专用服务器 – 如何保护ipmi

IPMI的主要优点是SHTF场合的带外访问，其中内核通常不起作用。 所以，你应该允许在操作系统之外访问。 build立一个VPN，或者至less是你的客户通过SSH隧道或其他东西访问IPMI的一种方式。

警惕将IPMI暴露给公共互联网是正确的。 如果你的客户抱怨额外的安全，那么他们不是你想要处理的那种客户。

好吧，我可能最终的解决scheme非常简单。 由于我有ADMIN用户IPMI，我可以编写一个简单的界面，将运行ipmitool命令来启动/停止/重新启动服务器。

对于webconsole，我做了一些研究。 Supermicro生成仅包含端口号和一些凭据的jviewer.jnlp文件。 首先，我认为有一些签名，我不能改变内容。 不过，没有签名，我可以把我想要的东西放在那里。

所以，作为我的界面的一部分，我将创build控制台button，它将configuration一个防火墙，以暂时允许控制台所需的端口，也将下载jviewer文件，更新它并将其传递给客户端。

这会花费我一些开发，但是它可以让我在本地networking上有pipe理卡，并且在需要时也可以从公共networking访问它们。

首先，我想确定，如果有人扫描我的networking，他发现一些IPMI卡，他将无法控制它。

Supermicro系统上的BMC在去年有一些特别讨厌的bug。 确保你的系统运行的是最新的固件，它解决了大部分的错误，比如'匿名用户'的bug和臭名昭着的密码零错误。 请注意，这些固件仅适用于最近的主板（X8，X9和X10;通常不适用于3-4年前发货的X7），因此您的硬件需要成为现代硬件。

即使有更新，Supermicro的IPMI仍然存在bug。 密码通过networking传输，等等。在我的世界里，IPMI必须绝对在一个专用networking上，并且只能从一些特殊的pipe理节点上获得。

我知道只在本地networking中使用IPMI是非常好的做法，但是客户不会乐意使用VPN来访问IPMI。

IPMI是系统pipe理员的一个很好的pipe理工具。 这就意味着它对于黑客来说也是一个很好的后门。 如果能够访问IPMInetworking，我可以做一些有趣的事情，比如在几分钟内closures所有200台计算机，或者在下次启动时告诉每个节点PXEboot（可能会覆盖当前磁盘上的所有内容）。 如果你可以很好地向你的客户解释这一点，他们可能会看到VPN的智慧。

其次，您可以使用ipmitool命令来pipe理IPMIconfiguration，而无需用户身份validation。 我想阻止客户更改IPMI设置 – 例如IP地址，删除我的监控用户，…

确保系统上默认没有安装ipmitool ，FreeIPMI等。 在您的客户文档中，添加一个警告，在操作系统上安装这些工具是一个潜在的安全问题，如果他们安装这些工具，他们承担一些风险。