我正在尝试完全锁定必须存在于防火墙之外/直接路由到互联网的服务器,尽管我已经尽我所能强化了基础操作系统,但当我想到如果最坏的情况发生并且有人能够获得访问权限时,我感到恐惧,DRAC 可能会被用作我们管理网络的后门。
据我所知,不可能直接连接并运行任意命令,您需要用户名和密码 - 但是,如果给予无限的时间和根访问权限,我想暴力破解是可能的,所以,我想知道我该如何保护 DRAC ?
除了最后的崩溃屏幕功能之外,我真的想不出本地主机甚至需要访问 DRAC 的任何理由,因此,我想完全禁用本地访问。
从 drac 运行以下命令是否足够:
racadm config -g cfgRacTune -o cfgRacTuneLocalConfigDisable 1
运行这个程序后,会有什么不利之处吗?
我只能找到旧版 iDrac 5 的小指南,但我想知道自那以后是否有任何变化/添加?
更新
这是具有专用网络端口的专用 Drac(附加)卡,管理网络是完全不同的子网/网络。
当通过 SSH 登录到 Drac 时,我注意到你可以做一些奇怪的事情,我只是想确保如果该盒子曾经被 root/黑客入侵,就不可能登录到 DRAC(即使给予无限的时间/来自主机的暴力破解)并且基本上确保它完全 100% 隔离。
答案1
从安全角度来看,远程管理控制器通常存在问题,因为它们是功能相当齐全的系统((i)DRAC 系列和许多其他系列一样,都是基于 Linux 的),它们被放在可以完全访问服务器硬件的卡上,而且很少(如果有的话)更新。从专用管理网络访问它们(就像您所做的那样)是必要的最低安全级别。
但是,您担心有人会访问您的服务器,然后设法通过 DRAC 进入您的管理网络。这在理论上是可能的,但很难,因为系统之间交换的数据相当少。如果您愿意忍受这些缺点,那么尽可能多地禁用系统和 DRAC 之间的通信将减少您的攻击面。
需要注意的一点是,本地访问 DRAC 需要对服务器上运行的操作系统具有管理访问权限,但除此之外不需要身份验证。如果您运行的是 Unix 并以 root 身份运行racadm或omconfig(或某个 IPMI 工具),您将具有对 DRAC 的管理访问权限。
使用 禁用本地 DRAC 访问的主要缺点racadm config -g cfgRacTune -o cfgRacTuneLocalConfigDisable 1是,您将无法再在本地更改 DRAC 的配置,如果您在某个时候需要重新配置 DRAC 的网络设置,这可能会产生最大的潜在影响。这样做需要小心,因为您可能会无法进一步远程配置它。据我所知,即使禁用本地配置,您仍然可以通过服务器的 BIOS 修改 DRAC 设置。
请注意,此设置不会禁用两者之间的通信;本地程序仍将能够从 DRAC 读取配置参数。基于 IPMI 的工具应看到与相同的效果racadm;所有设置都应为只读,但传感器读数等内容仍将起作用。如果您安装了 OpenManage Server Administrator 软件,则必须查看可以更改哪些与 DRAC 相关的设置omconfig(希望没有)。
Mxx 提到禁用“OS 到 iDRAC 直通”。我还没有使用过 iDRAC7(我订购了一些),但文档表明这是主系统和 DRAC 之间更快的通信通道。禁用它可能不会对您产生功能差异——两者之间的通信仍将进行,只是通过 IPMI 而不是通过 NIC——但它也不会给您带来不便(因为您希望尽可能限制通信),所以我会继续禁用它。
答案2
戴尔建议将 iDRAC 端口安装在物理专用 LAN 上,并消除了人们对此类功能的许多合理担忧。
答案3
我不熟悉racadm命令,但在 iDRAC7 gui 中,有一个名为的选项OS To iDRAC Pass-through。它的描述是:
使用此页面可启用内部系统通信通道,该通道通过共享 LOM 或专用 NIC 在 iDRAC7 和主机操作系统之间提供高速双向带内通信。这适用于具有网络子卡 (NDC) 或主板 LAN (LOM) 设备的系统。
我认为您需要确保此功能已被禁用。
此外,与使用本地用户帐户相比,实施 AD/LDAP 身份验证可能更有意义。这样,您可以设置登录失败通知/锁定。
答案4
您担心的是什么?配置了公共 IP 的 iDRAC 会受到攻击吗?还是有人可能会入侵主机并以某种方式使用 iDRAC 对其他管理控制器发起攻击?
对于前者,我建议您不要将 iDRAC 直接暴露在互联网上。在路由器中使用一些 ACL 来防止未经授权的 IP 访问它。如果可以,请将其放在私有 IP 块上,这样就不会出现问题了。
对于后者,类似的做法是可行的。使用路由器 ACL 确保 iDRAC 只能与授权的管理机器通信,而不能与任何它认为是的机器通信。