Каковы ваши лучшие практики при предоставлении выделенных услуг для защиты IPMI из общедоступной сети или через модуль ядра.
Во-первых, я хочу быть уверен, что если кто-то просканирует мои сети и найдет какие-то карты IPMI, он не сможет получить над ними контроль. Была ошибка, позволяющая отправлять электронные письма через supermicro IPMI через анонимную учетную запись. Я знаю, что использование IPMI только в локальных сетях без общедоступных является хорошей практикой, однако клиенты не будут довольны использованием VPN для доступа к IPMI.
Во-вторых, вы можете использовать команду ipmitool для управления конфигурацией IPMI без аутентификации пользователя. Я хотел бы запретить клиентам изменять настройки IPMI - например, IP-адрес, удаление моих отслеживающих пользователей, ...
Какая у вас лучшая практика? Как бы вы решили эту проблему, если бы столкнулись с ней?
Основным преимуществом IPMI является внеполосный доступ для случаев SHTF, в которых ядро обычно не работает. Итак, вы должны разрешить доступ за пределами операционной системы. Настройте VPN или, по крайней мере, способ для ваших клиентов доступа к IPMI через туннель ssh или что-то в этом роде.
Вы правы, опасаясь раскрытия IPMI в общедоступном Интернете. Если ваши клиенты жалуются на дополнительную безопасность, значит, они не из тех клиентов, с которыми вам нужно иметь дело.
Во-первых, я хочу быть уверен, что если кто-то просканирует мои сети и найдет какие-то карты IPMI, он не сможет получить над ними контроль.
В BMC в системах Supermicro за последний год были обнаружены особо неприятные ошибки. Убедитесь, что в ваших системах установлена последняя версия прошивки, большинство ошибок как ошибка "анонимный пользователь" и Печально известный нулевой шифр ошибка. Обратите внимание, что эти прошивки доступны только для последних материнских плат (поколения X8, X9 и X10; обычно не для поколения X7, которое поставлялось 3-4 года назад), поэтому ваше оборудование должно быть современным.
Даже после обновлений IPMI Supermicro все еще подвержен ошибкам. Пароли передаются по сети в открытом виде и т. Д. В моем мире IPMI обязательно должен быть в частной сети и доступен только из нескольких специальных узлов управления.
Я знаю, что использование IPMI только в локальных сетях без общедоступных является хорошей практикой, однако клиенты не будут довольны использованием VPN для доступа к IPMI.
IPMI - отличный инструмент управления для системных администраторов. По своей природе это означает, что это также хороший бэкдор для хакеров. Если я получу доступ к сети IPMI, я могу делать интересные вещи, например, отключать все 200 машин в течение нескольких минут или сообщать каждому узлу PXEboot при следующей загрузке (и потенциально перезаписывать все, что находится на дисках в то время). Если вы сможете хорошо объяснить это своим клиентам, они могут увидеть мудрость VPN.
Во-вторых, вы можете использовать команду ipmitool для управления конфигурацией IPMI без аутентификации пользователя. Я хотел бы запретить клиентам изменять настройки IPMI - например, IP-адрес, удаление моих отслеживающих пользователей, ...
Удостоверься что ipmitool, FreeIPMI и т. Д. По умолчанию не устанавливаются в системе. Добавьте в свою клиентскую документацию предупреждение о том, что установка этих инструментов в ОС представляет собой потенциальную проблему безопасности, и если они устанавливают эти инструменты, они принимают на себя часть риска.
Хорошо, мое, вероятно, окончательное решение очень простое. Поскольку у меня есть пользователь ADMIN для IPMI, я могу написать простой интерфейс, который будет запускать команды ipmitool для запуска / остановки / перезапуска серверов.
Для веб-консоли я провел небольшое исследование. Supermicro создает файл jviewer.jnlp, содержащий только номера портов и некоторые учетные данные. Во-первых, я подумал, что есть какая-то подпись, и я не могу изменить содержимое. Тем не менее, подписи нет, и я могу поставить там все, что хочу.
Итак, как часть моего интерфейса, я собираюсь создать кнопку консоли, которая настроит брандмауэр для временного разрешения портов, необходимых для консоли, а также загрузит файл jviewer, обновит его и передаст клиенту.
Это будет стоить мне некоторой разработки, но это позволит мне иметь карты управления в локальной сети, а также иметь к ним доступ из общедоступной сети, когда это необходимо.