Security
ipmitool 難題
我們一直在嘗試在我們的伺服器上遷移到更好的密碼管理系統。問題是這些天我們都在使用專有算法來創建雜湊(可解密的雜湊)。
為了與 Linux 的進步保持一致,我們決定將其更改為單向雜湊以增強安全性。但是 ipmitool 進行客戶端 HMAC SHA1 匹配,而不是讓伺服器進行雜湊匹配。
是否有任何實現不會像 ipmitool 那樣殺死所有邏輯並管理使用者身份驗證(通過從伺服器請求 SHA1 雜湊)?
無論如何,我們可以在不使用可解密雜湊的情況下使用 ipmitool 嗎?
沒有!您在此處引用的問題是IPMI 規範中的一個問題,該問題在撰寫本文時仍未修復,儘管該規範像泥漿一樣清晰,而且承認它不能更直接。
您可以在http://fish2.com/ipmi/remote-pw-cracking.html閱讀所有相關資訊,但我想您已經知道了。
我不知道你在做什麼,但如果你想讓你的應用程序安全,你不應該基於 IPMI。我不知道這是否是您的選擇。