服务器 Gind.cn
  1. 服务器 Gind.cn
  3. IPMI只能通过HTTP
Intereting Posts
Bacula替代? 从nslookup获取反向查找答案,但不是从挖掘 syslog-ng mongodb插件configuration 在多个硬件RAIDarrays负载平衡 – 软RAID 0可以接受? 邮件中继后缀/交换 维护Windows服务器的指南 在不同的Sharepoint 2007站点上显示文档库文件夹内容 适用于2位以上访客的VMware vSphere DRS关联性规则 MSSQL:独立的dev和prod数据库作为共享硬件上的独立实例? Microsoft部署工具包2012错误 一台笔记本电脑,两台投影仪(同一图像) Hyper-V,Linux。 我可以安装鼠标和graphics集成吗? powershell Get-WinEvent cmdlt:通过时间戳过滤不产生预期的结果? Mod安全规则阻止密码攻击 在Win2008域中启用AESencryption的单点login到Apache

IPMI只能通过HTTP

实际上,我正在为客户进行安全审查,我对IPMI案例感到困惑。

如果我是正确的,协议是有缺陷的devise,从而直接暴露在networking上的IPMI服务(udp / 623)到密码哈希提取。

了解到,只允许通过HTTP的IPMI(即通过由Dell,SuperMicro等几个提供商提供的Web UI),这是一个很好的缓解措施?

作为结论,这是可能的吗?! 还是应该IPMI特定端口始终监听?

谢谢您的回答。

简短的回答是肯定的,HTTPS是可能的,udp端口621不一定是必需的。 当前的维基百科页面在此处的 “当前安全状态”中说明了这一点 。

IPMI通过HTTPS支持使用SSL与证书进行安全通信。

在数据中心或任何大中型部署中,通过使用RADIUS身份validation,授权和记帐的RADIUS服务器,可以轻松地使用默认简短密码或“密码0”黑客。 用户的RADIUS服务器可以configuration为使用FreeRADIUS / OpenLDAP或Microsoft Active Directory及相关服务以安全的方式将AAA安全地存储在LDAP数据库中。

因此,谨慎的最佳做法是在LDAP / RADIUS中禁用“操作员”和“pipe理员”angular色,并且仅在LDAP / RADIUSpipe理员需要时启用它们。 例如,在RADIUS中,angular色可以将其设置Auth-Type更改为: 

Auth-Type := Reject

这样做会阻止RAKP哈希攻击成功,因为用户名将被RADIUS服务器拒绝。