Supermicro IPMI BMC 安全 - 如何禁用 HTTP?

tag-icon tag-icon security ipmi supermicro
Supermicro IPMI BMC 安全 - 如何禁用 HTTP?

在我的 Supermicro 服务器上,使用 H8SCM 主板,我有一张 IPMI 卡。

IPMI 卡是 2.0 版本,运行 2.37 固件。

我遇到的问题是,我找不到可行的方法来禁用端口 80(HTTP 访问)。

作为用户 ADMIN...

Through the Web Interface, I can only change the port (1-65535)
Through the SSH login, I have no access to any relative or interesting information whatsoever
Through the ipmitool, I can only change setting relative to SOL
Through the patched SuperMicro ipmitool, there is no setting available

是我遗漏了什么,还是 Supermicro 留下了巨大的安全漏洞,允许纯文本密码传输???

答案1

Supermicro IPMI BMC 非常有用,但它们并非专为安全而设计。我建议将 IPMI 放在单独的接口/VLAN 上。即使您能够禁用端口 80,也很可能存在未记录的远程漏洞。

答案2

Supermicro 支持 IPMI 的 OEM 扩展,用于禁用其服务处理器上的非 IPMI 端口。我不确定它目前支持哪些主板系列以及它支持的固件版本,但可能值得一试。

我不确定 Supermicro 的任何客户端软件是否支持该扩展。OEM 扩展目前在 FreeIPMI 的 ipmi-oem 工具中受支持(免责声明:我维护此项目,因此这是一个迷你插件)。以下是手册页中的相关内容。

超微

获取 bmc 服务状态

此 OEM 命令将确定 BMC 上当前是否启用或禁用非 IPMI 服务(例如 ssh、http、https、vnc 等)。确认命令可在 Supermicro X8DTG 上运行。

设置 bmc 服务状态启用|禁用

此 OEM 命令将启用或禁用 BMC 上的所有非 IPMI 服务。此命令可用于启用或禁用非 IPMI 服务,例如 ssh、http、https 和 vnc。已确认该命令适用于 Supermicro X8DTG。

相关内容