Archives mensuelles : mars 2018

Azure Serial console (Preview)

Lorsque je délivre mes cours Azure, quand on aborde le IaaS, je rappelle toujours que nous client consommons des ressources mises à disposition par notre fournisseur sur sa plateforme. Cette plateforme est prévue pour tirer parti de la moindre ressource mise à disposition. Dans le contexte d’Azure, cela signifie que par défaut nos ressources sont hébergées sur des hosts mutualisés. Les équipes de Microsoft ont pour charge de nous garantir une parfaite isolation entre les workloads des clients. D’un point de vue sécurité, il serait catastrophique pour Microsoft que deux de ses clients distincts puissent accéder aux ressources d’un autre sans accords explicit préalable.

Ce rappel fait, on commence à comprendre pourquoi la fonctionnalité « Azure Serial Console » n’est pas native. Quand un Windows ou un Linux ne démarre plus, on a besoin d’un accès direct au système d’exploitation. On-Premises, nos équipes peuvent nous permettre d’accéder à la vue console, que ce soit avec une solution de virtualisation (VMWARE, Hyper-V, …) ou en bare-metal (carte ILO). Dans le Cloud, c’est un peu plus compliqué. En fait, elle n’est disponible en preview que depuis aujourd’hui. Pour tout fournisseur cloud, développer ce type de fonctionnalité pose plusieurs challenges. Le plus important d’entre eux, c’est l’accès à l’infrastructure : Le fait que les clients n’ait pas accès à l’infrastructure Azure est une forme de garantie à destination des clients. S’ils n’ont pas accès aux Hosts Azure, on réduit le risque d’exposition à des failles 0 Day.

La fonctionnalité devrait être visible dans le portail Azure. Dans le blade Virtual Machines, on doit maintenant constater la présence de « Serial (Console Preview) ».

 

Le fait que la fonctionnalité soit visible dans votre portail ne veut pas dire qu’on peut l’utiliser immédiatement. Il y a nécessairement quelques prérequis :

  • L’activation de la fonctionnalité Boot Diagnostics
  • Disposer au minimum du rôle VM Contributor
  • Disposer d’un OS pour lequel la fonctionnalité a été préalablement activée.

Prenons les choses dans l’ordre.

 

Activation de la fonctionnalité Boot Diagnostics

Jusqu’à maintenant, cette fonctionnalité était nécessaire pour journaliser les opérations réalisées par la machine virtuelle pendant la phase de boot ainsi que pour prendre des captures d’écran de la vue console. Maintenant, c’est un prérequis pour l’utilisation de la fonctionnalité Serial Console.

clip_image002

Disposer au minimum du rôle VM Contributor

Heureusement que cette fonctionnalité n’est pas accessible à tout le monde. Effectivement, on peut utiliser le rôle « Built-In » Virtual Machine Contributor. Juste un bémol. Bien faire attention au scope lorsqu’on va assigner ce rôle et bien le limiter aux machines virtuelles pour lesquelles la fonctionnalité sera nécessaire.

Disposer d’un OS pour lequel la fonctionnalité a été préalablement activée.

La fonctionnalité est nativement disponible dans Windows et dans les principales distributions Linux du marché. Pour certaines, des actions supplémentaires sont nécessaire pour activer la prise en charge du Single user Mode.

Utilisation

Quand nos prérequis sont en place, voilà à quoi cela ressemble depuis le portail Azure pour une machine virtuelle de type Windows.

clip_image003

 

C’est maintenant que cela devient un peu plus subtil. La première chose, c’est de se créer un canal de communication avec la commande CMD. Celle-ci retourne à la fois un identifiant et un nom pour ce canal.

clip_image004

 

Mon canal identifiant 0001 a été créé avec le nom Cmd0001, ne reste plus qu’à nous y connecter avec la commande suivante :

CH -SN Cmd0001

clip_image005

 

Ne nous reste plus qu’à nous authentifier. Subtilité des systèmes d’exploitation Windows non raccordés au domaine, comment spécifier qu’on va s’authentifier avec un compte de la base SAM locale ? Réponse ci-dessous :

clip_image006

 

Si l’authentification est acceptée, nous devrions avoir une console comme illustré ci-dessous :

clip_image007

 

Conclusion

Le principal scénario d’usage concerne Active Directory. Maintenant qu’on dispose d’un mode console, on peut enfin reconfigurer un contrôleur de domaine pour démarrer en mode restauration d’annuaire et procéder à une restauration autoritaire de tout ou partie de l’Active Directory.

BenoitS – Simple and Secure by design but Business compliant (with disruptive flag enabled)