保护 SuperMicro IPMI BMC

Question 1

正如 dlawson 指出的那样，使用/conf/crontab对我来说听起来是个好主意。这允许我每分钟运行一次脚本，确保除 http 和 ssh 之外的所有内容都已关闭：

/etc/init.d/cdserver stop
/etc/init.d/fdserver stop
/etc/init.d/cim_sfcb stop
/etc/init.d/webgo stop

但我仍旧需要一台基于密码的访问控制的 Web 服务器（我看不出有什么办法让它验证客户端证书），而且谁知道会有什么远程漏洞。当我不使用它时（大多数时候都是这样）关闭它似乎是一个合理的解决方案；添加一个 crontab 条目以每五或十分钟关闭它，可以解决有人在使用完后忘记关闭它的情况。

ssh 守护进程是滴熊该文件似乎经过了相当大的修改。它从中读取用户名和明文密码/conf/PMConfig.dat（Web 服务器也使用它），以 root 用户身份登录任何有效的名称和密码，然后忽略该~/.ssh/authorized_keys文件。最后一个问题很烦人；它迫使您允许密码登录，并根据它从何处获取其名称和密码，打开后门的可能性。

所以这就是您面临的困境：您真的有多信任这个修改过的 ssh 守护程序，而这个守护程序安装在一个显然是由缺乏安全意识的开发人员设计的系统上？考虑到我在他们的 shell 脚本中看到的大量破损代码，您真的不怎么信任它。这里有不寻常的命名约定（/etc/rc?.d/sshd 是 /etc/init.d/ssh 的符号链接），大量代码似乎未被使用，而且 ssh 启动脚本中的功能（例如文件/conf/portcfg_ssh甚至restart命令）完全损坏。（不要尝试使用这些；除非您有现有登录名，否则 sshd 不会重新启动，您将陷入困境。我们重新启动了 BMC，最后不得不重新刷新它。）

我能想到的最好的选择，如果有人要使用它的话，就是使用 cron 作业在备用端口上启动 ssh，这样至少它不太可能出现在端口扫描中。

最后一个组件是 IPMI 网络管理端口；我不知道如何关闭它们。

Answer

正如 dlawson 指出的那样，使用/conf/crontab对我来说听起来是个好主意。这允许我每分钟运行一次脚本，确保除 http 和 ssh 之外的所有内容都已关闭：

/etc/init.d/cdserver stop
/etc/init.d/fdserver stop
/etc/init.d/cim_sfcb stop
/etc/init.d/webgo stop

但我仍旧需要一台基于密码的访问控制的 Web 服务器（我看不出有什么办法让它验证客户端证书），而且谁知道会有什么远程漏洞。当我不使用它时（大多数时候都是这样）关闭它似乎是一个合理的解决方案；添加一个 crontab 条目以每五或十分钟关闭它，可以解决有人在使用完后忘记关闭它的情况。

ssh 守护进程是滴熊该文件似乎经过了相当大的修改。它从中读取用户名和明文密码/conf/PMConfig.dat（Web 服务器也使用它），以 root 用户身份登录任何有效的名称和密码，然后忽略该~/.ssh/authorized_keys文件。最后一个问题很烦人；它迫使您允许密码登录，并根据它从何处获取其名称和密码，打开后门的可能性。

所以这就是您面临的困境：您真的有多信任这个修改过的 ssh 守护程序，而这个守护程序安装在一个显然是由缺乏安全意识的开发人员设计的系统上？考虑到我在他们的 shell 脚本中看到的大量破损代码，您真的不怎么信任它。这里有不寻常的命名约定（/etc/rc?.d/sshd 是 /etc/init.d/ssh 的符号链接），大量代码似乎未被使用，而且 ssh 启动脚本中的功能（例如文件/conf/portcfg_ssh甚至restart命令）完全损坏。（不要尝试使用这些；除非您有现有登录名，否则 sshd 不会重新启动，您将陷入困境。我们重新启动了 BMC，最后不得不重新刷新它。）

我能想到的最好的选择，如果有人要使用它的话，就是使用 cron 作业在备用端口上启动 ssh，这样至少它不太可能出现在端口扫描中。

最后一个组件是 IPMI 网络管理端口；我不知道如何关闭它们。

Question 2

理想情况下，您的管理网络应该与您的其他网络不同，或者至少是具有有限路由访问的不同 VLAN。

但这些系统实际上并没有运行那么多服务：

PORT     STATE SERVICE
22/tcp   open  ssh
80/tcp   open  http
443/tcp  open  https
555/tcp  open  dsf
5120/tcp open  unknown
5900/tcp open  vnc
5988/tcp open  unknown
MAC Address: 00:30:48:D9:3A:71 (Supermicro Computer)

（IPMI 本身使用 UDP/623）

如果您想进行任何类型的远程管理，则需要其中大部分。如果您不想进行远程管理，那么您应该考虑根本不启用 IPMI 控制器，或者购买 X9DTU 板（-F 表示“内置 BMC”）

如果您想要进行完全远程管理，无法在其他网络上运行 IPMI 控制器，并且仍想禁用某些访问，那么您可以随时让 IPMI 控制器执行 iptables 命令。您可以编写 ssh 登录脚本来执行命令，或者向 Supermicro 索取 BMC 的 devkit 并使用自定义 iptables 脚本构建新映像。

更新

我再次查看了我们的系统，发现 /conf 文件系统已挂载为可读写。没有任何 init 脚本直接在 /conf 中调用任何内容（据我所知），但有一个 crontab 文件。因此，我猜您可以复制一个 iptables 脚本，然后编辑 /conf/crontab 以在合适的时间间隔调用它。您希望它在 BMC init 上尽快运行，但您不一定希望它每分钟运行一次。或者也许您不在乎。

Answer