PiKVM : votre KVM sur IP d’urgence (hors-bande)

Pourquoi un PiKVM (KVM sur IP) change tout en situation d’urgence
Il y a ce moment un peu froid. Plus de réseau, plus d’accès, mais le serveur doit repartir.
Tu as beau relancer le VPN, tenter un SSH, vérifier ton routeur, rien. Et évidemment, c’est le serveur qui héberge justement le truc qui te permettrait de diagnostiquer proprement. Classique.
C’est exactement là que le management hors bande (OOB) devient plus qu’un « nice to have ». C’est le plan B quand tout ce qui passe par l’OS et le réseau ne répond plus. Quand iDRAC, iLO ou IPMI ne sont pas là, pas licenciés, mal câblés, ou plantés. Ou quand tu es sur du matériel grand public, un NUC, un mini PC, un serveur whitebox. Et que tu as quand même besoin d’une console comme si tu étais devant l’écran.
Petite différence de vocabulaire, mais elle change tout.
- Accès distant « in band » : tu dépends de l’OS et du réseau. SSH, RDP, agent, VPN, même certaines consoles web. Si l’OS est KO ou que la conf réseau est cassée, tu es aveugle.
- Accès « hors bande » : tu passes à côté. Vidéo console, clavier, souris, BIOS/UEFI, boot, médias virtuels. L’OS peut brûler, tu vois quand même l’écran.
PiKVM, c’est ça. Un KVM sur IP d’urgence, hors bande, que tu peux mettre en place sans acheter une baie full enterprise. Dans cet article, on va le prendre de façon très concrète, et aussi très « périmètre sécurité » : comprendre, choisir, installer, et surtout sécuriser. Parce que oui, c’est une porte. Une porte très puissante.
Plan : cas d’usage → prérequis → montage → réseau et sécurité → exploitation.
Sécurité périmétrique et OOB : où se place un PiKVM dans votre architecture
La sécurité périmétrique, au fond, c’est toujours la même idée : contrôler les points d’entrée, segmenter, journaliser, limiter l’exposition, et éviter les « accès magiques » qui contournent tout.
Un PiKVM, c’est un point d’accès de dernier recours. Et il faut le traiter comme tel. Il donne :
- vidéo (ce que la machine affiche)
- clavier et souris (ce que la machine reçoit)
- parfois l’alimentation (power cycle), selon ton montage
Donc, si quelqu’un atteint le PiKVM, il peut typiquement atteindre le serveur. Pas « peut être ». Peut-être.
Du coup on raisonne en surfaces d’attaque, tout bêtement :
- Interface Web (auth, session, vulnérabilités web)
- SSH (si activé), exposés portuaires, annexes des services
- accès réseau au VLAN OOB, routage, ACL
- partie « power » (relais, smart plug, PDU), qui peut provoquer un reboot sauvage
- accès physique au boîtier et aux câbles (HDMI, USB, ATX)
Le principe directeur que je garde en tête : le PiKVM doit être plus difficile à atteindre que le serveur qu’il pilote.
Positionnement typique, propre, classique :
- un réseau de management séparé, VLAN OOB
- pas accessible depuis le LAN utilisateur
- accès admin via VPN + bastion, ou via jump host
- règles pare feu explicites, whitelist d’IP sources, pas d’ouverture “temporaire” qui finit permanente
Et surtout, on documente. Un OOB non documenté, c’est comme un double de clé posé sous le paillasson.
Ce que fait (vraiment) un PiKVM : fonctionnalités clés et limites à connaître
Un PiKVM, dans sa version utile, fait trois choses essentielles.
- Console vidéo via HDMI
- Tu vois l’écran comme si tu étais devant. BIOS, UEFI, GRUB, écran bleu, prompt, tout.
- Clavier et souris USB
- Il injecte des entrées comme un périphérique HID. Donc tu peux taper dans le BIOS, naviguer, lancer une commande, etc.
- Média virtuel (selon config)
- Tu montes une ISO à distance et la machine boote dessus. Live Linux, ISO de rescue, install, outil de diagnostic. C’est souvent le vrai super pouvoir en dépannage.
Selon les versions et le montage, tu peux aussi avoir :
- capture d’écran, voire enregistrement vidéo
- contrôle d’alimentation : ATX via relais, smart plug, PDU manageable
- GPIO, relais, watchdog bricolé mais pratique
- scénarios d’automatisation, reboot planifié, etc.
Les limites, il faut les dire aussi, sinon on part en fantasme.
- Ça ne remplace pas une supervision. Ni un monitoring. Ni des alertes. PiKVM, c’est pour intervenir, pas pour savoir qu’il y a un problème.
- Ça ne remplace pas des sauvegardes, un PRA, un PCA. Si ton storage est mort, voir l’écran ne fera pas revenir tes données.
- Ça ne remplace pas un vrai BMC iDRAC/iLO quand tu l’as déjà, bien configuré, réseau OOB propre, et licences OK. Le BMC reste plus intégré.
Et puis il y a la réalité terrain : latence et qualité vidéo. Ça dépend beaucoup de la capture, du réseau, des réglages. En dépannage c’est acceptable, mais tu le sens quand tu navigues dans une UI BIOS un peu lourde.
Le bon cadre d’utilisation : dépannage, interventions planifiées, installations, récupération après mauvaise configuration réseau, et accès console quand tout le reste a lâché.
Quand choisir PiKVM plutôt que iDRAC / iLO / IPMI (et quand ne pas le faire)
Les cas favorables, je les vois partout :
- serveurs ou mini PC sans BMC
- matériel grand public ou edge, déployé loin
- lab, homelab, TPE/PME, budgets serrés
- besoin de standardiser l’OOB sur un parc hétérogène
- contraintes où tu veux une console BIOS + média virtuel sans dépendre d’un modèle de serveur
Quand le BMC suffit : infrastructure enterprise, réseau OOB déjà en place, procédures en place, et surtout exploitation mature. Là, PiKVM est plutôt un complément, pas un remplacement.
Cas déconseillés : environnements où tu ne peux pas maîtriser l’accès physique ou réseau au PiKVM, ou des contraintes de conformité très strictes sans capacité de durcissement, de journalisation, de contrôle d’accès fort. Parce que PiKVM mal géré, c’est une prise directe sur le serveur.
Approche hybride que j’aime bien : PiKVM comme secours, même si un BMC existe. On a tous déjà vu un firmware BMC qui freeze, une conf réseau BMC cassée, ou un port de management branché sur le mauvais VLAN. Dans ces moments, un PiKVM posé en “plan C” peut sauver une nuit.
Critères de décision, simples :
- coût global vs criticité
- niveau d’exposition (réseau, sites, accès)
- compétences internes (réseau, durcissement, procédures)
- besoin de média virtuel, besoin de “power”
- exigences de logs et traçabilité
Pré-requis : matériel, câbles et options (le minimum viable + le setup robuste)
Le minimum viable, pour un PiKVM, c’est :
- un Raspberry Pi compatible avec la distribution PiKVM (souvent un Pi 4 ou Pi Zero 2 W selon cas, mais en prod je préfère éviter les montages trop limites)
- une carte microSD de qualité, ou mieux, un stockage plus fiable si possible
- une alimentation fiable, stable, pas un chargeur douteux
- réseau filaire. Oui. En OOB, le Wi Fi c’est une tentation, et après tu pleures.
Ensuite, la capture vidéo, et là tu as deux grandes options.
- HDMI vers CSI 2 (souvent recommandé pour la latence et la stabilité, mais ça dépend du modèle et des modules)
- dongle de capture USB HDMI (plus simple à trouver, parfois plus plug and play, mais latence et compatibilité variables)
Le “power”, optionnel mais souvent décisif en urgence :
- contrôle ATX via relais, si tu veux simuler power button et reset
- prise connectée ou smart plug, pratique mais attention à la sécurité et au réseau
- PDU manageable, quand tu es en baie et que tu fais ça propre
Accessoires qui paraissent secondaires, mais qui changent la vie :
- boîtier, dissipateur, ventilation si nécessaire
- câbles courts et fiables, HDMI et USB, idéalement verrouillables ou sécurisés
- étiquetage. Oui, étiquetage. Le jour où tu dois intervenir à 3 h, tu ne veux pas deviner quel HDMI est lequel.
- onduleur (UPS) : PiKVM et switch OOB sur UPS, sinon ton “dernier recours” tombe en même temps que le reste
Conseil d’archi : prévois une IP fixe (ou DHCP réservé), un nom DNS interne, et un inventaire des ports et câbles. Sérieusement, fais une fiche. Machine cible, port switch, port PDU, IP, comptes, emplacement physique.
Installation et mise en service : de l’image PiKVM au premier accès console
La mise en service, si on reste haut niveau, c’est assez direct.
- Flasher l’image PiKVM sur la carte microSD ou le stockage.
- Premier boot du Raspberry Pi.
- Configurer le réseau (IP, route si nécessaire, DNS).
- Accéder à l’interface web.
- Tester vidéo et USB.
Ensuite configuration initiale. Là, on ne discute pas :
- changer les identifiants par défaut
- régler fuseau horaire, heure, NTP, parce que les logs sans heure c’est l’enfer
- faire les mises à jour, dans une fenêtre maîtrisée, pas “un jour”
Validation fonctionnelle, à faire devant la machine cible si possible, au moins la première fois :
- voir l’écran BIOS/UEFI
- envoyer des touches, entrer dans le BIOS, naviguer
- bouger la souris
- redémarrer la machine cible, vérifier que tu vois bien le reboot
Puis le test qui rassure vraiment : média virtuel.
- monter une ISO de secours (live Linux, outil de rescue)
- configurer le boot sur ce média
- vérifier que la machine boote bien dessus, et que tu as la main
Bonnes pratiques : documenter le setup dès maintenant. Prendre 2 ou 3 captures. Noter versions PiKVM, version du firmware cible si pertinent, et surtout noter ce qui est branché où. La mémoire humaine n’est pas une CMDB.
Réseau : faire un vrai « hors-bande » (et pas juste un service de plus exposé)
Le piège le plus courant, c’est de mettre PiKVM sur le même LAN que tout le monde. Et de dire “on mettra un mot de passe fort”. Non. Ça devient juste une surface d’attaque de plus.
Topologie recommandée :
- VLAN de management/OOB isolé
- pas de routage direct depuis le LAN utilisateur
- idéalement, accès uniquement via bastion + VPN, ou jump host dédié
Adressage :
- IP statique ou réservation DHCP
- DNS interne
- pas d’exposition Internet. Jamais. Si tu as besoin d’accéder depuis l’extérieur, tu passes par un VPN, point.
Pare feu :
- filtrer par IP source, whitelist des postes admin, ou du bastion
- n’ouvrir que le strict nécessaire
- règles explicites, commentées, révisées. Le “temporaire” est un mensonge connu.
Disponibilité :
- switch de management, si possible séparé
- second chemin si tu peux, au moins pour les sites critiques
- UPS pour PiKVM et pour le réseau OOB, sinon tu perds ton outil au pire moment
L’idée c’est que même si le LAN part en vrille, ton OOB reste atteignable.
Durcissement sécurité (indispensable) : protéger le point d’accès le plus sensible
On revient à la vérité simple : si quelqu’un contrôle PiKVM, il contrôle la machine. BIOS, boot, montage ISO, potentiellement réinstallation, récupération de secrets affichés, etc.
Donc hygiène d’accès :
- mots de passe longs, uniques
- désactiver les comptes et accès inutiles
- rotation des secrets, surtout si plusieurs admins interviennent
- comptes nominatifs si possible, pas “admin/admin”
Chiffrement et authentification :
- HTTPS/TLS activé, certificats internes si tu as une PKI
- 2FA si disponible dans ton stack, ou à défaut, MFA au niveau VPN et bastion
- clés SSH plutôt que mot de passe si tu utilises SSH, et désactiver l’auth par mot de passe si possible
Mises à jour :
- cadence claire, mensuelle ou trimestrielle selon criticité
- fenêtre de maintenance
- vérifier ce que tu installes, et d’où ça vient, supply chain basique
- sauvegarder la configuration avant de toucher
Sécurité physique :
- PiKVM en baie ou armoire fermée
- câbles sécurisés, éviter qu’on puisse débrancher et brancher autre chose
- pas de PiKVM “posé derrière un bureau” dans une salle partagée, c’est un classique aussi
Modèle de menace, à écrire noir sur blanc dans ta doc interne : « si un attaquant obtient l’accès au PiKVM, il peut prendre le contrôle total du serveur piloté ». Ça aide à faire accepter le VLAN OOB, les ACL, le bastion, la contrainte.
Procédure d’intervention : check-list « panne réseau / serveur figé » avec PiKVM
En urgence, tu veux une check-list. Pas un roman.
Scénario 1 : perte d’accès réseau (route, firewall, VLAN)
- Se connecter au PiKVM via le chemin OOB (VPN → bastion → PiKVM).
- Capturer l’écran, noter l’heure.
- Vérifier l’état de la machine, login console si possible.
- Corriger la config réseau localement (IP, route, règles), puis valider.
- Retester l’accès in band (SSH), et seulement ensuite clôturer.
Scénario 2 : kernel panic, boot loop
- Accéder à la console, capturer l’écran d’erreur.
- Entrer dans BIOS/UEFI ou boot menu.
- Tester un autre périphérique de boot, ou un mode rescue.
- Si besoin, monter une ISO de secours et booter dessus.
- Collecter logs et infos, puis réparer.
Scénario 4 : machine bloquée, plus rien ne répond
- Confirmer visuellement via la console.
- Si option power : tenter un reboot contrôlé, puis power cycle en dernier recours.
- Documenter l’action. Qui, quand, pourquoi.
- Sur reboot, surveiller la séquence BIOS/boot pour repérer où ça coince.
Bon réflexe : garder une chronologie d’incident. Captures, heures, actions. Même 6 lignes dans un ticket. C’est ce qui évite de refaire les mêmes erreurs, et ça protège aussi l’équipe quand il faut expliquer.
Limiter l’impact : privilégier les actions réversibles, valider avant reboot, et communiquer. Un reboot “pour voir” sur un serveur critique, sans prévenir, c’est rarement bien vécu.
Intégration opérationnelle : monitoring, accès, et gouvernance (pour éviter le bricolage)
Le PiKVM doit sortir du mode gadget. Sinon il finit oublié, non patché, accessible trop largement. Et le jour J, soit il ne marche pas, soit il est dangereux.
Gestion des accès :
- comptes nominatifs
- RBAC si possible, sinon au moins séparation admin / lecture
- principe du moindre privilège, et accès temporaire quand c’est pertinent
Process :
- qui a le droit d’utiliser PiKVM
- dans quels cas
- comment on trace l’intervention
- approbation, même légère, pour les actions destructrices (power cycle, boot ISO)
Documentation :
- schéma réseau OOB
- ports physiques, câbles, numéros de prises, ports switch
- procédure de recovery validée, pas théorique
- bibliothèque d’ISO “approuvées”, à jour, hashées si tu veux être carré
Standardisation :
- un “kit PiKVM” par site ou par baie
- conventions de nommage, plan IP, étiquettes
- inventaire. Et oui, même en petite infra.
Plan de continuité : PiKVM ne remplace rien de fondamental. Il s’ajoute à un PRA réaliste. Sauvegardes testées, restauration testée, runbooks. PiKVM te redonne une main, il ne te redonne pas le temps perdu.
Conclusion : PiKVM comme assurance hors-bande (simple, puissant, à sécuriser)
PiKVM, c’est une assurance hors bande. Simple dans l’idée, très puissant en pratique : accès console et BIOS/UEFI, clavier et souris, média virtuel, et parfois le power. En dernier recours, c’est souvent ce qui fait la différence entre “on attend quelqu’un sur site” et “on rétablit en 15 minutes”.
Mais le message clé côté sécurité est non négociable : c’est un outil qui donne un contrôle quasi total. Donc isolation réseau, durcissement, contrôle d’accès, et un minimum de gouvernance. Obligatoires.
Le meilleur chemin si tu débutes : commence petit. Un serveur critique, un PiKVM bien posé, un VLAN OOB propre, une procédure d’urgence testée. Puis seulement après, tu généralises.
Et si tu veux aller plus loin, le bon prochain pas c’est souvent un mini audit de ton périmètre OOB : qui peut accéder à quoi, depuis où, comment c’est tracé. Parce que le hors bande, c’est ton parachute. Tu veux éviter de découvrir qu’il est troué au moment de sauter.
Questions fréquemment posées
Qu'est-ce qu'un PiKVM et pourquoi est-il crucial en situation d'urgence ?
Un PiKVM est un KVM sur IP hors bande (OOB) qui permet d'accéder à la console vidéo, clavier et souris d'un serveur même lorsque le réseau ou l'OS est indisponible. En situation d'urgence, il devient indispensable car il offre un accès direct au BIOS, UEFI, ou aux médias virtuels pour dépanner un serveur inaccessible autrement.
Quelle est la différence entre un accès 'in band' et un accès 'out of band' comme avec le PiKVM ?
L'accès 'in band' dépend du système d'exploitation et du réseau (SSH, VPN, RDP), donc si l'OS est KO ou le réseau cassé, on perd l'accès. L'accès 'out of band', comme avec le PiKVM, contourne l'OS et le réseau en offrant une console vidéo et un contrôle clavier/souris indépendants, permettant de voir et contrôler la machine même en cas de panne système.
Comment intégrer un PiKVM dans une architecture sécurisée de gestion hors bande ?
Le PiKVM doit être placé sur un réseau de management séparé (VLAN OOB), non accessible depuis le LAN utilisateur. L'accès admin se fait via VPN et bastion ou jump host avec des règles firewall strictes et whitelist d'IP. Il faut documenter précisément son existence pour éviter tout accès non autorisé, car il donne un contrôle complet sur le serveur.
Quelles sont les principales fonctionnalités offertes par un PiKVM ?
Un PiKVM offre : 1) une console vidéo HDMI pour voir l'écran du serveur comme si on y était physiquement ; 2) injection clavier et souris USB pour contrôler la machine à distance ; 3) montage de médias virtuels ISO pour booter sur des outils de dépannage ou installation. Selon la configuration, il peut aussi offrir capture d'écran, contrôle d'alimentation via relais ou PDU, et fonctions GPIO avancées.
Quels sont les risques de sécurité liés à l'utilisation d'un PiKVM ?
Le PiKVM constitue une porte critique donnant accès complet au serveur : interface web vulnérable, ports SSH exposés, accès au VLAN OOB mal segmenté, contrôle de l'alimentation pouvant provoquer des redémarrages sauvages. Un accès physique non protégé au boîtier compromet aussi la sécurité. Il faut donc appliquer des mesures strictes pour limiter sa surface d'attaque.
Pourquoi est-il important de documenter l'existence et la configuration du PiKVM ?
Un PiKVM non documenté équivaut à laisser une clé sous le paillasson : c'est une porte dérobée que n'importe qui pourrait utiliser sans contrôle. Documenter son emplacement, ses accès et configurations assure une gestion sécurisée et évite les accès magiques ou involontaires qui pourraient compromettre la sécurité périmétrique globale.
0 Commentaires