web-dev-qa-db-ja.com

専用サーバー-ipmiを保護する方法

専用サービスを提供する場合、パブリックネットワークまたはカーネルモジュールを介してIPMIを保護するためのベストプラクティスは何ですか。

まず、誰かが私のネットワークをスキャンして、いくつかのIPMIカードを見つけた場合、彼はそれを制御できないことを確認したいと思います。匿名アカウントを介してsupermicroIPMI経由でメールを送信できるバグがありました。パブリックのないローカルネットワークでのみIPMIを使用することをお勧めしますが、クライアントはVPNを使用してIPMIにアクセスすることに満足しません。

次に、ipmitoolコマンドを使用して、ユーザー認証なしでIPMI構成を管理できます。お客様がIPMI設定を変更するのを防ぎたい-例: IPアドレス、監視ユーザーの削除、.。

あなたのベストプラクティスは何ですか?もしあなたがそれに直面したならば、あなたはこの問題をどのように解決したでしょうか?

7
Yarik Dot

IPMIの主な利点は、カーネルが通常機能しないSHTFの場合の帯域外アクセスです。したがって、オペレーティングシステムの外部へのアクセスを許可する必要があります。 VPNを設定するか、少なくとも、クライアントがsshトンネルなどを介してIPMIにアクセスする方法を設定します。

あなたは、IPMIをパブリックインターネットに公開することに警戒しているのは正しいことです。クライアントが追加のセキュリティについて不満を言っている場合、彼らはあなたが対処したいと思うような種類の顧客ではありません。

6
EEAA

まず、誰かが私のネットワークをスキャンして、IPMIカードを見つけた場合、彼はそれを制御できないことを確認したいと思います。

Supermicroシステム上のBMCには、昨年中に特に厄介なバグがいくつかありました。システムが最新のファームウェアを実行していることを確認してください。このファームウェアは、「匿名ユーザー」バグや 悪名高い暗号ゼロ バグのように ほとんどのバグ に対処します。これらのファームウェアは最近のマザーボード(X8、X9、およびX10世代。通常は3〜4年前に出荷されたX7世代では使用できません)でのみ使用できるため、ハードウェアは最新のハードウェアである必要があります。

アップデートがあっても、SupermicroのIPMIにはまだバグがあります。パスワードは、ネットワークを介して平文で送信されます。私の世界では、IPMIは絶対にプライベートネットワーク上にあり、いくつかの特別な管理ノードからのみ利用可能である必要があります。

パブリックのないローカルネットワークでのみIPMIを使用することをお勧めしますが、クライアントはVPNを使用してIPMIにアクセスすることに満足しません。

IPMIは、システム管理者にとって優れた管理ツールです。その性質上、これはハッカーにとっても素晴らしいバックドアであることを意味します。 IPMIネットワークにアクセスできれば、200台すべてのマシンの電源を数分以内にオフにしたり、次回の起動時にすべてのノードにPXEbootを指示したりできます(その時点でディスクにあるものはすべて上書きされる可能性があります)。これを顧客にうまく説明できれば、顧客はVPNの知恵を理解するかもしれません。

次に、ipmitoolコマンドを使用して、ユーザー認証なしでIPMI構成を管理できます。お客様がIPMI設定を変更するのを防ぎたい-例: IPアドレス、監視ユーザーの削除、.。

ipmitool、FreeIPMIなどがデフォルトでシステムにインストールされていないことを確認してください。お客様のドキュメントに、これらのツールをOSにインストールすることは潜在的なセキュリティ問題であり、これらのツールをインストールする場合はリスクを負うという警告を追加します。

2

わかりました、おそらく最終的な解決策は非常に簡単です。 IPMIのADMINユーザーがいるので、サーバーを起動/停止/再起動するためにipmitoolコマンドを実行する簡単なインターフェイスを作成できます。

Webconsoleについては、いくつかの調査を行いました。 Supermicroは、ポート番号といくつかの資格情報のみを含むjviewer.jnlpファイルを生成します。第一に、署名があり、内容を変更できないと思いました。それにもかかわらず、署名はなく、私はそこに好きなものを置くことができます。

そのため、インターフェイスの一部として、コンソールボタンを作成します。このボタンは、コンソールに必要なポートを一時的に許可するようにファイアウォールを構成し、jviewerファイルをダウンロードして更新し、クライアントに渡します。

開発にはいくらか費用がかかりますが、ローカルネットワークに管理カードを配置し、必要に応じてパブリックネットワークからアクセスできるようになります。

1
Yarik Dot