服务器 Gind.cn
  1. 服务器 Gind.cn
  3. 强制戴尔iDracs和BMC使用lanplus而不是lan接口
Intereting Posts
Amazon在哪里按区域发布用于EC2实例的IP地址范围? Mac OS X服务器(SL) – 系统首选项 ModRewrite域 如何从“root用户身份validation失败太多” Hyper-V客户端networking辍学 nodejs没有收到转发端口的请求 Windows 7 / Cygwin上的SSH定期无法parsing主机名 只能调出两个接口之一 如何为Hyper-V客户端重新启用VM IC时间同步提供程序? 在一个NIC上的两个虚拟接口之间的路由Linux 需要一个弹性IP接口(DRBD&EC2) 将HTTP请求中继到多个Web服务器 如何使用连接而不是驱动器号来组织多个磁盘上的多个共享的DFS复制? 如何为GlusterFS分区目录系统? 在运行pg_dump的过程中,对于PostgreSQL的Monit“alive”检查往往会失败,还有更好的办法吗?

强制戴尔iDracs和BMC使用lanplus而不是lan接口

有没有办法强制我的戴尔BMC和iDrac卡只使用lanplus接口,而不是使用不安全的“LAN”接口。 我知道IPMI规范中有一些“防火墙”function。 限制机箱之间的某些function,但是我不知道是否可以这样使用。

更新:我的箱子都在交换环境中。 我的服务器或工作桌面之间没有NAT。 我正在使用ipmitool -I lanplus -H myhost -u root -p密码-K sol activate“通过IPMI与串行控制台交谈。

update2:当我在交换环境中时,我无法控制交换机。 如果我不能在主持人或idrac本身做,那么这是一个非起动器。

您可以:

1 – 使用Dell DRACconfiguration公用程序lockingDRAC安装

2 – 使用BMCpipe理公用程序对BMC执行相同操作。 最后请看我的参考资料。

3 – 根据IPMI实施情况,可以使用.conf文件禁用LAN接口,或者执行命令禁用它,或者closuresLAN信道。

4 – 通过识别使用的端口并禁止它们或使用重置来在networking级别上拒绝LAN上的IPMI。

虽然使用lanplus而不是局域网将有助于解决IPMI的明文密码广播问题,但我不相信这是最好的方法,而且鉴于IPMI的传统特性和较老的弱密码,它可能不是安全的。

所以,我会以另一种方式提出你的问题。

“如何安全地使用iDrac和BMC,并创build一个安全的带外(OOB)networking?”

我的理解是这是你真正想要做的。

背景信息:iDRAC和BMC是带外pipe理设备,用于启用LAN和串行连接。 见http://en.wikipedia.org/wiki/IBM_Remote_Supervisor_Adapter&http://en.wikipedia.org/wiki/Dell_DRAC

基于风险,以下是您需要考虑的一些想法:

1 – 如果创build安全的OOB LAN,请使用带有强authentication的标准VPN /防火墙或ASAtypes的设备。

2 – 将IPMI / OOB LAN与常规LANstream量分开,并且不要将它们交叉连接,除非是其他pipe理networking。 尝试将IPMI / OOBnetworkingclosures到其他局域网,如果需要使用它们。

3 – 对于所有连接的基础架构和用户angular色,最小权限/拒绝全部(未使用)。 只有安全pipe理员和networkingpipe理员才能访问此基础架构。 根据IPMI的实施情况,这些协议中的一些甚至可能不会触及CPU,因此主机configuration可能无助于保护它们。

4 – 用于访问串行访问集中器/ KVM的强authentication器。

5 – 使用高安全性的串行接入集中器,专门用于强身份validation者和潜在angular色等。 例如,请参阅http://www.raritan.com/cac-reader/了解安全KVM /串行解决scheme的示例。

6 – 如果您被迫使用telnet或其他不安全的协议,请通过SSH,SSL,IPSEC等安全隧道

7 – lockingBMC / DRAC的任何pipe理工作站

8 – 如果您的软件支持,请禁用传统和不安全的协议,例如telnet,最好使用SSH或IPSEC

9 – 考虑将审计/日志logging启用到中央位置,特别是在OOB访问组件上

10 – authentication信息来源(TACACS / RADIUS /等)

11 – 为正在使用的IPMI的长度和版本select可能的最强authentication密钥types。 也想到随机密码和密码控制。 利伯曼的企业随机密码pipe理器看起来非常漂亮。

12 – 看看一些更高级的networkingpipe理工具是否可以帮助你执行一些操作。 IPMI采用者列表软件供应商可能正在构build这些function中的一部分。

13 – 考虑可能的IPMI替代品,例如vPro或其他标准。

使用的参考:

http://support.dell.com/support/edocs/software/smdrac3/idrac/idrac10mono/en/ug/html/racugc1k.htm

http://support.dell.com/support/edocs/software/smbmcmu/1.2/en/ug/bmcugc0d.htm

http://support.dell.com/support/edocs/software/smdrac3/idrac/idrac14modular/en/ug/html/chap07.htm

http://www.cisco.com/en/US/docs/solutions/Enterprise/Security/SAFE_RG/chap9.html

http://www.sans.org/reading_room/whitepapers/networkdevs/securing-out-of-band-device-management_906

http://www.gnu.org/software/freeipmi/manpages/man5/bmc-config.conf.5.html

http://ipmitool.sourceforge.net/

http://www.gnu.org/software/freeipmi/

http://publib.boulder.ibm.com/infocenter/lnxinfo/v3r0m0/topic/liaai/ipmi/liaaiipmi.htm

http://www.intel.com/design/servers/ipmi/adopterlist.htm

IPMI边带如何与主机共享以太网端口?

http://www.liebsoft.com/Enterprise_Random_Password_Manager/

虽然我从来没有亲自尝试过这一点,但我认为可以禁用所有的IPMI 1.5authentication机制,只启用IPMI 2.0authentication机制,这可能会使IPMI 2.0(即ipmitool lanplus)连接工作,但所有IPMI 1.5(即ipmitool lan)连接不可能。

我对FreeIPMI比ipmitool更熟悉,但在ipmitool中,我认为IPMI 1.5authentication是通过“lan set auth”configuration的,IPMI 2.0是通过“lan set cipher_privs”来configuration的。

(在FreeIPMI的bmc-config中分别是Lan_Conf_Auth和Rmcpplus_Conf_Privilege部分。)

当然,你仍然需要巧妙configuration的东西。 例如,启用允许不进行身份validation的密码套件将非常糟糕。