sia
gesperrt
Hm, wüsste jetzt nicht was mit sicherem VPN mit Pubkey-Authentifizierung und einem separaten VLAN unsicherer wäre als beispielsweise einen SSH-Port zugänglich zu machen. Meine Systeme haben alle SSH am Laufen und manchmal ist der auch ohne VPN im Internet erreichbar, manchmal nur via VPN.
Dumm finde ich an IPMI und ähnlichen Management-Lösungen nur, dass es nicht Open Source ist und oftmals nicht aktualisiert wird. Habe ein Supermicro-Board (IIRC) von 2012, was jetzt schon keine Updates mehr bekommt. 6 Jahre Laufzeit sind bei nem Server eigentlich keine Seltenheit, zumal das Ding ansonsten einwandfrei funktioniert und die Leistung des Servers ausreicht.
Aber in dem theoretischen Fall ist er doch der "legitime Admin", oder?
Nein, an dieser Stelle sind auch Dinge ganz grundlegend methodisch falsch. Ein User sollte ein System niemals so verkacken können. Gibt aber auch durchaus andere Anwendungsfälle: Hardwareausfall, fehlgeschlagene OS-Updates (bei Windows durchaus mal die klassische Bootschleife: Update → Reparatur → Rollback → Update). Da wüsste ich jetzt nicht, wie ich das über Telefon machen sollte, IPMI etc. wäre da schon einfacher.
Warum genau? Solche Aussagen sind imho recht gefährlich, denn "Hackback" bedeutet in dem Falle sicher kein Greyhat-Hacking um fremde Sicherheitslücken zu schließen und die Leute darauf hinzuweisen, sondern den "ßeiber-Gegenangriff", also eine klare militärische Handlung gegen einen feindlichen Staat…
Bin da eher für ein Three-Strikes-Modell, damit der Internetanschluss abgeschaltet wird, sobald drei voneinander unabhängige Sicherheitsereignisse erkannt werden. Das sollte dann natürlich klarstens definiert werden, damit man automatisierte Audit-Tools bei Firmen einsetzen kann.
Na ja, hättest du ein spezielles Problem mit IPMI und hättest Eigeninitiative, hätten wir sicher nicht so reagiert.
Du bist jemand, dem wir eigentlich relativ oft helfen. Offensichtlich kannst du dir aber immer noch nicht selbst helfen.
Deine Frage ist beleidigend, denn: wir sind nicht deine Google-Sklaven, abgesehen davon dass du ja selbst innerhalb von 10 Sekunden einen guten Guide bei der Thomas Krenn AG gefunden hast. Ich hab natürlich vorher Google bemüht und das Wiki ebenfalls unter den Top 5 der Suchergebnisse entdeckt, ebenso bei DuckDuckGo. Ich wollte nur nicht deine Bequemlichkeit füttern, denn zu IPMI gibt es nun wahrlich genug Guides im Internet. Warum das Problem in deinem Fall anders gelöst werden sollte, beispielsweise durch eine Recovery-Partition, sollte dir eigentlich auch schon klar sein.
Gerne darfst du auch für IPMI einen neuen Thread aufmachen, aber bitte mit Eigeninitiative und einem konkreten Problem und nicht mit deinen üblichen bescheuerten Metafragen.
Warum?!??
IPMI ist hauptsächlich für Admins in Rechenzentren und Firmen sinnvoll, beispielsweise um Server zu administrieren, deren Admin-Oberfläche generell nur via Fernwartung zugänglich ist. Wüsste nicht, was das bei verwalteten Desktoprechnern für einen Sinn haben sollte. Wenn jemand keine Adminrechte hat, kann er sein System gar nicht so verkacken, dass IPMI sinnvoll wäre.
Außerdem sollte man ein eigenes Management-VLAN einrichten und die entsprechenden Firewall-Regeln und VPN, damit das sinnvoll ist. Einfach nen IPMI-Port über Portfreigaben nach draußen zu legen schreit eigentlich nach einer Einladung zum Hacken.
Nein, sie sind durchaus Praxis, wie ich weiter oben schon beschrieben habe.
Da hat Metal_Warrior natürlich Recht, denn wie ich ist er auch der Administrator von mehr als 10 Systemen, wohingegen du eher am rumbasteln bist. Das ist hier kein Bashing deiner Fähigkeiten, sondern nur eine gut gemeinte Zurechtweisung.
Zuletzt bearbeitet:
