保護 SuperMicro IPMI BMC
最近買了一塊SuperMicro X8DTU-F主機板,內置BMC,基本執行IPMI系統。它原來是一個執行在 ARM 處理器上的小型 Linux 系統。
不幸的是,它執行了大量的軟體,其中大部分是我不需要的,而且我沒有能力將它放在防火牆後面。但是,我確實想要 IPMI 功能。使用過其中一種的人是否對如何保護該東西有一些具體的建議?它從本質上是一個 ROM 文件系統啟動,甚至似乎沒有任何掛鉤可以關閉它執行的任何各種伺服器……
我還對如何驗證可用於通過所有各種服務訪問系統的名稱和密碼列表感興趣。預設值為
ADMIN
/ADMIN
,但 /conf 或 /etc 中的文件都沒有“ADMIN”,這讓我很擔心。有文件/conf/shadow
,/conf/webshadow
裡面有神秘的“測試”ID,這也讓我感覺不太舒服。
正如 dlawson 指出的那樣,使用
/conf/crontab
對我來說聽起來是個好主意。這允許我每分鐘執行一次腳本,以確保關閉除 http 和 ssh 之外的所有內容:/etc/init.d/cdserver stop /etc/init.d/fdserver stop /etc/init.d/cim_sfcb stop /etc/init.d/webgo stop
這仍然給我留下了一個具有基於密碼的訪問控制的 Web 伺服器(我看不出有什麼辦法讓它驗證客戶端證書),而且誰知道有哪些遠端漏洞。當我不使用它時(大部分時間)關閉它似乎是一個合理的解決方案;添加一個 crontab 條目以每五或十分鐘將其關閉,這將捕捉到有人在完成後忘記關閉它的情況。
ssh 守護程序是dropbear的一個版本,似乎經過大量修改。
/conf/PMConfig.dat
它從(Web 伺服器也使用)讀取使用者名和明文密碼,以 root 使用者身份登錄任何有效的名稱和密碼,然後忽略該~/.ssh/authorized_keys
文件。最後一個問題很煩人。它強制您允許密碼登錄,並打開後門的可能性,具體取決於它從哪裡獲取其名稱和密碼。所以這就是您面臨的兩難境地:您對安裝在系統上的這個修改後的 ssh 守護程序有多少信任,而這個系統顯然是由安全性天真的開發人員設計的?考慮到我在他們的 shell 腳本中看到的碎片數量,一點也不多。有不尋常的命名約定(/etc/rc?.d/sshd 是 /etc/init.d/ssh 的符號連結),大量似乎未使用的程式碼,以及僅 ssh 啟動腳本中的功能,例如
/conf/portcfg_ssh
文件甚至restart
命令都完全損壞了。(不要嘗試使用這些;sshd 不會重新啟動,除非您有現有的登錄名,否則您會被搞砸的。我們重新啟動了 BMC,最終不得不重新刷新它。)我能想到的最好的選擇,如果一個人要使用這個東西,就是使用 cron 作業在備用埠上啟動 ssh,所以至少它不太可能出現在 portscan 中。
最後一個組件是 IPMI 網路管理埠;我看不到如何關閉這些。