| 1.1, G.NercY.uR (?), 12:04, 07/11/2013 [ответить] [﹢﹢﹢] [ · · · ]
| +8 +/– |
Ну метасплойтовцы! Это же не уязвимости, это необходимые сильным мира сего возможности!
| | |
| |
| |
| |
| 4.40, Аноним (-), 16:00, 08/11/2013 [^] [^^] [^^^] [ответить]
| +/– | |
> открыли америку.. в samsung и lg - такое есть уже давно.
Пруф?
| | |
|
|
|
| 1.2, Аноним (-), 12:05, 07/11/2013 [ответить] [﹢﹢﹢] [ · · · ]
| +6 +/– |
в принципе, если нормальные админы ипми держат в отдельном влане, настраивают аксесс листы правильно на маршрутизаторах, то даже и не страшно.
| | |
| |
| 2.14, Аноним (-), 14:14, 07/11/2013 [^] [^^] [^^^] [ответить]
| –1 +/– |
Да, слой бинта, гипс, еще слой бинта, еще гипс, и самое главное - никакого секса^W ipmi.
| | |
|
| |
| 2.5, asavah (ok), 12:24, 07/11/2013 [^] [^^] [^^^] [ответить]
| +1 +/– |
 Я тоже, это ж мля додуматься надо выставить IPMI наружу с голой жопой.
management vlan закрытый по самое немогу? - Не, не слышали.
| | |
| |
| 3.6, KT315 (ok), 13:03, 07/11/2013 [^] [^^] [^^^] [ответить]
| –2 +/– |
 Ну если сервер в Local Area - то это не проблема.
А что делать, если ты тут, а сервер в Германии? Разве, что каким-то образом оговаривать список IP для доступа к менеджменту средствами компании предоставляющей место в стойке.
| | |
| |
| 4.8, nbw (ok), 13:15, 07/11/2013 [^] [^^] [^^^] [ответить]
| +9 +/– |
 > А что делать, если ты тут, а сервер в Германии?
Для предоставления доступа к административным сетям когда-то придумали VPN (OpenVPN, например).
В любом случае, к таким интерфейсам (не только IPMI, вообще админки всяческих железок) не должно быть свободного доступа из публичных сетей. Кто этого не понимает - ССЗБ.
| | |
| |
| 5.13, KT315 (ok), 14:12, 07/11/2013 [^] [^^] [^^^] [ответить]
| –1 +/– |
>> А что делать, если ты тут, а сервер в Германии?
> Для предоставления доступа к административным сетям когда-то придумали VPN (OpenVPN, например).
> В любом случае, к таким интерфейсам (не только IPMI, вообще админки всяческих
> железок) не должно быть свободного доступа из публичных сетей. Кто этого
> не понимает - ССЗБ.
И вот, уже нужно ставить еще одну железку(+money$), только с VPN, что не исключает проблемы и с ней же - бэкдоры и просто уязвимости в VPN сервере.
Не подумайте, что я против VPN и прочих средств защиты. Просто не радостно когда из-за того, что должно быть безопасным - реализовано через жопу и приходится усложнять архитектуру.
| | |
| |
| 6.15, Аноним (-), 14:16, 07/11/2013 [^] [^^] [^^^] [ответить]
| +/– | |
> реализовано через жопу
Оно не просто так реализовано. Там откровенно впихан левый административный бэкдор. AWARD_SW. Теперь товарищу майору (и хакеру Васе) больше не надо отрывать зад от стула и бежать к компьютеру. Вон там 30 000 машин - к вашим услугам...
| | |
| 6.35, nbw (ok), 09:33, 08/11/2013 [^] [^^] [^^^] [ответить]
| –1 +/– | |
> И вот, уже нужно ставить еще одну железку(+money$)
Ox-ox, какой ужас, PIII + RAID1 из двух древних сигейтов - это так дорого... Мани-мани. (Такая конфигурация 10 лет работать будет).
> просто уязвимости в VPN сервере.
Реально эксплуатируемые уязвимости в своевременно обновляемом OpenVPN? Не, не слышал.
> Не подумайте, что я против VPN и прочих средств защиты. Просто не
> радостно когда из-за того, что должно быть безопасным - реализовано через
> жопу и приходится усложнять архитектуру.
Ну, тут одно из двух - либо просто, либо безопасно. По-другому не бывает. Так устроен этот жестокий мир.
| | |
| |
| 7.41, Аноним (-), 16:01, 08/11/2013 [^] [^^] [^^^] [ответить]
| +1 +/– |
> Ox-ox, какой ужас, PIII + RAID1 из двух древних сигейтов - это
> так дорого... Мани-мани. (Такая конфигурация 10 лет работать будет).
Это будет дорого,
1) Потому что место в ДЦ придется оплатить.
2) Когда у этого хлама окончательно вспухнут кондеры на мамке - будет весело.
| | |
| |
| 8.51, nbw (ok), 19:47, 08/11/2013 [^] [^^] [^^^] [ответить] | –1 +/– | ok Пусть это будет виртуалка на 128 MB RAM См выше Когда на мамке незарезерв... текст свёрнут, показать | | |
| |
| |
| 10.57, nbw (ok), 15:44, 09/11/2013 [^] [^^] [^^^] [ответить] | +/– | Virtual host, в отличие от virtual guest а, вполне себе материален И кондёры в ... текст свёрнут, показать | | |
|
|
|
| 7.59, zero (??), 12:15, 20/06/2014 [^] [^^] [^^^] [ответить]
| +/– | |
> Ox-ox, какой ужас, PIII + RAID1 из двух древних сигейтов
и кто же даст такой хлам поставить в ДЦ???? Где у тебя один из 10тыс. серверов в стойке?
| | |
| |
| 8.60, nbw (ok), 16:23, 24/06/2014 [^] [^^] [^^^] [ответить] | +/– | Привет, некропостер Ну поставь 1U-железку с вэпээном, если третьепень с сигейта... текст свёрнут, показать | | |
|
|
|
|
| 4.31, YetAnotherOnanym (ok), 23:19, 07/11/2013 [^] [^^] [^^^] [ответить]
| +/– |
 > А что делать, если ты тут, а сервер в Германии?
<trollmode>Не держать свои сервера в Германии</trollmode>
Выбирать нормального хостера, который даёт VPN до IPMI-интерфейса.
| | |
| |
| 5.42, Аноним (-), 16:03, 08/11/2013 [^] [^^] [^^^] [ответить]
| +1 +/– | |
> <trollmode>Не держать свои сервера в Германии</trollmode>
В Германии сервера по крайней мере не изымают по звонку товарищ-майоров, знаете ли. А также вменяемые цены и хорошее конективити в мир, не проходящее через бельевые веревки ростелекома и тому подобных.
> Выбирать нормального хостера, который даёт VPN до IPMI-интерфейса.
И надеяться что это не разломают.
| | |
| |
| 6.52, nbw (ok), 19:52, 08/11/2013 [^] [^^] [^^^] [ответить]
| +/– |
> В Германии сервера по крайней мере не изымают по звонку товарищ-майоров, знаете
> ли.
Некто Эдик Сноуден весело смеётся над твоей наивностью, и спецслужбы ФРГ ему подхихикивают.
>> Выбирать нормального хостера, который даёт VPN до IPMI-интерфейса.
> И надеяться что это не разломают.
Примеры взломов OpenVPN ф студию.
| | |
|
|
|
|
| 2.49, кцу (?), 16:53, 08/11/2013 [^] [^^] [^^^] [ответить]
| +/– |
Dedicated-хостинги. Например - timeweb. У них ipmi торчит наружу для всех.
| | |
|
| |
| |
| |
| 4.11, Аноним (9), 13:58, 07/11/2013 [^] [^^] [^^^] [ответить]
| +1 +/– |
 Буду очень благодарен если вы укажете мне где именно в coreboot находятся исходники прошивок для BMC.
| | |
| |
| 5.12, commiethebeastie (ok), 13:59, 07/11/2013 [^] [^^] [^^^] [ответить]
| +1 +/– |
 Никому же нинужно, ынтерпрайз надежнее, вот не делают. Хотя например для тех же super i/o делают, хоть это и не сам coreboot.
| | |
| |
| 6.17, Аноним (-), 14:18, 07/11/2013 [^] [^^] [^^^] [ответить]
| +/– | |
> же super i/o делают, хоть это и не сам coreboot.
Пардон? Super I/O это довольно дубовый автомат. У него нет никаких "прошивок". Бывает что управление вентиляторами и отслеживание датчиков вместо этого спихнуто на BMC, вот у этого прошивка бывает. И сабж в половине случаев он же делает. Но где его прошивка, собственно?
| | |
| |
| |
| |
| 9.25, Аноним (-), 18:24, 07/11/2013 [^] [^^] [^^^] [ответить] | –1 +/– | Вполне себе видел мамки где один и тот же процик и по сети ремотное управление д... текст свёрнут, показать | | |
|
| 8.24, Аноним (-), 18:23, 07/11/2013 [^] [^^] [^^^] [ответить] | +1 +/– | Простите, EC он же зачастую и BMC - это таки не SuperIO SuperIO - это как пра... большой текст свёрнут, показать | | |
|
|
|
|
|
|
|
| 1.16, Аноним (-), 14:17, 07/11/2013 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– |
Кстати да, IPMI у Supermicro не часто обновляется если вообще обновляется. Просто принцип "Работает не трогай" рано или поздно начинает давать сильную отдачу по то тому кто этот принцип применяет. Да и вообще веб интерфейс у них и так страшный так что нахождение там ошибок ни чуть не увиляет
| | |
| |
| 2.19, Аноним (-), 14:22, 07/11/2013 [^] [^^] [^^^] [ответить]
| +/– |
> интерфейс у них и так страшный так что нахождение там ошибок
> ни чуть не увиляет
Зато обнаружение бэкдора - несомненно радует любителей проприетарщины.
| | |
| |
| 3.22, Аноним (-), 15:27, 07/11/2013 [^] [^^] [^^^] [ответить]
| –1 +/– | |
> Зато обнаружение бэкдора - несомненно радует любителей проприетарщины.
Закладки в аппаратной части тоже ни кто не отменял. Так что тот факт, что у вас открытое ПО еще не показатель повышенной безопасности. )
| | |
| |
| 4.23, sfstudio (ok), 17:06, 07/11/2013 [^] [^^] [^^^] [ответить]
| +1 +/– |
 Повышенной относительно чего? Относительно дырявой проприретари с закладками на том же железе с закладками??? Ещё как показатель. =)
| | |
| 4.26, Аноним (-), 18:26, 07/11/2013 [^] [^^] [^^^] [ответить]
| +/– | |
> факт, что у вас открытое ПО еще не показатель повышенной безопасности. )
Это еще почему? Как минимум административный логин по типу AWARD_SW у супермикры очень даже отвалится. А сильно сложную логику в железо, в отличие от софта, не запихнешь.
| | |
| |
| 5.28, linux must __RIP__ (?), 19:18, 07/11/2013 [^] [^^] [^^^] [ответить]
| –2 +/– |
>> факт, что у вас открытое ПО еще не показатель повышенной безопасности. )
> Это еще почему? Как минимум административный логин по типу AWARD_SW у супермикры
> очень даже отвалится. А сильно сложную логику в железо, в отличие
> от софта, не запихнешь.
мисье вы о VHDL, AHDL, Verilog слышали? вот на VHDL делают целый 8051 на базе PLD... это называется сложную логику в железо не запихать? да еще и перепрограммуремую в Altera APEX (к примеру)..
| | |
| |
| 6.44, Аноним (-), 16:12, 08/11/2013 [^] [^^] [^^^] [ответить] | +/– | На их основе и более сложные вещи прототипируют Тем не менее, процессор как так... большой текст свёрнут, показать | | |
|
|
|
|
| 2.29, Аноним (-), 19:33, 07/11/2013 [^] [^^] [^^^] [ответить] | –2 +/– | Ни хочу никогда обидеть Но открытость ПО еще не гарантирует того что данное ПО ... большой текст свёрнут, показать | | |
| |
| 3.30, Анон42 (?), 22:08, 07/11/2013 [^] [^^] [^^^] [ответить]
| +2 +/– | |
> Но открытость ПО еще не гарантирует
У нормальных людей Гарантирует!:)
| | |
| |
| 4.38, анон (?), 12:19, 08/11/2013 [^] [^^] [^^^] [ответить]
| +/– |
Если это не толстый троллинг, то гарантировать ничто не может, кроме случая собственноручной реализации как аппаратной, так и программной (что проще, в случае с СПО) части и то, сложность систем, способных на большее чем "Hello world", не дает права гарантировать, что в ПО и железе нет пусть не "закладок", а хотя бы, скажем так, "непредусмотренного поведения". Наличие таких "возможностей" не исключает их применения при взломе подобных систем. А те, кто думает, что безопасность можно гарантировать какими либо способами, те ССЗБ. Безопасность можно только повысить до какого-то уровня, обычно исходя из предполагаемых убытков в случае взлома.
| | |
| |
| 5.53, Анон42 (?), 21:41, 08/11/2013 [^] [^^] [^^^] [ответить]
| +1 +/– |
Ok. Я процитирую ваше предложение полностью:)
> Но открытость ПО еще не гарантирует того что данное ПО безопаснее чем закрытое.
Отсюда следует, что "если ПО идентично по кодовой базе, но один вариант имеет открытые исходники, а другой таковых не имеет, то первый вариант, с точки зрения обеспечения безопасности предпочтительней, а соответственно "гарантирует, что он более безопасен". Корректность формулировки последней цитаты, с точки зрения русского языка, можно опустить.:)
| | |
| |
| 6.56, анон (?), 23:55, 08/11/2013 [^] [^^] [^^^] [ответить]
| +/– |
1. Вы банально приписали мне авторство высказывания другого человека.
2. Не поняли смысла написанного мной.
3. Не понимаете смысла слова "гарантирует".
4. Неправильно понимаете характер взаимосвязи между открытостью и безопасностью.
| | |
|
|
|
| 3.45, Аноним (-), 16:20, 08/11/2013 [^] [^^] [^^^] [ответить] | +/– | Оно гарантирует что изначальные намерения - честные А то что баги бывают в любы... большой текст свёрнут, показать | | |
| |
| 4.50, анон (?), 19:20, 08/11/2013 [^] [^^] [^^^] [ответить]
| +/– |
И откуда сведения о площади кристалла на 1 бэкдор? Не стоит исключать и (внезапно) прошивку в "железе", принимаемую за функции логики кристалла.
| | |
|
| 3.55, XoRe (ok), 23:49, 08/11/2013 [^] [^^] [^^^] [ответить]
| +/– |
 > Ни хочу никогда обидеть. Но открытость ПО еще не гарантирует того что
> данное ПО безопаснее чем закрытое.
Не гарантирует, но шансы повышает на порядки.
На самом деле, можно сколько угодно спорить "я думаю, вот так. А я думаю, так".
Но мы же взрослые люди, можно вытащить и померить :)
Т.е. посмотреть статистику атак и взломов на те или иные системы.
Вопросы отпадут сами собой.
Ну и у открытого ПО скорость фиксов обычно выше (тоже можно поднять статитику).
| | |
|
|
| 1.33, odeskby (ok), 00:49, 08/11/2013 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
 так это еще не везде собака порылась, они только как кидис cgi интерфейс долбили
" Note that this assessment did not include the actual IPMI network services and was primarily focused on default keys, credentials, and the web management interface."
неприятно у мну 50 узлов со встроенным в порты функционалом
| | |
| |
| 2.46, Аноним (-), 16:22, 08/11/2013 [^] [^^] [^^^] [ответить]
| +/– | |
> неприятно у мну 50 узлов со встроенным в порты функционалом
Ждите гостей из группы Anonymous и АНБ.
| | |
| |
| 3.48, odeskby (ok), 16:35, 08/11/2013 [^] [^^] [^^^] [ответить]
| +/– |
>> неприятно у мну 50 узлов со встроенным в порты функционалом
> Ждите гостей из группы Anonymous и АНБ.
Ну не все так страшно - это вычислительные блейды. И я их контролирую через цудовный жавский инструмент ... но порты все равно светят. Видна-жава парни обертки для http/s хорошо пишут .... Считают они вообщем хорошо ....Больше беспокоят BMC карточки от интел.
| | |
|
|
| 1.36, тигар (ok), 10:27, 08/11/2013 [ответить] [﹢﹢﹢] [ · · · ]
| –2 +/– |
 dedicated ipmi порт + отдельный свищ, например. ну или vlan. зачем ЭТО выставлять в интернетики?
| | |
| |
| 2.47, Аноним (-), 16:23, 08/11/2013 [^] [^^] [^^^] [ответить]
| +1 +/– |
> dedicated ipmi порт + отдельный свищ, например. ну или vlan. зачем ЭТО
> выставлять в интернетики?
Ты уже слой гипса на свой ... штекер эзернета наложил? :)
| | |
|
| |
| 2.39, Нанобот (ok), 15:25, 08/11/2013 [^] [^^] [^^^] [ответить]
| –1 +/– |
 # cat /mnt/1/wsman/openwsman/etc/openwsman/digest_auth.passwd
wsman:OPENWSMAN:5a659df1ac36d2f4eb84092145532919
это оно?
| | |
|
|
