امنیت
فهرست مطالب
پسورد HPE iLO Administrator
به احتمال زیاد ممکن است با این مشکل روبرو شده باشید که یک سرور پرولیانت اچ پی که iLO روی آن نصب شده است را دریافت کردهاید، اما برچسب رمز عبور پیش فرض در آن قرار ندارد. برای رفع این مشکل و ریست پسورد HPE iLO Administrator باید چه اقدامی انجام دهیم؟ این مشکلی است که برخی از کارشناسان شبکه با آن روبرو هستند و در این مطلب قصد داریم به بررسی آن بپردازیم.
ریست پسورد HPE iLO Administrator از طریق سیستم عامل با استفاده از ipmitool
یکی از مشکلاتی که بسیاری از ما در زمان کار با سرورهای اچ پی با آن روبرو هستیم این است که آزمایش خود را با نامهای کاربری Administrator، admin و ADMIN انجام میدهیم، اما هیچ کدام از اطلاعات موجود با فرآیند احراز هویت ورود iLO همخوانی ندارد. متاسفانه، در چنین شرایطی پس از مدت کوتاهی، سیستم برای پیشگیری از بروز حمله brute force، مکانیزم تاخیر ورود را فعال میکند.
مرحله 0: دسترسی به Root Shell در لینوکس با ipmitool
اولین کاری که باید انجام دهید، دریافت دسترسی به پوسته روت در لینوکس است. اگر از قبل یک سیستم عامل در حال اجرا دارید و کاربری با امتیاز مدیر دارید، این کار بسیار آسان است. در غیر این صورت، اگر دسترسی فیزیکی دارید، میتوانید سیستم را از طریق یک فلش یا سیدی Ubuntu Desktop بوت کنید. پس از آن، میتوانید دستور sudo apt update را اجرا کرده و سپس دستور سریع زیر را اجرا کنید:
sudo apt install ipmitool
این دستور، ipmitool مورد نیاز را نصب میکند. اگر از RHEL یا توزیع دیگری استفاده میکنید، ipmitool به طور گستردهای مورد استفاده قرار میگیرد و میتوانید آن را به روش مشابه از یک مخزن دریافت کنید. ما فقط نسخه Ubuntu / Debian / Proxmox VE را نشان میدهیم، زیرا با CD لایو اوبونتو که به طور گسترده مورد استفاده قرار میگیرد، کار میکند.
مرحله 1: پیدا کردن کاربر مدیر
برای پیدا کردن شناسه کاربری که میخواهیم تغییر دهیم، از دستور sudo ipmitool user list و سپس کانال موردنظر استفاده میکنیم. اگر کانال را مشخص نکنید، معمولا پیام “IPMI command failed: Parameter out of range” دریافت خواهید کرد. در بیشتر موارد باید مقدار “1” را مورد استفاده قرار دهید، اما گاهی اوقات بسته به سرور، “0” یا “2” نیز قابل استفاده است، به خصوص اگر حوزه کاری فراتر از سرورهای پرولیانت اچ پی است. نحوه پیمایش کانالها مشابه تصویر زیر است (در اینجا دسترسی را به روت ارتقا میدهیم، زیرا این فقط یک نمونه لینوکس آزمایشی در اختیار داریم):
با پیمایش بین مقادیر 0، 1 و 2 به وضوح مشخص است که کاربران در کانال 1 قرار دارند، بنابراین برای بازگشت به آن، از دستور زیر استفاده میکنیم:
sudo ipmitool user list 1
این لیست نشان میدهد که فقط یک کاربر با نام “Administrator” تنظیم شده است و این کاربر دسترسی مدیر دارد. اسلاتهای دیگر (کاربر خالی) را میتوان با مراحل اضافی بررسی کرد که اغلب این روش ترجیح داده میشود تا مطمئن شوید پسورد مدیر را برای شخص دیگری تغییر نخواهید داد. میتوانیم از دستور sudo ipmitool user set name 3 STH برای افزودن STH در اسلات سوم استفاده کنیم.
در اینجا میتوانید تفاوت بزرگ بین دسترسی ADMINISTRATOR و دسترسی USER را مشاهده کنید، بنابراین افزودن یک کاربر نیز مستلزم افزودن مجوزها است. اکنون که یک کاربر داریم، مرحله بعدی بازنشانی رمز عبور iLO است.
مرحله 2: تنظیم رمز عبور مدیر iLO
این یک مرحله بسیار ساده، اما همراه با یک “نکته مهم” است. اچ پی و دیگر فروشندگان سرورها، استانداردهای حداقل پسورد را برای کاربران مدیریت خارج از باند خود اعمال میکنند. در اینجا دستور مورد نظر که قصد اجرای آنرا داریم sudo ipmitool user set password 2 <PASSWORD> است. در این دستور، 2 برای کاربر مدیر در لیست بالا است و <PASSWORD> هر رمزی است که میخواهید، به شرطی که الزامات اعتبار سنجی را برآورده کند. در تصویر زیر به ذکر مثالی میپردازیم که در آن رمز عبور “ADMIN” کار نکرد، اما رمز عبور “ADMIN1234” به درستی کار کرد:
در این مرحله، میتوانید با استفاده از حساب مدیر با رمز عبور ADMIN1234 وارد رابط وب یا محیط خط فرمان شوید. البته پیشنهاد میکنیم از رمز عبور قویتری استفاده کنید. اما اکنون که دسترسی دارید، میتوانید هر آنچه را که در iLO نیاز دارید تغییر دهید، CD یا فلش لایو اوبونتو را خارج کنید. اگر از قبل از Proxmox VE یا سیستم عامل دیگری استفاده میکردید که فقط ipmitool را برای ایجاد تغییر نصب کردهاید، بهتر است قبل از خروج از سیستم، ipmitool را حذف نصب کنید.
مرحله 3 (اختیاری): تنظیم دسترسی کاربر
اگر به یاد داشته باشید، کاربر STH که ایجاد کردیم، رمز عبور و دسترسی ورود ندارد. این مرحله کمی پیچیدهتر است، بنابراین در اینجا نیاز به توضیح دارد.
دستور اول sudo ipmitool user enable 3 کاربر را در اسلات ID 3 فعال میکند، که کاربر STH است که قبلا ایجاد کردیم. سپس، دستور پیچیدهتر sudo ipmitool user priv 3 4 1 اجرا میشود که نیاز به تحلیل دارد.
- priv – دستور مجوزدهی و تخصیص سطح دسترسی ما است.
- 3 – شناسه کاربری ما است، در این مورد کاربر STH دارای شناسه 3 است. این مقدار را به هر شماره شناسه کاربر میتوان تغییر داد.
- 4 – سطح امتیاز است. 4 برای ADMINISTRATOR است، اما میتوانستیم از 3 برای OPERATOR استفاده کنیم.
- 1 – کانال است. از آنجایی که متوجه شدیم که از کانال 1 در رابط مدیریت خود استفاده میکنیم، میخواهیم دسترسی را در کانال 1 اعطا کنیم. باز هم، اگر برای نمایش کاربران به ipmitool user list 2 نیاز داشتید، این مقدار 2 خواهد بود.
پس از انجام این کار، میتوانیم درست مانند کاربر مدیر وارد رابط مدیریت وب iLO 6 شویم.
مزیت اصلی روش فوق این است که افزودن کاربر اضافی به این معنی است که نیازی نیست به سراغ حساب مدیر برویم.
مزیت اصلی روش فوق این است که افزودن کاربر اضافی به این معنی است که نیازی نیست به سراغ حساب مدیر برویم.
کلام آخر
اگر نیاز به ریست پسورد HPE iLO Administrator دارید و نمیتوانید مانیتور را وصل کنید، این فرآیند به کار شما میآید. با استفاده از تکنیک فوق میتواند کلید مجوز iLO را حذف کند، اما نیاز به دسترسی فیزیکی دارید. به همین دلیل است که متخصصان شبکه همواره یک فلش USB با CD اوبوتو دارند و از ipmitool در چنین مواردی استفاده میکنند. این فرآیند قابل استفاده با بیشتر سرورهای OEMهای است. همچنین، به همین دلیل است که همواره اشاره میکنیم که اگر کسی دسترسی فیزیکی به یک دستگاه داشته باشد، دسترسی او تقریبا نامحدود است. کل این فرآیند با استفاده از یک فلش سریع، شاید 1-2 دقیقه طول بکشد که البته بیشتر این زمان به سرعت بوت شدن از روی رسانه بستگی دارد. با این حال، اگر سروری دارید و راهی برای پیدا کردن رمز عبور مفید iLO ندارید، این ترفند حتما به کار شما میآید.
حمیدرضا تائبی
اشتراکگذاری
مطالب مشابه
۳ اردیبهشت ۱۴۰۴
۲ اردیبهشت ۱۴۰۴
