本帖最后由 九九归1 于 2020-09-14 10:40 编辑
高大上的EMC Symmetrix系列(DMX/VMAX)承担了众多的客户关键业务,但在做存储系统维护时总是提到一个动态密码或者口令的东西,外行人员对这个充满了疑惑,对采取这种动态密码机制不理解,甚至有些偏激,认为厂商设置了一些服务障碍。本文将对EMC动态密码(Service Credential)的机制和如何bypass动态密码进行详细说明,揭开其神秘面纱。
什么是Symmetrix产品系列?很多客户听说过EMC 的DMX和VMAX产品,但是没有听说过Symmetrix,也不清楚Symmetrix和DMX以及VMAX的关系。Symmetrix是EMC的高端存储整列统一名称,该产品系列包含不同的产品型号,如大家耳熟能详的DMX3,DMX4以及VMAX等。类似于中端系列VNX,包含不同的产品型号,如VNX5100,5200,5400等等。 Symmetrix产品系列运行在一个叫做 Enginuity的操作系统之上,不同的产品型号运行不同的Enginuity操作系统版本,EMC叫做code。如DMX3和4,目前的target主版本是5773,VMAX1和2代在5876,刚刚发布的VMAX3代是5977。在主版本上,有不同的小版本。 理解了Symmetrix以及Enginuity code后,我们再来看动态密码。 什么是动态密码(Service Credential)?EMC Symmetrix的动态密码(Service Credential)是从Symmetrix 5772版本以后引入的新功能,采用RSA安全加密机制。大家知道,RSA是目前民用的最高加密算法,基本上要破解RSA加密不太可能。 该动态密码用来防止非授权人员登录Symmetrix产品的维护工具(SymmWin),而不是我们过去的很多误解,认为是用来阻止用户对Symmetrix存储系统的访问。SymmWin是EMC开发的专门针对Symmetrix存储系统的维护工具,该工具为EMC专利保护,并只能由EMC的授权人员使用,并没有作为一个软件产品卖给客户。 SymmWin软件是运行在Symmetrix的服务控制台(Service Processor)上的一个工具软件,Service Processor就是一个普通的定制化的Windows PC服务器。对于该PC服务器的访问没有任何的限制。动态密码只是用来限制对于该控制台上的软件SymmWin的访问。 动态密码是由一组12位的字符组成,该密码需要到EMC的内部网站进行申请,密码对应特有的机器序列号或者客户设备站点,密码最长有效期为10天,过期后该密码无效。 EMC即使对于授权用户,也对应不同的权限(Role)。不同角色的工程师登录SymmWin后可以进行不同的操作,严格规避越界操作,造成对系统不可预料的影响。
|