Security
限制對 Supermicro BMC (AST2500) 的帶內作業系統訪問可能嗎?
TL;DR:是否有任何選項可以禁用作業系統(帶內)訪問 SuperMicro 板上的 Aspeed AST 2500 BMC 或至少以某種方式限制它(例如通過特定密碼或通過將權限級別設置為只讀訪問)?
長版:
去年我們購買了幾台裝有 Aspeed AST2500 BMC 的 SuperMicro 伺服器。到目前為止,我們還沒有使用 BMC,但現在正在設置它們,可以通過單獨的帶外管理網路訪問它們。在研究重置 BMC 密碼的選項時,我發現了多個文章(例如這個),表明一旦我在主機上獲得了 root 權限,我也可以訪問 BMC 並更改管理員密碼,而無需任何額外的安全措施。
我真的不喜歡能夠從主機作業系統中更改 BMC 參數的想法,尤其是因為 BMC 經常被嚴重修補並且是 rootkit 的一個非常有趣的目標(順便說一下,前幾天發現了這樣一個 rootkit ; 至少,據我所知,它無法通過帶內介面進入 BMC)
是否有任何選項可以限制主機到 BMC 的通信?
編輯:我們伺服器中使用的伺服器主機板是“ASRock ROMED8-2T”。
**簡短回答:**我不知道 BMC 設置告訴它“禁用所有帶內訪問”,但我真的懷疑它是否存在或者它根本有用
**長答案:**雖然您的問題很有趣,但請注意,如果有人獲得了 root 權限,您的伺服器將無法恢復,因此您不能再信任它了。畢竟,root 不僅可以重置 BMC 密碼,還可以刷新它,重寫主機板 BIOS/UEFI 和更新其他附加卡(即:RAID 控制器)的韌體。
所有這些都可以通過 linux 核心原生支持的標準低級介面(I2C、DMI、IPMI 等)來完成。刪除相應的模組/程式碼將不起作用,因為具有 root 權限的不良行為者可以安裝並重新啟動已修補的核心。