SuperMicro IPMI BMC Güvenliğini Sağlama

Son zamanlarda temelde IPMI sistemini çalıştıran yerleşik bir BMC'ye sahip bir SuperMicro X8DTU-F anakart aldım. Bir ARM işlemcide çalışan küçük bir Linux sistemi olduğu ortaya çıktı.

Ne yazık ki, çoğu ihtiyacım olmayan bir tekne yükü yazılımı çalıştırıyor ve bir güvenlik duvarının arkasına koyma yeteneğim yok. Ancak, IPMI işlevselliğini istiyorum. Bunlardan birini kullanan herhangi birinin, bu şeyin nasıl güvence altına alınacağı konusunda bazı önerileri var mı? Aslında bir ROM dosya sisteminden önyükleme yapar ve hatta çalıştığı çeşitli sunuculardan herhangi birini kapatmak için herhangi bir kanca görünmüyor.

Ayrıca, çeşitli hizmetler aracılığıyla sisteme erişmek için kullanılabilecek adların ve parolaların listesini nasıl doğrulayabileceğimi de merak ediyorum. Varsayılan ADMIN/ şeklindedir ADMIN, ancak / conf veya / etc içindeki dosyaların hiçbirinde 'ADMIN' yoktur, bu da beni endişelendirir. Orada /conf/shadowve /conf/webshadowben ya özellikle rahat yapmaz onları gizemli 'test' kimlikleri ile dosyaları.

Kullanılması /conf/crontabdlawson belirttiği gibi, benim için mükemmel bir fikir gibi geliyor. Bu, http ve ssh dışında her şeyin kapatılmasını sağlayan bir komut dosyasını dakikada bir çalıştırmamı sağlıyor:

/etc/init.d/cdserver stop
/etc/init.d/fdserver stop
/etc/init.d/cim_sfcb stop
/etc/init.d/webgo stop

Bu hala beni şifre tabanlı erişim kontrolü olan bir web sunucusuna bırakıyor (istemci sertifikalarını doğrulatmanın bir yolunu göremiyorum) ve hangi uzak güvenlik açıklarını bilen. Kullanmadığımda kapatmak (çoğu zaman) makul bir çözüm gibi görünüyor; beş veya on dakikada bir kapatmak için bir crontab girişi eklemek, birisinin bittiğinde kapatmayı unuttuğu durumları yakalar.

Ssh arka plan programı, oldukça yoğun bir şekilde değiştirilmiş gibi görünen bir dropbear sürümüdür . Kullanıcı adını ve düz metin parolaları /conf/PMConfig.dat(web sunucusu tarafından da kullanılır) okur , kök kullanıcı olarak geçerli herhangi bir ad ve parolayla oturum açar ve ~/.ssh/authorized_keysdosyayı yok sayar . Bu son sorun sinir bozucu; sizi şifre girişlerine izin vermeye zorlar ve adlarını ve şifrelerini nereden aldığına bağlı olarak arka kapı olasılığını açar.

Yani karşılaştığınız ikilem bu: Güvenlik açısından saf geliştiriciler tarafından oldukça açık bir şekilde tasarlanmış bir sisteme kurulmuş olan bu modifiye ssh daemon'a gerçekten ne kadar güveniyorsunuz? Çok fazla değil, kabuk senaryolarında gördüğüm kırık parça bitleri göz önüne alındığında. Olağandışı adlandırma kuralları (/etc/rc?.d/sshd, /etc/init.d/ssh) için bir simge bağlantısı, kullanılmayan büyük miktarda kod ve yalnızca ssh başlangıç ​​komut dosyasında bulunan özellikler gibi /conf/portcfg_sshdosya ve hatta restartkomut tamamen kırılır. (Bunları kullanmayı denemeyin; sshd yeniden başlatılmaz ve mevcut bir girişiniz yoksa vidalanırsınız. BMC'yi yeniden başlattık ve yeniden yanıtlamak zorunda kaldık.)

Düşünebileceğim en iyi seçenek, eğer bir şey hiç kullanacaksa, bir cron işi kullanarak alternatif bir bağlantı noktasında ssh'yi başlatmaktır, bu yüzden en azından bir Portscan'da görünme olasılığı daha azdır.

Son bileşen IPMI ağ yönetimi bağlantı noktalarıdır; Bunları nasıl kapatacağımı göremiyorum.

İdeal olarak, yönetim ağınız diğer ağınızdan farklı bir ağ veya en azından yönlendirilmiş erişimi sınırlı farklı bir vlan olacaktır.

Bu sistemler bu kadar çok hizmeti gerçekten çalıştırmıyor:

PORT     STATE SERVICE
22/tcp   open  ssh
80/tcp   open  http
443/tcp  open  https
555/tcp  open  dsf
5120/tcp open  unknown
5900/tcp open  vnc
5988/tcp open  unknown
MAC Address: 00:30:48:D9:3A:71 (Supermicro Computer)

(ve IPMI'nın kendisi için UDP / 623)

Herhangi bir uzaktan yönetim yapmak istiyorsanız, bunların çoğu gereklidir. Uzaktan yönetim yapmak istemiyorsanız, IPMI denetleyicisini hiç etkinleştirmemeyi veya bunun yerine bir X9DTU kartı almamayı düşünmelisiniz (-F, "yerleşik BMC" anlamına gelir)

Tam uzaktan yönetim yapmak istiyorsanız, IPMI denetleyicilerinizi farklı bir ağda çalıştıramazsanız ve yine de bazı erişimi devre dışı bırakmak istiyorsanız, IPMI denetleyicisinin her zaman iptables komutlarını çalıştırmasını sağlayabilirsiniz. Komutları yürütmek için bir ssh oturum açma komut dosyası yazabilir veya Supermicro'dan BMC için devkit'i isteyebilir ve özel bir iptables komut dosyasıyla yeni bir görüntü oluşturabilirsiniz.

GÜNCELLEME

Burada sistemlerimize bir kez daha baktım ve / conf dosya sistemi rw. İnit komut dosyalarının hiçbiri doğrudan / conf içinde (görebildiğim) bir şey çağırmadı, ancak bir crontab dosyası var. Yani, bir iptables betiğinde kopyalayabilir ve bazı uygun aralıklarla çağırmak için / conf / crontab'ı düzenleyebilirsiniz. BMC init'te ASAP çalıştırılmasını istersiniz, ancak her dakika çalışmasını istemezsiniz. Ya da belki umrumda değil.

Supermicro IPMI güvenliğini göz önüne alırken dikkat edilmesi gereken bir şey ssh sunucusudur. X8SIL-F IPMI kodunun eski sürümleri, hangi parola verilirse verilsin ssh bağlantılarını kabul etti. Yazılım daha sonra parolayı kontrol eder ve bağlantıyı reddeder veya kabul eder, ancak ssh portunu ileriye doğru oluşturmak için kısa bir pencere vardı. İnsanlar bu nedenle IPMI IP'leri için spam / kötüye kullanım şikayetleri alıyordu . X8SIL-F anakart için, 2.60 IPMI ürün yazılımı sürümü sorunu düzeltti (daha önce düzeltilmiş olabilir, 2.54'ün changelog girişi olması muhtemel gibi görünüyor).

İkinci sorun, varsayılan şifresi olan anonim bir kullanıcıdır. Anonim kullanıcı, ürün yazılımı sürüm 2.22'de düzeltilmiş gibi görünüyor.

IPMI'nin web arayüzü için HTTPS'yi etkinleştirmenin küçük bir hilesi var .

IPMI ürün yazılımınız bunu destekliyorsa (X8DTH-iF için 2.04 ürün yazılımım destekliyorsa), öncelikle Yapılandırma -> SSL'ye gidip iki PEM dosyası (sertifika ve özel anahtar) yükleyerek ve ikinci olarak manuel olarak HTTPS erişimini etkinleştirebilirsiniz IPMI modülünüzü yeniden başlatın.

Son olarak, IPMI'nın web arayüzüne https: // bmc-ip-veya-hostname / ile erişebilirsiniz . HTTPS'nin HTTP'den daha yavaş çalıştığını söyleyemem.

Herhangi biriniz iptables ile şeyi güvence altına almaya çalıştınız mı? IPtables yüklü gibi görünüyor, ve ben her şeyi biraz daha güvenli hale getirmek için birkaç güvenilir IP kabul kabul bir kural kümesi yapmak istiyorum ... Ama yukarıda okuduğum gibi hiçbir komut / config okunuyor. Crontab tek seçenek midir? Peki ya iptables'ı batırdıysanız?

Dosya sistemini nasıl görüntülediniz? Bağlantı noktası 22'ye telnet yaparsam, dropbear'ın çalıştığını görebiliyorum, ancak çeşitli kullanıcı adlarıyla SSH'ye çalışırsam, bir şifre istemez. Yönetici ayrıcalıklarına sahip yeni bir kullanıcı ekledim, ancak SSH bu kullanıcı için de yanıt vermeyecek. Winbond Hermon IPMI 2.0 yongası, ürün yazılımı revizyonu 01.29, inşa süresi 2009-12-31 olan bir Supermicro X7SPA-HF anakart kullanıyorum.