免费注册 查看新帖 |

Chinaunix

  平台 论坛 博客 文库
12下一页
最近访问板块 发新帖
查看: 21842 | 回复: 13

[其他] EMC DMX/VMAX动态密码(Service Credential)揭秘 [复制链接]

论坛徽章:
0
发表于 2014-12-17 20:21 |显示全部楼层
本帖最后由 九九归1 于 2014-12-17 20:22 编辑

高大上的EMC Symmetrix系列(DMX/VMAX)承担了众多的客户关键业务,但在做存储系统维护时总是提到一个动态密码或者口令的东西,外行人员对这个充满了疑惑,对采取这种动态密码机制不理解,甚至有些偏激,认为厂商设置了一些服务障碍。本文将对EMC动态密码(Service Credential)的机制和如何bypass动态密码进行详细说明,揭开其神秘面纱。

什么是Symmetrix产品系列?
很多客户听说过EMC 的DMX和VMAX产品,但是没有听说过Symmetrix,也不清楚Symmetrix和DMX以及VMAX的关系。Symmetrix是EMC的高端存储整列统一名称,该产品系列包含不同的产品型号,如大家耳熟能详的DMX3,DMX4以及VMAX等。类似于中端系列VNX,包含不同的产品型号,如VNX5100,5200,5400等等。
Symmetrix产品系列运行在一个叫做 Enginuity的操作系统之上,不同的产品型号运行不同的Enginuity操作系统版本,EMC叫做code。如DMX3和4,目前的target主版本是5773,VMAX1和2代在5876,刚刚发布的VMAX3代是5977。在主版本上,有不同的小版本。
理解了Symmetrix以及Enginuity code后,我们再来看动态密码。
什么是动态密码(Service Credential)?
EMC Symmetrix的动态密码(Service Credential)是从Symmetrix 5772版本以后引入的新功能,采用RSA安全加密机制。大家知道,RSA是目前民用的最高加密算法,基本上要破解RSA加密不太可能。
该动态密码用来防止非授权人员登录Symmetrix产品的维护工具(SymmWin),而不是我们过去的很多误解,认为是用来阻止用户对Symmetrix存储系统的访问。SymmWin是EMC开发的专门针对Symmetrix存储系统的维护工具,该工具为EMC专利保护,并只能由EMC的授权人员使用,并没有作为一个软件产品卖给客户。
SymmWin软件是运行在Symmetrix的服务控制台(Service Processor)上的一个工具软件,Service Processor就是一个普通的定制化的Windows PC服务器。对于该PC服务器的访问没有任何的限制。动态密码只是用来限制对于该控制台上的软件SymmWin的访问。
动态密码是由一组12位的字符组成,该密码需要到EMC的内部网站进行申请,密码对应特有的机器序列号或者客户设备站点,密码最长有效期为10天,过期后该密码无效。
EMC即使对于授权用户,也对应不同的权限(Role)。不同角色的工程师登录SymmWin后可以进行不同的操作,严格规避越界操作,造成对系统不可预料的影响。
为什么需要动态密码
大家知道,客户购买的EMC的Symmetrix系统99%均用于最关键的业务系统(Mission Critical Sysmte),存储系统作为IT基础架构中的灵魂,安全性不言而喻。任何的核心存储系统不可用(Data Unavailable)或者数据丢失(Data Lost),对于客户来讲都是灾难。
熟悉Symmetrix体系架构的人员都知道,Symmetrix系统和目前市场上的绝大多数存储系统架构完全不同,Symmetrix系统来源于大机(Mainframe)的体系架构,其安全性、稳定性、可靠性和可用性等无人匹敌。但另一方面,我们在其他中端存储维护上的知识积累在该产品上几乎等于0。Symmetrix存储系统上的所有命令均为16进制,来源于大机架构。可以肯定的说,如果没有EMC原厂3年以上的专业训练,一般工程师对于DMX和VMAX系统的维护根本不可能。在维护DMX和VMAX存储系统中出现的任何异常现象均无法处理,造成不可预知的后果。
根据Garner统计,80%的系统宕机或者业务不可用,均是人为失误或者操作流程不当造成。EMC的动态密码保护机制就是从机制上杜绝此类问题的发生。
上述几点,我认为是EMC为什么要引入动态密码的原因,也是本着对客户负责的态度采取的技术措施。
该动态密码的安全机制由下面三部分组成:
1.     认证。只有授权用户才可以访问Symmwin工具软件,并使用该软件对存储系统进行维护操作。
2.     授权。不同的角色具有不同的权限功能,可以进行不同的授权操作。防止非权限授权人员进行高级操作,导致不可预料的风险。
3.     审计监控。任何角色的人员登录和任何对存储系统的操作,均进行归档。且该归档日志不可删除,任何时候均可以进行审计。
DMX/VMAX存储系统维护
随着动态密码机制的引入,客户肯定有如下的问题:
“动态密码机制是保障了系统的安全运行,但是否意味着我必须购买EMC的服务才可以保障系统的安全运行”。
答案是否定的。首先,EMC的动态密码只用来保护SymmWin维护工具的非授权使用,没有SymmWin工具,如果客户系统没有大的变更,系统仍然可以正常运行。第二,如果客户系统需要变更或者做一些维护操作,具有Symmetrix维护能力的第三方公司也可以承担这方面的工作,目前国内外已经有成熟的第三方软件来进行Symmetrix系统的维护。但如何评判一家公司或者工程师具有这方面的能力呢?建议从以下四个方面进行考核:
1.     是否具有维护工具?
该公司是否具有类似于EMC SymmWin维护工具,只有拥有了维护工具才谈得上进行维护。工具是否足够强大,单纯的inline命令是无法进行有效的系统维护的。
2.     是否具有认证工程师?
最简单的判断方法就是,工程师最基本的需要具备EMC Symmetrix Platform Engineer认证(简称PE认证)。该认证是专门针对系统维护工程师的认证。
3.     是否具备实验测试环境?
只有实验测试环境,才可以谈得上人员的培养。如果把客户生产环境当做培养工程师的试验场,造成的后果可想而知。
4.     是否具备升级途径?
前面谈到,EMC DMX和VMAX系统来自大机架构,复杂性不言而喻。如果遇到传说中的“红框”,是否有升级途径进行处理。
在对DMX和WMAX的维护过程中,建议客户一定要保留“基于角色和授权访问”这一基本原则。只有这样,才能保障核心关键存储系统的安全运行。
当前国内外第三方市场在EMC Symmetrix的能力如何?
目前国内外大部分的第三方服务商均号称可以承担EMCSymmetrix的服务能力。要提供对于Symmetrix的服务,首先第一条就是SymmWin或者类似SymmWin工具的使用。下面是对当前国内外维护工具的一个对比分析。


  
序号
  

方法


优点


缺点


形象比喻

  
1
  

偷用EMC公司的动态口令


完全使用SymmWin工具


1.      法律风险;
  
2.       无可靠的SLA;
  
3.      日志混乱,重大问题无法进行故障排查;
  
4.      本地复制和远程复制容灾时间点混乱


Symmetrix存储系统就象客户的一辆宝马汽车。
  
偷了宝马汽车的钥匙,该钥匙和时间有关系,然后驾驶汽车行驶在高速公路上。任何一次重新发动汽车,均需要先去找小偷去偷一遍厂商的钥匙

  
2
  

Inline命令(外接控制台进入系统)


可以处理简单硬盘和电源故障


1.      Inline命令极易出错,出错后的后果不可想象;
  
2.      无法处理复杂板卡故障,loop故障,多故障点问题等;
  
3.      无法进行任何的变更管理,无法进行bin change操作;
  
4.      无法进行复杂故障的处理和故障诊断。


Symmetrix存储系统就象客户的一辆宝马汽车。
  
将宝马汽车的方向盘换成了自己的山寨方向盘,然后在高速公路上驾驶这辆宝马汽车,安全性可想而知。

  
3
  

破解SymmWin


使用SymmWin的部分功能


1.       法律风险
  
2.      无完整的SymmWin功能;
  
3.      **了权限控制等安全措施
  


Symmetrix存储系统就象客户的一辆宝马汽车。
  
**了宝马汽车的启动装置和安全装置,然后驾驶汽车行驶在高速公路上,安全性可想而知。

  
4
  

SymmToken


完全100%兼容SymmWin工具


控制台安装SymmToken驱动程序


Symmetrix存储系统就象客户的一辆宝马汽车。
  
SymmToken就是宝马汽车的另外一把钥匙



论坛徽章:
5
荣誉会员
日期:2011-11-23 16:44:17CU大牛徽章
日期:2013-09-18 15:15:15CU大牛徽章
日期:2013-09-18 15:15:45未羊
日期:2014-02-25 14:37:19射手座
日期:2014-12-26 22:55:37
发表于 2014-12-18 19:48 |显示全部楼层
EMC的存储就是装B

论坛徽章:
0
发表于 2014-12-21 10:25 |显示全部楼层
SymmToken看起来挺牛的

论坛徽章:
0
发表于 2015-01-05 20:22 |显示全部楼层
回复 2# wolfop

      没错,EMC可能是目前为止全世界最为封闭而且最为成功的IT技术厂商之一!寡头政治,垄断经济造就了EMC这样的厂商的崛起。你在用户现场能看到的EMC工程师可能是这个标称高科技含量的行业里最让人不堪的形象,神神叨叨真不耐烦,措辞含糊故作精深,动辄E文规避问题实质,动辄Bug上口百般推脱.......

    阿里用EMC么?百度用EMC么?腾讯用EMC么?这就是人家为什么那么成功的原因。   
    12306用EMC的东西倒是用了不少........

      看看OpenSource/FreeSoftware,源代码都开放了,而EMC呢,不奢求开放源代码了,就是文档都是最不开放的!同样的大厂商,IBM或者Oracle这样的厂商,Guide或者Reference这样的文档尚可给大众开放,而EMC呢,还得拿到Partner权限的账户才能看,上次查一个Bug,硬是通过驻场原厂工程师的动态口令的账户才看到,我类个去!你说OpenSource不入高大上们的法眼?EMC旗下B系列交换机用的是裁剪的Linux,Celerra NAS里的ControlStation装的Linux,即使是MDS系列的交换机也少不了GNU的影子,Lsilon敲了几下命令行不用问底层就是Linux........

    现在收购了RSA后通过动态口令垄断了用户高端存储的管理权,好意思发到坛子里吹嘘一番!你好意思么?

    当然了,EMC基于特色化的国情,已然在国内构筑了一种生态链或者生态圈,解决一批人的生计和就业问题,任然有一定的正面意义和教训!


   

论坛徽章:
5
荣誉会员
日期:2011-11-23 16:44:17CU大牛徽章
日期:2013-09-18 15:15:15CU大牛徽章
日期:2013-09-18 15:15:45未羊
日期:2014-02-25 14:37:19射手座
日期:2014-12-26 22:55:37
发表于 2015-01-14 09:29 |显示全部楼层
回复 4# conqueryou
所以今天被华为打得满地找牙。


   

论坛徽章:
0
发表于 2015-01-23 12:32 |显示全部楼层
回复 5# wolfop

     目前国内的任何硬件产品厂商(浪潮、华为、同有飞骥等)在存储这块领域都不足以撼动EMC在国内存储领域的市场地位,到是开源/开放平台以及像百度、阿里这样的互联网企业的成功对EMC厂商现在或是将来定会造成不小的冲击!


   

论坛徽章:
5
荣誉会员
日期:2011-11-23 16:44:17CU大牛徽章
日期:2013-09-18 15:15:15CU大牛徽章
日期:2013-09-18 15:15:45未羊
日期:2014-02-25 14:37:19射手座
日期:2014-12-26 22:55:37
发表于 2015-01-25 18:57 |显示全部楼层
回复 6# conqueryou
你就扯吧,用公有云和SAN存储的客户群根本不同。

   

论坛徽章:
0
发表于 2015-01-25 23:15 |显示全部楼层
回复 7# wolfop


公有云和SAN存储概念不对等,还有我没说过他们的客户群相同。   

论坛徽章:
0
发表于 2015-02-15 12:29 |显示全部楼层
欢迎关注Symmtoken微信和微博,直接搜索 Symmtoken即可

论坛徽章:
0
发表于 2015-03-09 22:52 |显示全部楼层
欢迎访问 SymmToken微信实施交流,微信搜索 Symmtoken ,百度搜索 symmToken 也可直达网站,详细信息欢迎垂询
您需要登录后才可以回帖 登录 | 注册

本版积分规则 发表回复

SACC2019中国系统架构师大会

【数字转型 架构演进】SACC2019中国系统架构师大会,7折限时优惠重磅来袭!
2019年10月31日~11月2日第11届中国系统架构师大会(SACC2019)将在北京隆重召开。四大主线并行的演讲模式,1个主会场、20个技术专场、超千人参与的会议规模,100+来自互联网、金融、制造业、电商等领域的嘉宾阵容,将为广大参会者提供一场最具价值的技术交流盛会。

限时七折期:2019年8月31日前


----------------------------------------

大会官网>>
  

北京盛拓优讯信息技术有限公司. 版权所有 16024965号-6 北京市公安局海淀分局网监中心备案编号:11010802020122
中国互联网协会会员  联系我们:huangweiwei@it168.com
感谢所有关心和支持过ChinaUnix的朋友们 转载本站内容请注明原作者名及出处

清除 Cookies - ChinaUnix - Archiver - WAP - TOP