08.09.2025 09:55
Darya_GaltSystems 9 2800 Источник

В современных дата-центрах и серверных помещениях нередко возникают ситуации, когда доступ к интерфейсу управления HPE iLO утерян. Это может произойти, если заводской пароль утерян или неизвестен, а физический доступ к серверу имеется. В этой статье мы рассмотрим эффективный метод восстановления доступа к iLO без перезагрузки сервера и использования специализированного оборудования.

Почему это важно знать?

Серверы HPE ProLiant с установленным iLO — распространённое решение в ИТ-инфраструктуре. Однако, если пароль от учётной записи администратора утерян, доступ к удалённому управлению становится невозможным. Стандартные попытки ввода распространённых комбинаций (Administrator, admin, ADMIN) часто не приводят к успеху, а система блокирует дальнейшие попытки входа через некоторое время.

Пример интерфейса iLO 6 на сервере HPE
Пример интерфейса iLO 6 на сервере HPE

Шаг 0: Получение root-доступа в Linux с установкой ipmitool

Предварительное условие: Вам необходим доступ к операционной системе сервера с правами root или возможность загрузиться с LiveCD.

Если на сервере уже установлена ОС, и у вас есть учётная запись с правами администратора, процесс упрощается. В противном случае, при наличии физического доступа, загрузитесь с Ubuntu Desktop LiveCD. После запуска выполните:

sudo apt update
sudo apt install ipmitool

Для дистрибутивов на базе RHEL используйте соответствующую команду установки пакетов. Приведённые примеры ориентированы на Ubuntu/Debian, так как LiveCD Ubuntu широко доступен и прост в использовании.

Шаг 1: Определение ID администраторского пользователя

Для поиска ID пользователя, пароль которого нужно изменить, используйте команду:

sudo ipmitool user list 1

Если команда завершается ошибкой "IPMI command failed: Parameter out of range", попробуйте другие номера каналов (0, 2):

sudo ipmitool user list 0
sudo ipmitool user list 2
Пример вывода команды ipmitool user list
Пример вывода команды ipmitool user list

Как видно из примера, пользователь "Administrator" находится в канале 1 с правами администратора. Если вы хотите создать дополнительную учётную запись вместо изменения существующего пароля, используйте:

sudo ipmitool user set name 3 НОВОЕ_ИМЯ

Это добавит нового пользователя в третью пустую слот (ID 3).

Шаг 2: Сброс пароля администратора iLO

Этот шаг прост в выполнении, но содержит важный нюанс: HPE, как и другие производители, применяет строгие требования к сложности паролей для учётных записей управления. Для установки нового пароля выполните:

sudo ipmitool user set password 2 НОВЫЙ_ПАРОЛЬ

Где:

  • 2 — ID пользователя Administrator

  • НОВЫЙ_ПАРОЛЬ — желаемый пароль, соответствующий требованиям безопасности

Пример успешной установки пароля
Пример успешной установки пароля

Обратите внимание: простые пароли вроде "ADMIN" будут отклонены системой. Убедитесь, что ваш пароль содержит как минимум 8 символов, включая заглавные буквы, цифры и специальные символы.

После успешного выполнения команды вы сможете войти в веб-интерфейс iLO с использованием учётной записи Administrator и нового пароля.

Шаг 3 (опционально): Настройка прав доступа для новых пользователей

Если вы создали дополнительную учётную запись, ей необходимо назначить соответствующие права доступа. Для этого выполните следующие команды:

sudo ipmitool user enable 3
sudo ipmitool user priv 3 4 1

Разберём параметры второй команды:

  • priv — команда для установки привилегий

  • 3 — ID пользователя (в данном случае для только что созданной учётной записи)

  • 4 — уровень привилегий (4 = АДМИНИСТРАТОР, 3 = ОПЕРАТОР)

  • 1 — номер канала (тот же, который использовался ранее)

Пример авторизации нового пользователя в iLO 6
Пример авторизации нового пользователя в iLO 6

Преимущество этого метода в том, что вы не затрагиваете оригинальную учётную запись Administrator, создавая отдельного пользователя с необходимыми правами.

Дополнительные рекомендации по безопасности

Хотя описанный метод эффективен для восстановления доступа, важно понимать его implications для безопасности:

  1. Физический доступ = полный контроль: Если злоумышленник имеет физический доступ к серверу, он может выполнить аналогичные действия за 1-2 минуты.

  2. Защита от несанкционированного доступа:

    • Установите пароль BIOS с ограничением загрузки только с локального диска

    • Отключите загрузку с USB-устройств в настройках BIOS

    • Регулярно проверяйте учётные записи в iLO

  3. Альтернативные методы:

    • При отсутствии монитора можно автоматизировать процесс сброса через загрузочную флешку

    • В Windows установите HPE iLO Configuration Utility для управления настройками через графический интерфейс

Заключение

Метод с использованием ipmitool предоставляет быстрый и эффективный способ восстановления доступа к интерфейсу iLO при наличии физического доступа к серверу. Он работает не только с оборудованием HPE, но и с другими серверами, поддерживающими стандарт IPMI.

Важно: После восстановления доступа обязательно установите надёжный пароль и рассмотрите возможность создания дополнительных учётных записей с ограниченными правами вместо использования учётной записи по умолчанию.

Этот метод особенно полезен в ситуациях, когда сервер уже находится в эксплуатации, а заводские пароли утеряны. Однако помните, что физическая безопасность сервера остаётся критически важным аспектом общей стратегии защиты вашей ИТ-инфраструктуры.

P.S. Если у вас есть опыт восстановления доступа к iLO или другие методы, которыми вы готовы поделиться — делитесь в комментариях!

Комментарии (9)


  1. 13werwolf13
    08.09.2025 12:54
    #28811724

    лет 7 назад я помнил наизусть xml для сброса пароля через hponcfg или как оно там называлось.. неужели спустя столько лет hp наконец-то догадались что можно проще))


    1. ildarz
      08.09.2025 12:54
      #28816144

      Можно было не мучаться, в гугле есть статьи о сбросе с помощью ipmitool давностью 10+ лет, в т.ч. с оф. сайта HP.


      1. 13werwolf13
        08.09.2025 12:54
        #28816178

        если забить в гугл "ilo reset password" (не важно с указанием версии или нет) то все ссылки ведут либо на официальную документацию HP либо на профильные сайты/форумы где упоминаются способы сброса через биос самого ilo, через его же web ui, через ssh, через hponcfg и его предка.. и ни одного упоминания ipmitool.


        1. ildarz
          08.09.2025 12:54
          #28816636

          А если к запросу добавить ipmitool, то выдача несколько меняется. Я уже не помню, как конкретно я там искал в те времена, но факт в том, что это работало примерно всегда в обозримом прошлом (с начала 10-х годов уж точно), а для некоторых продуктов HP было даже документировано.


          1. 13werwolf13
            08.09.2025 12:54
            #28816716

            чтобы добавить к запросу UTILNAME надо знать про UTILNAME))))


  1. Crazy_Cooler
    08.09.2025 12:54
    #28812196

    К сожалению, в статье вы не упомянули для каких версий ILO подходит данная инструкция?


    1. theult
      08.09.2025 12:54
      #28813746

      Автор ipmitool пишет про поддержку ipmi версий 1.5 и выше. В железа она была примерно с 2005-2008 (не у всех производителей). iLO по своей сути - реализация стандарта ipmi от hpe. И появился он много позже, годов с 2015. Это хоть и позволяет предположить, что будет с любой версией работать, но как в unix пишут - absolutely no warranty :)


    1. ThingCrimson
      08.09.2025 12:54
      #28814950

      Проверил на подручном HP ProLiant MicroServer gen8 (iLO Advanced 2.54) — работает.
      (запускалось из-под CentOS release 6.10 / ipmitool-1.8.15-3.el6_10.x86_64)


      1. Darya_GaltSystems Автор
        08.09.2025 12:54
        #28817180

        Супер, что совет помог