Távoli adminisztráció segítségével Intel technológiák®AMT

A távoli ügyintézés jó dolog, elsősorban azért, mert időt takarít meg: az informatikai osztály dolgozójának nem kell más munkahelyére futnia (ami megfelelő távolságra lehet), saját és mások idejét pazarolja rá: azonnal csatlakozhat távoli PC-re egy működő szerviztechnikus pozícióból. A Remote Management (CU) lehetővé teszi a döntést nagyszámú problémák a szoftverrel és a rendszerbeállításokkal. A hagyományos CU azonban csak akkor működik, ha az operációs rendszer (OS) működik, az illesztőprogram hálózati adapter működik és csatlakozik helyi hálózat. E linkek közül legalább egy meghibásodása elegendő, és távolról semmit sem lehet tenni. Az operációs rendszeren kívüli problémák, például a BIOS-ban sem küszöbölhetők ki. Valamint azok az okok, amelyek megakadályozzák a rendszer betöltését. Ja mellesleg: ne felejtsük el, hogy egy hagyományos CU-hoz a számítógépet be kell kapcsolni.

Az Intel® AMT egy vágás, amelyet a hardverben valósítottak meg, így akkor is kezelheti számítógépét, ha az operációs rendszer nem működik. Távolról elindíthatja a rendszert, konfigurálhatja BIOS beállítások, indítsa el a rendszert egy külső meghajtóról az operációs rendszer és a szoftver telepítéséhez és üzembe helyezéséhez, a hálózati illesztőprogramok újratelepítéséhez stb. Valójában az AMT segítségével bármelyiket meg lehet oldani szoftver problémák: ha a hardver jól működik, akkor minden más megoldható.

Egy kicsit az Intel AMT technikai megvalósításáról

Az Intel® AMT közel egy évtizede van jelen az Intel megoldásaiban (először 2006-ban jelent meg), és mindeddig aktívan fejlesztik. A 6. verziótól kezdve a technológia teljes értékű KVM-et (billentyűzet-videó-egér) biztosít, vagyis a távoli kezelő képet kap a monitorról, és a megszokott módon billentyűzettel és egérrel vezérelheti a távoli PC-t. A legújabb verziók egyébként FullHD és magasabb felbontású képek átvitelét támogatják. Az AMT képes a távoli rendszerről a vezérlést átadni, amikor a számítógép be van kapcsolva: legyen szó az operációs rendszer indításáról, a rendszerbetöltő kiválasztásáról, a BIOS-szintű rendszerindításról vagy a BIOS-beállítások kezeléséről.

Igaz, a hardveres megvalósításnak van egy árnyoldala: ugyanazt a berendezést kell választani, amely támogatja az AMT-t. És erre a felszerelés vásárlásakor kell gondolni, nem pedig vészhelyzet esetén. Az AMT a vPro csomag része, amelynek támogatásához a processzor, a platform és a hálózati adapter egy adott verziója szükséges. Támogatja néhány Intel professzionális sorozatú lapkakészlet, amelyek indexe "7"-re végződik, és néhány Intel processzormodell.®Core™ i5 és i7. Könnyebb azonban a vPro logó jelenlétére összpontosítani.

Technikai szempontból az AMT a következőképpen működik: külön, teljesen független és a fő, titkosított adatcsere-csatornát hoz létre a helyi hálózaton keresztül. A teljes technológia csak akkor működik, ha vezetékes kapcsolat van a helyi hálózattal. Mobil eszközökát tudja dolgozni vezetéknélküli hálózat, de komoly korlátokkal: telepíteni kell az operációs rendszert és a hálózati adapter illesztőprogramjait, és aktívnak kell lennie a hálózati kapcsolatnak. Az AMT működéséhez szükséges összes szoftver egy speciális védett területen található a BIOS-ban.

Végül az Intel® Az AMT a közös VNC vezérlési protokollt használja, amelyhez számos termék létezik. A következő termékek használhatók távoli asztali szoftverként:

1) TightVNC Viewer (Windows);

2) Valódi VNC Viewer (Windows);

3) VNC Viewer Plus (Windows);

4) Ultra VNC (Windows);

5) SSVNC (Linux);

6) Remmina (Linux);

7) KRDC (Linux);

8) Valódi VNC Viewer Androidra(Android);

9) AndroidVNC Viewer (Android);

10) akRDC ingyenes VNC Viewer (Android);

11) Remote Ripple-VNC (Android);

12), stb.

Amint láthatja, a VNC-kliensek listája kiterjedt, és fontos, hogy a munka Windows, Linux és Android rendszeren is támogatott legyen. Ez lehetővé teszi a CU végrehajtását bármilyen eszközről. Ez az Intel technológia® Az AMT széles körű támogatással rendelkezik, és nem kötődik meghatározott operációs rendszerekhez.

Ezenkívül lehetőség van a számítógép távoli vezérlésére a meshcentral.com portálon keresztül. Ezt azonban az AMT-nek szentelt videó részletesen leírja, így nem ismételjük meg magunkat.

Fő előnyei

Tehát vessünk egy pillantást a technológia főbb előnyeire a gyakori CU-eszközökhöz képest:

A szoftvereszközökkel ellentétben az AMT nem működő operációs rendszerrel is működik, lehetővé teszi a BIOS konfigurálását stb.;

Beépített biztonsággal és erős titkosítási algoritmusokkal rendelkezik;

ingyenes, míg sok szoftver távoli ügyintézés – fizetős. Bár itt meg kell jegyezni, hogy ennek költsége benne van a vPro logóval ellátott komponensek árában;

Lehetővé teszi a számítógép be- és kikapcsolását;

Lehetővé teszi a távoli adathordozóról történő rendszerindítást, beleértve az operációs rendszer és a szoftverek telepítését vagy üzembe helyezését.

Általánosságban elmondható, hogy a képességek összességét tekintve az AMT messze felülmúlja a szoftveres megoldásokat.

Használati esetek

A leggyakoribb forgatókönyv a felhasználó számítógépén felmerülő problémák távoli megoldása. AMThatalmas időnyereséget ad. Ez különösen előnyös olyan helyzetekben, amikor az informatikai részleg és a felhasználók különböző épületekben találhatók. Ezenkívül az AMT sokkal szélesebb körű problémák megoldását teszi lehetővé; azaz szinte minden probléma, kivéve a hardverkomponensek meghibásodását.

Lehetővé válik az ütemezett karbantartás távoli végrehajtása, például a frissítések telepítése. A szakembernek nincs szüksége fizikai hozzáférésre a számítógéphez, bármilyen műveletet végrehajthat, beleértve a rendszer újraindítását is, távolról. Azonnal át tud váltani egyik rendszerről a másikra, ami felgyorsítja a munkát. Ez annál is fontosabb, mivel az operációs rendszer és a szoftverfrissítések munkaidőben történő telepítése nem kívánatos, és ezeket a műveleteket általában végrehajtják. a munkanap vége után vagy hétvégén.

Az AMT másik előnyös felhasználási esete a 24 órás támogatás. Mert megoldani a többséget technikai problémák már nincs szükség fizikai hozzáférésre a felhasználó számítógépéhez, más régiók informatikusai is igénybe vehetők, eltérő időzónával. Ez egyébként lehetővé teszi a vállalkozás számára, hogy pénzt takarítson meg azzal, hogy távoli informatikai részlegeket helyez el olyan régiókban, ahol alacsonyabbak az informatikai alkalmazottak fizetése.

Az operációs rendszer és a szoftver telepítése már nem jelent problémát, mert Az AMT támogatja a számítógép távoli lemezkép használatával történő indítását. Ha a számítógép fizikailag vezetékes hálózathoz csatlakozik, akkor a szakember távolról bekapcsolhatja, IDE-R technológiával indíthatja el, és telepítheti és konfigurálhatja a rendszert. Mellesleg, ha ez a funkció szükséges, akkor alaposan el kell olvasnia a beállításokat, mivel a távoli letöltés sebessége jelentősen eltérhet a szokásostól.

A helyzet nagymértékben leegyszerűsödik a rendszer vírusfertőzése esetén. Mivel a vezérlőcsatorna független az operációs rendszertől, a vírus nem tudja megzavarni a távvezérlést, szakember pedig bármelyiket elvégezheti szükséges intézkedéseket, egészen az operációs rendszer újratelepítéséig és egy testreszabott lemezkép telepítéséig.

Eredmények

Mint látjuk, az Intel technológia® Az AMT számos előnnyel jár. Akkor miért nem használják mindenhol? Esetleg speciális és drága felszerelésre van szükség a használatához?

Valójában az Intelnek különösen kritikus követelményei vannak® Az AMT nem. Igaz, a berendezés vásárlásának szakaszában figyelni kell a vPro támogatás jelenlétére, majd mindent helyesen kell beállítani, de még itt sincsenek különösebb nehézségek. A vezetékes kapcsolat nem jelent problémát, mivel a LAN mindenhol megtalálható a modern irodákban. Ezenkívül az AMT (néhány egyszerű feltételtől függően) mindenhol működik, beleértve az interneten keresztül is.

    IPMI(az angol Intelligens Platformról Kezelőfelület) egy intelligens platformkezelő interfész, amelyet közvetlenül a szerverplatformok hardverébe és firmware-ébe épített funkciók autonóm megfigyelésére és vezérlésére terveztek. Más szóval, az IPMI egy olyan felügyeleti eszköz, amely a szerver fő hardverétől függetlenül kerül megvalósításra, és biztosítja annak be-, kikapcsolását, visszaállítását, távoli kapcsolat virtuális monitorok, billentyűzetek és egerek, a berendezések működésének figyelése és a szerver állapotával kapcsolatos fontos események értesítése. Az IPMI 1.0-s verzió specifikációja 1998-ban jelent meg. és az IPMI modulhoz való csatlakozáson alapult soros interfész RS-232. A jelenlegi IPMI specifikáció 2004-ben jelent meg, és szabványos hálózati interfész használatán alapul.

A szerver platform menedzsment rendszer magja egy speciális eszköz - Baseboard Management Controller (BMC), amely gyakorlatilag egy szerverplatformba épített speciális számítógép, saját processzorral, memóriával, perifériákkal és operációs rendszerrel. Az IPMI specifikáció nem határoz meg merev szabványokat az IPMI-eszközök megvalósításához. Készíthetők külön adapterként, közvetlenül az alaplapra forraszthatók, vagy külön mikrokontrollerként is elkészíthetők. Jelenleg a szerveralaplapokba integrált System-on-Chip (SoC) technológián alapuló BMC vezérlők a legelterjedtebbek, amelyek lehetővé teszik a felügyelt platformmal való hatékony interakció megvalósítását és számos távoli felügyeleti funkció megvalósítását, a fontos események értesítését e-mail vagy SNMP, naplózás stb.

A szerveralaplapokhoz készült BMC-k a rendszerinterfészen keresztül csatlakoznak hozzájuk IPMB(Intelligent Platform Management Bus/Bridge) vagy más BMC-khez interfészen keresztül IPMC(Intelligent Platform Management Chassis). Mert távirányító berendezéseket a BMC vezérlőn keresztül, speciális alkalmazási réteg protokoll használható Remote Management Control Protocol (RMCP), amely hagyományos helyi hálózaton keresztül biztosítja a munkát. Általában a modern BMC vezérlők biztosítják a vezérlést szerver platformok webes felületen keresztül, valamint CD/DVD-eszközök és billentyűzet-video-egér hálózaton keresztüli távoli csatlakoztatása (IP KVM), ami megkönnyíti pl. BIOS beállítások vagy telepítse operációs rendszer anélkül, hogy fizikailag hozzáférne a szerver hardveréhez.

Képes kezelni az alaplapot IPMI-n keresztül.

Példaként tekintsük a szerver IPMI interfészen keresztüli kezelésének lehetőségeit a Supermicro X8DTT-IBQF alaplapon integrált Nuvoton WPCM450 Baseboard Management Controllerrel, IPMI 2.0 támogatással. Ez a vezérlő támogatja a PCI grafikus magot, a Virtual Media eszközöket (virtuális CD/DVD) és a billentyűzet/videó/egér (billentyűzet/videó/egér, KVM) átirányítást. A helyi hálózathoz való csatlakozáshoz külső Ethernet-vezérlőt használnak, amelyet az alaplapra forrasztanak. A platformvezérlő buszok a felügyelt rendszer összetevőivel való interakcióra szolgálnak Platform környezetvezérlő interfész (PECI). Az alaplapon van egy jumper, amellyel szükség esetén letilthatja a BMC vezérlőt. Ezenkívül van egy BMC LED (BMC Heartbeat LED) is, amely jelzi egészséges állapot vezérlő - zölden villogó jelzőfény, elindítja, hogy a BMC megfelelően működik.

Az IPMI interfész kezdeti konfigurálása a szakaszban történik Speciális IPMI konfiguráció fő BIOS.

A BMC állapota BMC állapot

Tekintse meg a BMC rendszer eseménynaplóját- Kilátás rendszernapló a BMC által fenntartott események (SEL).

Törölje a BMC rendszer eseménynaplóját- az eseménynapló törlése

Állítsa be a LAN konfigurációt- a BMC által használt adapter hálózati konfigurációjának konfigurálása. Beállítható úgy, hogy automatikusan megkapja az IP-címet, a maszkot és az átjáró címét DHCP-n keresztül, vagy beállíthatja azokat manuálisan.

Állítsa be a PEF konfigurációt- a Platform Event Filter (PEF) vezérlő által regisztrált események szűrőjének konfigurálása. Ebben a menüpontban konfigurálhatja a szabályozó reakcióját bizonyos eseményekre, mint például az áramellátás kikapcsolása, ha a hőmérséklet emelkedik, vagy a ventilátor sebessége csökken. Alapértelmezés szerint az eseményszűrés le van tiltva.

BMC Watch Dog Timer Action- konfigurálhatja a felügyelt rendszer állapotának lekérdezését, visszaállítását, újraindítását vagy kikapcsolását, ha lefagy. Alapértelmezés szerint letiltva.

A platform állapotának kezeléséhez és figyeléséhez szükséges főbb funkciók a webes felületen keresztül érhetők el. Bármilyen java-képes böngészőt használ a BMC modulhoz való csatlakozáshoz. címsor amelyre az IPMI-eszköz IP-címe kerül beírásra, és a csatlakozás után a hitelesítés a dokumentációban megadott vagy a felhasználói beállításokban megadott felhasználónévvel és jelszóval történik. A Supermicro IPMI eszközök alapértelmezett felhasználóneve és jelszava ADMIN / ADMIN. A sikeres hitelesítés után megnyílik a fő platformkezelési ablak a „Rendszerinformációk” fül aktiválásával:

A „Szerver állapota” lapon szabályozhatja a szerver hardverének állapotát:

Érzékelő olvasása- a felügyelt érzékelők adatainak megtekintése

Érzékelő leolvasása küszöbértékekkel- megtekintheti a felügyelt szenzoradatokat és küszöbértékeket

eseménynapló- eseménynapló megtekintése

A megjelenített szenzorinformációk magukban foglalják a nevét, állapotát és leolvasott értékét. A képernyő alján gombok találhatók. Frissítés- frissítse az érzékelő adatait és Küszöbértékek megjelenítése- küszöbértékek megjelenítése. Az almenü használata Válassza ki az érzékelő típusának kategóriáját kiválaszthatja az érzékelők típusát (hőmérséklet, feszültség stb.). Példa a megjelenített információkra:

Az eseménynapló megtekintése lehetővé teszi, hogy meghatározza az érzékelő rögzített állapotának előfordulási idejét, szerezze be Rövid leírásés felméri a berendezés működését fenyegető veszély mértékét. Példa a megjelenített információkra:

Tab Konfiguráció lehetővé teszi a berendezés állapotáról szóló értesítések konfigurálását, a hálózati beállítások módosítását, az IPMI-eszköz hozzáférési szabályzatának konfigurálását.

Figyelmeztetések- riasztások beállítása. Legfeljebb 15 bejegyzést hozhat létre különböző riasztási szabályokkal. Lehetőség van az események kategóriájának beállítására, amelyekről értesítést hajtanak végre - információ, figyelmeztetés, kritikus esemény, helyreállíthatatlan állapot. Az értesítés e-mailben vagy SNMP trap küldésével lehetséges. Az első esetben meg kell adni, hogy egy adott kategóriájú esemény bekövetkezésekor melyik e-mail címre kerüljön a levél, a második esetben pedig az SNMP értesítéseket gyűjtő szerver IP címét. Ha értesítést használ a következőn keresztül email, meg kell adnia az SMTP-szerver IP-címét és portját, valamint a feladó címét a SMTP

szakaszok LDAP, Active Directory , SUGÁR,FelhasználókÉs SSL tanúsítvány az IPMI-eszközökhöz való hozzáférés biztonsági követelményeitől függően vannak konfigurálva. fejezetben hálózat változhat hálózati beállítások IP-cím, maszk, átjáró. fejezetben Portok- a virtuális rendszerindító eszközök, a videomonitor, a billentyűzet és az egér emulálásakor használt portszámok. Az IPMI-eszköz webes eléréséhez szükséges portszámot is módosíthatja.

Tab távirányító lehetővé teszi a távoli csatlakozást a kiszolgálókonzolhoz egy java kisalkalmazás segítségével. Kérjük, vegye figyelembe, hogy amikor először csatlakozik, előfordulhat, hogy a konzol sokáig nem fog működni, mert az appletet el kell indítani a végrehajtáshoz Virtuális gép Jáva. A szokásos terminál emuláció mellett ebben a programban lehetőség van munkamenet rögzítésére a menün keresztül Video-Capture Screen, a szoftveres billentyűzet használatával ( Billentyűzet - Puha billentyűzet) és virtuális média csatlakoztatása ( Média – Virtuális média varázsló)

Tab távirányító a szerver be-, kikapcsolására és visszaállítására szolgál. Karbantartás- a firmware frissítéséhez és az IPMI-eszköz kényszerített visszaállításához.     A platformok IPMI interfészen keresztüli kezeléséhez hardvergyártók által fejlesztett szoftverek vagy nyílt forráskódú szoftverek használhatók.

Tudod távolról csatlakozhat a számítógépéhez használata nélkül is lehetséges nemcsak hálózati illesztőprogramok operációs rendszer, de egyáltalán nincs operációs rendszer? Még távolról is beléphet a BIOS-ba, és általában bármit megtehet a számítógéppel – beleértve a merevlemezek tartalmának letöltését, törlését és a számítógép örökre történő leállítását, amivel haszontalan vasdarabká változtatja.

Ez a technológia meglehetősen hivatalos, úgy hívják Intel vPro és hardverben implementálva Intel processzorok Sandy Bridge és Ivy Bridge. Valójában a processzoron kívül kell egy megfelelő lapkakészlet is - de ez nem baj, mert az Intel maga is régóta szállít chipkészleteket, ha ha. Ideális esetben egy gigabites hálókártya és egy videoadapter kerüljön az alaplapba, amelyek alacsony szintű működésre (és még ideálisabb esetben ugyanarra a WiFi-re) képesek. És még egyszer, ne aggódjon – az Intel mindezt megvalósította, és de facto szabvánnyá tette. A legelőrelátóbb srácok már régóta azon töprengenek, hogy miért van az asztali alaplapba beépítve WiFi interfész, amelyre az asztali gépek 99%-ában nincs szükség – és így be van építve az üzleti élethez, hogy anélkül is hozzáférjen a számítógéphez, hogy csatlakozna helyi hálózatra, sőt olyan számítógépre is, amely egy külön helyiségben van, nem csatlakozik semmilyen hálózathoz.

Természetesen az a tény, hogy kikapcsolta ezt a Wi-Fi-t a BIOS-ban, semmilyen módon nem zavarja a hozzáférést. Az Intel vPro esetében minden interfész mindig működik. Sőt, az Intel vPro "kikapcsolt" számítógépe is működik (bár nem világít róla). Az egyetlen módja annak, hogy levágja a számítógépet az Intel vPro-ról, ha kikapcsolja a tápkábelt a konnektorból (de nyilvánvaló okokból ez a szám nem működik laptopokkal - a legtöbb modern eszköz akkumulátorai nem eltávolíthatók, és ez nem csak úgy történik).

A kommunikációs munkamenet titkosított, és a számítógéphez a konzolon (soros LAN-on keresztül), webes felületen vagy VNC-n keresztül lehet hozzáférni. A webes felület nem feltűnően működő kialakítású (ami táblagépeken tökéletesen megjelenik), és lehetővé teszi a hardverről, annak állapotáról statisztikák lekérését és a számítógép újraindítását, konfigurálását hálózati felületés AMT hozzáférési szabályzatok, megtekintheti az események előzményeit – például megtudhatja, miért nem indítja el a titkárnő a rendszert anélkül, hogy a számítógépéhez menne:

Ha konzolon és VNC-n keresztül csatlakozik, akkor abszolút mindent megtehet: a vPro teljes értékű KVM-et biztosít a helyi géptől a távoliig, támogatja az 1920x1200-ig terjedő képernyőfelbontást, és meg tudja nézni, hogyan indul el a rendszer a BIOS inicializálásától a távoliig. közvetlen operációs rendszer indítás. Ebben az esetben még a rendszer újraindításakor sincs leállás! Az egyetlen dolog, hogy a BIOS eléréséhez nem fog működni, ha a rendszer indításakor lenyomva tartja a Delete gombot, és ki kell választania a speciális „boot to BIOS” elemet. Ezt követően a BIOS ténylegesen betöltődik:

VNC-n keresztül akkor is csatlakozhat egy távoli géphez, ha a hálózati kártya illesztőprogramjai ott összeomlottak (végül is a vPro alacsonyabb szinten működik, mint az operációs rendszer), és az összes illesztőprogramot közvetlenül VNC-n keresztül telepítheti.

Egy másik érdekes szolgáltatás, az IDE-R lehetővé teszi a rendszerindítást külső forrás- mintha belső lenne HDD. Vagyis VNC-n keresztül csatlakozhat, megadhat egy letöltendő képet, és elindíthatja a saját operációs rendszerét - így a számítógép tulajdonosa nem tudja, hogy be van kapcsolva.

A vPro segítségével az Intel Anti-Theft technológia működik. Ha számítógépét vagy laptopját ellopják, lépjen kapcsolatba az Intellel, és blokkolják. A számítógép egyszerűen leáll, és fekete képernyő jelenik meg felirattal - azt mondják, az Intel Anti-Theft le van tiltva, adja vissza a számítógépet a tulajdonosnak.

Hamarosan, amikor a számítógépek generációját ismét a legigénytelenebb felhasználók, a progresszív vállalatok pedig még korábban felváltják, a titkosszolgálatok számára mindenhol eljön az abszolút átláthatóság bátor új világa.

PS. Aztán egy barát megkérdezte – azt mondják, kiderül kikapcsolt számítógépek pingelhetők?

Elmagyarázom: az Intel vPro keretein belül a hálózati kártya mindig hallgat a vonalra, még akkor is, ha a számítógép "ki van kapcsolva". De nem mindig válaszolnak. Vagyis arra a kérdésre, hogy „lehet-e pingelni” - a válasz igen, lehetséges, ha engedélyezve van a BIOS beállításaiban. Ha nem engedi, akkor a kikapcsolt számítógép nem válaszol a ping-re, hanem hallgatja a portját (általános esetben ez 16992) és működik az Intel vPro-val.

A Q45 lapkakészleten ellenőrizték - működik.

P.P.S. A régi Intel lapkakészletek és nem GPU-s processzoraik csak az Intel vPro technológia Serial-over-LAN részét támogatják (vagyis működik a szöveges kezelőkonzol, letölthetők a fájlok, ill. távoli meghajtóés így tovább, de a felhasználó képernyőkövetése és a grafikus konzol nem működik).

A kíváncsiak számára - IDE-R/SOL TCP porton keresztül = 16994, IDE-R/SOL TLS porton keresztül = 16995. Megszagolhatja a vonal forgalmat, és meglátja.

Nos, ne feledje, hogy az AMT tűzprogram elfogja a hálózati kártyáról érkező forgalmat a hardverben, és nem továbbítja az operációs rendszerre, ami a vPro működését érinti (16992, 16993, 16994, 16995 portok). Ez azt jelenti, hogy az ezzel a technológiával rendelkező számítógépeken nem fog fogadni vagy észlelni semmilyen csomagot az 16992-es, 16993-as portokra stb. Megbízható megtalálásukhoz szükség van egy régi számítógépre régi hálózati kártyákkal, amely átlátszó Stay-In-Middle átjátszót valósít meg és szimatolja a forgalmat.

És igen, persze:

(a) Az Intel fenntartja a hozzáférést bármely géphez
(b) Megtudhatja, hol van, és bármikor kapcsolatba léphet vele
(c) Teljesen blokkolhatja (miközben továbbra is koordinátákkal jeleket küld)

Nos, hogy ne legyenek felesleges illúziók - csak azért beszélek az Intelről, mert ez a technológia teljesen nyitott és hivatalosan is le van írva benne. Az Intel nagyon hozzáértően viselkedett – a különleges erők hátsó ajtaját nem rejtik el vagy nem tagadják, hanem úgy mutatják be plusz szolgáltatás felhasználónak és rendszergazdának. Az AMD és a mikroprocesszorok piacának többi jelentős szereplője hasonló megoldásokkal rendelkezik – csak nem olyan őszinték, mint az Intel, és alapból inkább játszani szeretnek.

Egyszer régen, amikor még nem voltam programozó, de már barátkoztam a számítógépekkel, az olyan technológiák, mint a RAdmin, olyanok voltak számomra, mint a csoda. Csatlakozhatsz egy távoli számítógéphez, akárcsak a legmenőbb hackerekről szóló filmben, kinyithatsz egy jegyzettömböt, és oda írhatsz egy fenyegető feliratot. Igaz, nem volt hol használnom.

Aztán megérkezett az ssh az életembe: a felismerés, hogy az óceán túloldalán egy szervert kezel, először örömmel töltötte el, de mára általánossá vált. Amíg véletlenszerűen be nem írja, hogy halt, igen. Ezután elkezdi megnyitni a tárhely adminisztrációs paneljét, és megpróbál belépni a szerverfelügyeleti konzolba, hogy elindítsa. És valamiért ma buta. Aztán írsz, hogy támogasd, és ideges leszel. Nem nagyon tetszik. De ezek az én személyes programozási félelmeim.

Egyszer, egy régi munkahelyen, adminisztrátorváltás után az újonc úgy döntött, hogy kitakarítja a számítógépparkot, és ehhez odament a számítógéphez, kirúgta az alkalmazottat, letöltötte az Everestet, lefuttatta a diagnosztikát és az eredményt fájlba mentette. Így három emeleten mindössze ~60 munkahelyet megkerülve megtudta, milyen hardverek állnak rendelkezésére. Kényelmetlen.

Itt jön képbe az Intel vPro.

Az Intel vPro egy olyan dolog, amely lehetővé teszi, hogy ne féljen a fent leírt dolgoktól, és még sokkal többet is tegyen. A vPro két komponensből áll: hardverből és szoftverből, ezekről a kivágás alatt fogok beszélni.

Hardver

Hardver szinten kell egy processzor és egy alaplap (a chipkészlet általában Q-val kezdődik, de meg kell nézni a specifikációkat), amely támogatja a vPro-t. Az alaplap beépített gigabites hálózati kártyával és videó adapterrel rendelkezik, amelyek alacsony szintű működésre képesek. A gyakorlatban ez azt jelenti, hogy nem csak az operációs rendszer hálózati illesztőprogramjai, hanem maga az operációs rendszer nélkül is csatlakozhat a számítógéphez a vPro használatával! És igen, távolról is beléphet a BIOS-ba.

Mind vezetékes, mind vezetéknélküli kapcsolat. A WiFi esetében nem sok repülés a fantáziára - az operációs rendszert fel kell tölteni, és egy hozzáférési ponthoz kell csatlakoztatni, de vezeték használatával akár kikapcsolt számítógéphez is csatlakozhatunk. Nos, ezt mondják a marketingesek: valójában egy kikapcsolt számítógépet is be lehet kapcsolni, és - tovább, mint általában.

Szoftver rész

A szoftver részét az AMT rövidítés zárja – ez az Intel Active Management Technology, amely kapcsolatokat kiszolgáló és óriási képességekkel rendelkezik.

A számítógépet először a vPro-val való együttműködésre kell konfigurálni, ehhez fizikai hozzáférésre lesz szükség. Utána ha szerverről van szó, akkor elveszhet vagy befalazhat egy szobába, mint az adminisztrátorokkal kapcsolatos viccekben. Ha a rendszergazda egy helyi hálózatban van a pácienssel, akkor nincs probléma, ha kívánt számítógép NAT mögé rejtve - a hozzáféréshez be kell helyeznie a szervert. Az igazság nem is lehet más – alapvető követelmények hálózati biztonság.

A kommunikációs munkamenet titkosított, és a szerver konzolon (soros LAN-on keresztül), webes felületen vagy VNC-n keresztül érhető el. A webes felület nem feltűnően működő kialakítású (ami a táblagépeken tökéletesen megjelenik), és lehetővé teszi a hardverről, annak állapotáról statisztikák lekérését és a számítógép újraindítását, a hálózati interfész és az AMT hozzáférési házirendek konfigurálását, az események előzményeinek megtekintését - megtudhatja, miért a titkárnő nem indítja el a rendszert anélkül, hogy a számítógépéhez menne.

Ha konzolon és VNC-n keresztül csatlakozik, akkor abszolút mindent megtehet: a vPro teljes értékű KVM-et biztosít a helyi géptől a távoliig, támogatja az 1920x1200-ig terjedő képernyőfelbontást, és meg tudja nézni, hogyan indul el a rendszer a BIOS inicializálásától a távoliig. közvetlen operációs rendszer indítás. Ebben az esetben még a rendszer újraindításakor sincs leállás! Az egyetlen dolog az, hogy a BIOS eléréséhez nem fog működni, ha a rendszer indításakor lenyomva tartja a Törlés gombot, és ki kell választania a „Reboot to BIOS” speciális elemet.

Ezt követően ténylegesen betöltődik a BIOS.

Külön jó, hogy akkor is lehet VNC-n keresztül csatlakozni egy távoli géphez, ha ott lefagytak a hálózati kártya driverei (elvégre a vPro alacsonyabb szinten működik, mint az OS), és az összes drivert közvetlenül VNC-n keresztül telepíted. És ha ez még megoldható az irodán belül, akkor nem biztos, hogy kényelmes az adatközpontba menni.

Van egy másik érdekes funkció, az IDE-R, amely lehetővé teszi a rendszerindítást külső forrásból, mintha belső merevlemezről lenne szó. Vagyis csatlakozhat VNC-n keresztül, megadhat egy letöltendő képet, és elindíthat egy ismert működő rendszert. Nagyon is lehet hasznos funkció diagnosztikára és adminisztrációra egyaránt. Például elindíthat egy kliensgépet olyan rendszerrel, amelyben a referenciavírus-kereső be van állítva, ellenőrizheti a merevlemezt, és csendben távozhat.

A biztonságról

A vPro segítségével az Intel Anti-Theft technológia működik. Ha a laptopját ellopják, lépjen kapcsolatba az Intellel, és blokkolják. Az Intel blog már rendelkezik ezzel a technológiával. A letiltás után a számítógép új tulajdonosa ilyen képet fog látni.

Következtetés és linkek

Hamarosan, amikor a legigénytelenebb felhasználók számára is újra megváltozik a számítógépek generációja, a progresszív cégeknél pedig még korábban, ugyanannyi munkája lesz a rendszergazdáknak, de sokkal kellemesebb lesz ezt csinálni.

Feliratkozás a megjegyzésekre a poszthoz – sok érdekességet ígérnek. Vagy nézd meg a témát pár napon belül – a legérdekesebb kommenteket külön listába teszem a poszt alján.

CHRIS KASPERSKY

Távirányító BIOS beállítások

Mindannyian életében legalább egyszer szembesültek azzal, hogy be kell lépniük a BIOS Setup segédprogramjába, és kissé „csavarni” azt, vagy kijavítani az „összeomlott” Windows NT, Linux / FreeBSD rendszert. Hagyományosan ezt a feladatot egér és billentyűzet segítségével oldják meg, de mi van akkor, ha a szerver fizikailag nem elérhető?

Az IBM PC család számítógépei hosszú ideje olcsó munkaállomásoknak számítottak, és az ezekre épülő szervereket csak a közelmúltban kezdték építeni. A fejlesztők növelték a processzorok számát, kiegészítették a memóriajavítás támogatásával, a hibatűrő lemeztömbökkel és egyéb szolgáltatásokkal, de a teljes átalakítás szerverré nem jött létre. Különösen a távoli ügyintézés problémája maradt fenn. OS Windows családok Az NT távirányítót csak formálisan támogatja. Még az olyan programok is, mint a Remote Admin, korlátozott számú egyszerű műveletet hajtanak végre, és nem képesek teljes körű szerverkarbantartásra a hálózaton keresztül. A dolgok egy kicsit jobbak a UNIX világban, de még mindig vannak problémák.

Például a BIOS megtagadja a rendszerindítást, és arra kéri, hogy kattintson a BIOS Setup programba való belépéshez vagy az alapértelmezett paraméterekkel történő rendszerindításhoz (lásd 1. ábra). De a szerver a város másik végén található, sőt olyan helyiségben is, amihez a rendszergazdának nincs kulcsa. Ismerős helyzet, nem? Egy másik lehetőség: a következő szervizcsomag telepítése után az operációs rendszer "meghalt", hackertámadás áldozata lett, vagy egyszerűen lefagyott. Mindezekben az esetekben szabvány azt jelenti A távirányító már nem működik, és közel kell kerülni a szerverhez, ami elég nehéz. Még akkor is, ha a szerver a következő emeleten található, sokkal jobb kezelni anélkül, hogy elhagyná kedvenc székét, mint hajlékonylemezekkel (lézerlemezekkel) ide-oda rohangálni.

És tényleg meg lehet csinálni! Legalább háromféleképpen szeretnék beszélni.

Távoli BIOS vezérlés

Rendelés BIOS rendszerindításáltalában így néz ki. Az első, amely megkapja a vezérlést, a BOOT-blokk (boot blokk vagy elsődleges betöltő, nem tévesztendő össze a rendszerindító szektorral!). Elvégzi a fő hardver inicializálását ( RAM, megszakításvezérlő, rendszeridőzítő stb.) átvizsgálja az ISA buszt, és engedélyezi az összes észlelt eszköz BIOS-át (például SCSI-vezérlők, videó, hálózati kártyák stb.). A munka befejezése előtt a BOOT-block kicsomagolja a fő BIOS-kódot (az úgynevezett BIOS-bővítményeket vagy másodlagos rendszerbetöltőt), és átadja neki a vezérlést. A másodlagos rendszerbetöltő átvizsgálja a PCI buszt és elvégzi a hardver végső inicializálását – felismeri az IDE meghajtókat, szükség esetén megjeleníti az interaktív BIOS Setup szerkesztőt, elosztja a rendszer erőforrásait a PnP eszközök között, végül beolvassa a boot szektort egy hajlékonylemezről vagy merevlemezről.

Így a bővítőkártyákra telepített BIOS az inicializálás legkorábbi szakaszában kapja meg az irányítást, jóval azelőtt, hogy a CMOS-ellenőrző összeg számítása vagy a másodlagos rendszertöltő kicsomagolása megkezdődne. Egyébként a legtöbb BIOS "égető" segédprogramja nem érinti a BOOT-blokkot, és még ha az írás sikertelen is volt, az ISA bővítőhelyek továbbra is inicializálva vannak. A PCI bővítőhelyekkel sokkal bonyolultabb a dolog, és általában csak a másodlagos bootloaderből érhetők el (és az meg is hal, ha az égés nem sikerül). Egyes gyártók, például az ASUS, speciális illesztőprogramot tartalmaznak a PCI busszal való együttműködéshez a BOOT-blokkban, hogy az alaplap inicializálhassa a videokártyát, és legalább valamit megjeleníthessen a képernyőn, még akkor is, ha a fő BIOS-kódot legyőzték. De nem tudok olyan BIOS-ról, amelynek BOOT-blokkja működhetne az AGP vagy PCI-express busszal.

Ezért nem kell más, mint készíteni egy "dummy" ISA vagy PCI kártyát, telepíteni rá a "mi" BIOS-unkat és programozni távirányítóra. Egyszer "befejeztem" az ősi hálózati kártyák(amelyeket egyszerűen kidobtak), „távirányítóvá” alakítva őket, amely lehetővé teszi a BIOS-beállítások szerkesztését helyi hálózaton keresztül. Nagyon könnyű megcsinálni! Elegendő az Assemblerben programozni, és egy kicsit érteni a hardver architektúrát (lásd 2. ábra).

A hibakeresőn azonban nem kell pórul járni, mindent készen meg lehet vásárolni. Az ilyen táblákat (ezeket távoli tábláknak hívják) sok cég gyártja. Általában ezek egy szabványos VGA kártya integrált COM porttal, amelyhez csatlakoztatva van. külső modem. Egyes modellek Ethernet porttal rendelkeznek. Csatlakoztatható DSL-modemhez vagy kapcsolóhoz. Ezeken a portokon keresztül a képernyő másolata egy távoli monitorra kerül, és parancsok érkeznek a billentyűzetről, aminek eredményeként az IBM PC valódi "főkeretté" válik, és már nincs szükség fizikai hozzáférésre (lásd 3. ábra)!

Nagyon népszerű a Hewlett-Packard Remote Insight modellje, amelyet egy PCI foglalatba helyeznek, és 10/100 Mbit Ethernet porton keresztül vezérelnek. Támogatja mind a szöveges, mind a grafikus módot (1280x1024/256 színig), tápellátását külső forrás biztosítja, amely lehetővé teszi a "Power" és a "Reset" gombok "megnyomását". Távoli egér és billentyűzet mellett lehetőség van távoli meghajtó csatlakoztatására és CD-ROM meghajtó, amely nélkül a rendszer egyetlen újratelepítése sem megy. Egyszerűen fantasztikus! Bármikor indíthat Live CD-ről, és megnézheti, mi történt a szerverrel, és elmentheti a fennmaradt adatokat bármilyen adathordozóra, amely kéznél van. Ez növeli a rendszer biztonságát, mivel előfordulhat, hogy a "Remote Insight"-val felszerelt szerver egyáltalán nem rendelkezik cserélhető adathordozóval!

Egyébként a biztonságról. A Remote Insight támogatja az SSL-t és a 128 bites titkosítást, ami lehetővé teszi, hogy még a nem biztonságos csatornákon is működjön (és az átlagos rendszergazdának sokszor egyszerűen nem áll rendelkezésére más csatorna).

Minden vezérlés telneten vagy webböngészőn keresztül történik. Mivel az adminisztrátor számára kényelmesebb lesz. Szinte bármilyen operációs rendszer telepíthető a szerverre: Windows 2000/2003 (Advanced Server, Data Center, Terminal Server, Standard vagy Enterprise Edition), Novell NetWare 5.1, 6.0, Red Hat Advanced Server2.1, Red Hat Linux 7.3/8.0 , SuSE Linux Enterprise Server V7/V8 és néhány más (lásd: 4. ábra).

A kártya megvásárolható egy boltban, vagy közvetlenül a Hewlett-Packardtól rendelhető online. 399 dollárba fog kerülni, ami egyértelműen megéri! Elvileg lehet találni olcsóbb gyártót is, de ár/funkcionalitás tekintetében ennek a kártyának nincs párja, ennek ellenére messze van az ideálistól. Senki nem adja meg nekünk a firmware forrásszövegeit, és nem lesz lehetőségünk sajátos igényünkre „fájllal” módosítani (elméletileg lehetséges, de nagyon nehéz). Emellett nagy kérdés a titkosítási protokollok megvalósításának minősége. Lehetséges, hogy vannak a térképen hibakeresési sraffozások vagy túlcsordult pufferek, amelyek lehetővé teszik a támadó számára, hogy megragadja a kezében lévő vezérlőkereket (lásd 5. ábra)!

Az azonos nevű cég PC Weasel 2000-ét megfosztják ezektől a hiányosságoktól. Magával az alaplappal együtt a vevő megkapja a firmware teljes forráskódját és a módosítási jogra vonatkozó licencet. Ez továbbra is ugyanaz a VGA-kártya, de Ethernet-port helyett UART-vezérlővel rendelkezik (más néven szabványos COM-port, például 16550). Sajnos a funkcionalitása sokkal gyengébb. Csak a szöveges videó módok támogatottak, és nincsenek távoli meghajtók, azonban továbbra is lehetséges a kiszolgáló „Reset” gombjának „megnyomása” vagy a POST kódok megtekintése, hogy azonnal felmérjük a probléma mértékét (lásd 6. ábra).

Az ISA verzió 250 dollárba kerül, míg a PCI opció 350 dollárba kerül. Nem túl magas a nyílt licenc ára csökkentett funkcionalitás mellett? Ne siesse el a következtetéseket. A forrásszöveg nagyszerű dolog! Vásárolhat egy táblát, és korlátlan számú gépre telepítheti. Klón Hardver nem lesz rá szükségünk. Ha kissé módosítja a firmware-t, megteheti anélkül szabványos alkatrészek, De erről később. Először is ismerkedjünk meg a távirányítók szöges ellentétes osztályával, amelyek között talán az Ön álmai készüléke lapul (lásd 7. ábra).

A KVM vagy a távirányító folytatódik

A BIOS-módosított VGA kártyák fő hátránya, hogy fel kell nyitni a szerverházat, ami nem mindig kívánatos. Ezenkívül a képelfogás és a billentyűzet bevitel emulációjának technikája messze nem ideális és rendkívül ellentmondásos. A KVM switchek teljesen más megközelítést alkalmaznak. Nevüket az első három betűből kapták: Billentyűzet, Video-monitor és Egér. A kapcsoló egy önálló eszköz, amely szabványos PS/2 és DB15 VGA csatlakozókon keresztül számítógéphez csatlakozik. A jelüket digitális adatfolyammá alakítják, és egy távoli számítógéphez csatlakoztatott közeli KVM-terminálra továbbítják. Nagyjából a billentyűzetet, az egeret és a monitort nagyon hosszú kábelekkel kötjük össze (lásd 8. ábra).

Módosíthatja a BIOS-beállítást, vagy figyelembe veheti a Windowst, amelybe beleesett kék képernyő, de nincsenek távoli meghajtóink, sőt még a Reset-re való kattintási lehetőség sem, vagyis a teljes fizikai hozzáférés illúziója nem olyan teljes. De szinte minden videó mód támogatott, és nem történik módosítás a BIOS-kódon, és ez nagyon fontos a kritikus infrastruktúrákban. Egyszerűen nem engedjük meg, hogy harmadik féltől származó emulátort helyezzünk be a bankszámítógépbe, mivel ez a technológia nincs tanúsítva, de a KVM switch-ek általában rendelkeznek az összes szükséges tanúsítvánnyal (lásd 9. ábra).

A modellek túlnyomó többségét úgy tervezték, hogy több szervert kezeljenek egy terminálról, miközben a jelet árnyékolt, több száz méteres maximum hosszúságú, csavart érpárú kábelen továbbítják. Ez egyáltalán nem Ethernet, és nem helyezheti be hálózati hubba! Az interneten vagy modemen keresztüli valódi távvezérléshez telepítenünk kell további számítógép KVM jel vétele és speciális szoftver"emészthető" hálózati formába közvetítve. És ez nem jó! Szerencsére egyes modellek támogatják a modem vagy a LAN működését. Az ilyen típusú KVM-kapcsolókat "IP-n keresztül" hívják, bár itt vannak eltérések. Vessen egy pillantást a specifikációra: ha van valami hasonló a LAN-hoz vagy a Dial-Up-hoz, akkor erre van szükségünk (10. ábra)!

A Minicom meglehetősen jól bevált, amelynek kínálatában legalább két megfelelő modell található - a Phantom Dial-Up Remote Access és a Smart IP Extender Switch Over IP. Az első körülbelül 800 dollárba kerül, a második ... - 3500 dollár. A bankok és más pénzintézetek számára egy ilyen összeg megfelelő lehet, de egy kis irodának ez nem valószínű. Persze a boltokban turkálva olcsóbban is találsz KVM kapcsolót, de jobb, ha magad szereled össze a távirányító rendszert.

Hogyan működik, vagy csináld magad távirányító!

Saját távirányító rendszerünk létrehozásához szükségünk van bármilyen PCI kártyára és olyan alaplapra, amely támogatja a PCI busszal való együttműködést BOOT-blokkon keresztül (például ASUS). A fedélzeten a kártyának jelen kell lennie a BIOS-szal ellátott "bölcsőnek". A BIOS a legrosszabb esetben egy külön chipben is elhelyezhető, amely könnyen eltávolítható az alaplapról és csatlakoztatható a programozóhoz. Sajnos a "külső" BIOS-szal rendelkező hálózati kártyák használaton kívül vannak, és egyre nehezebb megtalálni őket. A modern Ethernet vezérlők a BIOS-t integrálják a chipet chipbe, ezzel már nem tudunk mit kezdeni (csak ne keverjük össze a BIOS-t a Boot-ROM-hoz való panelessel, ez egyáltalán nem ugyanaz!).

Tehát SCSI vezérlőkre kell váltani, amelyek ára 10-14 dollárra csökkent. természetesen beszélgetünk a legegyszerűbb modellekről, de a BIOS-on kívül semmi másra nincs szükségünk! Ezért még egy olcsó modell sem fog rosszabbul működni, mint egy drága. Nem szükséges gondoskodni a vezérlő működőképességének fenntartásáról. Sokkal egyszerűbb újraírni a BIOS-t a semmiből, mint saját modulokat hozzáadni egy meglévőhöz (de ezt is megteheti, ha akarja) (lásd 11. ábra).

Nem kell további UART vezérlőt vásárolnia. Érdemesebb az alaplapba építettet használni, és ha akarod, használhatod az integrált Ethernetet vagy bármilyen más kommunikációs eszközt is.

A firmware-fejlesztés általában az Assemblerben történik, de igény esetén magas szintű nyelvek, például C / C ++ is használhatók. Csak semmilyen körülmények között ne használja a szabványos I/O könyvtárakat, és mondja meg a linkernek, hogy tiltsa le az indítást. Ehhez egyszerűen nevezze át a fő funkciót olyasmire, mint a MyMain. Mivel a C nem támogatja az alapozást, a lefordított kódnak teljesen áthelyezhetőnek kell lennie (azaz az alapmemória terhelési címétől függetlenül kell végrehajtani). Ezt úgy érhetjük el, hogy megszüntetjük a globális változókat, és kikapcsoljuk az összes olyan fordító opciót, amely nem is áthelyezhető kódot generálhat, amiről nem is tudunk (például a "verem" vezérlése). Ha nem vagy benne biztos, hogy jól ismered a fordító hátsó udvarát, ne használd! Program assemblerben. Nem hagy cserben!

A firmware kód 16 bites szegmensben fut le valós mód, viszont senki sem tiltja, hogy védett módba kapcsoljunk és onnan kilépjünk, azonban nem teljesen világos, hogy erre miért van szükség. A BIOS segédprogram funkcióinak használata nem megengedett, mert a hardverek egy része még nincs inicializálva, és magát a BIOS-t még nem csomagolták ki. Csak I/O portokon keresztül dolgozzon, de mielőtt ezt megtenné, ne feledje, hogy a hardvert kézzel kell inicializálni. Különösen az integrált COM portnak még nincs alapcíme vagy IRQ-ja, mert a rendszererőforrásokat lefoglaló PnP menedzser még nem kapta meg az irányítást! Meg kell nyitni a lapkakészlet déli hídjának dokumentációját, és az összes hardvert a nulláról kell programozni. Ez a legtöbb alacsony szint"kommunikáció" a berendezéssel! Rendkívül összetett, de ugyanakkor izgalmas! Szerencsére a szerverhíd már részben inicializálva van, így nem szükséges a memóriavezérlőt konfigurálni.

Most beszéljünk az emulációs és elfogási technikákról. Az információk képernyőn való megjelenítéséhez a BIOS a sajátját használja szerviz részleg INT 10 óra. A Windows és UNIX család operációs rendszereinek kezdeti betöltésének szakaszában is használják. Ha ezt a megszakítást elkapjuk, kirabolhatjuk a képernyőn lévő összes kimenetet, és átvihetjük ide távoli számítógép(A „rab” egy teljesen legális kifejezés, angolul beszélő mérnököktől kölcsönözték, akik ilyenkor azt mondják, hogy „grab”, durván hangzik, de megtisztelő).

Természetesen ez nem mentes a nehézségektől. Mivel a megszakítási vektorok sokszor visszaállíthatók a BIOS inicializálása során, a megszakítási tábla módosítása (azaz a klasszikus elfogási módszer) önmagában nem lesz elegendő. Igen, megváltoztathatjuk a távoli mutatót: 0000h:10h*sizeof(DWORD) == 0000h:0040h, ha átirányítjuk a saját kezelőnkre, de... egy idő után az INT 10h feletti irányítás elveszik. Ennek elkerülése érdekében be kell állítani egy hardveres töréspontot a memóriahely írásához. Ebben segítségünkre lesznek a DRx család hibakereső regiszterei. A Dr0-Dr3 regiszterek tárolják a töréspont lineáris fizikai címét, a Dr7 pedig meghatározza a kiváltás feltételeit, ami arra kényszeríti a processzort, hogy generáljon egy INT 01h megszakítást, amelyen a kezelőnket kell elhelyezni, végrehajtva az INT ismételt „kisajátítását”. 10 órára a rendszertől.

Az alábbiakban látható egy példa a hibakeresési regiszterekkel való munkára.

Lista 1. Az Interceptor átadja az irányítást a kódunknak, amikor a rendszerindító szektor betöltődik

; intercept INT 01h

MOV ax, CS

XOR bx, bx

MOV DS,bx

; kezelőnk beszámítása

MOV , eltolja a_vx_kódunkat

; 0000h szegmenshez képest

MOV ,bx

MOV DS, ax

; állítson be egy végrehajtási töréspontot

MOV eax,302h

; a töréspont lineáris fizikai címe

MOV ebx,7С00h

; Értékek elhelyezése a hibakeresési regiszterekben

MOV dr7,eax

mov dr0,ebx

Az Interrupt INT 10h több mint százat támogat különféle funkciókat, amelynek számát az AH regiszterben továbbítják. Különösen a 02h vezérli a kurzort, a 09h pedig egy karaktert nyomtat. Természetesen a képernyőkimenet megfosztásához meg kell tudni különböztetni az egyik funkciót a másiktól, és pontosan tudnia kell, hogy mindegyik mit csinál. A funkciók leírása megtalálható egy adott videokártya műszaki dokumentációjában (és ha a kártya be van építve az alaplapba, akkor a lapkakészlet szerverhídjának dokumentációjában), vagy Ralph Brown híres megszakítási listájában, bár nem. régóta frissítve van, és nagyon elavult. legújabb verzió 2000 nyarán kelt. Azóta sok új kártya jelent meg! Az alapvető videófunkciók azonban nem változtak, és ha elveted a nem szabványos videómódokat, akkor minden nagy lendülettel fog működni.

A szöveges módok jól kiraboltak, de a grafikus módok be vannak kapcsolva áteresztőképesség Az analóg modemek már nem férnek el, és az átvitt információkat valahogy tömöríteni kell. A legegyszerűbb módja csak a módosítások átvitele, miután előzőleg becsomagolta őket a gzip algoritmussal, amelyhez számos kész könyvtár létezik.

Igaz, az operációs rendszer védett módba állításával minden lehallgatásunk „lenyomódik”, a távoli számítógép pedig tompa fagyott képernyőt fog megjeleníteni. Ez elvileg összeegyeztethető. A lényeg az, hogy mi irányítjuk a BIOS beállítást és a tengely betöltésének kezdeti szakaszát, és ott használhatja a szabványos telnetet, ha természetesen középen Windows rendszerindítás nem dob kék képernyőt.

Az első távirányítós modelljeimnél ezt tettem: nyomon követtem a védett módba váltási kísérletet (és ugyanazokkal a hibakeresési regiszterekkel követheti nyomon), átváltottam védett módba, beállítottam saját megszakításkezelőimet és megadtam a vezérlést. az operációs rendszerre, nem engedve, hogy bármi megváltozzon. Működött! Bár ez is megbukott. Univerzális elfogót nem lehetett létrehozni, és minden operációs rendszer megvalósítási jellemzőit figyelembe kellett vennünk. Végül feladtam, és írtam egy közönséges szűrő-illesztőprogramot, amely úgy működik, mint egy VGA miniport, és a képernyőkimenetet a "mi" bővítőkártyánkra küldi (12. ábra).

Egyes távirányító rendszerek (például a már említett PC Weasel 2000 komplexum) az INT 10h elfogása helyett egyszerűen kirabolják a videó puffert, ami első ránézésre nagyban leegyszerűsíti a megvalósítást. Nem kell bíbelődni a hibakeresési regiszterekkel, turkálni a megszakítási listában stb. Valójában még szöveges módban is sok képernyőoldal van, és a grafikusról általában hallgatunk! Ezenkívül teljesen tisztázatlan, hogyan lehet szinkronizálni a képernyő kimenetét az elfogással. A videomemória 50-60 Hz-es frekvenciájú szkennelése teljesen megoldható, de az ellopott adatokat aligha lehet a modemcsatornába betolni. És hogy fog ez a dolog lelassulni! Nem csoda, hogy a PC Weasel 2000 csak szöveges módokkal működik!

Most térjünk át a billentyűzet bevitel emulálására. Nem vesszük figyelembe az egeret, mivel a normál rendszergazdák könnyen megtehetik nélküle. A teljes billentyűzetszolgáltatás az INT 16 órás megszakítására összpontosul, amelyet el kell fognunk. Amikor egy program (és különösen a BIOS Setup) egy billentyű lenyomására vár, alaphelyzetbe állítja az AH regisztert és hívja az INT 16h-t. Természetesen vannak más lehetőségek is, de ez a legnépszerűbb. Ebben az esetben a megszakításkezelőnknek a távoli billentyűzeten lenyomott karakter ASCII kódját be kell helyeznie az AL regiszterbe, és vissza kell térnie. Mindez természetesen csak addig fog működni, amíg az operációs rendszer védett módba nem vált, utána pedig saját meghajtót kell betölteni, ami „leül” a normál billentyűzet-illesztőprogram tetejére és emulálja a bemenetet.

A távoli lemezek megvalósítása meglehetősen triviális. Az INT 13h megszakítása felelős ezért. A 02h funkció a szektor olvasását, a 03h az írást biztosítja. A szektorszámot a CX és DX regiszterekben CHS formátumban továbbítják. A távoli CD-ROM egy kicsit bonyolultabb. Ha nem vagy erős a rendszerprogramozásban, eleinte jobb, ha virtuális hajlékonylemezekre korlátozod magad. Egyébként egyáltalán nem szükséges fizikai hajlékonylemezeket használni – egy távoli gép képes a merevlemezen fájlként tárolt képpel is dolgozni. Távirányítóhoz a Windows újratelepítése NT ez a technika nagyon alkalmas. A virtuális lemezek cseréjét pedig nem nehéz automatizálni.

Ennek eredményeként egy meglehetősen erős távirányító komplexumot kapunk, és ami a legfontosabb - nagyon olcsó. Természetesen a mi időnk is ér valamit (és sok időbe telik a fejlesztés és az üzembe helyezés), de ha megrendelésre készülnek az ilyen komplexumok, akkor gyorsan megtérülnek, főleg, hogy folyamatos kereslet van rájuk, mert a legtöbb nyugati társa egyszerűen nem megfizethető.

A kép teljessé tételéhez csak egy apróság marad - egy távoli Reset, amely nélkül alkotásunk gyengébb lesz. Nos, minden egyszerű. Elég egy relét csatlakoztatni az LPT porthoz, ami a "dédelgetett" gombhoz vezet, és a probléma megoldódik. Az SCSI vezérlő firmware-jéből természetesen vezérelhetjük az LPT portot, nem felejtve el, hogy előtte inicializálni kell.

Még egy utolsó kis trükk. Ha nincs szüksége teljes értékű távirányító rendszerre, és csak meg kell tiltania a BIOS-nak, hogy rendszerindításkor billentyűnyomást írjon elő, akkor ez könnyen megtehető kiegészítő felszerelés nélkül. Elég, ha betölti a fő BIOS firmware-jét a szétszerelőbe, és megtalálja az összes "visszaélésszerű" üzenetet. A kereszthivatkozások elvezetnek bennünket ahhoz a gépi kódhoz, amely ezeket a sorokat adja ki. Egy gombnyomásra váró kód is lesz, amit el kell távolítanunk. Az INT 16h közvetlen hívása ritkán használatos. Valószínűleg valami olyasmit fogunk látni, mint a CALL xxx, ahol az xxx a wrapper függvény címe. Céljaink eléréséhez a CALL xxx-et le kell cserélnünk a "MOV AX,scan-code"-ra, jelezve a kívánt kulcs letapogatási kódját. Például a legtöbb BIOS-ban a billentyű azt jelenti, hogy "indítás alapértelmezett beállításokkal", de bizonyos esetekben előfordulhat, hogy meg kell nyomnia a vagy a gombot.

A probléma az, hogy a fő BIOS lemezkép csomagolva és ellenőrző összegekkel védett. Szinte az összes BIOS-fejlesztő segédprogramokat oszt ki a kicsomagoláshoz/csomagoláshoz és az újraszámításhoz ellenőrző összegeket, azonban nem vállalunk garanciát arra, hogy a módosított BIOS megfelelően fog működni. A hibák a legváratlanabb helyeken is megjelenhetnek. A rendszer működése instabillá válik, az alaplap nélkül látható okok lefagyni kezd, stb. Ez persze elfogadhatatlan a szervereknél, így a másik irányba kell menni.

A fő BIOS-kód csomagolt képének módosítása helyett veszünk egy kicsomagolatlan BOOT-blokkot, és egy automatikus patchert adunk hozzá, amely közvetlenül a memóriában javítja a szükséges bájtokat, amikor a kicsomagolás már befejeződött. Mivel a fő BIOS-kód RAM-ba van kicsomagolva, nincs probléma a javítással. A legfontosabb dolog a megfelelő címek meghatározása. Ebben az a segítségünkre lesz, hogy maga a BIOS nem írja felül a képét, és a boot szektor betöltésekor jelen van a memóriában. Elég egy pici assembler programot írni, ami beolvassa az első 640 KB kevés memóriát és kiírja egy hajlékonylemezre, majd beinjektálja a boot szektorba. A rendszer újraindítása után mi leszünk a kicsomagolt BIOS tulajdonosai, amely a "natív" címein található.

Már csak a frissített BOOT-blokk égetése van hátra, és élvezheti a szerver zavartalan működését!

Következtetés

A rendszer teljes távvezérlése valóság! Hatótávolság lehetséges megoldások szokatlanul széles: a kész (és nagyon drága!) KVM-eszközöktől az olcsóbb, de ugyanakkor funkcionálisabb (!) bővítőkártyákig, amelyeket a legtöbb programozó könnyen elkészíthet önállóan is. A szerverhez való fizikai hozzáférésre csak javításkor lesz szükség (enélkül nem lehet, mert a csavarhúzóval ellátott fogókat nem lehet modemen keresztül továbbítani), de végzetes meghibásodások nem fordulnak elő olyan gyakran.

1. Remote Insight "Lights Out" táblák – a távirányító rendszerek áttekintése (angolul): http://www.paul.sladen.org/lights-out/riloe.html.
2. Remote Insight Lights-Out Edition II – A Hewlett-Packard online távfelügyeleti kártya leírása: http://h18004.www1.hp.com/products/servers/management/riloe2/server-slot -matrix.html.
3. PC Weasel 2000 - egy alternatív távirányító kártya, mikrokód leírása, amelyet nyílt licenc alatt terjesztenek (angolul): http://www.realweasel.com/intro.html .
4. Műszaki adatok rengeteg távirányító rendszer (főleg KVM switchek, angolul): http://www.kvms.com.
5. Raritan IP-Reach TR364 - a TR364 KVM switch leírása (angolul): http://www.42u.com/telereach_bk.htm.
6. Személyi számítógépek I / O architektúrája IBM PC - elektronikus változat egy IBM PC-eszköznek szentelt könyv, amelyet erősen ajánlott elolvasni, mielőtt saját távirányító rendszert készítene (orosz nyelven): http://redlib.narod.ru/asmdocs/asm_doc_07.zip .
7. Ralf Brown Interrupt List - elektronikus útmutató az összes megszakításhoz, I / O porthoz, "varázslatos" memóriacímekhez, beleértve a nem szabványos bővítményeket és a nem dokumentált funkciókat (angol nyelven):