HP afaik nur an Lizenzinhaber weiter, das wäre dann wieder
    > der Hoster.
    >
    > Imho steht hier der Hoster für die Updates in der Pflicht, das kann der
    > User nicht sinnvoll durchführen, ohne dass ihm User, Tools und Anleitungen
    > vom Hoster zur Verfügung gestellt werden.

    Das man die Binary nur mit Konto und passender Lizenz bekommt hatte ich so nicht mehr im Kopf. Mein Server bei Webtropia ist mittlerweile ein SuperMicro Server (also mit IPMI) und dort hätte ich das Update (wenn ich mich recht entsinne) zumindest herunterladen können.

    Getraut hab ich mich "damals" aber wegen dem fehlenden Hardwarezugriff auf den Server nicht. Im Fehlerfall hätte ich halt mit Webtropia das ganze lösen müssen, und das war mir im Fehlerfall zu teuer.

    Aber ich sehe es genau so. EIGENTLICH müsste der Provider die Schnittstelle aktualisieren. Selbst auf eine Anfrage ist "damals" leider nicht eingegangen worden.

    xploded schrieb:
    --------------------------------------------------------------------------------
    > Wenn ich Hoster wäre, würde ich niemanden auf die Schnittstelle Zugriff
    > geben. Ich hätte nämlich auch etwas dagegen, wenn da Kunden mit
    > irgendwelchen Firmwares auf "meinen" Servern rumspielen. Wüsste auch nicht,
    > was der Kunde grundsätzlich auf dieser Schnittstelle will. Mir will einzig
    > einfallen, das er vielleicht ein bestimmtes ISO booten will - das kann er
    > ja auch anders eingebunden bekommen.
    > Aber es stimmt schon: In der Pflicht ist hier der Hoster, es ist
    > schließlich sein Metall.

    Wenn ich Kunde wäre, bei einem Hoster der mit auf den von mir gemieteten Server keinen RemoteConsole Zugriff erlaubt, würde ich schlichtweg nicht mieten.

    Ohne die RemoteConsole wäre ich schon das ein oder andere mal aufgeschmissen gewesen. Alles vorweg bei der Installation. Ich bin kein freund von vorinstallierten Systemen. Ich hab den Server sofort auf die aktuellste ESXi installiert, und die damals inaktuelle vorinstallierte wieder runter geschmissen. Und das hätte ohne RemoteConsole nicht funktioniert.

    Außerdem ist das mehr als praktisch wenn man sich z.b. durch Unachtsamkeit seine Netzwerkkonfig geschossen hat. Oder die Firewall mal eben zu gemacht hat. Ohne Remote Console kann da dann nur noch der Provider eingreifen und helfen. Das ist dann wiederum kostenpflichtig.

    Dedicated Server ohne RemoteConsole Zugriff sind einfach ein no-go.



    2 mal bearbeitet, zuletzt am 24.12.17 12:31 durch Kubax.

  13. Re: iLO ebenfalls nach aussen offen und veraltet

    Autor: xploded 24.12.17 - 14:31

    Kubax schrieb:
    --------------------------------------------------------------------------------
    > Robian schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Ok das mag gehen, dann brauche ich aber eigentlich noch die aktuelle HP
    > SPP
    > > ISO bzw. wenigstens das iLO Binfile, um auch das Update vornehmen zu
    > > können. Das gibt HP afaik nur an Lizenzinhaber weiter, das wäre dann
    > wieder
    > > der Hoster.
    > >
    > > Imho steht hier der Hoster für die Updates in der Pflicht, das kann der
    > > User nicht sinnvoll durchführen, ohne dass ihm User, Tools und
    > Anleitungen
    > > vom Hoster zur Verfügung gestellt werden.
    >
    > Das man die Binary nur mit Konto und passender Lizenz bekommt hatte ich so
    > nicht mehr im Kopf. Mein Server bei Webtropia ist mittlerweile ein
    > SuperMicro Server (also mit IPMI) und dort hätte ich das Update (wenn ich
    > mich recht entsinne) zumindest herunterladen können.
    >
    > Getraut hab ich mich "damals" aber wegen dem fehlenden Hardwarezugriff auf
    > den Server nicht. Im Fehlerfall hätte ich halt mit Webtropia das ganze
    > lösen müssen, und das war mir im Fehlerfall zu teuer.
    >
    > Aber ich sehe es genau so. EIGENTLICH müsste der Provider die Schnittstelle
    > aktualisieren. Selbst auf eine Anfrage ist "damals" leider nicht
    > eingegangen worden.
    >
    > xploded schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Wenn ich Hoster wäre, würde ich niemanden auf die Schnittstelle Zugriff
    > > geben. Ich hätte nämlich auch etwas dagegen, wenn da Kunden mit
    > > irgendwelchen Firmwares auf "meinen" Servern rumspielen. Wüsste auch
    > nicht,
    > > was der Kunde grundsätzlich auf dieser Schnittstelle will. Mir will
    > einzig
    > > einfallen, das er vielleicht ein bestimmtes ISO booten will - das kann
    > er
    > > ja auch anders eingebunden bekommen.
    > > Aber es stimmt schon: In der Pflicht ist hier der Hoster, es ist
    > > schließlich sein Metall.
    >
    > Wenn ich Kunde wäre, bei einem Hoster der mit auf den von mir gemieteten
    > Server keinen RemoteConsole Zugriff erlaubt, würde ich schlichtweg nicht
    > mieten.
    >
    > Ohne die RemoteConsole wäre ich schon das ein oder andere mal
    > aufgeschmissen gewesen. Alles vorweg bei der Installation. Ich bin kein
    > freund von vorinstallierten Systemen. Ich hab den Server sofort auf die
    > aktuellste ESXi installiert, und die damals inaktuelle vorinstallierte
    > wieder runter geschmissen. Und das hätte ohne RemoteConsole nicht
    > funktioniert.
    >
    > Außerdem ist das mehr als praktisch wenn man sich z.b. durch Unachtsamkeit
    > seine Netzwerkkonfig geschossen hat. Oder die Firewall mal eben zu gemacht
    > hat. Ohne Remote Console kann da dann nur noch der Provider eingreifen und
    > helfen. Das ist dann wiederum kostenpflichtig.
    >
    > Dedicated Server ohne RemoteConsole Zugriff sind einfach ein no-go.

    IMM/iLO sind mehr wie eine RemoteConsole. Den Zugang soll er gerne haben.
    Bin gespannt, wie es mit der Haftung aussieht, wenn du durch ein manipuliertes/defektes/fehlgeschlagendes Update der IMM/iLO whatever den Server ins Nirvana schickst. Oder durch Unachtsamkeit die Netzwerkkonfig der IMM/iLO jene nicht mehr erreichbar machst. Wie sieht es dann aus?

  14. Re: iLO ebenfalls nach aussen offen und veraltet

    Autor: GoBaer 14.05.19 - 07:32

    Gibt es in dieser Sache Neuigkeiten?

    Welche Zugriffe (außer VNC) sind denn via IPMI möglich?

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. Stadt Norderney, Norderney
  2. über duerenhoff GmbH, Berlin
  3. DÖRKENGroup, Herdecke
  4. Bayerische Versorgungskammer, München

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Top-Angebote
  1. (u. a. ASUS ROG Strix X570-I Gaming für 249€ inkl. Versand statt 272,91€ im Vergleich)
  2. (u. a. Acer C101i Mini Beamer für 145,25€ statt 169,06€ im Vergleich und Roccat-Produkte...
  3. 79,54€ (Preis wird an der Kasse angezeigt. Vergleichspreis 93,37€)
  4. (u. a. Forza Horizon 4 - Ultimate Edition für 49,99€, ARK: Survival Evolved für 10,99€, Human...


Haben wir etwas übersehen?

E-Mail an news@golem.de


UX-Designer: Computer sind soziale Akteure
UX-Designer
"Computer sind soziale Akteure"

User Experience Designer schaffen positive Erlebnisse, wenn Nutzer IT-Produkte verwenden. Der Job erfordert Liebe zum Detail und den Blick fürs große Ganze.
Ein Porträt von Louisa Schmidt

  1. Coronapandemie Viele IT-Freelancer erwarten schlechtere Auftragslage
  2. IT-Fachkräftemangel Es müssen nicht immer Informatiker sein
  3. Jobporträt IT-Produktmanager Der Alleversteher

Norbert Röttgen: Kandidat für CDU-Vorsitz streut alternative Fakten zu 5G
Norbert Röttgen
Kandidat für CDU-Vorsitz streut alternative Fakten zu 5G

In der explosiven Situation zwischen den USA und China zündelt Norbert Röttgen, CDU-Politiker mit Aspirationen auf den Parteivorsitz und die Kanzlerschaft, mit unrichtigen Aussagen zu 5G und Huawei.
Eine Analyse von Achim Sawall

  1. Handelskrieg Australiens Regierung greift Huawei wegen Rechenzentrum an
  2. 5G Verbot von Huawei in Deutschland praktisch ausgeschlossen
  3. Smartphone Huawei gehen die SoCs aus

8Sense im Test: Vibration am Kragen gegen Schmerzen im Rücken
8Sense im Test
Vibration am Kragen gegen Schmerzen im Rücken

Das Startup 8Sense will mit einem Ansteckclip einer Bürokrankheit entgegenwirken: Rückenschmerzen. Das funktioniert - aber nicht immer.
Ein Test von Oliver Nickel

  1. Rufus Cuff Handgelenk-Smartphone soll doch noch erscheinen
  2. Fitnesstracker im Test Aldi sportlich abgeschlagen hinter Honor und Mi Band 4