服务器 Gind.cn
  1. 服务器 Gind.cn
  3. 保护DRAC / ILO
Intereting Posts
当没有相同dn的现有帐户时,dsadd从batch file运行失败,并显示“指定帐户已存在” IIS – 如何强制Windows身份validation,然后回落到匿名身份validation MongoDB和不适合内存的数据集,无论你多么努力 事情检查一个面向互联网的电子邮件服务器 从私有VPC子网访问Internet? 如何信任我自己的自签名SSL证书? 如何debugging一个leeching apache进程? Exchange限制内部邮件限制UNLIMITED,发送1024kb Exchange 2007? 虚拟化时需要购买多个Windows许可证吗? 在脚本中input本地pipe理员用户名和密码 如何授权外部域名发送到我们在Office365的分发名单? 安装了libssh2-php,但没有使用php -m的ssh2 VNC文件通过命令行传输 如何停止使用apache2回答某些域? Bash脚本来configurationBIND9

保护DRAC / ILO

可能重复:
iLO是否安全到可以挂在广域网上?

这可能是一个愚蠢的问题,但DRAC / ILO都有HTTP服务器接口。

如果我嘲笑IP的端口80,我碰到这样一个页面,我知道它是一个高价值的目标,如果我能破解它,我可以在一定程度上控制服务器(可能安装另一个OS)。

除了更换港口之外,在面向公众互联网的机器上保护DRAC / ILO的最佳做法是什么?

他们都接受上传自己的SSL证书,所以这是我会做的第一件事情。 如果您拥有足够的这些服务器,则有可能拥有自己的证书服务器,并将其证书安装为受信任的发布者。

请注意,所做的一切就是确保你连接的ILO / iDrac是你的,而不是被redirect到蜜jar。

我们做的另一件事是保护他们不要让他们面对公共互联网。 我们把所有的iDrac都放在一个独立的vlan上,只有在连接到VPN后才能访问。 这意味着一些事情:

  1. VPN发生故障,最好有另一种方法进入设备
  2. 你不是在虚拟世界里“浪费”一个公共IP地址
  3. 没有人不在VPN上可以访问设备

也就是说,我们确实有一个把iDrac放在公共IP上的客户。 如果你要走这条路:

  1. 如果可以的话,限制iDrac / ILO的防火墙的IP地址。 如果你不知道自己要去哪里,有时候这很难做,但如果你知道自己永远不会说中国,那么这是一个很好的起点。 将属于您要访问的国家/地区的白名单IP阻止大量恶意stream量。
  2. 更改默认的密码,为了上帝的缘故。 使用像KeePass或类似的东西,并生成一个64个字符的密码。 看看这个博客文章,如果你想知道更多为什么这是重要的。 其实是关于哈希,但重点是一样的。 如果你只拿一件东西,那就是如果设备中存在漏洞,并且设法抓取用户数据库的副本,那么8个字符的基本密码可能在4个小时内被破解,甚至没有尝试。

你不要把它们放在互联网上。 使用VPN的。

最佳常见做法是将DRAC / iLO端口实际上保留在外部路由networking之外。 您通常会使用一个使用RFC1918私有IP空间的pipe理networking,而不是通过您的外部边缘路由器进行路由。 无需从外部IP地址访问DRAC / iLO,因此私有IP空间是防止被黑客窃取的最佳方式。 如果您需要能够远程访问它们,则一旦从远程源连接到VPN,就可以使用VPN解决scheme访问DRAC / iLOpipe理networking。