Was ist Ihre beste Vorgehensweise bei der Bereitstellung dedizierter Dienste, um IPMI entweder vor öffentlichen Netzwerken oder über das Kernelmodul zu schützen?
Erstens möchte ich sichergehen, dass jemand, der meine Netzwerke scannt und IPMI-Karten findet, nicht in der Lage ist, die Kontrolle darüber zu erlangen. Es gab einen Fehler, der das Senden von E-Mails über Supermicro IPMI über ein anonymes Konto ermöglicht. Ich weiß, dass es eine gute Praxis ist, IPMI nur in lokalen Netzwerken ohne Öffentlichkeit zu verwenden, aber Clients werden sich nicht über die Verwendung von VPN für den Zugriff auf IPMI freuen.
Zweitens können Sie den Befehl ipmitool verwenden, um die IPMI-Konfiguration ohne Benutzerauthentifizierung zu verwalten. Ich möchte verhindern, dass Kunden die IPMI-Einstellungen ändern - z. B. IP-Adresse, Entfernen meiner Überwachungsbenutzer, ...
Was ist Ihre beste Praxis? Wie hätten Sie dieses Problem gelöst, wenn Sie sich dem gestellt hätten?
Antworten:
Der Hauptvorteil von IPMI ist der Out-of-Band-Zugriff für SHTF-Gelegenheiten, bei denen der Kernel normalerweise nicht funktionsfähig ist. Sie sollten also den Zugriff außerhalb des Betriebssystems zulassen. Richten Sie ein VPN ein oder zumindest eine Möglichkeit für Ihre Clients, über einen SSH-Tunnel oder ähnliches auf IPMI zuzugreifen.
Sie haben Recht, wenn Sie IPMI dem öffentlichen Internet aussetzen. Wenn sich Ihre Kunden über die zusätzliche Sicherheit beschweren, sind sie nicht die Art von Kunden, mit denen Sie sich befassen möchten.
quelle
Die BMCs auf Supermicro-Systemen hatten im letzten Jahr einige besonders schlimme Fehler. Stellen Sie sicher, dass auf Ihren Systemen die neueste Firmware ausgeführt wird, mit der die meisten Fehler wie der Fehler "Anonymer Benutzer" und der Fehler " Infamous Cipher Zero" behoben werden. Beachten Sie, dass diese Firmwares nur für neuere Motherboards verfügbar sind (X8-, X9- und X10-Generationen; normalerweise nicht für die X7-Generation, die vor drei bis vier Jahren ausgeliefert wurde). Daher muss Ihre Hardware moderne Hardware sein.
Trotz der Updates ist das IPMI von Supermicro immer noch fehlerbehaftet. Passwörter werden im Klartext usw. über das Netzwerk übertragen. In meiner Welt muss sich IPMI unbedingt in einem privaten Netzwerk befinden und nur von wenigen speziellen Verwaltungsknoten verfügbar sein.
IPMI ist ein großartiges Verwaltungstool für Systemadministratoren. Dies bedeutet von Natur aus, dass es auch eine schöne Hintertür für Hacker ist. Wenn ich Zugriff auf das IPMI-Netzwerk erhalte, kann ich interessante Dinge tun, z. B. alle 200 Computer innerhalb weniger Minuten ausschalten oder jeden einzelnen Knoten beim nächsten Start an PXEboot senden (und möglicherweise alles überschreiben, was sich gerade auf den Festplatten befindet). Wenn Sie Ihren Kunden dies gut erklären können, erkennen sie möglicherweise die Weisheit eines VPN.
ipmitool
Stellen Sie sicher, dass FreeIPMI usw. nicht standardmäßig auf dem System installiert sind. Fügen Sie in Ihrer Kundendokumentation eine Warnung hinzu, dass die Installation dieser Tools auf dem Betriebssystem ein potenzielles Sicherheitsproblem darstellt. Wenn sie diese Tools installieren, übernehmen sie ein gewisses Risiko.quelle
Ok, meine wahrscheinlich endgültige Lösung ist sehr einfach. Da ich einen ADMIN-Benutzer für das IPMI habe, kann ich eine einfache Schnittstelle schreiben, die ipmitool-Befehle zum Starten / Stoppen / Neustarten von Servern ausführt.
Für die Webkonsole habe ich einige Nachforschungen angestellt. Supermicro generiert die Datei jviewer.jnlp, die nur Portnummern und einige Anmeldeinformationen enthält. Erstens dachte ich, dass es eine Signatur gibt und ich den Inhalt nicht ändern kann. Trotzdem gibt es keine Unterschrift und ich kann dort setzen, was ich will.
Als Teil meiner Benutzeroberfläche werde ich eine Konsolentaste erstellen, die eine Firewall so konfiguriert, dass die von der Konsole benötigten Ports vorübergehend zugelassen werden. Außerdem wird die Jviewer-Datei heruntergeladen, aktualisiert und an den Client übergeben.
Es wird mich einige Entwicklungskosten kosten, aber es wird mir ermöglichen, Verwaltungskarten im lokalen Netzwerk zu haben und sie bei Bedarf auch über das öffentliche Netzwerk zugänglich zu machen.
quelle