我有一些 SuperMicro 服务器,使用 MAAS 来配置。
令我感兴趣的是,在通过 PXE 启动它们后,它们会在本地 BMC 用户数据库中自动获得一个“maas”用户,并带有一个由 MAAS 服务器明确设置的随机密码,因为它随后能够通过 IPMI 控制服务器。
尽管已经修改了 BMC 上的出厂默认“管理员”凭据,但这种情况仍然会发生。这非常方便,但我想知道 MAAS 是如何实现这一点的?主服务器和 BMC 之间的某种带内接口?
我的问题是:
- 这是安全/预期的行为吗?还是表明服务器尚未得到适当的保护?
- 有没有办法影响 MAAS 在 BMC 上创建的用户角色?目前,它是使用“管理员”角色创建的;我宁愿使用权限较低的角色,例如“操作员”,这样仍然可以执行 MAAS 所需的强大操作。
相关问题:如何使用 CLI 将具有 IPMI 电源的机器添加到 MAAS 请注意,我没有使用该问题中提到的 CLI;我所做的只是在注册 MAAS DHCP 的网络上以 PXE 方式启动我的服务器。
MAAS 2.3(2.0-2.2 具有相同的行为)
答案1
例如,ipmitool
可以使用/dev/ipmi0
设备(或类似设备)直接访问 ipmi 控制器。由于这只能以 root 身份在本地完成,因此不需要 IPMI 用户名和密码。据推测,这就是 MAAS 部署新机器的方式。
至于如何定义 MAAS 如何根据自己的管理需求创建帐户,我无法回答,但应该可以稍后使用此命令进行更改:
$ maas-cli maas node update <system-id> power_type="ipmi" \
power_parameters_power_user=<user> \
power_parameters_power_pass=<password>
无论如何:一般建议将默认 IPMI 密码设置为合理的密码,此外将 IPMI 设备的 LAN 端口置于单独的 VLAN 或物理网络中。