Security
保護 DRAC / ILO
可能重複:
這可能是一個愚蠢的問題,但 DRAC/ILO 都有 HTTP 伺服器介面。
如果我在訪問 IP 的 80 埠並且遇到這樣的頁面,我會知道它是一個高價值目標,因為如果我能破解它,我可以在一定程度上控制伺服器(可能安裝另一個作業系統)。
除了更改埠之外,在面向公共 Internet 的機器上保護 DRAC/ILO 的最佳實踐是什麼?
他們都接受上傳您自己的 SSL 證書,所以這是我要做的第一件事。如果您擁有足夠的這些伺服器,那麼您很可能擁有自己的證書伺服器,並且您將其證書安裝為受信任的發布者。
請注意,所做的只是確保您連接的 ILO/iDrac 是您的,並且您不會被重定向到honeypot。
我們為保護他們所做的另一件事是不讓他們面對公共網際網路。我們所有的 iDrac 都在一個單獨的 vlan 上,只有在連接到 VPN 後才能訪問。這意味著幾件事:
- VPN 出現故障,您最好有另一種進入設備的方法
- 您不會在 drac 上“浪費”公共 IP 地址
- 不在 VPN 上的任何人都無法訪問該設備
也就是說,我們確實有一個客戶將他們的 iDrac 放在公共 IP 上。如果你要走這條路: