Dell iDracs силы и BMC для использования lanplus вместо интерфейса LAN
DNS (означал быть), кэшируемый, пока TTL (Время жизни) на записи DNS не истекает. TTL начинает рассчитывать по сравнению с тем, когда запись DNS получена.
Так, если у Вас будет TTL 5 минут, затем если это были больше чем 5 минут, с тех пор как запись DNS была получена, затем это будет повторно получено.
Однако - это только, как работают сервисы DNS хорошего поведения. Существуют ведшие себя сервисы DNS некоторого not-so-well, которые будут кэшировать запись для намного дольше, чем TTL, который вызвал много проблем для веб-мастеров в прошлом (существует много вопросов на этом сайте об этом).
Вы можете:
1 - использовать утилиту настройки Dell DRAC для блокировки установки DRAC.
2 - использовать утилиту управления BMC, чтобы сделать то же самое с BMC. См. Мои ссылки в конце.
3 - В зависимости от реализации IPMI вы можете использовать файл .conf для отключения интерфейса локальной сети или выполнить команду для его отключения или отключить канал локальной сети.
4 - Запретите IPMI через LAN на сетевом уровне, указав используемые порты и запретив их, или используя сбросы.
Хотя использование lanplus, а не LAN поможет с проблемами широковещательной передачи пароля в открытом виде в IPMI, я не уверен, что это лучший подход, и он может быть небезопасен в любом случае, учитывая унаследованный характер IPMI и более старых, более слабых средств шифрования.
Итак, я собираюсь задать ваш вопрос другим способом.
" См. http://en.wikipedia.org/wiki/IBM_Remote_Supervisor_Adapter и http://en.wikipedia.org/wiki/Dell_DRAC
Исходя из рисков, вот несколько идей для вас на рассмотрение:
1 - При создании защищенной локальной сети OOB используйте стандартный VPN / брандмауэр с надежными аутентификаторами или устройство типа ASA.
2 - Отделяйте IPMI / OOB LAN от обычного трафика LAN и не перекрестно подключать их, за исключением других сетей управления. Попробуйте отключить сеть IPMI / OOB на другие локальные сети, если это необходимо для их использования.
3 - Наименьшие привилегии / Запретить все (не используются) для всей подключенной инфраструктуры и ролей пользователей. Эта инфраструктура должна быть доступна только администраторам безопасности и сетевым администраторам. В зависимости от реализации IPMI некоторые из этих протоколов могут даже не воздействовать на ЦП, поэтому конфигурация хоста может не помочь в их защите.
4 - Надежные аутентификаторы для доступа к концентратору последовательного доступа / KVM.
5 - Используйте концентраторы последовательного доступа с высоким уровнем безопасности, которые специально включают надежные аутентификаторы и потенциально роли и т. Д. Например, см. http://www.raritan.com/cac-reader/ для примера безопасного решения KVM / последовательного порта.
6 - Если вы вынуждены использовать telnet или другой небезопасный протокол, туннелируйте это через что-то безопасное, например SSH, SSL, IPSEC
7 - Заблокируйте все рабочие станции управления для BMC / DRAC
8 - Если ваше программное обеспечение поддерживает это, отключите устаревшие и небезопасные протоколы, такие как telnet, и предпочтительно используйте SSH, или IPSEC
9 - Рассмотрите возможность включения аудита / ведения журнала в центральном месте, особенно для компонентов доступа OOB
10 - Отделите устройства аутентификации от источников информации аутентификации (TACACS / RADIUS / и т. д.)
11 - Выберите самый надежный ключ аутентификации возможные типы для длины и версии используемого IPMI. Подумайте также о случайных паролях и элементах управления паролями. Enterprise Random Password Manager от Liberman выглядит довольно изящно для этого.
12 - Посмотрите, могут ли некоторые из более продвинутых инструментов управления сетью помочь вам в этом. Список сторонников IPMI перечисляет поставщиков программного обеспечения, которые, вероятно, встраивают некоторые из этих функций.
13 - Подумайте о возможной замене IPMI, такой как vPro или другие стандарты.
Использованные ссылки:
http://support.dell . liebsoft.com/Enterprise_Random_Password_Manager/[12107 impression
Хотя я лично никогда не пробовал это сделать, я думаю, что можно отключить все механизмы аутентификации IPMI 1.5 и включить только механизмы аутентификации IPMI 2.0, что, вероятно, сделало бы соединения IPMI 2.0 (т.е. ipmitool lanplus) работающими, но все Соединения IPMI 1.5 (т.е. ipmitool lan) невозможны.
Я больше знаком с FreeIPMI, чем с ipmitool, но в ipmitool я думаю, что аутентификация IPMI 1.5 настраивается через «lan set auth» и IPMI 2.0 через «lan set cipher_privs».
(В bmc-config FreeIPMI это ' s разделы Lan_Conf_Auth и Rmcpplus_Conf_Privilege соответственно.)
Естественно, вам все равно нужно грамотно настроить вещи. Например, включение наборов шифров, которые не разрешают аутентификацию, было бы очень плохо.