保護 DRAC / ILO

可能重複：

iLO 是否足夠安全以掛在 WAN 上

這可能是一個愚蠢的問題，但 DRAC/ILO 都有 HTTP 伺服器介面。

如果我在訪問 IP 的 80 埠並且遇到這樣的頁面，我會知道它是一個高價值目標，因為如果我能破解它，我可以在一定程度上控制伺服器（可能安裝另一個作業系統）。

除了更改埠之外，在面向公共 Internet 的機器上保護 DRAC/ILO 的最佳實踐是什麼？

他們都接受上傳您自己的 SSL 證書，所以這是我要做的第一件事。如果您擁有足夠的這些伺服器，那麼您很可能擁有自己的證書伺服器，並且您將其證書安裝為受信任的發布者。

請注意，所做的只是確保您連接的 ILO/iDrac 是您的，並且您不會被重定向到honeypot。

我們為保護他們所做的另一件事是不讓他們面對公共網際網路。我們所有的 iDrac 都在一個單獨的 vlan 上，只有在連接到 VPN 後才能訪問。這意味著幾件事：

1. VPN 出現故障，您最好有另一種進入設備的方法
2. 您不會在 drac 上“浪費”公共 IP 地址
3. 不在 VPN 上的任何人都無法訪問該設備

也就是說，我們確實有一個客戶將他們的 iDrac 放在公共 IP 上。如果你要走這條路：

1. 如果可以的話，在 iDrac/ILO 前面的防火牆上限制 IP 地址。有時如果你不知道自己要去哪裡，這很難做到，但如果你知道你永遠不會去中國，那麼這是一個很好的起點。將屬於您將要訪問它的國家/地區的 IP 列入白名單可以阻止大量惡意流量。
2. 更改預設密碼，看在上帝的份上。使用KeePass或類似的東西並生成一個 64 個字元的密碼。如果您想進一步了解為什麼這很重要，請查看此部落格文章。它實際上是關於散列的，但要點是一樣的。如果您只從中拿走一件事，那就是如果設備中存在漏洞並且他們設法獲取使用者數據庫的副本，則無需嘗試即可在 4 小時內破解 8 個字元的基本密碼。

引用自：https://serverfault.com/questions/378068