我有一个超级微型主板上的IPMI服务器,我无法禁用。 甚至没有跳线来禁用这个。 在看到他们提供的IPMI服务器的所有安全问题后,我只是决定我不想和它做任何事情。
我有一个想法打破这个networking。 您可以selectDHCP或静态IP地址。
我的想法是把地址设置成永远不会工作的东西。
IP:0.0.0.0子网:0.0.0.0网关:0.0.0.0
第二个想法:IP:192.168.0.0子网:255.255.255.255网关:0.0.0.0
这两个工作是否会? 我担心如果我select一个像192.168.0.0这样的IP地址,如果有人直接连接到端口并发送数据包到networking地址,那么可能会导致一个问题。 有没有更好的IP可以用来打破任何人连接到我的IPMI服务器的能力?
这两个工作是否会? 我担心如果我select一个像192.168.0.0这样的IP地址,如果有人直接连接到端口并发送数据包到networking地址,那么可能会导致一个问题。
如果他们有实际的访问权限来做这件事,那么你的问题会更大。
select随机IP地址的问题是,任何人都可以最终find它。 但是,如果他们有权访问它,他们可能有权重置IPMI并使用默认值。 但是,如果他们有权访问重置IPMI接口,他们可以访问只是推出了驱动器,并与他们一起运行。
然后有一个事实,IPMI可以configuration为共享一个接口,而不是使用内部接口,这意味着甚至拔掉它,并且环绕接口可能不足以做你想要的。
哦,对,然后有一个事实,IPMI可以使用ipmitool本地访问。 (我认为你实际上指的是IPMI over LAN,这是对IPMI的一种强化)。
所以,虽然我同情你的情况,但我不认为你会从你的系统中完全消除IPMI。 为了最小化IPMI表面积:
这真的是你可以做的最好的。 通过设置一个强大的密码,您可以阻止人员进入并设置IPMI使用共享接口并阻止他们使用ipmitool ,并且通过拔下和pipe理服务器的物理安全性,您应该能够停止远程直接攻击IPMI Over LAN接口。
在169.254.xx自动configuration范围内select一些东西。