Projet

Général

Profil

VPro » Historique » Version 40

Laurent GUERBY, 03/05/2017 09:49

1 1 Mehdi Abaakouk
h1. VPro/AMT
2 4 Mehdi Abaakouk
3 4 Mehdi Abaakouk
{{>toc}}
4 1 Mehdi Abaakouk
5 1 Mehdi Abaakouk
6 35 Laurent GUERBY
h2. Ressources
7 35 Laurent GUERBY
8 39 Laurent GUERBY
Security issue : https://mjg59.dreamwidth.org/48429.html
9 40 Laurent GUERBY
https://itpeernetwork.intel.com/understanding-amt-uefi-bios-and-secure-boot-relationships/
10 39 Laurent GUERBY
11 35 Laurent GUERBY
HOWTO setup vPro http://redmine.the.re/projects/there/wiki/HOWTO_Configure_vPro
12 35 Laurent GUERBY
Pour Asrock Q87M vPro http://www.asrock.com/mb/Intel/Q87M%20vPro/
13 36 Laurent GUERBY
Si password vPro oublié alors : F2 au boot puis Advance / AMT Configuration / un-configure ME : enabled puis reboot et repondre yes au un-configure le pass revient a admin
14 35 Laurent GUERBY
15 35 Laurent GUERBY
Overview de vpro/amttool: http://blog.dustinkirkland.com/2013/12/everything-you-need-to-know-about-intel.html
16 35 Laurent GUERBY
amttool grandement amélioré: http://en.sourceforge.jp/projects/sfnet_amttool-tng/releases/
17 35 Laurent GUERBY
18 35 Laurent GUERBY
http://www.panticz.de/Intel-AMT-vPro-under-Linux
19 35 Laurent GUERBY
http://software.intel.com/en-us/articles/intel-active-management-technology-start-here-guide-intel-amt-9
20 35 Laurent GUERBY
http://software.intel.com/en-us/articles/intel-amt-high-level-api-intel-manageability-library-to-manageability-webpage
21 35 Laurent GUERBY
http://software.intel.com/en-us/blogs/2012/12/01/intel-amt-wsman-interface-is-replacing-the-soapeoi-interface
22 35 Laurent GUERBY
http://en.sourceforge.jp/projects/sfnet_amttool-tng/releases/
23 35 Laurent GUERBY
http://en.wikipedia.org/wiki/Intel_AMT_versions
24 35 Laurent GUERBY
http://www-wiki.cl.cam.ac.uk/rowiki/SysInfo/IAMT
25 35 Laurent GUERBY
26 35 Laurent GUERBY
http://ark.intel.com/compare/75125,75124,75123,75122,75121,75050,75049,75047,75045,75044,75043
27 35 Laurent GUERBY
http://software.intel.com/en-us/forums/topic/473597
28 35 Laurent GUERBY
http://ark.intel.com/compare/75125,75124,75123,75122,75121,75050,75049,75048,75047,75045,75044,75043,75040,75038,75037,75036
29 35 Laurent GUERBY
30 33 Laurent GUERBY
http://downloadmirror.intel.com/19707/eng/Q67_vPro_Guide.pdf
31 33 Laurent GUERBY
32 38 Laurent GUERBY
http://blog.invisiblethings.org/2015/10/27/x86_harmful.html
33 38 Laurent GUERBY
34 1 Mehdi Abaakouk
h2. First step
35 1 Mehdi Abaakouk
36 1 Mehdi Abaakouk
Il faut d'abord configuration l'ipv4 et le Mot de passe dans le Bios du VPRO
37 1 Mehdi Abaakouk
38 7 Mehdi Abaakouk
*CTRL+P* au boot pour accéder à ce bios (si l'option n'est pas disponible, il est possible que dans le bios de la carte mère il faille activer l'initialisation du bios des cartes additionnels)
39 1 Mehdi Abaakouk
40 7 Mehdi Abaakouk
Celui-ci peux s’appeler:
41 1 Mehdi Abaakouk
42 1 Mehdi Abaakouk
- ME (Management Extention)
43 1 Mehdi Abaakouk
- MEBx 
44 1 Mehdi Abaakouk
- AMT
45 1 Mehdi Abaakouk
- VPRO
46 1 Mehdi Abaakouk
47 7 Mehdi Abaakouk
Le mot de passe par défaut est *admin* et il faut le changer immédiatement ( pas le choix ).
48 7 Mehdi Abaakouk
Passwords must contain 7-bit ASCII characters, in the range of 32-126, excluding ‘:’, ‘,’ and ‘”’ characters. String length is limited to 32 characters.
49 6 Loic Dachary
* At least 8 characters long.
50 7 Mehdi Abaakouk
* Contain at least one digit ('0', '1'…'9').
51 7 Mehdi Abaakouk
* Contain at least one 7-bit ASCII non alpha-numeric character, above 32, (e.g. '!', '$', '~'). Note that “_” is considered alphanumeric.
52 7 Mehdi Abaakouk
* Contain both lower-case Latin ('a', 'b'…'z') and upper case Latin ('A', 'B'…'Z') characters.
53 1 Mehdi Abaakouk
54 1 Mehdi Abaakouk
h2. Interface WEB:
55 1 Mehdi Abaakouk
56 7 Mehdi Abaakouk
L'interface WEB se trouve <IP>:16992, elle ne peux être accessible directement sur la machine si celle-ci utilise le port ethernet de management aussi pour l'OS
57 1 Mehdi Abaakouk
58 7 Mehdi Abaakouk
Elle possède des options supplémentaires par rapport au bios, comme:
59 1 Mehdi Abaakouk
- configuration ipv6
60 7 Mehdi Abaakouk
- création d'autre utilisateur privilégié/non-privilégié
61 7 Mehdi Abaakouk
- Information sur le matériel:
62 1 Mehdi Abaakouk
- ...
63 1 Mehdi Abaakouk
64 7 Mehdi Abaakouk
h2. Console Série.
65 1 Mehdi Abaakouk
66 1 Mehdi Abaakouk
* *Bios*
67 1 Mehdi Abaakouk
68 7 Mehdi Abaakouk
Elle doit avoir était d'abord activé dans le bios du VPro.
69 1 Mehdi Abaakouk
70 7 Mehdi Abaakouk
Cette option est appelé "SOL" (serial-over-lan) il faut la mettre à enable (si c'est déjà à enable, faire disable puis enable, certains bios n'ont pas ce champs correctement initialisé)
71 1 Mehdi Abaakouk
72 7 Mehdi Abaakouk
Ensuite il faut trouvé le nouveau tty disponible dans l'os, comme suit:
73 1 Mehdi Abaakouk
74 1 Mehdi Abaakouk
<pre>
75 1 Mehdi Abaakouk
# dmesg | grep ttyS 
76 1 Mehdi Abaakouk
[    0.501652] 00:09: ttyS0 at I/O 0x3f8 (irq = 4) is a 16550A
77 1 Mehdi Abaakouk
[    0.522448] 0000:00:16.3: ttyS4 at I/O 0xf0e0 (irq = 19) is a 16550A
78 1 Mehdi Abaakouk
</pre>
79 1 Mehdi Abaakouk
80 1 Mehdi Abaakouk
Dans mon exemple c'est le ttyS4
81 1 Mehdi Abaakouk
82 1 Mehdi Abaakouk
* Sous *debian* 
83 1 Mehdi Abaakouk
84 1 Mehdi Abaakouk
Dans /etc/inittab ajouter:
85 1 Mehdi Abaakouk
86 1 Mehdi Abaakouk
<pre>
87 1 Mehdi Abaakouk
T2:2345:respawn:/sbin/getty ttyS4 115200 vt100-nav
88 1 Mehdi Abaakouk
</pre>
89 1 Mehdi Abaakouk
90 1 Mehdi Abaakouk
Puis taper: 
91 1 Mehdi Abaakouk
92 1 Mehdi Abaakouk
<pre>
93 1 Mehdi Abaakouk
sudo init q
94 1 Mehdi Abaakouk
</pre>
95 1 Mehdi Abaakouk
96 1 Mehdi Abaakouk
* Sous *ubuntu*
97 1 Mehdi Abaakouk
98 7 Mehdi Abaakouk
Créer le fichier /etc/init/vpro.conf avec:
99 1 Mehdi Abaakouk
100 1 Mehdi Abaakouk
<pre>
101 1 Mehdi Abaakouk
start on runlevel [23] and not-container
102 1 Mehdi Abaakouk
stop on runlevel [!23]
103 1 Mehdi Abaakouk
respawn
104 1 Mehdi Abaakouk
exec /sbin/getty ttyS4 115200 vt100-nav
105 1 Mehdi Abaakouk
</pre>
106 1 Mehdi Abaakouk
107 1 Mehdi Abaakouk
Puis taper:
108 1 Mehdi Abaakouk
109 1 Mehdi Abaakouk
<pre>
110 1 Mehdi Abaakouk
sudo start vpro
111 1 Mehdi Abaakouk
</pre>
112 1 Mehdi Abaakouk
113 1 Mehdi Abaakouk
114 1 Mehdi Abaakouk
* Pour *tester*
115 1 Mehdi Abaakouk
116 1 Mehdi Abaakouk
A partir d'une autre machine:
117 1 Mehdi Abaakouk
118 1 Mehdi Abaakouk
<pre>
119 1 Mehdi Abaakouk
# amtterm <IP_DU_VPRO>
120 1 Mehdi Abaakouk
amtterm: NONE -> CONNECT (connection to host)
121 1 Mehdi Abaakouk
ipv4 XXX.XXX.XXX.XXX [XXX.XXX.XXX.XXX] 16994 open
122 1 Mehdi Abaakouk
amtterm: CONNECT -> INIT (redirection initialization)
123 1 Mehdi Abaakouk
amtterm: INIT -> AUTH (session authentication)
124 1 Mehdi Abaakouk
amtterm: AUTH -> INIT_SOL (serial-over-lan initialization)
125 1 Mehdi Abaakouk
amtterm: INIT_SOL -> RUN_SOL (serial-over-lan active)
126 1 Mehdi Abaakouk
serial-over-lan redirection ok
127 1 Mehdi Abaakouk
connected now, use ^] to escape
128 1 Mehdi Abaakouk
129 1 Mehdi Abaakouk
Ubuntu Raring Ringtail (development branch) XXXXX ttyS4
130 1 Mehdi Abaakouk
131 1 Mehdi Abaakouk
XXXXX login:
132 1 Mehdi Abaakouk
</pre> 
133 2 Mehdi Abaakouk
134 2 Mehdi Abaakouk
135 2 Mehdi Abaakouk
h2. IPV6
136 2 Mehdi Abaakouk
137 7 Mehdi Abaakouk
Par défaut une adresse IPV6 link local est alloué quand on active l'ipv6 sur le site WEB sans adresse IP statique.
138 2 Mehdi Abaakouk
139 7 Mehdi Abaakouk
L'IPV6 statique ne peut pas être une link local, la gateway non plus.
140 2 Mehdi Abaakouk
141 7 Mehdi Abaakouk
L'outils amttool (écrit en perl) ne supporte pas l'ipv6 nativement, voici un petit hack pour fixer ceci:
142 2 Mehdi Abaakouk
143 2 Mehdi Abaakouk
Installer ceci:
144 2 Mehdi Abaakouk
145 2 Mehdi Abaakouk
<pre>
146 2 Mehdi Abaakouk
sudo apt-get install libnet-inet6glue-perl libsoap-lite-perl
147 2 Mehdi Abaakouk
</pre>
148 2 Mehdi Abaakouk
149 2 Mehdi Abaakouk
Et modifier le script /usr/bin/amttool comme ceci:
150 2 Mehdi Abaakouk
151 2 Mehdi Abaakouk
<pre>
152 2 Mehdi Abaakouk
--- amttool	2011-05-26 11:19:45.000000000 +0200
153 2 Mehdi Abaakouk
+++ amttool.mod	2013-04-03 17:01:16.884300584 +0200
154 2 Mehdi Abaakouk
@@ -1,4 +1,5 @@
155 2 Mehdi Abaakouk
 #!/usr/bin/perl
156 2 Mehdi Abaakouk
+use Net::INET6Glue::INET_is_INET6;
157 2 Mehdi Abaakouk
 use strict;
158 2 Mehdi Abaakouk
 use warnings;
159 2 Mehdi Abaakouk
 use SOAP::Lite;
160 2 Mehdi Abaakouk
@@ -8,7 +9,7 @@
161 2 Mehdi Abaakouk
 my $amt_port = "16992";
162 2 Mehdi Abaakouk
 my $amt_proto = 'http';
163 2 Mehdi Abaakouk
 
164 2 Mehdi Abaakouk
-if ($amt_host =~ /([^:]+):(\d+)/) {
165 2 Mehdi Abaakouk
+if ($amt_host =~ /(.+):(\d+)$/) {
166 2 Mehdi Abaakouk
   $amt_host = $1;
167 1 Mehdi Abaakouk
   $amt_port = $2;
168 1 Mehdi Abaakouk
   if ($amt_port == 16993) {
169 1 Mehdi Abaakouk
</pre>
170 1 Mehdi Abaakouk
171 1 Mehdi Abaakouk
Petit test, et hop ca marche:
172 2 Mehdi Abaakouk
173 2 Mehdi Abaakouk
<pre>
174 2 Mehdi Abaakouk
# amttool '[FE80::DF0C:9927:BD6F:B00B%eth0]:16992' info
175 2 Mehdi Abaakouk
### AMT info on machine '[FE80::DF0C:9927:BD6F:B00B%eth0]' ###
176 2 Mehdi Abaakouk
AMT version:  8.1.20
177 2 Mehdi Abaakouk
Hostname:     XXXXXX.XXXXX.XXXXX
178 2 Mehdi Abaakouk
Powerstate:   S0
179 13 Mehdi Abaakouk
Remote Control Capabilities:
180 7 Mehdi Abaakouk
    IanaOemNumber                   157
181 7 Mehdi Abaakouk
    OemDefinedCapabilities          IDER SOL BiosReflash BiosSetup BiosPause 
182 16 Loic Dachary
    SpecialCommandsSupported        PXE-boot HD-boot cd-boot 
183 34 Laurent GUERBY
    SystemCapabilitiesSupported     powercycle powerdown powerup reset 
184 16 Loic Dachary
    SystemFirmwareCapabilities      7821
185 7 Mehdi Abaakouk
</pre>
186 7 Mehdi Abaakouk
187 8 Laurent GUERBY
h2. Enable VNC:
188 8 Laurent GUERBY
189 37 Mehdi Abaakouk
h3. Avec wsman
190 8 Laurent GUERBY
191 10 Laurent GUERBY
<pre>
192 11 Laurent GUERBY
wsman put http://intel.com/wbem/wscim/1/ips-schema/1/IPS_KVMRedirectionSettingData -h 91.224.149.2 -P 16992 -u admin -p 'PASSWORD' -k RFBPassword='PASSWORD'
193 8 Laurent GUERBY
wsman put http://intel.com/wbem/wscim/1/ips-schema/1/IPS_KVMRedirectionSettingData -h 91.224.149.2 -P 16992 -u admin -p 'PASSWORD' -k Is5900PortEnabled=true
194 9 Laurent GUERBY
wsman put http://intel.com/wbem/wscim/1/ips-schema/1/IPS_KVMRedirectionSettingData -h 91.224.149.2 -P 16992 -u admin -p 'PASSWORD' -k OptInPolicy=false
195 12 Laurent GUERBY
wsman invoke -a RequestStateChange http://schemas.dmtf.org/wbem/wscim/1/cim-schema/2/CIM_KVMRedirectionSAP -h 91.224.149.2 -P 16992 -u admin -p 'PASSWORD' -k RequestedState=2
196 14 Laurent GUERBY
</pre>
197 15 Laurent GUERBY
198 15 Laurent GUERBY
RFBPassword doit faire 8 characteres avec au moins 1 majuscule (ou 2 ?), 1 minuscule, un chiffre et une ponctuation
199 37 Mehdi Abaakouk
200 37 Mehdi Abaakouk
201 37 Mehdi Abaakouk
h3. Avec wsl patché
202 37 Mehdi Abaakouk
203 37 Mehdi Abaakouk
<pre>
204 37 Mehdi Abaakouk
export KEEPHISTORY=0
205 37 Mehdi Abaakouk
export WSUSER=admin
206 37 Mehdi Abaakouk
export WSENDPOINT="$1:16992"
207 37 Mehdi Abaakouk
export WSPASS="PASSWORD"
208 37 Mehdi Abaakouk
export PASSWORD_VNC=${PASSWORD_VNC:-$WSPASS}
209 37 Mehdi Abaakouk
export WSDEFAULTSCHEMA=intel.com
210 37 Mehdi Abaakouk
export WSNOSSL=1
211 37 Mehdi Abaakouk
export WSPASS="${WSPASS} --digest"
212 37 Mehdi Abaakouk
213 37 Mehdi Abaakouk
wsl put http://intel.com/wbem/wscim/1/ips-schema/1/IPS_KVMRedirectionSettingData Is5900PortEnabled=true OptInPolicy=false RFBPassword="PASSWORD" SessionTimeout=3
214 37 Mehdi Abaakouk
wsl put http://intel.com/wbem/wscim/1/amt-schema/1/AMT_RedirectionService ListenerEnabled=true
215 37 Mehdi Abaakouk
wsl invoke http://schemas.dmtf.org/wbem/wscim/1/cim-schema/2/CIM_KVMRedirectionSAP RequestStateChange RequestedState=2
216 37 Mehdi Abaakouk
wsl get http://intel.com/wbem/wscim/1/ips-schema/1/IPS_KVMRedirectionSettingData
217 37 Mehdi Abaakouk
</pre>
218 37 Mehdi Abaakouk
219 37 Mehdi Abaakouk
Patch wsl: https://chiliproject.tetaneutral.net/projects/git-tetaneutral-net/repository/openstack-tools/revisions/master/entry/wsl-intel-vpro.patch
220 37 Mehdi Abaakouk
221 37 Mehdi Abaakouk
Doc API AMT: https://software.intel.com/sites/manageability/AMT_Implementation_and_Reference_Guide/default.htm
222 37 Mehdi Abaakouk
223 37 Mehdi Abaakouk
Le java peut facilement être converti en commande pour wsl, faut juste deviner un le namespace dans l'url
224 15 Laurent GUERBY
225 15 Laurent GUERBY
226 14 Laurent GUERBY
h2. Hardware
227 14 Laurent GUERBY
228 14 Laurent GUERBY
PC FSF France
229 14 Laurent GUERBY
230 14 Laurent GUERBY
<pre>
231 14 Laurent GUERBY
Type	Désignation	Prix unitaire HT	Quantité	Disponibilité	Somme HT	Suppression
232 14 Laurent GUERBY
Boîtier PC		Advance X11 - Boîtier Moyen Tour Noir (sans alimentation)	33,325 € 	
233 14 Laurent GUERBY
 	Ajouter
234 14 Laurent GUERBY
Retirer
235 14 Laurent GUERBY
en stock, envoi immédiat	33,325 € 	Cliquez ici pour supprimer cet article de votre panier
236 14 Laurent GUERBY
Carte mère		ASRock Q87M vPro - Carte mère Micro ATX Socket 1150 Intel Q87 Express - SATA 6Gb/s - USB 3.0 - 1x PCI-Express 3.0 16x	90,80 € 	
237 14 Laurent GUERBY
 	Ajouter
238 14 Laurent GUERBY
Retirer
239 14 Laurent GUERBY
en stock, envoi immédiat	90,80 € 	Cliquez ici pour supprimer cet article de votre panier
240 14 Laurent GUERBY
Processeur		Intel Core i7-4770 (3.4 GHz) - Processeur Quad Core Socket 1150 Cache L3 8 Mo Intel HD Graphics 4600 0.022 micron (version boîte - garantie Intel 3 ans)	241,46 € 	
241 14 Laurent GUERBY
 	Ajouter
242 14 Laurent GUERBY
Retirer
243 14 Laurent GUERBY
en stock, envoi immédiat	241,46 € 	Cliquez ici pour supprimer cet article de votre panier
244 14 Laurent GUERBY
Disque dur interne		WD Red Desktop 4 To SATA 6Gb/s - Disque Dur 3,5" 4 To 64 Mo Serial ATA 6Gb/s - WD40EFRX (bulk)	150,42 € 	
245 14 Laurent GUERBY
 	Ajouter
246 14 Laurent GUERBY
Retirer
247 14 Laurent GUERBY
en stock, envoi immédiat	150,42 € 	Cliquez ici pour supprimer cet article de votre panier
248 14 Laurent GUERBY
Mémoire PC		Crucial Ballistix Sport VLP 32 Go (4 x 8 Go) DDR3 1600 MHz CL9 - Kit Quad Channel RAM DDR3 PC12800 - BLS4C8G3D1609ES2LX0BEU (garantie à vie par Crucial)	252,96 € 	
249 14 Laurent GUERBY
 	Ajouter
250 14 Laurent GUERBY
Retirer
251 14 Laurent GUERBY
en stock, envoi immédiat	252,96 € 	Cliquez ici pour supprimer cet article de votre panier
252 14 Laurent GUERBY
Disque dur SSD		Samsung SSD 840 EVO 250 Go - SSD 250 Go 2.5" 7 mm TLC Serial ATA 6Gb/s	133,29 € 	
253 14 Laurent GUERBY
 	Ajouter
254 14 Laurent GUERBY
Retirer
255 14 Laurent GUERBY
en stock, envoi immédiat	133,29 € 
256 14 Laurent GUERBY
257 14 Laurent GUERBY
ous-total HT :	902,255  
258 14 Laurent GUERBY
</pre>