Đảm bảo IPM BMM SuperMicro

Gần đây tôi đã mua một bo mạch chủ SuperMicro X8DTU-F, có BMC tích hợp, về cơ bản chạy hệ thống IPMI. Hóa ra đó là một hệ thống Linux nhỏ chạy trên bộ xử lý ARM.

Thật không may, nó đang chạy rất nhiều phần mềm, phần lớn tôi không cần và tôi không có khả năng đặt nó phía sau tường lửa. Tuy nhiên, tôi muốn chức năng IPMI. Có ai đã sử dụng một trong số này có một số gợi ý cụ thể về cách bảo mật thứ này không? Nó khởi động từ hệ thống tập tin ROM về cơ bản và thậm chí dường như không có bất kỳ móc nối nào để tắt bất kỳ máy chủ nào khác mà nó chạy ....

Tôi cũng quan tâm đến cách tôi có thể xác minh danh sách tên và mật khẩu có thể được sử dụng để truy cập hệ thống thông qua tất cả các dịch vụ khác nhau. Mặc định là ADMIN/ ADMIN, nhưng không có tệp nào trong / conf hoặc / etc có 'ADMIN' trong đó, điều này làm tôi lo lắng. Có /conf/shadowvà /conf/webshadowcác tệp, với ID 'thử nghiệm' bí ẩn trong đó, điều đó cũng không khiến tôi cảm thấy đặc biệt thoải mái.

Lý tưởng nhất, mạng quản lý của bạn sẽ là một mạng khác với mạng khác của bạn hoặc ít nhất là một vlan khác với quyền truy cập được định tuyến hạn chế.

Các hệ thống này không thực sự chạy nhiều dịch vụ mặc dù:

PORT     STATE SERVICE
22/tcp   open  ssh
80/tcp   open  http
443/tcp  open  https
555/tcp  open  dsf
5120/tcp open  unknown
5900/tcp open  vnc
5988/tcp open  unknown
MAC Address: 00:30:48:D9:3A:71 (Supermicro Computer)

(và UDP / 623 cho chính IPMI)

Hầu hết trong số này là cần thiết nếu bạn muốn thực hiện bất kỳ loại quản lý từ xa. Nếu bạn không muốn thực hiện quản lý từ xa, thì bạn nên xem xét không kích hoạt bộ điều khiển IPMI hoặc mua bảng X9DTU thay thế (-F biểu thị "BMC tích hợp")

Nếu bạn muốn thực hiện quản lý từ xa đầy đủ, không thể chạy bộ điều khiển IPMI của bạn trên một mạng khác và vẫn muốn tắt một số quyền truy cập, thì bạn luôn có thể có bộ điều khiển IPMI để thực thi các lệnh iptables. Bạn có thể kịch bản đăng nhập ssh để thực thi các lệnh hoặc yêu cầu Supermicro cho devkit cho BMC và xây dựng hình ảnh mới với tập lệnh iptables tùy chỉnh.

CẬP NHẬT

Tôi đã có cái nhìn khác về các hệ thống của chúng tôi ở đây và hệ thống tập tin / conf được gắn rw. Không có đoạn script init nào gọi bất cứ thứ gì trực tiếp trong / conf (mà tôi có thể thấy), nhưng có một tệp crontab. Vì vậy, tôi đoán bạn có thể sao chép trong tập lệnh iptables và chỉnh sửa / conf / crontab để gọi nó ở một khoảng thời gian phù hợp. Bạn muốn nó được chạy càng sớm càng tốt trên BMC init, nhưng bạn không nhất thiết muốn nó chạy mỗi phút. Hoặc có thể bạn không quan tâm.

Sử dụng /conf/crontab, như dlawson chỉ ra, nghe có vẻ là một ý tưởng tuyệt vời đối với tôi. Điều này cho phép tôi chạy tập lệnh một lần một phút để đảm bảo mọi thứ trừ http và ssh bị tắt:

/etc/init.d/cdserver stop
/etc/init.d/fdserver stop
/etc/init.d/cim_sfcb stop
/etc/init.d/webgo stop

Điều đó vẫn để lại cho tôi một máy chủ web có kiểm soát truy cập dựa trên mật khẩu (tôi có thể thấy không có cách nào để xác thực chứng chỉ ứng dụng khách) và ai biết lỗ hổng từ xa là gì. Tắt nó đi khi tôi không sử dụng nó (phần lớn thời gian) có vẻ như là một giải pháp hợp lý; thêm một mục crontab để tắt nó cứ sau năm hoặc mười phút sẽ bắt được những trường hợp mà ai đó quên tắt nó khi anh ta hoàn thành.

Trình nền ssh là một phiên bản của dropbear dường như được sửa đổi khá nhiều. Nó đọc tên người dùng và mật khẩu văn bản gốc từ /conf/PMConfig.dat(cũng được sử dụng bởi máy chủ web), đăng nhập bất kỳ tên và mật khẩu hợp lệ nào với tư cách là người dùng root và bỏ qua ~/.ssh/authorized_keystệp. Vấn đề cuối cùng này là gây phiền nhiễu; nó buộc bạn phải cho phép đăng nhập mật khẩu và mở khả năng backtime tùy thuộc vào nơi - tất cả những gì nó nhận được tên và mật khẩu của nó.

Vì vậy, đó là vấn đề nan giải mà bạn phải đối mặt: bạn thực sự tin tưởng bao nhiêu semon daemon đã sửa đổi này được cài đặt trên một hệ thống được thiết kế khá rõ ràng bởi các nhà phát triển chưa được bảo mật? Không có gì nhiều, với số lượng bit bị hỏng của cruft tôi đã thấy trong các tập lệnh shell của họ. Có các quy ước đặt tên bất thường (/etc/rc?.d/sshd là một liên kết tượng trưng đến /etc/init.d/ssh), một lượng lớn mã dường như không được sử dụng và chỉ có trong tập lệnh khởi động ssh, chẳng hạn như các /conf/portcfg_sshtập tin và thậm chí các restartlệnh hoàn toàn bị hỏng. (Đừng thử sử dụng những thứ này; sshd sẽ không khởi động lại và bạn sẽ bị lừa trừ khi bạn có thông tin đăng nhập hiện có. Chúng tôi đã khởi động lại BMC và cuối cùng phải làm lại nó.)

Tùy chọn tốt nhất mà tôi có thể nghĩ đến, nếu ai đó sẽ sử dụng thứ đó, là bắt đầu ssh trên một cổng thay thế bằng cách sử dụng công việc định kỳ, vì vậy ít nhất nó sẽ ít xuất hiện trong một portscan.

Thành phần cuối cùng là các cổng quản lý mạng IPMI; Tôi không thể thấy cách tắt chúng đi.

Một điều cần xem xét khi bảo mật Supermicro IPMI là máy chủ ssh. Các phiên bản cũ hơn của mã IP8 X8SIL-F được chấp nhận kết nối ssh bất kể mật khẩu nào được cung cấp. Phần mềm sau đó sẽ kiểm tra mật khẩu và từ chối hoặc chấp nhận kết nối, nhưng có một cửa sổ ngắn để tạo cổng ssh về phía trước. Mọi người đã nhận được thư rác / lạm dụng khiếu nại cho IPMI IP của họ vì điều này . Đối với bo mạch chủ X8SIL-F, phiên bản phần mềm 2.60 IPMI đã khắc phục sự cố (có thể đã được khắc phục trước đó, mục nhập thay đổi của 2.54 có vẻ như có thể xảy ra).

Vấn đề thứ hai là một người dùng ẩn danh với mật khẩu mặc định. Người dùng ẩn danh dường như được sửa trong phiên bản phần mềm 2.22.

Có một mẹo nhỏ để kích hoạt HTTPS cho giao diện web của IPMI.

Nếu phần sụn IPMI của bạn hỗ trợ điều đó (phần sụn 2.04 của tôi cho X8DTH-iF hỗ trợ), trước tiên, bạn có thể bật quyền truy cập HTTPS bằng cách đi tới Cấu hình -> SSL, tải lên hai tệp PEM (chứng chỉ và khóa riêng) khởi động lại mô-đun IPMI của bạn.

Cuối cùng, bạn có thể truy cập giao diện web của IPMI bằng https: // bmc-ip-hoặc-hostname / . Tôi không thể nói rằng HTTPS hoạt động chậm hơn HTTP.

Có ai trong số các bạn đã cố gắng bảo mật mọi thứ với iptables không? Có vẻ như iptables đã được cài đặt và tôi muốn tạo một quy tắc từ chối mọi thứ được chấp nhận từ một số IP đáng tin cậy để đảm bảo an toàn hơn một chút ... Nhưng khi tôi đọc ở trên, không có đoạn script nào được đọc từ / config. Là crontab là lựa chọn duy nhất? Và nếu bạn làm hỏng iptables thì sao?

Làm thế nào bạn xem hệ thống tập tin? Nếu tôi telnet đến cổng 22, tôi có thể thấy dropbear đang chạy, nhưng nếu tôi cố gắng SSH với nhiều tên người dùng khác nhau thì nó không nhắc mật khẩu. Tôi đã thêm một người dùng mới với các đặc quyền của Quản trị viên, nhưng SSH sẽ không phản hồi cho người dùng đó. Tôi đang sử dụng bo mạch chủ Supermicro X7SPA-HF có chip Winbond Hermon IPMI 2.0, sửa đổi phần sụn 01,29, thời gian xây dựng 2009-12-31.