如何保护戴尔Idrac卡？

从安全angular度来看，远程pipe理控制器通常是有问题的，因为它们是相当全function的系统（（像DRAC系列一样，是基于Linux的系统），可以放到卡上，并且可以完全访问服务器硬件，很less，如果有的话，更新。 从专用的pipe理networking访问它们（就像你在做的那样）是必要的最低安全级别。

但是，您担心有人访问您的服务器，然后通过DRACpipe理您的pipe理networking。 这在理论上是可能的，但是很困难，因为系统之间交换的数据是相当小的。 如果您愿意忍受这些缺点，尽可能多地禁用系统和DRAC之间的通信将会减less您的攻击面。

需要注意的一件事是，对DRAC的本地访问需要对运行在服务器上的操作系统的pipe理访问权限，但不要求超出此范围的authentication。 如果您正在运行Unix并以root用户身份运行racadm或omconfig （或其中一个IPMI工具），则您将拥有对DRAC的pipe理访问权限。

使用racadm config -g cfgRacTune -o cfgRacTuneLocalConfigDisable 1禁用本地DRAC访问的主要缺点是，您将不能再在本地更改DRAC的configuration，如果需要重新configurationDRACnetworking，这可能会产生最大的潜在影响某些时候的设置。 这样做需要谨慎，因为您可能会使自己无法进一步远程configuration。 据我所知，即使禁用本地configuration，您仍然可以通过服务器的BIOS修改DRAC设置。

请注意，此设置不会禁用两者之间的通信。 本地程序仍然可以从DRAC读取configuration参数。 基于IPMI的工具应该看到与racadm相同的效果; 所有的设置都应该是只读的，但传感器读数等东西仍然可以工作。 如果您安装了OpenManage Server Administrator软件，则必须查看可以使用omconfig更改哪些与DRAC相关的设置（希望是none）。

Mxx提到禁用“OS到iDRAC直通”。 我还没有使用iDRAC7（我有几个订单），但是文档表明这是主系统和DRAC之间更快的通信通道。 禁用它可能不会为你带来function上的差异 – 两者之间的通信仍然会发生，只是通过IPMI而不是通过NIC – 但它也不会给你带来不便（因为你想尽可能地限制通信尽可能），所以我会继续并禁用它。

你在这里担心什么？ 您的configuration有公共IP的iDRAC将会受到影响？ 或者有人可能会损害主机，并以某种方式使用iDRAC对其他pipe理控制器发起攻击？

对于前者，我build议你不要让iDRAC直接暴露在互联网上。 在路由器中使用一些ACL来防止未经授权的IP访问它。 如果可以的话，把它放在一个私人的IP块，所以这不是一个问题。

对于后者，类似的事情起作用。 使用路由器ACL确保iDRAC只能与授权的pipe理设备进行通信，而不会受到任何感觉。

戴尔build议将iDRAC端口置于物理专用的局域网上，并消除人们对这种function理性的担忧。

我不熟悉racadm命令，但是在iDRAC7 gui中，有一个名为“ OS To iDRAC Pass-through的选项。 其描述是：

使用此页面启用内部系统通信通道，通过共享LOM或专用NIC在iDRAC7与主机操作系统之间提供高速双向带内通信。 这适用于具有networking子卡（NDC）或主板上LAN（LOM）设备的系统。

我认为这是你想确保被禁用的东西。

此外，而不是使用本地用户帐户，可能是有意义的实施AD / LDAPauthentication。 这样你可以设置失败的login通知/locking。