SuperMicro IPMI BMC को सुरक्षित करना

मैंने हाल ही में एक SuperMicro X8DTU-F मदरबोर्ड का अधिग्रहण किया है, जिसमें एक अंतर्निहित BMC है, जो मूल रूप से IPMI सिस्टम चलाता है। यह एआरएम प्रोसेसर पर चलने वाला एक छोटा लिनक्स सिस्टम है।

दुर्भाग्य से, यह सॉफ़्टवेयर का एक बोट लोड चल रहा है, जिसमें से मुझे ज़रूरत नहीं है, और मेरे पास इसे फ़ायरवॉल के पीछे रखने की क्षमता नहीं है। हालाँकि, मुझे IPMI की कार्यक्षमता चाहिए। क्या किसी ने भी इनमें से किसी एक का उपयोग किया है, इस बात पर कुछ विशिष्ट सुझाव हैं कि चीज़ को कैसे सुरक्षित किया जाए? यह अनिवार्य रूप से एक ROM फाइलसिस्टम से बूट होता है, और इसमें मौजूद किसी भी विभिन्न सर्वर को बंद करने के लिए कोई हुक भी नहीं लगता है।

मुझे इस बात में भी दिलचस्पी होगी कि मैं विभिन्न सेवाओं के माध्यम से सिस्टम तक पहुंचने के लिए उपयोग किए जाने वाले नामों और पासवर्डों की सूची को कैसे सत्यापित कर सकता हूं। डिफ़ॉल्ट ADMIN/ / है ADMIN, लेकिन / conf / / etc में से किसी भी फ़ाइल में 'ADMIN' नहीं है, जो मुझे चिंतित करता है। उनमें रहस्यमयी 'परीक्षण' आईडी के साथ फाइलें /conf/shadowऔर /conf/webshadowहैं, जो मुझे विशेष रूप से सहज महसूस नहीं करती हैं।

उपयोग करना /conf/crontab, जैसा कि dlawson ने बताया, मेरे लिए एक उत्कृष्ट विचार की तरह लगता है। यह मुझे एक मिनट में एक बार एक स्क्रिप्ट चलाने की अनुमति देता है जो सब कुछ सुनिश्चित करता है लेकिन http और ssh बंद है:

/etc/init.d/cdserver stop
/etc/init.d/fdserver stop
/etc/init.d/cim_sfcb stop
/etc/init.d/webgo stop

वह अभी भी मुझे पासवर्ड-आधारित अभिगम नियंत्रण के साथ एक वेब सर्वर के साथ छोड़ता है (मैं इसे क्लाइंट प्रमाणपत्रों को मान्य करने का कोई तरीका नहीं देख सकता) और कौन जानता है कि दूरस्थ कमजोरियां। इसे बंद करने पर जब मैं इसका उपयोग नहीं कर रहा हूं (जो कि ज्यादातर समय है) एक उचित समाधान की तरह लगता है; हर पांच या दस मिनट में इसे बंद करने के लिए एक कॉन्टैब प्रविष्टि को जोड़ने से उन मामलों को पकड़ा जा सकेगा जब कोई व्यक्ति इसे पूरा करने के लिए इसे बंद करना भूल जाता है।

Ssh डेमॉन ड्रॉपबियर का एक संस्करण है जो काफी भारी रूप से संशोधित प्रतीत होता है। यह उपयोगकर्ता नाम और प्लेनटेक्स्ट पासवर्ड /conf/PMConfig.dat(जो वेब सर्वर द्वारा भी उपयोग किया जाता है) को पढ़ता है , रूट उपयोगकर्ता के रूप में किसी भी मान्य नाम और पासवर्ड में लॉग करता है और ~/.ssh/authorized_keysफ़ाइल को अनदेखा करता है। यह आखिरी समस्या कष्टप्रद है; यह आपको पासवर्ड लॉगिन की अनुमति देने के लिए मजबूर करता है और जहां-जहां यह अपने नाम और पासवर्ड प्राप्त करता है, उसके आधार पर बैकस्ट की संभावना को खोलता है।

तो यह आपके सामने आने वाली दुविधा है: आप वास्तव में इस संशोधित ssh डेमॉन पर एक सिस्टम पर कितना भरोसा करते हैं जो स्पष्ट रूप से सुरक्षा-भोले डेवलपर्स द्वारा डिज़ाइन किया गया था? ज्यादा नहीं, क्रॉफ्ट की टूटी हुई बिट्स की संख्या को देखते हुए मैंने उनकी शेल स्क्रिप्ट में देखा है। असामान्य नामकरण परंपराएं (/etc/rc?.d/sshd /etc/init.d/ssh) के लिए एक सहिष्णुता है, बड़ी मात्रा में कोड जो अप्रयुक्त प्रतीत होते हैं, और केवल ssh स्टार्टअप स्क्रिप्ट में विशेषताएँ, जैसे कि /conf/portcfg_sshफ़ाइल और यहां तक कि restartआदेश पूरी तरह से टूट रहे हैं। (इनका उपयोग करने का प्रयास न करें; sshd पुनरारंभ नहीं होगा और जब तक आपके पास एक मौजूदा लॉगिन नहीं होगा, तब तक आप खराब हो जाएंगे। हमने BMC को रिबूट किया और इसे फिर से शुरू करने के लिए समाप्त कर दिया।)

सबसे अच्छा विकल्प मैं सोच सकता हूं, अगर कोई चीज का उपयोग करने जा रहा है, तो क्रोन जॉब का उपयोग करके वैकल्पिक पोर्ट पर ssh शुरू करना है, इसलिए कम से कम पोर्ट्सन में दिखाई देने की संभावना कम है।

अंतिम घटक IPMI नेटवर्क प्रबंधन पोर्ट है; मैं ये नहीं देख सकता कि इन्हें कैसे बंद किया जाए।

आदर्श रूप से, आपका प्रबंधन नेटवर्क आपके अन्य नेटवर्क के लिए एक अलग नेटवर्क होगा, या कम से कम एक अलग वलान सीमित रूड एक्सेस के साथ।

ये सिस्टम वास्तव में नहीं चल रहे हैं कि कई सेवाओं हालांकि:

PORT     STATE SERVICE
22/tcp   open  ssh
80/tcp   open  http
443/tcp  open  https
555/tcp  open  dsf
5120/tcp open  unknown
5900/tcp open  vnc
5988/tcp open  unknown
MAC Address: 00:30:48:D9:3A:71 (Supermicro Computer)

(और IPMI के लिए UDP / 623)

अगर आप किसी तरह का रिमोट मैनेजमेंट करना चाहते हैं तो इनमें से अधिकांश की जरूरत होती है। यदि आप दूरस्थ प्रबंधन नहीं करना चाहते हैं, तो आपको IPMI नियंत्रक को सक्षम करने पर विचार नहीं करना चाहिए, या इसके बजाय X9DTU बोर्ड खरीदना चाहिए (-F "BMC में अंतर्निहित" को दर्शाता है)

यदि आप पूर्ण दूरस्थ प्रबंधन करना चाहते हैं, तो एक अलग नेटवर्क पर अपने आईपीएमआई नियंत्रकों को नहीं चला सकते हैं, और फिर भी कुछ पहुंच को अक्षम करना चाहते हैं, तो आप आईपीएमआई नियंत्रक को आईपीटैबल्स कमांड को निष्पादित करने के लिए हमेशा प्राप्त कर सकते हैं। आप कमांड को निष्पादित करने के लिए एक ssh लॉगिन स्क्रिप्ट कर सकते हैं, या BMC के लिए सुपरमाइक्रो से देवकित के लिए पूछ सकते हैं और कस्टम iptables स्क्रिप्ट के साथ एक नई छवि बना सकते हैं।

अपडेट करें

मैं यहाँ हमारे सिस्टम पर एक और नज़र रखता था, और / conf फाइल सिस्टम आरडब्ल्यू माउंट है। इनिट स्क्रिप्ट में से कोई भी सीधे / कॉन्फ़िडेंस में कुछ भी नहीं कहता है (जो मैं देख सकता था), लेकिन एक क्रॉस्टैब फ़ाइल है। तो, मुझे लगता है कि आप एक iptables स्क्रिप्ट में कॉपी कर सकते हैं, और इसे कुछ उपयुक्त अंतराल पर कॉल करने के लिए / conf / crontab को संपादित कर सकते हैं। आप चाहते हैं कि इसे BMC init पर ASAP चलाया जाए, लेकिन आप इसे हर मिनट चलाना नहीं चाहते हैं। या शायद आप परवाह नहीं करते।

सुपरमाइक्रो IPMI को सुरक्षित करते समय ssh सर्वर पर विचार करने के लिए एक बात। X8SIL-F IPMI कोड के पुराने संस्करणों ने ssh कनेक्शन को स्वीकार नहीं किया, भले ही कोई पासवर्ड दिया गया हो। सॉफ्टवेयर तब पासवर्ड की जांच करेगा और कनेक्शन को अस्वीकार या स्वीकार करेगा, लेकिन ssh पोर्ट फॉरवर्ड बनाने के लिए एक संक्षिप्त विंडो थी। लोगों को इसकी वजह से उनके आईपीएमआई आईपी के लिए स्पैम / दुरुपयोग की शिकायतें मिल रही थीं । X8SIL-F मदरबोर्ड के लिए, 2.60 IPMI फ़र्मवेयर संस्करण ने समस्या को ठीक किया (यह पहले ठीक किया गया हो सकता है, 2.54 की चैंज एंट्री लग रहा है जैसे यह हो सकता है)।

एक दूसरी समस्या एक डिफ़ॉल्ट पासवर्ड के साथ एक अनाम उपयोगकर्ता है। अनाम उपयोगकर्ता फर्मवेयर संस्करण 2.22 में तय किया गया लगता है।

IPMI के वेब-इंटरफ़ेस के लिए HTTPS को सक्षम करने के लिए एक छोटी सी चाल है ।

यदि आपका IPMI फर्मवेयर समर्थन करता है कि (X8DTH-iF के लिए मेरा 2.04 फर्मवेयर) समर्थन करता है, तो आप सबसे पहले, विन्यास में जाकर HTTPS तक पहुँच को सक्षम कर सकते हैं -> SSL, दो PEM फाइलें (प्रमाण पत्र और निजी कुंजी) और, दूसरे पर, मैन्युअल रूप से अपलोड करना अपने IPMI मॉड्यूल को रिबूट करें।

अंत में, आप IPMI के वेब-इंटरफ़ेस को https: // bmc-ip-or-hostname / द्वारा एक्सेस कर सकते हैं । मैं यह नहीं कह सकता कि HTTPS HTTP की तुलना में धीमा काम करता है।

क्या आप में से किसी ने भी iptables वाली चीज़ को सुरक्षित करने की कोशिश की है? ऐसा लगता है कि iptables स्थापित है, और मैं एक नियम बनाना चाहता हूं जो कुछ विश्वसनीय आईपी से सब कुछ स्वीकार करने से इनकार करता है ताकि इसे थोड़ा और सुरक्षित बनाया जा सके ... लेकिन जैसा कि मैंने ऊपर पढ़ा है कोई स्क्रिप्ट / कॉन्फिग से नहीं पढ़ी जा रही है। क्या क्रॉस्टैब एकमात्र विकल्प है? और क्या होगा अगर आपने iptables को गड़बड़ कर दिया है?

आपने फाइल सिस्टम कैसे देखा? अगर मैं 22 को पोर्ट करता हूं, तो मैं देख सकता हूं कि ड्रॉपबियर चल रहा है, लेकिन अगर मैं विभिन्न यूजरनेम के साथ एसएसएच की कोशिश करता हूं तो यह पासवर्ड के लिए संकेत नहीं देता है। मैंने एक नया उपयोगकर्ता प्रशासक विशेषाधिकारों के साथ जोड़ा है, लेकिन SSH उस उपयोगकर्ता के लिए भी जवाब नहीं देगा। मैं एक सुपरमाइक्रो X7SPA-HF मदरबोर्ड का उपयोग कर रहा हूं जिसमें एक Winbond Hermon IPMI 2.0 चिप है, फर्मवेयर संशोधन 01.29, 2009-12-31 के समय का निर्माण।