forum.opennet.ru

Составление сообщения

Исходное сообщение

"Уязвимости в прошивках AMI MegaRAC, позволяющие удалённо вып..."
Отправлено torvn77, 26-Июл-23 12:25

>Поэтому когда задачки стали посложнее - уже мало вкл-выкл, а надо, к примеру, посмотреть логи ECC прежде чем решать, поедешь ты таки в караганду с запасным модулем, или обойдется - сделали нормальное _универсальное_ инженернзиое решение.
Если комп не в состоянии загрузить ядро и initrd который ничего не имеет кроме sshd и утилиты для чтения логов ECC то в караганду придётся ехать в любом случае, потому что такое возможно только при полной аппаратной поломке одного из узлов компьютера.
А если он такой базовый initrd прогруить может и всякие утилиты, в том числе для чтения логов ECC с него доступны то зачем добавлять в процессор не лишний функционал который может потенциально позволить утащить из твоего компа расположенные в ОЗУ пароли или ключи шифрования?
Это базовая логика в которую по непонятной причине неспособны большинство компьютерщиков и вот приходится тебе объяснять то, о чём ты должен подумать и сам.
Хотя конечно посмотреть лог сбоев на непрогружаемом компьютере полезно так как можно сразу приехать с нужными запчастями.
Но разве для этого нужен встроенный в процессор BMC?
Нет, для этого достаточно чтобы логи писали на spi флешку.
Тогда зачем весь этот встроенный BMC с доступом ко всем устройствам и ОЗУ компьютера?
И даже если такой доступ нужен, то почему не ограничились набором шин подключаемых к отдельному миникомпьютеру что не только безопаснее, но и удобнее?
Если бы ты понял такую простую вещь то с самого начала не стал бы в качестве аргумента применять поездки в караганду, а предложил более дельные вещи.
>а теперь надо выключить и без поездки в караганду
Для этого достаточно чтобы ВНЕШНИЙ BMC мог удалённо через оптопару замкнуть контакты кнопок питания и сброса, как максимум если тебе ну ни как в ОС не поставить сервер ssh  то ещё эмулировать дисплей и клавиатуру.
Всё остальное это ненужное усложнение требующие огромных затрат на разработку и упорный энтузиазм в которой заставляет задуматься о причинах его(энтузиазма) появления и стойкого существования.
И главное, я ведь не говрю что у тебя не должно быть возможности подключить к своему компу через JTAG и IPMI удалённый отладчик и делать всё что тебе захочется.
Ради бога, ставь платку, подключай.
Но у других должна быть возможность этого не делать, потому как некоторые админы перед отправкой сервера в ДЦ специально механически отрывают у материнки все неиспользуемые порты, на всякий случай, чтоб чего не вышло.

Исходное сообщение
"Уязвимости в прошивках AMI MegaRAC, позволяющие удалённо вып..." Отправлено torvn77, 26-Июл-23 12:25
>Поэтому когда задачки стали посложнее - уже мало вкл-выкл, а надо, к примеру, посмотреть логи ECC прежде чем решать, поедешь ты таки в караганду с запасным модулем, или обойдется - сделали нормальное _универсальное_ инженернзиое решение. Если комп не в состоянии загрузить ядро и initrd который ничего не имеет кроме sshd и утилиты для чтения логов ECC то в караганду придётся ехать в любом случае, потому что такое возможно только при полной аппаратной поломке одного из узлов компьютера. А если он такой базовый initrd прогруить может и всякие утилиты, в том числе для чтения логов ECC с него доступны то зачем добавлять в процессор не лишний функционал который может потенциально позволить утащить из твоего компа расположенные в ОЗУ пароли или ключи шифрования? Это базовая логика в которую по непонятной причине неспособны большинство компьютерщиков и вот приходится тебе объяснять то, о чём ты должен подумать и сам. Хотя конечно посмотреть лог сбоев на непрогружаемом компьютере полезно так как можно сразу приехать с нужными запчастями. Но разве для этого нужен встроенный в процессор BMC? Нет, для этого достаточно чтобы логи писали на spi флешку. Тогда зачем весь этот встроенный BMC с доступом ко всем устройствам и ОЗУ компьютера? И даже если такой доступ нужен, то почему не ограничились набором шин подключаемых к отдельному миникомпьютеру что не только безопаснее, но и удобнее? Если бы ты понял такую простую вещь то с самого начала не стал бы в качестве аргумента применять поездки в караганду, а предложил более дельные вещи. >а теперь надо выключить и без поездки в караганду Для этого достаточно чтобы ВНЕШНИЙ BMC мог удалённо через оптопару замкнуть контакты кнопок питания и сброса, как максимум если тебе ну ни как в ОС не поставить сервер ssh то ещё эмулировать дисплей и клавиатуру. Всё остальное это ненужное усложнение требующие огромных затрат на разработку и упорный энтузиазм в которой заставляет задуматься о причинах его(энтузиазма) появления и стойкого существования. И главное, я ведь не говрю что у тебя не должно быть возможности подключить к своему компу через JTAG и IPMI удалённый отладчик и делать всё что тебе захочется. Ради бога, ставь платку, подключай. Но у других должна быть возможность этого не делать, потому как некоторые админы перед отправкой сервера в ДЦ специально механически отрывают у материнки все неиспользуемые порты, на всякий случай, чтоб чего не вышло.

Ваше сообщение
Имя*:
EMail:	Для отправки ответов на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email). Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.
Заголовок*:
Сообщение*:
	Введите код, изображенный на картинке:

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру