我在超微主板上有一个 IPMI 服务器,我无法禁用它。甚至没有跳线来禁用它。在看到他们提供的 IPMI 服务器存在的所有安全问题后,我决定不再使用它。
我有个主意,可以打破网络连接。您可以选择 DHCP 或静态 IP 地址。
我的想法是将地址设置为一个永远不起作用的地址。
IP:0.0.0.0 子网:0.0.0.0 网关:0.0.0.0
第二个想法:IP:192.168.0.0子网:255.255.255.255网关:0.0.0.0
这两种方法都可以吗?我担心,如果我选择 192.168.0.0 这样的 IP 地址,如果有人直接连接到端口并向网络地址发送数据包,则可能会导致问题。有没有更好的 IP 可以用来阻止任何人连接到我的 IPMI 服务器?
答案1
这两种方法都可以吗?我担心,如果我选择 192.168.0.0 这样的 IP 地址,如果有人直接连接到端口并向网络地址发送数据包,则可能会引起问题。
如果他们有物理访问权限来执行此操作,那么您将面临更大的问题。
选择随机 IP 地址的问题在于,基本上任何人都最终都能找到它。但如果他们有权插入它,他们可能有权重置 IPMI 并使用默认值。但如果他们有权重置 IPMI 接口,他们就可以拔出驱动器并运行它们。
此外,IPMI 还可以配置为共享接口而不是使用内部接口,这意味着即使拔掉它并用环氧树脂封住接口也可能不足以完成您想要的操作。
哦,对了,IPMI 可以访问本地使用ipmitool. (我认为您实际上指的是 IPMI Over LAN,它是 IPMI 的附加组件)。
因此,尽管我同情您的处境,但我认为您无法完全从系统中消除 IPMI。要最小化 IPMI 表面积:
- 禁用访客 IPMI 帐户,在管理员帐户上设置一个非常强的密码(如果需要,可以丢弃该密码)
- 拔下 IPMI 端口(如果您确实需要,可以使用环氧树脂将其堵塞)。
这确实是你能做的最好的事情了。通过设置强密码,你可以阻止人们进入并将 IPMI 设置为使用共享接口并阻止他们使用ipmitool,并且通过拔下和管理服务器的物理安全,你应该能够直接阻止针对 IPMI Over LAN 接口的远程攻击。
答案2
169.254.x.x在自动配置范围内选择一些内容。