Re: [rlug] ilo2 shits

2016-11-21 Fir de Conversatie Alex 'CAVE' Cernat 
On 21/11/2016 5:00 PM, Mișu Moldovan wrote:
> Mie îmi merge pe iLO2 versiunea 2.27 fără parametri speciali cu OpenSSH
> 7.3.  Poate nu s-a făcut actualizarea iLO de fapt?  Am parametri
> speciali doar la conectarea pe interfața ALOM a unui jaf de  SPARC din
> mezozoic…  Iar acolo ajunge sa-i dau „-o
> KexAlgorithms=diffie-hellman-group1-sha1”.  Contrar a ce mai găsești pe
> net, apropo.  :D

intr-adevar, pe ultima versiune merge doar cu singurul parametru
specificat de tine, cred ca testasem inainte sa-i fac update, ca am
gasit o masina cu ilo mai vechi si doar cu kaxalgorithms zboara
conexiunea de nu se vede


daca asta am inteles, in schimb comportamentul firefoxului inca e un
mister, cu self signed foloseste bine mersi DHE_RSA_AES_128, insa cu
certificat trusted sare in aer

singura explicatie ar fi ca prin adaugarea exceptiei pentru certificatul
self-signed mai 'imblanzeste' taierea DHE-ului, insa asta e doar o
supozitie, fara vreo proba practica

Alex

___
RLUG mailing list
RLUG@lists.lug.ro
http://lists.lug.ro/mailman/listinfo/rlug

Re: [rlug] ilo2 shits

2016-11-21 Fir de Conversatie Alex 'CAVE' Cernat 
On 21/11/2016 5:17 PM, Mișu Moldovan wrote:
> Așa o fi, mulțam…  Dar, dacă e prea mare cheia, să fie sănătoși, nu-mi
> fac una special pentru un iLO2 vechi.  Deci nu ajung până la a pune ce
> comentariu ar vrea iLO să fie acolo.

pana la urma din aproape in aproape, 1792 a fost ok, 2048 nu, 2047 (wtf?) nu

nu am reusit sa gasesc pe nicaieri vreo cifra oficiala, asa ca trial &
error (poate mai fac un pic de "refine" cand nu o sa am somn)

si pe la 1920 m-am plictisit (1928 da eroare, si deja mi s-a acrit
injumatatirea intervalului)

deci momentan, pentru cine mai intereseaza, ilo2 functioneaza cu cheie
ssh pe 1920 de biti (cel putin versiunea 2.29, la restul sa le fie de bine)

Alex

___
RLUG mailing list
RLUG@lists.lug.ro
http://lists.lug.ro/mailman/listinfo/rlug

Re: [rlug] ilo2 shits

2016-11-21 Fir de Conversatie Alex 'CAVE' Cernat 
On 21/11/2016 5:17 PM, Mișu Moldovan wrote:
> Așa o fi, mulțam…  Dar, dacă e prea mare cheia, să fie sănătoși, nu-mi
> fac una special pentru un iLO2 vechi.  Deci nu ajung până la a pune ce
> comentariu ar vrea iLO să fie acolo.

multzam de idee, am testat acum cu o cheie pe 512 biti si a mers
perfect; o sa mai sap un pic sa vedem la 768 si 1024 cum se comporta

interesant era ca primea cheia bine mersi, fara eroare, doar ca atunci
cand era vorba sa o foloseasca ... atunci canci :-P

Alex

___
RLUG mailing list
RLUG@lists.lug.ro
http://lists.lug.ro/mailman/listinfo/rlug

Re: [rlug] ilo2 shits

2016-11-21 Fir de Conversatie Mișu Moldovan 
On 21.11.2016 17:05, Alex 'CAVE' Cernat wrote:
> On 21/11/2016 5:00 PM, Mișu Moldovan wrote:
>>  The SSH key could not be authorized.
>>
>> One of the following may be the reason:
>> 1. The key store is full. There is only enough storage for 4 SSH keys.
>> 2. The user identified in the key file does not exist in the local user
>> database of this iLO 2.
>> 3. The supplied key file is not formatted correctly.
>> 4. The supplied key is too large, iLO 2 will only accept a key length of
>> 639 bytes or less.
>>
>> La mine pare să fie motivul 4, cheia mea publică RSA are 752 de octeți.
>>  Deci mno, de aia n-am folosit într-un asemenea scenariu.  :-]
> 
> vezi ca s-ar putea sa fie si o alta duda, cand dai copy paste trebuie sa
> fie ceva de genul
> 
> ssh-rsa X ILO_FULL_NAME
> 
> deci nu username (ala scurt), ci tot carnatul; daca nu era exact asa era
> un mesaj de eroare total aiurea (ma rog, de fapt intra pe 3, ca nu era
> formatata corect cheia publica)

Așa o fi, mulțam…  Dar, dacă e prea mare cheia, să fie sănătoși, nu-mi
fac una special pentru un iLO2 vechi.  Deci nu ajung până la a pune ce
comentariu ar vrea iLO să fie acolo.




signature.asc
Description: OpenPGP digital signature
___
RLUG mailing list
RLUG@lists.lug.ro
http://lists.lug.ro/mailman/listinfo/rlug

Re: [rlug] ilo2 shits

2016-11-21 Fir de Conversatie Alex 'CAVE' Cernat 
On 21/11/2016 5:00 PM, Mișu Moldovan wrote:
>   The SSH key could not be authorized.
>
> One of the following may be the reason:
> 1. The key store is full. There is only enough storage for 4 SSH keys.
> 2. The user identified in the key file does not exist in the local user
> database of this iLO 2.
> 3. The supplied key file is not formatted correctly.
> 4. The supplied key is too large, iLO 2 will only accept a key length of
> 639 bytes or less.
>
> La mine pare să fie motivul 4, cheia mea publică RSA are 752 de octeți.
>  Deci mno, de aia n-am folosit într-un asemenea scenariu.  :-]

vezi ca s-ar putea sa fie si o alta duda, cand dai copy paste trebuie sa
fie ceva de genul

ssh-rsa X ILO_FULL_NAME

deci nu username (ala scurt), ci tot carnatul; daca nu era exact asa era
un mesaj de eroare total aiurea (ma rog, de fapt intra pe 3, ca nu era
formatata corect cheia publica)

Alex

___
RLUG mailing list
RLUG@lists.lug.ro
http://lists.lug.ro/mailman/listinfo/rlug

Re: [rlug] ilo2 shits

2016-11-21 Fir de Conversatie Mișu Moldovan 
On 21.11.2016 14:54, Alex 'CAVE' Cernat wrote:
> Salut
> 
> M-am jucat zilele trecute cu niste trocareli de hp-uri, avand anticul
> ilo2 instalat (ultima versiune disponibila aka 2.29).

Salut,

Bine că mi-ai zis, io mai am o vechitură din asta în administrare de
dragul cuiva și are abia 2.27 (din 2015, totuși).


> 1. m-a capiat total la conectare, in sensul:
> - cu certificat self signed se conecteaza orice browser
> - conectare ok inclusiv daca ridic securitatea (adica sa dispara ciphers
> de export, RC4 si alti spanaci de genul)
> - dupa generare certificat pe cheie de 2048 biti, semnare cheie inhouse
> cu SHA256, doar porcaria de exploder vechi neupdatat se mai poate conecta
> - am testat cu startssl, pare oarecum in regula (oricum nu pot sa scap
> de DHE, insa are si AES128/AES256 ca cifruri posibile)
> - impresia mea este ca e o buleala in handlingul de AES din ilo, pentru
> ca nici din chrome (ERR_SSL_BAD_RECORD_MAC_ALERT) nici dintr-un test de
> curl nu a mers; in schimb fara specificarea explicita a cifrului se
> leaga printr-un DHE <= 1024, care tare mi-e ca a fost banat de ceva
> vreme in browsere (nu mai stiu exact pentru ca am zis de mult adio la
> DHE de tot pe partea de servere)
> 
> alte idei pentru cand iar nu voi avea somn ? :-P

Mie îmi merge în SeaMonkey 2.40…  :-D  Din experiența cu alte interfețe
web antice, e bine să ai un VM cu un Firefox vechi.  La ceva ASMI-uri
pentru hardware IBM n-am avut altă soluție la un moment dat.

Dar ideea e să nu te chinui cu interfața web, e mai comod să lucrezi
prin SSH cu un iLO.  Singura chestie ce-mi lipsește uneori în clientul
SSH e că în interfața Web, de aveai plugin Java funcțional în navigator,
puteai vedea și un boot grafic.  Cum insistă să pornească implicit orice
distribuție mai acătării de Linux în ziua de azi.  :-/


> 2. tot ilo2, a reusit cineva sa se conecteze prin cheie de ssh fara
> parola ? desi serverul pare sa accepte cheia, tot cere parola
> 
> inutil sa zic ca in ambele cazuri gogu s-a declarat invins

Nu am folosit în scenariul ăsta, dar parcă era o limitare la mărimea
cheii.  Mda, tocmai am încercat, ia uite ce-mi zice când încerc să pun
cheia-mi:

The SSH key could not be authorized.

One of the following may be the reason:
1. The key store is full. There is only enough storage for 4 SSH keys.
2. The user identified in the key file does not exist in the local user
database of this iLO 2.
3. The supplied key file is not formatted correctly.
4. The supplied key is too large, iLO 2 will only accept a key length of
639 bytes or less.

La mine pare să fie motivul 4, cheia mea publică RSA are 752 de octeți.
 Deci mno, de aia n-am folosit într-un asemenea scenariu.  :-]


> apropos, pentru cei interesati, pentru accesare ilo2 prin ssh de pe
> sisteme linux mai noi mai normale:
> alias ilossh='ssh -o HostKeyAlgorithms=ssh-rsa,ssh-dss -o
> KexAlgorithms=diffie-hellman-group1-sha1 -o Ciphers=aes128-cbc,3des-cbc
> -o MACs=hmac-md5,hmac-sha1'
> putty in schimb se descurca singur :-P

Mie îmi merge pe iLO2 versiunea 2.27 fără parametri speciali cu OpenSSH
7.3.  Poate nu s-a făcut actualizarea iLO de fapt?  Am parametri
speciali doar la conectarea pe interfața ALOM a unui jaf de  SPARC din
mezozoic…  Iar acolo ajunge sa-i dau „-o
KexAlgorithms=diffie-hellman-group1-sha1”.  Contrar a ce mai găsești pe
net, apropo.  :D

HTH!



signature.asc
Description: OpenPGP digital signature
___
RLUG mailing list
RLUG@lists.lug.ro
http://lists.lug.ro/mailman/listinfo/rlug

Re: [rlug] ilo2 shits

2016-11-21 Fir de Conversatie Alex 'CAVE' Cernat 
On 21/11/2016 3:55 PM, Marius Mihai Luca wrote:
> Salut.
> Cand (adica, mai tot timpul) am avut probleme de genul celor descrise de 
> tine, m-a ajutat :
> https://play.google.com/store/apps/details?id=com.hp.essn.iss.ilo.iec.spa 
> 
> Pentru actiuni simple (think : power cycle) e perfect. Daca vrei ceva mai 
> complicat insa…
mda, nu e rea, insa e cam 'dead and burried', ultima actualizare de acum
vreo 3 ani si jumatate; plus ca nu suporta cica ilo2
oricum, e de tinut minte totusi, macar pentru serverele mai normale la cap

10x
Alex

___
RLUG mailing list
RLUG@lists.lug.ro
http://lists.lug.ro/mailman/listinfo/rlug

Re: [rlug] ilo2 shits

2016-11-21 Fir de Conversatie Marius Mihai Luca 
Salut.
Cand (adica, mai tot timpul) am avut probleme de genul celor descrise de tine, 
m-a ajutat :
https://play.google.com/store/apps/details?id=com.hp.essn.iss.ilo.iec.spa 

Pentru actiuni simple (think : power cycle) e perfect. Daca vrei ceva mai 
complicat insa…

--
Have a nice one,
Marius Luca.

> On 21 Nov 2016, at 14:54, Alex 'CAVE' Cernat  wrote:
> 
> Salut
> 
> M-am jucat zilele trecute cu niste trocareli de hp-uri, avand anticul
> ilo2 instalat (ultima versiune disponibila aka 2.29).
> 
> 1. m-a capiat total la conectare, in sensul:
> - cu certificat self signed se conecteaza orice browser
> - conectare ok inclusiv daca ridic securitatea (adica sa dispara ciphers
> de export, RC4 si alti spanaci de genul)
> - dupa generare certificat pe cheie de 2048 biti, semnare cheie inhouse
> cu SHA256, doar porcaria de exploder vechi neupdatat se mai poate conecta
> - am testat cu startssl, pare oarecum in regula (oricum nu pot sa scap
> de DHE, insa are si AES128/AES256 ca cifruri posibile)
> - impresia mea este ca e o buleala in handlingul de AES din ilo, pentru
> ca nici din chrome (ERR_SSL_BAD_RECORD_MAC_ALERT) nici dintr-un test de
> curl nu a mers; in schimb fara specificarea explicita a cifrului se
> leaga printr-un DHE <= 1024, care tare mi-e ca a fost banat de ceva
> vreme in browsere (nu mai stiu exact pentru ca am zis de mult adio la
> DHE de tot pe partea de servere)
> 
> alte idei pentru cand iar nu voi avea somn ? :-P
> 
> 2. tot ilo2, a reusit cineva sa se conecteze prin cheie de ssh fara
> parola ? desi serverul pare sa accepte cheia, tot cere parola
> 
> inutil sa zic ca in ambele cazuri gogu s-a declarat invins
> 
> apropos, pentru cei interesati, pentru accesare ilo2 prin ssh de pe
> sisteme linux mai noi mai normale:
> alias ilossh='ssh -o HostKeyAlgorithms=ssh-rsa,ssh-dss -o
> KexAlgorithms=diffie-hellman-group1-sha1 -o Ciphers=aes128-cbc,3des-cbc
> -o MACs=hmac-md5,hmac-sha1'
> putty in schimb se descurca singur :-P
> 
> Alex
> 
> ___
> RLUG mailing list
> RLUG@lists.lug.ro
> http://lists.lug.ro/mailman/listinfo/rlug

___
RLUG mailing list
RLUG@lists.lug.ro
http://lists.lug.ro/mailman/listinfo/rlug