16 votos

La obtención de un SuperMicro IPMI BMC

Recientemente he adquirido un SuperMicro X8DTU-F de la placa base, que tiene un built-en el BMC, que, básicamente, se ejecuta el IPMI sistema. Resulta ser un pequeño sistema Linux que se ejecuta en un procesador ARM.

Por desgracia, se está ejecutando una gran cantidad de software, muchas de las cuales no me necesita, y yo no tengo la capacidad de poner detrás de un firewall. Sin embargo, quiero que el IPMI funcionalidad. No puede ser que alguien que ha utilizado uno de estos tienen algunas sugerencias específicas sobre cómo proteger la cosa? Se inicia a partir de lo que es esencialmente un sistema de ficheros de la ROM, y no parecen ser los anzuelos para desactivar cualquiera de los diferentes servidores que se ejecuta....

También me gustaría estar interesado en cómo podría comprobar la lista de nombres de usuario y contraseñas que se pueden utilizar para acceder al sistema a través de todos los diferentes servicios. El valor por defecto es ADMIN / ADMIN, pero ninguno de los archivos en /conf o /etc han 'ADMIN' en ellos, lo que más me preocupa. Hay /conf/shadow y /conf/webshadow ficheros, con la misteriosa 'test' Id en ellos, que no me siento especialmente cómodo.

5voto

Curt Sampson Puntos 607

El uso de /conf/crontab, como dlawson señaló, suena como una excelente idea para mí. Esto me permite ejecutar una secuencia de comandos de una vez por minuto que asegura que todo pero de http y ssh es apagar:

/etc/init.d/cdserver stop
/etc/init.d/fdserver stop
/etc/init.d/cim_sfcb stop
/etc/init.d/webgo stop

Que todavía me deja un servidor web con contraseña-based access control (no veo ninguna manera de validar los certificados de cliente) y quién sabe qué vulnerabilidades remotas. Apagarlo cuando no lo estoy usando (que es la mayoría del tiempo) parece una solución razonable; la adición de un crontab entrada para apagarlo cada cinco o diez minutos iba a atrapar a aquellos casos donde alguien se olvida de apagarlo cuando haya terminado.

El demonio ssh es una versión de dropbear que parece ser bastante fuertemente modificado. Lee los nombres de usuario y contraseñas de texto plano de /conf/PMConfig.dat (que también es utilizada por el servidor web), los registros en cualquier nombre válido y la contraseña como usuario root, y hace caso omiso de la ~/.ssh/authorized_keys archivo. Este último problema es molesto; se obliga a permitir la contraseña de inicio de sesión y abre la posibilidad de backdoors dependiendo desde donde todo se pone sus nombres de usuario y contraseñas.

Así que ese es el dilema con el que se enfrentan: ¿cuánto realmente confiar en esta modificado el demonio ssh instalado en un sistema que era bastante, obviamente, diseñado por la seguridad de ingenuos a los desarrolladores? No mucho, dado el número de pedacitos rotos de resto he visto en sus scripts de shell. Hay inusual convenciones de nomenclatura (/etc/rc?.d/sshd es un enlace simbólico a /etc/init.d/ssh), la enorme cantidad de código que aparecen para ser utilizados, y las características en tan sólo el ssh secuencia de comandos de inicio, tales como el /conf/portcfg_ssh archivo e incluso la restart de comandos son totalmente roto. (No trate de usar estos; sshd no se reinicie y te vas a follar a menos que tenga un inicio de sesión existente. Hemos reiniciado el BMC y acabó tener que flashear.)

La mejor opción que se me ocurre, si uno va a usar de la cosa en todos, es para empezar a ssh en un puerto alternativo mediante una tarea cron, por lo menos es menos probable que aparezca en un portscan.

El componente final es la IPMI la gestión de la red de puertos; yo no puedo ver cómo desactivarlas.

4voto

ddrown Puntos 71

Una cosa a tener en cuenta a la hora de proteger un Supermicro IPMI es el servidor ssh. Las versiones más antiguas de la X8SIL-F IPMI código aceptado conexiones ssh no importa lo que la contraseña fue dado. El software, a continuación, compruebe la contraseña y a rechazar o aceptar la conexión, pero no fue una breve ventana para crear el puerto ssh hacia delante. Las personas estaban recibiendo spam/quejas de abuso por su IPMI IPs debido a esto. Para el X8SIL-F motherboard, La 2.60 IPMI versión de firmware se ha solucionado el problema (que podría haber sido fijado anteriormente, 2.54 del changelog de la entrada parece que podría ser).

Un segundo problema es el de un usuario anónimo con una contraseña predeterminada. El usuario anónimo que parece ser corregidos en la versión de firmware 2.22.

2voto

AntonioK Puntos 192

Hay un pequeño truco para habilitar HTTPS para la interfaz web de IPMI.

Si tu firmware es compatible con IPMI que (mi 2.04 firmware para X8DTH-si se admite), podría, en primer lugar, permitir el acceso HTTPS por ir a Configuración -> SSL, subir dos archivos PEM (certificado y la clave privada) y, en segundo lugar, reiniciar manualmente su IPMI módulo.

Por último, se puede acceder a IPMI en la web de la interfaz de https://bmc-ip-or-hostname/. No puedo decir que el HTTPS funciona más lento que el de HTTP.

0voto

Diego Puntos 611

Lo ideal es que la gestión de la red sería una red diferente a la de su red de otros, o al menos una vlan diferente con limitada enrutado de acceso.

Estos sistemas no son realmente de ejecución que en muchos servicios, aunque:

PORT     STATE SERVICE
22/tcp   open  ssh
80/tcp   open  http
443/tcp  open  https
555/tcp  open  dsf
5120/tcp open  unknown
5900/tcp open  vnc
5988/tcp open  unknown
MAC Address: 00:30:48:D9:3A:71 (Supermicro Computer)

(y UDP/623 para IPMI en sí)

La mayoría de estos son necesarios si usted desea hacer cualquier tipo de gestión remota. Si usted no quiere hacer administración remota, entonces usted debería considerar la posibilidad de no permitir que el controlador IPMI en todos, o la compra de un X9DTU de la junta en su lugar ( el-F denota "built-en el BMC")

Si usted desea hacer una administración remota completa, no puede ejecutar sus controladores de IPMI en una red diferente, y aún así desea deshabilitar el acceso, entonces siempre se puede obtener el controlador IPMI para ejecutar los comandos de iptables. Usted podría secuencia de comandos de inicio de sesión ssh para ejecutar los comandos, o pregunte a Supermicro para el devkit de la BMC y construir una nueva imagen con una secuencia de comandos de iptables.

ACTUALIZACIÓN

Yo tenía otro vistazo a nuestros sistemas, y el /conf sistema de archivos es montado rw. Ninguno de los scripts de inicio llamado nada directamente en /conf (que pude ver), pero hay un archivo crontab. Así que, supongo que se podría copiar en un script de iptables, y editar /conf/crontab para llamar a algunos adecuado intervalo. Te gustaría ser ejecutado ASAP en BMC init, pero no neccesarily quieres que se ejecute cada minuto. O tal vez a usted no le importa.

EnMiMaquinaFunciona.com

EnMiMaquinaFunciona es una comunidad de administradores de sistemas en la que puedes resolver tus problemas y dudas.
Puedes consultar las preguntas de otros sysadmin, hacer tus propias preguntas o resolver las de los demás.

Powered by: