Dell Idracカードを保護するにはどうすればよいですか？

リモート管理コントローラーは、サーバーのハードウェアへのフルアクセスが可能なカードにドロップされるかなりフル機能のシステム（他の多くのように、（i）DRACシリーズはLinuxベースです）であるため、一般にセキュリティの観点から問題があります。まれに、更新されます。専用の管理ネットワークから（あなたがしているように）アクセスすることは、必要最低限​​のセキュリティです。

ただし、誰かがサーバーにアクセスし、DRACを通過して管理ネットワークに侵入することを心配しています。これは理論的には可能ですが、システム間で交換されるデータがかなり少ないため、困難です。欠点に対処したい場合は、システムとDRAC間の通信を可能な限り無効にすると、攻撃対象が減ります。

注意が必要なのは、DRACへのローカルアクセスには、サーバーで実行されているOSへの管理アクセスが必要ですが、それ以上の認証は必要ないことです。 Unixを実行していて、racadmまたはomconfig（またはIPMIツールの1つ）をrootとして実行している場合、DRACへの管理アクセス権があります。

racadm config -g cfgRacTune -o cfgRacTuneLocalConfigDisable 1でローカルDRACアクセスを無効にすることの主な欠点は、DRACの構成をローカルで変更できなくなることです。ある時点でDRACのネットワーク設定を再構成する必要がある場合、おそらくこれが最大の潜在的影響を及ぼします。 。リモートでそれを構成できなくなる可能性があるため、これを行うには注意が必要です。私の知る限り、ローカル構成が無効になっていても、サーバーのBIOSからDRAC設定を変更できます。

この設定は2つの間の通信を無効にしないことに注意してください。ローカルプログラムは、DRACから構成パラメータを読み取ることができます。 IPMIベースのツールはracadmと同じ効果を示すはずです。すべての設定は読み取り専用にする必要がありますが、センサーの読み取り値などは引き続き機能します。 OpenManage Server Administratorソフトウェアをインストールしている場合は、omconfigで変更できるDRAC関連の設定を確認する必要があります（できればなし）。

Mxxは、「OS to iDRACパススルー」の無効化について言及しました。私はまだiDRAC7を使用していません（注文したものがいくつかあります）が、これはメインシステムとDRAC間のより高速な通信チャネルであることをドキュメントが示しています。これを無効にしても機能上の違いはないでしょう-2つの間の通信はNIC経由ではなくIPMI経由で行われますが、不便はありません（通信をできるだけ制限したいため）できるだけ）、私は先に進んでそれを無効にします。

デルは、iDRACポートを物理的に専用のLAN上に配置することをお勧めします。これにより、そのような機能に関する合理的な懸念の多くが解消されます。

ここであなたの懸念は何ですか？パブリックIPで構成されたiDRACが危険にさらされることになりますか？または、誰かがホストマシンを危険にさらし、どういうわけかiDRACを使用して他の管理コントローラーに対して攻撃を仕掛ける可能性がありますか？

前者については、iDRACを直接インターネットに公開したままにしないことをお勧めします。ルーターでいくつかのACLを使用して、不正なIPがアクセスしないようにします。可能であれば、プライベートIPブロックに配置して、問題が少なくなるようにします。

後者の場合、同様のことが機能します。ルーターACLを使用して、iDRACが許可された管理マシンとのみ通信できるようにし、地獄とは通信できないようにします。

racadmコマンドについてはよく知りませんが、iDRAC7 GUIにはOS To iDRAC Pass-throughというオプションがあります。その説明は次のとおりです。

このページを使用して、共有LOMまたは専用NICを介したiDRAC7とホストオペレーティングシステム間の高速双方向帯域内通信を提供する内部システム通信チャネルを有効にします。これは、ネットワークドーターカード（NDC）またはLAN On Motherboard（LOM）デバイスを搭載したシステムに適用されます。

これは、無効になっていることを確認したいものだと思います。

さらに、ローカルユーザーアカウントを使用する代わりに、AD/LDAP認証を実装することはおそらく意味があります。これにより、失敗したログイン通知/ロックアウトを設定できます。