TL;DR:是否有任何选项可以禁用 SuperMicro 主板上对 Aspeed AST 2500 BMC 的操作系统(带内)访问,或者至少以某种方式限制它(例如通过特定密码或通过将权限级别设置为只读访问)?
长版本:
去年我们购买了几台包含 Aspeed AST2500 BMC 的 SuperMicro 服务器。到目前为止,我们还没有使用 BMC,但现在正在设置它们,可通过单独的带外管理网络访问。在研究重置 BMC 密码的选项时,我发现了多篇帖子(例如这个) 这表明,一旦我在主机上获得 root 权限,我就可以访问 BMC 并更改管理员密码,而无需任何额外的安全措施。
我真的不喜欢在主机操作系统中更改 BMC 参数的想法,尤其是因为 BMC 经常被严重打补丁,而且是 rootkit 的一个非常有趣的目标(顺便说一句,正是这样的前几天发现了一个 rootkit;至少,据我所知,它无法通过带内接口进入 BMC)
是否有任何选项可以限制主机到 BMC 的通信?
编辑:我们的服务器使用的服务器主板是“ASRock ROMED8-2T”。
答案1
简短回答:我不知道 BMC 设置是否告诉它“禁用所有带内访问”,但我真的怀疑它是否存在或者说它完全有用
长答案:虽然你的问题很有趣,但请注意,如果有人获得了 root 权限,你的服务器不可挽回地受到损害,所以你不能再相信它了。毕竟,root 不仅可以重置 BMC 密码,还可以重新刷新它、重写主板 BIOS/UEFI 和更新其他附加卡(即 RAID 控制器)的固件。
所有这些都可以通过 Linux 内核原生支持的标准低级接口(I2C、DMI、IPMI 等)来实现。删除相应的模块/代码将不起作用,因为具有 root 权限的恶意行为者可以安装并重新启动修补后的内核。