1.1, Аноним (1), 23:10, 27/02/2019 [ответить] [﹢﹢﹢] [ · · · ]
| –1 +/– |
Прошивку же они могут только личным присутствием залить, я так понимаю. Потому что если удалённо, то закладка может и сохраниться. А значит нас ждёт появление ещё одного уровня компов в компах - компы в компах в компах, чтобы удалённо управлять компами в компах :)
Весёлые времена нынче!
| |
|
2.5, Аноним (5), 23:28, 27/02/2019 [^] [^^] [^^^] [ответить]
| +6 +/– |
> Прошивку же они могут только личным присутствием залить, я так понимаю.
Нет, можно программно перезаливать прошивку из основной системы. По идее должна цифровая подпись проверяться, но оказалось, что проверка не работала.
| |
|
3.21, Xasd5 (?), 09:12, 28/02/2019 [^] [^^] [^^^] [ответить]
| +3 +/– |
> Нет, можно программно перезаливать прошивку из основной системы
програмно перезаливать это значит -- "выдать образ заражённой системе и попросить эту заражённую систему пожалуйста (если не очень против) по-возможности установить этот образ" -- верно? :-)
| |
|
4.41, mickvav (?), 17:50, 28/02/2019 [^] [^^] [^^^] [ответить]
| +/– |
Там проблема в том, что написать закладку так чтобы казалось, что образ установлен - не самая тривиальная задача. Но весьма вероятно - решаемая, да.
| |
|
|
|
1.2, PavelR (??), 23:12, 27/02/2019 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– |
>после смены арендатора не очищались логи BMC и сохранялся прежний пароль доступа к BMC-интерфейсу
не, ну хотя бы это могли бы и предусмотреть...
| |
1.3, jOKer (ok), 23:24, 27/02/2019 [ответить] [﹢﹢﹢] [ · · · ]
| –9 +/– |
> Supermicro
Это та самая Supermicro о которой шел слушок, что в ее материнках... гм... скажем так: не все благополучно с безопасностью?
| |
|
2.4, Annoynymous (ok), 23:28, 27/02/2019 [^] [^^] [^^^] [ответить]
| +17 +/– |
Ложечки нашли, никаких проблем не было, но осадочек в лице поверивших в развод хомячков остался.
Да, это та самая, хомячок.
| |
|
3.55, Аноним (55), 13:08, 02/03/2019 [^] [^^] [^^^] [ответить]
| +/– |
О проплаченный бот в комментах. Сколько платят таким ботам как ты?
| |
|
2.12, Онаним (?), 00:39, 28/02/2019 [^] [^^] [^^^] [ответить]
| –2 +/– |
BMC да, BMC адешник. Один чёрт лысый знает, к чему там у BMC есть доступ.
| |
|
1.7, Аноним (7), 23:55, 27/02/2019 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
> используемых в IBM Cloud серверах IBM SoftLayer, построенных на основе плат Supermicro.
Дожили.
| |
|
2.13, Онаним (?), 00:40, 28/02/2019 [^] [^^] [^^^] [ответить]
| –1 +/– |
Да не, а чего дожили.
> Услуга "IBM Cloud Bare Metal" подразумевает предоставление в краткосрочную аренду полноценных серверов с полным доступом к аппаратному обеспечению. Поддерживается как почасовая, так и помесячная аренда.
Хлам под хлам, всё нормально.
| |
|
1.9, Noname (??), 00:30, 28/02/2019 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Что мешает перепрошивать левыми прошивками bios материнских плат, сетевых плат, и жестких дисков?
look for firmware everywhere
| |
|
|
3.34, J.L. (?), 12:18, 28/02/2019 [^] [^^] [^^^] [ответить]
| +/– |
> Внезапно цифровая подпись.
это какой биос можно перезалить ТОЛЬКО с цифровой подписью?
| |
|
|
1.10, Онаним (?), 00:37, 28/02/2019 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Опять супермокрые отличились... сколько уж раз говорилось: зачем вам это? Ну вот теперь в IBM 5 раз подумают.
| |
|
2.28, ебеме (?), 09:54, 28/02/2019 [^] [^^] [^^^] [ответить]
| +/– |
а чо тут еще думать, когда ленову мы продали давно?
Обратно у китайцев предлагаешь откупить? Инвесторы этого точно не поймут.
А три ярда - поймут, "вложили в перспективные технологии"!
| |
|
1.15, лютый жабист__ (?), 05:49, 28/02/2019 [ответить] [﹢﹢﹢] [ · · · ]
| +5 +/– |
Какая может быть безопасность в дядиных облаках? Хотя, очень печально, что этого не понимают даже дедушки в советах директоров очень жирных компаний (например нашей). Им надо ФОТ сокращать, причём каждый год... даже если газик и неффть растут.
| |
|
2.16, жырный дедушка из совета директоров (?), 06:59, 28/02/2019 [^] [^^] [^^^] [ответить]
| +2 +/– |
а какая может быть безопасность на сервере в нашем ЦОД на -5м этаже нашей башни, если ты имеешь к нему доступ, причем тебе не надо даже на лифте ехать вниз, со своего 120го спокойно через ipmi консоль можешь сделать то же самое?
причем у ебеме вон теперь автоматика перезалива всего при передаче сервера в другие руки (очень интересно, кстати, что это за супермикры такие и как они это делают не зная пароля и вообще с замененным юзером софтом в bmc. А то мы зачем-то циски впятеро дороже покупаем ради этой и других автоматических фич.) а у тебя что, кроме жабки ква?
Эй, девка, как тебя там...да не ты, потом, вон та, страшная, из hr - заготовь этому vanilla envelope (найди там каких-нибудь опозданий на 15,5 минут за последний месяц, чтоб три лишних месяца не кормить), пинка под зад со склада у охраны на первом этаже закажи - мы переходим на аутсорс, я вчера с отличными индусами договорился. И хостинг у ibm закажем, инвесторы любят ibm.
А на -5м устроим тир хороший, на него разрешение проще получить,когда он ниже улицы. Еще и на электричестве сэкономим некисло (мы ж за экологию и это вот всьо).
| |
|
|
4.23, партнёр (?), 09:33, 28/02/2019 [^] [^^] [^^^] [ответить]
| +/– |
Братэлла, будь проще. Заводик прикупили по сходной цене. Америкэн Мокро Дивэйсы. Прикинь, темка. У китайцев чё-то там всего 14, а у нас целых 130. Вот это прям ну ваще перспективное вложение средств.
| |
4.29, ебеме (?), 10:42, 28/02/2019 [^] [^^] [^^^] [ответить]
| +/– |
_грамотно_вложили_, ждите подробнейшую информацию в нашем годовом отчете
(ну и, без протокола - ну ведь вы ж сами точно так же вкладываете?!)
| |
|
3.35, J.L. (?), 12:21, 28/02/2019 [^] [^^] [^^^] [ответить]
| +/– |
> вон теперь автоматика перезалива всего при передаче сервера в другие руки (очень интересно, кстати, что это за супермикры такие и как они это делают не зная пароля и вообще с замененным юзером софтом в bmc
так видимо точно так же как и авторы обсуждаемой статьи
| |
|
4.36, нах (?), 13:15, 28/02/2019 [^] [^^] [^^^] [ответить]
| +/– |
так они пароль знали - свой собственный. А вот что делает ibm, если ушлый юзер парольчик-то поменял? Или вообще код в bmc поменял на такой, который никаких перезагрузок самого себя обустраивать им не желает.
| |
|
3.42, mickvav (?), 17:53, 28/02/2019 [^] [^^] [^^^] [ответить]
| +/– |
Ну это, джампер какой волшебный отдельным проводом вывели к себе в систему управления. Делов-то.
| |
|
|
1.18, dalco (ok), 08:37, 28/02/2019 [ответить] [﹢﹢﹢] [ · · · ]
| +2 +/– |
Хм, интересно, сколько перезаписей в среднем выдерживает флэшка с прошивкой для BMC?
Если так прикинуть, с точностью плюс-минус лапоть, то за всю жизнь мамки прошивка обновляется хорошо, если десяток раз.
А тут после каждого арендатора прошивку перезаливать.
P.S. Просто есть такое подозрение, что с wear leveling там никто не заморачивается.
| |
|
2.22, Аноним (22), 09:32, 28/02/2019 [^] [^^] [^^^] [ответить]
| +/– |
Достаточно
1. прописать в договоре запрет на перешивку
2. проверять изменения прошивок
3. если перешита хоть одна прошивка - забирать залог
И да, проверки на перешивки должны быть АППАРАТНЫМИ, программные проверки обходятся руткитом и/или голубой пилюлей по праву первой ночи.
| |
|
3.24, Аноним (24), 09:40, 28/02/2019 [^] [^^] [^^^] [ответить]
| +/– |
> проверки на перешивки должны быть АППАРАТНЫМ
Интересная идея /* включает паяльную станцию, точит нож, ищет в коробке тумблер */
| |
|
4.25, dalco (ok), 09:47, 28/02/2019 [^] [^^] [^^^] [ответить]
| +/– |
Ха, вспомнились времена первых пней. На некоторых мамках тупо перемычка была на запрет записи прошивки. Вроде как, от винчиха должно было спасти.
| |
|
|
2.26, нах (?), 09:50, 28/02/2019 [^] [^^] [^^^] [ответить]
| +/– |
> Хм, интересно, сколько перезаписей в среднем выдерживает флэшка с прошивкой для BMC?
флэшки 1994го года выпуска, когда технология только-только начиналась, без всяких там мутных контроллеров, банальная плоская матрица - выдерживали, по мнению intel, около 500 перезаписей гарантированно. Мы, разумеется, не стали это проверять, но ни одной флэшки сдохшей от многократной перезаписи (из тысяч) у нас за все время не было - если дохли, то по причинам явно другого толка, на первой-второй. А которая записалась уже пять раз - запишется и двадцать пять, только не нужно это никому.
500 - это примерно полтора года каждый день менять пользователя.
> P.S. Просто есть такое подозрение, что с wear leveling там никто не заморачивается.
блажен кто верует :-(
скорее всего вот такие "просто флэш-память" делать современная технология давно уже не умеет. При том что оно там ни в пень не нужно, она перезаписывается вся целиком каждый раз.
| |
2.27, Айран (?), 09:52, 28/02/2019 [^] [^^] [^^^] [ответить]
| +/– |
на обычных платах флэшпамять bios тысяч на 100 перезаписей заявляют... а некоторые хитрые и на 150
| |
|
3.30, ебеме (?), 10:44, 28/02/2019 [^] [^^] [^^^] [ответить]
| +/– |
это ж ужасно, этого ж может не хватить - 100000 это ж всего за 10 лет по 30 перезаписей в день она сломаетца!
срочно-срочно обязать индуса ответственного за закупки купить тех флэшей, которые 150000!
| |
|
2.39, Aliech (ok), 16:19, 28/02/2019 [^] [^^] [^^^] [ответить]
| +1 +/– |
SPI-флешка в обычной материнке взбадривается intel bsp'шным init'ом с десяток раз при каждой загрузке. Это не считая активности от ME. И ничего, работает...
| |
|
3.46, Neandertalets (ok), 21:08, 28/02/2019 [^] [^^] [^^^] [ответить]
| –2 +/– |
То, что ты описываешь, очень похоже на чтение, а для флешек указываются циклы перезаписи.
А все параметры хранятся в CMOS.
| |
|
4.47, пох (?), 22:36, 28/02/2019 [^] [^^] [^^^] [ответить]
| +1 +/– |
не хотел бы тебя огорчать, но пока ты там вытаивал из льдины ледникового периода, чмос твой давно уже кончился, лет уже пятнадцать тому. Сегодня это та самая spi флэшка и есть.
| |
4.59, Aliech (ok), 17:45, 02/03/2019 [^] [^^] [^^^] [ответить]
| +1 +/– |
> То, что ты описываешь, очень похоже на чтение, а для флешек указываются
> циклы перезаписи.
> А все параметры хранятся в CMOS.
CMOS раздули в четыре раза, а потом и вовсе кое-чего на него забили. В spi нынче даже кеш инициализации памяти хранится. Так intel экономит около десяти секунд при включении...
Да, без таких хуков, дёргающих флешку на чтение и запись каждый раз, intel'овский init безбожно долго стартует мать. А там ведь ещё ME что-то делает...
| |
|
|
2.44, бугага (?), 18:27, 28/02/2019 [^] [^^] [^^^] [ответить]
| +/– |
На днях как раз шил флешку модуля ASMB6-iKVM
Macronix MX25L25735E - "Typical 100,000 erase/program cycles"
| |
2.53, КО (?), 10:57, 01/03/2019 [^] [^^] [^^^] [ответить]
| +/– |
Ну, поскольку, mlc там особе не требуется (ибо объемы минимальны, там вообще и NOR можно использовать) то где-то 100 тысяч раз должна потянуть, а то и миллион.
| |
|
1.33, J.L. (?), 12:14, 28/02/2019 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
> особенность данных плат, из-за которой перед установкой новой прошивки не применялась проверка целостности образа прошивки по цифровой подписи
АХАХАХАХАХА особенность!!!!
сначала убрали физический рубильник для записи биоса, а теперь получили "особенность"
| |
|
2.40, нах (?), 16:34, 28/02/2019 [^] [^^] [^^^] [ответить]
| +3 +/– |
> сначала убрали физический рубильник для записи биоса,
стесняюсь спросить - вроде немолодой уже человек - вы кроме своего локалхоста вообще что-то когда-то видели?
"физический рубильник" - ну вот тебе задача, обновить прошивки во всем ряду стоек (мы же не хотим жить в зоопарке) - 48u, предположим мы не звери, 40 одноюнитных серваков, каждый весом 15 кг, отключить все кабели, пометить чтоб не перепутать при включении, отвинтить два болта на морде, выдвинуть корпус, включая те что на двухметровой высоте, открыть крышку, найти крошечный "рубильник", переставить, все собрать обратно, убедиться что все включилось, а не один из шести разъемов ты недовоткнул, отзвониться тому кто проводит процедуру, перейти к следующему серверу. По окончании процедур - еще раз все то же самое, в обратной последовательности.
Задачка поинтереснее: 20 2u серверов, весом уже под 25 кг и ни разу не способных выдвигаться из стойки на всю длинну - теперь ты откручиваешь шесть болтов, расцепляешь рельсы, вынимаешь всю коробку...
Что, запыхался? Ну передохни минутку, тебя ждет еще десять таких стоек в каждом ряду.
это еще если стойки ухоженные, кабели проложены как надо, все однотипное - а не при попытке выдвинуть дальше чем на ладошку упираешься в бороду кабелей, как обычно оно и бывает, потому что сетевеки смонтировали свои железки мордами туда же куда сервера. И не сэкономили на металле - рельсы у супермикр отдельный партнамбер, не особо и дешевый, а так они могут и намертво монтироваться.
все еще непонятно, зачем избавляться от "рубильников"? В следующей серии мы вам расскажем, для чего вообще нужен bmc.
| |
|
3.43, J.L. (?), 18:16, 28/02/2019 [^] [^^] [^^^] [ответить]
| +1 +/– |
>> сначала убрали физический рубильник для записи биоса,
> стесняюсь спросить - вроде немолодой уже человек - вы кроме своего локалхоста
> вообще что-то когда-то видели?
для таких как вы гирконы (магнитные ключи) выводят на корпус устройства, но без физического доступа к корпусу не дают делать
| |
|
4.48, нах (?), 22:42, 28/02/2019 [^] [^^] [^^^] [ответить]
| +/– |
для таких как я подобной фигней не маются.
Вы, очевидно, действительно ничего кроме локалхоста под столом никогда не видели, если только не на картинке.
вот щастье-то было бы, лазить с магнитом в поисках герконов на корпусах в стойке. (отдельно забавно, сколько их замкнешь по дороге нечаянно не тех)
Ладно б чего поумнее придумали - типа выноса переключателя куда-нибудь на морду или жопу, там хоть поисковые индикаторы есть, не промахнешься. Правда, где-нибудь на 44м ярусе тоже то еще удовольствие будет. Видимо, именно по этой причине нынче там и reset-то не всегда есть.
| |
4.60, подмышка (?), 00:51, 06/03/2019 [^] [^^] [^^^] [ответить]
| +/– |
> гирконы
вот такой он - диванный эксперт
ЗЫ: гЕркон - герметизированный контакт
| |
|
3.49, Zulu (?), 00:43, 01/03/2019 [^] [^^] [^^^] [ответить]
| +1 +/– |
Общая идея правильная, знакомсктва с нормальными серверами никакого.
1. Зачем выдвигать, Сановские железки имели ключ (физический) или слот под карту доступа на морде бог знает сколько лет назад.
2. Что значит "не выдвигается", что это за народная самодеятельность? Если все шасси не выдвигается, то значит что-то другое открывается или мать вынимается как-то иначе (см. SPARC T5-4 и выше, например)
| |
|
4.52, нах (?), 10:14, 01/03/2019 [^] [^^] [^^^] [ответить]
| +/– |
> Зачем выдвигать, Сановские железки имели ключ (физический) или слот под карту доступа на морде
> бог знает сколько лет назад
ну вот по этой причине ты ищешь новую работу.
Потому что сдавать мелкой россыпью в аренду эти сановские железки - дураков, почему-то, не нашлось (ну или мягче, не нашлось по настоящему эффективного менеджера, который сумел бы придумать, где на этом заработать больше, чем сдавая в аренду недосервера от супермикры - сановские вот продали акции, пока брали хоть за какие деньги, и свалили в туманную даль)
> Что значит "не выдвигается", что это за народная самодеятельность?
ну, во-первых, что-то больше 2u выдвигать - это надо быть очень уверенным или молодым (шанс что внезапно на тебя рухнет хреново прикрученная к полу стойка - далеко не нулевой - 100кг на метровом рычаге это совсем несмешно, и хоронить будут в кошачьей коробке - чего на гроб тратиться, сверните его в рулончик)
во-вторых, не помню супермикровский (но не просто так это отдельный p/n) но вот интеловский хорошо помню - $120 штучка. А уголки для мертвой фиксации - $25, а к 2u вообще бесплатно шли. Угадай, какая мысля немедля рождается в голове эффективного, ответственного за заказ? А когда ты их докупишь - окажется, что все уже привернули и сдали клиенту ;-)
| |
|
5.54, Zulu (?), 20:18, 01/03/2019 [^] [^^] [^^^] [ответить]
| +/– |
> ну вот по этой причине ты ищешь новую работу.
Я что?
> хреново прикрученная к полу стойка
Я же говорю, народная самодеятельность.
| |
|
|
3.50, Аноним (50), 07:22, 01/03/2019 [^] [^^] [^^^] [ответить]
| +/– |
> Задачка поинтереснее: 20 2u серверов, весом уже под 25 кг и ни разу не способных выдвигаться из стойки на всю длинну - теперь ты откручиваешь шесть болтов, расцепляешь рельсы, вынимаешь всю коробку...
Задачка по интереснее. 4U весом под 100кг (84 диска внутри) - выдвигающиеся на полностью, или вынимай сзади контролер переставляй - ставь назад.
не успел запыхатсья?. ну это раз в год процедура - а может раз в 5 лет.
| |
|
4.51, нах (?), 10:04, 01/03/2019 [^] [^^] [^^^] [ответить]
| +/– |
это обычно уже ентерпрайзные админы так страдают - к счастью, им действительно редко надо, тем более что в энтерпрайзе зоопарк в разумных пределах часто допустим, это лучше чем массовый апгрейд всего с отвалом сервисов. Там еще и диски с 62 по 84 вынимаются методом "засунуть руку, согнуть под 90, просунуть еще на десять сантиметров, согнуть под 45, нащупать защелку...мы не поняли, почему у вас проблема - наши разумные осьминоги ни разу не жаловались!" (tyan такое делал, да)
В аренду такие ящики если даже и сдаются, то эксклюзивно-поштучно.
А у ебеме массовый колло с подневной арендой - там либо 1u, либо 2u, либо блейды, но какие у супермикры блейды - вам лучше не знать ;-) А, еще бывает супермикра в четверть-юнит - этих иногда по два пихают, щастье потом в них копаться - просто неземное (ну, в смысле, в аду примерно то же самое, и тоже доступ только из горячего коридора)
Соответственно, в стойке их - много, даже МНОГО. И стоек тоже ;-)
Так что если кому предлагают "побыстрому поменять положение джампера" - бегите оттуда ;-)
| |
|
|
|
1.38, PnDx (ok), 16:18, 28/02/2019 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Так, напротив HP галочку в прошлом году поставили (тамошний BMC "iLO". Но не факт что всех версий). Напротив IBM — поставили (пока "IBM Cloud", но может с ними показалось интересней). Ждём Dell ("iDRAC")?
| |
|