Besitzer von Fernlenkautos und jene von entfernten Rechnern eint das gleiche Problem: Gerät das Spielzeug außer Sichtweite, ist Blindflug angesagt. Innovative Bastler bauen daher eine Kamera ins Auto und eine Eric-Express-Karte in den Server.

Just beim Verfassen des Artikels rauchte ein Mietserver des Autors ab (siehe Kasten “Wenn schlechter Rat noch teuer ist”). Und nicht nur Hardwarefehler lassen viele Roots wünschen, sie könnten per Konsole einem entfernten Rechner beim Booten zuschauen. So möchte mancher statt des Standard-Suse-Linux vom Vermieter lieber ein Fedora Core oder wegen der Sicherheit Adamantix auf seinen Rootserver spielen. Aber selbst für Profis gestaltet sich jede Neuinstallation als Nervenkitzel.

Die Einsteckkarte Eric Express von Peppercon (Mitte 2004 mit der Firma Raritan verschmolzen) eröffnet die Chance, einen Rechner über jeden Webbrowser mit vollständigem Monitorbild, Maus und Tastatur eins zu eins fernzuwarten. Da die Karte Maus und Tastatur simuliert, ist es auch möglich, die Bios-Einstellungen remote zu verändern und in den Bootvorgang einzugreifen. Außerdem soll sie in der Lage sein, beim Admin lokal gemountete Datenträger als Remote-Bootmedien zu exportieren, was eine Neu-Installation des Betriebssystems des entfernten Rechners erlaubt.

Der recht neue Hoster 1blu aus Deutschland hat das erkannt und verschafft einem Teil seiner Kunden so Autonomie: Das Top-Paket Root Server Unlimited XXL+ enthält auch eine Eric Express zur Fernwartung. Um herauszufinden, wie sich die Fernwartung macht, hat sich das Linux-Magazin von Raritan eine Karte kommen lassen und in verschiedene Testsysteme eingebaut. Anschließend schauten sich die Tester deren Einsatz in einem Mietserver von 1blu an.

Die Hardware der Karte

Auf der Slotblende der PCI-Karte prangen ein Kombi-VGA-/USB-Eingang, ein eigener Stromanschluss, eine RJ45-Ethernet-Buchse und eine RS232-Schnittstelle (Abbildung 1). Das mitgelieferte Kabel verbindet den VGA-/USB-Eingang der Eric Express mit dem VGA-Ausgang der Grafikkarte und einem USB-Port des Rechners. Das VGA-Kabel greift das Monitorsignal ab – schick wäre, wenn das auch via DVI ginge. Am USB-Port des Rechners simuliert die Karte Tastatur und Maus, bei Bedarf auch Festplatten.

Abbildung 1: Die Eric-Express-Karte mit den Buchsen am Slotblech und rechts den Steckleisten für die durchgeschliffenen Power- und Reset-Tasten.

Auf der Karte finden sich Stecker zum Anschluss des Power- und des Reset-Schalters zum Mainboard, die dazu nötigen Kabel liegen bei. Dadurch kann die Raritan-Karte einen harten Reset und das Drücken des Power-Schalters herbeiführen, gleichzeitig bleiben die Funktionen der Gehäusetaster erhalten.

Installation

Obgleich die Kontakte auf der Karte nicht beschriftet sind und die Anleitung dürftig ist, wirkt die Lösung universell, zuverlässig und einfach. Doch der erste Eindruck täuscht: Ein Referenzcheck im Rechenzentrum des Universität der Bundeswehr in München endete in einem Fiasko. In den dortigen Fujitsu-Siemens-Rechnern sitzen Siemens-Mainboards, bei denen ein vergossener Stecker den Anschluss der Power- und Reset-Kontakte vereitelt. Das gleiche Problem ergab sich in der Testumgebung des Autors mit einem älteren HP-Server. Auch ihm blieben die Vorzüge des entfernten Abschaltens und Resets versagt.

Auch in der vorgesehenen Testumgebung ergaben sich Schwierigkeiten. Bei dem Gerät handelt es sich um die Bridge, auf die der Autor einen HTTP-Proxy installiert hat (siehe Artikel “Superhirn”). Für sie wäre eine Fernwartung mit der Karte sehr praktisch, denn auf einer Bridge soll möglichst kein SSH-Daemon laufen. Der schlanke Kernel der Bridge war manuell übersetzt, auch ohne USB-Treiber. Fatal für die Eric Express, zwar ließ sich die Bildschirmausgabe des Testrechners auf eine entfernte Maschine holen, aber nicht die Tastatur.

Die Tester mussten also einen neuen Kernel kompilieren. Alternativ wäre gegen Aufpreis der Erwerb einer Kabelpeitsche möglich, die einen PS/2-Anschluss für die Tastatur bereitstellt. Nach dem Vorbild der Automobilbranche gibt es ein Y-Kabel, das den Betrieb eines lokalen Monitors gestattet, auch nur gegen einen zusätzlichen Obolus.

Ist die Karte eingebaut und sind die USB-Treiber installiert, wartet für manchen die nächste Hürde: Die Konfiguration des karteneigenen Ethernet-Anschlusses. Er braucht IP-Adresse, Gateway und DNS-Serveradressen. Die bezieht die Karte per DHCP. Wer wie der Autor keinen DHCP-Server im Zugriff hat, muss laut Dokumentation ein mitgeliefertes Windows-Programm bemühen, so er denn Windows hat.

Auf der CD fand sich bei gründlicher Suche auch ein korrespondierendes Linux-Binary. Das setzt aber X11 voraus – für einen Server keine Selbstverständlichkeit. Ein Kommandozeilen-Tool wäre da sicherlich sinnvoller. (Für Macs, zu denen die Karte laut Beschreibung auch kompatibel sein soll, lag auf der CD gar kein Programm bei.)

Immerhin öffnete eine bestimmte Tastenkombination im Zuge des Neustarts der Karte ein Konfigurationsmenü über die serielle Konsole der Karte. Der Autor löste das Problem schließlich anders, nämlich mit einem per Crossover-Ethernet-Kabel angeschlossenen Laptop, auf dem ein DHCP-Server lief.

Feintuning

Über eine Weboberfläche (siehe Abbildung 2) lassen sich die Netzwerkeinstellungen der Karte administrieren. Der Autor konnte nun endlich eine feste IP-Adresse vergeben und DHCP deaktivieren. Angenehm fiel auf, dass die Karte auch Dyn DNS unterstützt. Durchdacht: Der Admin darf an einzelne Nutzer abgestuft Rechte verleihen, um die Konfiguration der Karte zu verändern.

Abbildung 2: Die Karte exportiert eine Weboberfläche zur Verwaltung der Remotemanagement-Karte. Zu sehen ist jener Teil, in dem der Admin ein externes virtuelles Laufwerk einrichtet.

Das ist gerade im Rechenzentrum sinnvoll, wo der für die Hardware Verantwortliche typisch jemand anderes ist als der, der an dem Rechner später arbeitet. Davon macht auch 1blu intensiv Gebrauch und verhindert aus gutem Grund, dass Kunden die Karte verkonfigurieren. Aus Sicherheitssicht etwas irritierend ist, dass als Standard die Oberfläche nicht nur per HTTPS erreichbar ist, sondern Passwort-Sniffer-freundlich auch per HTTP (Abbildung 3, [1]).

Abbildung 3: Mit Ethereal beispielweise kann ein Sniffer problemlos die Passwörter zur Verwaltungsoberfläche der Remote Console sniffen, wenn – wie im Test – HTTP nicht deaktiviert ist.

Die ausgelieferten Seiten scheinen nicht 100-prozentig den W3C-Standards zu genügen: Der hierbei sehr pingelige Safari auf dem Mac des Autors zeigte die Seiten fehlerhaft, aber zum Glück lesbar an. Als Webserver werkelt auf der Karte laut HTTP-Header ein Go-Ahead in einer Linux-Umgebung – Nmap spricht von Kernel 2.4.0 bis 2.5.20. Für diesen Webserver findet sich unter [2] ein Advisory: Sobald eine URL, die auf eine Datei zeigt, mit einem Slash endet, kann ein Authorization Bypass auftreten [3].

Der Fehler ließ sich zwar nicht direkt am Testgerät nachvollziehen. Allerdings liefern die ASP-generierten Webseiten, wenn an der URL ein Slash wie bei »https://192.0.2.16/auth.asp/« hängt, ihren ASP-Quelltext aus. Der kann für Angreifer wertvolle Informationen enthalten. Darauf angesprochen versprach der Hersteller Raritan nach einigem Hin und Her nachzubessern.

Fernsteuerung

Die Fernsteuerung selbst findet im entfernten Browser und per Java-Applet statt (siehe Abbildung 4). Das Applet kommuniziert, wie Ethereal verrät, ausschließlich via HTTPS mit dem entfernten Rechner. Das ist mit Rücksicht darauf, dass mindestens einmal ein Root-Passwort über die Leitung läuft, auch dringend notwendig.

Abbildung 4: Das Ziel der Mühe: Im Browser taucht der Bildschirm des entfernten Rechners auf, der sofort mit Tastatur und Maus bedienbar ist.

Allerdings hat das Applet Macken: Auf einem Rechner mit Suse 9.3, Mozilla 1.7.12 und Java 1.4.2_11-b06 bekam der Autor nur Java.class-Exception-Fehler zu sehen. Erst die Umkonfiguration der Karte unter »KVM-Settings | User Console | Remote Console Type«, sodass sie das Java-Plugin jedes Mal sendet, lässt die Fehlermeldungen verschwinden.

Mit einem älteren (!) Mozilla und einer älteren Java-Version unter Fedora Core 2 hingegen funktionierte die Fernbedienung sofort einwandfrei. Genauso wie mit dem Internet Explorer unter Windows. Ein Powerbook dagegen ließ sich weder mit Safari noch mit Mozilla zur Bildschirmausgabe bewegen. Hier hätten dem Hersteller gründlichere Kompatibilitätstest gut getan, denn auf (Dienst-) Reisen im Internetcafé kann der Admin die Software eines Kiosk-Terminals mit Java kaum beeinflussen.

Erfreulich: Die Karte erlaubt parallele Logins. Ist ein Rechner abgestürzt, verbindet man sich einfach von einem anderen. Bei parallelen Eingaben verhält sich das Setup erwartungsgemäß wie ein Rechner mit zwei Tastaturen, auf die jemand abwechselnd tippt.

Ferninstallation

Die Raritan-Karte birgt noch ein weiteres Schmankerl: Der Systemverwalter kann ein ISO-Image von der lokalen Platte auf das entfernte System exportieren (siehe Abbildung 2). Mit ihm bootet er zum Beispiel den entfernten Rechner, um ein neues Betriebssystem zu installieren. Der Zugriff auf das Image erfolgt per Samba- oder Windows-Share. Das ist technisch notwendig, um den wahlfreien Zugriff innerhalb des Image zu ermöglichen. Andernfalls müsste das Image erst vollständig übertragen werden. Dummerweise blockieren viele Firewalls Windows-Shares.

Jede Art der Fernsteuerung birgt Risiken: Angreifer können serielle Konsolenserver gängiger Bauart knacken. Ganz gefährlich ist dies, wenn man gerade als Root eingeloggt ist und der Angreifer die Verbindung kappt. Dann bleibt eine Root-Konsole offen. Dagegen hilft allerdings Selbstdisziplin.

Noch gefährlicher wird\’s mit einer Karte wie der von Raritan: Durch das Mehr an Funktionen zur Fernsteuerung steigt auch die Zahl möglicher Angriffszenarien. So könnte ein Angreifer, der das Passwort für die Raritan-Weboberfläche ersnifft hat, den Linux-Host im Runlevel 1 neu booten, der oft eine passwortlose Root-Shell öffnet. Als Abhilfe wäre es denkbar, den Zugriff nur von bestimmten IPs zu erlauben oder Client-Zertifikate vorzuschreiben.

Großer 1blu-Server mit Raritan-Karte

Der Internethoster 1blu stattet seinen “Root Server Unlimited XXL+”, einen Dual Opteron mit 4 GByte RAM, einem Hardware-Raid-1 aus zwei 250-GByte-Festplatten sowie unbegrenztem Freitraffic, auch mit der beschriebenen Karte Eric Express aus. Die Hardware-Ausstattung ist beeindruckend umfänglich und richtet sich eindeutig an Anwender mit professionellen Anforderungen. Auf dem Gerät arbeitet das bewährte Suse 9.3 in der Standardinstallation. Überraschend läuft aber statt Postfix ein Qmail. Plesk soll dem weniger erfahrenen Nutzer helfen den Server zu administrieren.

Die Möglichkeit zur Administration über Eric Express macht es einfach, auf ein anderes Betriebssystem umzusteigen. Wegen der großzügig dimensionierten Hardware bietet es sich an, mehrere virtuelle Server zu betreiben. Daher bietet 1blu bis Ende 2006 kostenlos bis zu fünf IP-Adressen als Option an. Das relativiert die vergleichsweise hohen Mietkosten von knapp 170 Euro im Monat.

Keine Extrasoftware nötig

Alle anderen 1blu-Server verfügen zur Fernwartung über serielle Konsolen, nur der Unlimited XXL+ über die Raritan-Karte. 1blu verweist vor allem auf die Möglichkeit, ISO-Images als Laufwerke zu mounten, auf die Verfügbarkeit einer Maus bei der Fernwartung und den Zugriff auch während des Power-on-Selftests und aufs Bios. Die Karte schaltet tatsächlich die Videomodi, die während des Bootvorgangs auftreten, gerade so schnell durch, dass jedes Bild zu sehen ist. Die Bildqualität ist sehr ordentlich, von der doppelten Analog-Digital-Wandlung ist weder im Text- noch im Grafikmodus etwas zu merken.

Anders als die serielle Konsole braucht die Raritan-Karte keine Software-Unterstützung auf dem Host. Gerade wenn dort Defekte auftreten, erweist sich das als hilfreich. Bestandskunden sollten sich ein neues Bios einspielen lassen – alte Versionen erkennen beim Starten maximal ein USB-Gerät, was das Booten über ein entfernt gemountetes ISO-Image umständlich macht.

Bei 1blu sind die IP des Hosts und die der Raritan-Karte unmittelbar benachbart und hängen am selben Switch. Bricht das Netzwerk dort zusammen, ist es einerseits mit der Fernwartung Essig, andererseits fällt die Fehlersuche leicht. Wie das Erlebnis im Kasten “Wenn schlechter Rat noch teuer ist” zeigt, kann das ein großer Vorteil sein.

Ein kleiner Kritikpunkt aus Sicherheitssicht: Der Zugriff über HTTP ist nicht abgeschaltet. Immerhin deaktiviert 1blu den Standard-Login »super« und »pass«. Leider ist das SSL-Zertifikat für HTTPS nur selbst signiert und zudem nicht auf die IP der Karte angepasst, was Warnungen zur Folge hat (sehe Abbildung 5). Auf Nachfrage begründete 1blu das mit Zertifikat-Gebühren. Dem Nutzer entstehe zudem kein Vorteil – was in Sachen Sicherheits-Usability Quatsch ist. Zudem erzeugen Cacert [5] und andere Zertifikate kostenlos.

Abbildung 5: Das durch 1blu selbst signierte Zertifikat meldet sich mit »Demo Certificate«. Zum Glück lässt sich das abstellen.

Die Eric-Express-Karte selbst erlaubt es, auf ihr ein eigenes SSL-Zertifikat zu speichern. Allerdings nimmt 1blu den Kunden dieses Recht. Auf Nachfrage erklärte die Firma, auf Wunsch ein Zertifikat des Kunden zu installieren. Ansonsten verlief die Fernwartung unproblematisch und performant. Lediglich der virtuelle Power-Taster brauchte manchmal mehrere Anläufe, bis er auslöste.

Fazit

Eine serielle Konsole ist zur Fernwartung eines Servers sehr fein. Für eine Kernel-Neuinstallation reicht sie in der Regel auch, selbst wenn mal eine Kernelpanik auftritt. Die Raritan Eric Express setzt noch eins drauf: Mit durchgeschleiften Power- und Reset-Tastern, dem Originalbild vom VGA-Ausgang des Rechners und der Möglichkeit, ISO-Images als virtuelle USB-Platten anzuhängen, sitzt der Admin in der Ferne wie vor dem Rechner. Allerdings förderte der Test im Detail einige Probleme zu Tage, insbesondere die nicht optimale Browserkompatibilität. Bleibt zu hoffen, dass der Hersteller die Schwierigkeiten bald behebt.

Der Hoster 1blu rüstet seine größten Rootserver mit dieser Karte aus: Wer einen Server dieser Leistungsklasse anmietet, kann und will auftretende Probleme möglichst selbstständig beheben und nicht mit dem Support diskutieren. Schön wäre, wenn 1blu die Karte auch für die kleineren Server als Option anböte. Den Mietservern anderer Hoster stünde die nicht ganz billige Eric Express ebenfalls gut zu Gesicht. (jk)