Security

保護 DRAC / ILO

  • April 10, 2012

可能重複:

iLO 是否足夠安全以掛在 WAN 上

這可能是一個愚蠢的問題,但 DRAC/ILO 都有 HTTP 伺服器介面。

如果我在訪問 IP 的 80 埠並且遇到這樣的頁面,我會知道它是一個高價值目標,因為如果我能破解它,我可以在一定程度上控制伺服器(可能安裝另一個作業系統)。

除了更改埠之外,在面向公共 Internet 的機器上保護 DRAC/ILO 的最佳實踐是什麼?

他們都接受上傳您自己的 SSL 證書,所以這是我要做的第一件事。如果您擁有足夠的這些伺服器,那麼您很可能擁有自己的證書伺服器,並且您將其證書安裝為受信任的發布者。

請注意,所做的只是確保您連接的 ILO/iDrac 是您的,並且您不會被重定向到honeypot。

我們為保護他們所做的另一件事是不讓他們面對公共網際網路。我們所有的 iDrac 都在一個單獨的 vlan 上,只有在連接到 VPN 後才能訪問。這意味著幾件事:

  1. VPN 出現故障,您最好有另一種進入設備的方法
  2. 您不會在 drac 上“浪費”公共 IP 地址
  3. 不在 VPN 上的任何人都無法訪問該設備

也就是說,我們確實有一個客戶將他們的 iDrac 放在公共 IP 上。如果你要走這條路:

  1. 如果可以的話,在 iDrac/ILO 前面的防火牆上限制 IP 地址。有時如果你不知道自己要去哪裡,這很難做到,但如果你知道你永遠不會去中國,那麼這是一個很好的起點。將屬於您將要訪問它的國家/地區的 IP 列入白名單可以阻止大量惡意流量。
  2. 更改預設密碼,看在上帝的份上。使用KeePass類似的東西並生成一個 64 個字元的密碼。如果您想進一步了解為什麼這很重要,請查看此部落格文章。它實際上是關於散列的,但要點是一樣的。如果您只從中拿走一件事,那就是如果設備中存在漏洞並且他們設法獲取使用者數據庫的副本,則無需嘗試即可在 4 小時內破解 8 個字元的基本密碼。

引用自:https://serverfault.com/questions/378068