禁用本地主机 ipmitool 访问

tag-icon tag-icon linux ipmi ipmitool
禁用本地主机 ipmitool 访问

在大多数/许多供应商的服务器上,我能够使用以下命令查看潜在的敏感信息:

ipmitool user list 1

或者

ipmitool lan print 1

或者设置新的管理员用户,所有这些都不需要身份验证。

如果您向其他用户提供裸机访问权限,您不一定希望出现这种情况。有没有办法阻止本地主机用户访问/修改 BMC 设置?

答案1

通过针对 BMC 的特定供应商程序禁用 OS 级别或“本地”IMPI 访问。

ipmitool 及其使用的设备通常仅限于特权操作系统用户使用。root 可以绕过内核模块阻塞或安装缺少的 ipmi 软件。

答案2

正如@John 指出的那样。禁用操作系统级别或“本地”IPMI 访问是一个好的开始。这样做取决于 IPMI 设备的供应商。此外,确保IPMItools未安装在运行 IPMI 的机器上的操作系统上也是一个不错的选择。

这里是一个用于保护 IPMI 的类似线程。

SuperMicro 也有一些体面的文档关于这个话题,我也有相同的观点。主要归结为:

  • 限制入站流量
  • 使用专用管理接口来利用 IPMI/BMC。
  • 更改 IPMI 的默认值。
  • 从网络的其他部分监控 IPMI/BMC 之间的流量。

相关内容