У меня есть сервер IPMI на супер микро материнской плате, которую я не могу отключить. Даже нет перемычки для отключения этого также. После наблюдения всех проблем безопасности, которые сервер IPMI они представляют, имел, я просто решил, что не хочу иметь ничего общего с ним.
У меня была идея повредить сети для этого. Можно выбрать DHCP или статический IP-адрес.
Моя идея состояла в том, чтобы установить адрес на что-то, что никогда не будет работать.
IP: 0.0.0.0 Подсеть: 0.0.0.0 Шлюз: 0.0.0.0
вторая идея: IP: 192.168.0.0 Подсеть: 255.255.255.255 Шлюз: 0.0.0.0
Любой из них работал бы? Я обеспокоен, что, если я выбираю IP-адрес как 192.168.0.0, он мог бы вызвать проблему, если бы кто-то должен был непосредственно соединиться с портом и отправить пакеты в сетевой адрес. Существует ли лучший IP, который я могу использовать для повреждения способности к кому-либо соединиться с моим сервером IPMI?
Подойдет ли что-нибудь из этого? Меня беспокоит, что если я выберу IP-адрес, например 192.168.0.0, это может вызвать проблему, если кто-то будет напрямую подключаться к порту и отправлять пакеты на сетевой адрес.
Если у них есть физический доступ для этого, вы имеют гораздо более серьезные проблемы.
Проблема с выбором случайного IP-адреса состоит в том, что практически любой сможет в конечном итоге его найти. Но если у них есть доступ для подключения к нему, они, вероятно, могут сбросить IPMI и просто использовать значения по умолчанию. Но если у них есть доступ для сброса интерфейса IPMI, они могут просто вытащить диски и работать с ними.
И еще есть тот факт, что IPMI можно настроить на совместное использование интерфейса , а не использовать внутренний интерфейс, а это означает, что даже его отключения и эпоксидного нанесения на интерфейс может быть недостаточно для выполнения того, что вы хотите.
О, верно, а еще есть тот факт, что к IPMI можно получить доступ локально, используя ] ipmitool
. (Я думаю, вы на самом деле имеете в виду IPMI Over LAN, который является дополнением к IPMI.)
Итак, хотя я сочувствую вашей ситуации, я не думаю, что вы добьетесь большого успеха, полностью исключив IPMI. из вашей системы. Чтобы минимизировать площадь IPMI:
Это действительно лучшее, что вы можете сделать. Установив надежный пароль, вы можете помешать людям войти и настроить IPMI для использования общего интерфейса и запретить им использовать ipmitool
, а также отключив и управляя физической безопасностью сервера, который вы должен иметь возможность останавливать удаленные атаки непосредственно на интерфейс IPMI Over LAN.