Есть сервер с IPMI в ДЦ (colocation). На основном сетевом интерфейсе поднят IPMI.
Как можно защитить IPMI от брутфорса и других посягательств?
Как защитить IPMI
Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Услуги хостинговой компании Host-Food.ru
Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/
-
ev
- ст. лейтенант
- Сообщения: 1325
- Зарегистрирован: 2008-07-27 17:11:30
- Откуда: Москва
Re: Как защитить IPMI
смотря что подразумевается под защитой 
сам IPMI обычно представляет из себя system-on-chip (на основе ARM) соединенный с материнской платой
на этом ARM крутится linux
мало того, что там линукс (уж простите меня линуксойды), так еще и жутко порезанный
с одной стороны - это обычное дело для встраиваемых систем, но с другой - нет особого доверия к их сборке (видя как там все сделано)
напрашивается вариант: не юзать IPMI на LAN1
юзать на выделенном порту и этот порт в закрытый VLAN
но... вернемся к реалиям... такое сделать на colocation если и можно, то за дополнительные деньги
если отбросим вариант запроса у производителя SDK, то остается пожалуй только один вариант: донастроить костылями встроенный linux
обычно там монтируется раздел с конфигами rw... но модификация загрузочных скриптов не предусмотрена зато... есть доступ к crontab
ну а дальше - дело техники... добавляем в crontab вызов своего скрипта с правилами iptables разрешающими доступ только с определенного ip
сам IPMI обычно представляет из себя system-on-chip (на основе ARM) соединенный с материнской платой
на этом ARM крутится linux
мало того, что там линукс (уж простите меня линуксойды), так еще и жутко порезанный
с одной стороны - это обычное дело для встраиваемых систем, но с другой - нет особого доверия к их сборке (видя как там все сделано)
напрашивается вариант: не юзать IPMI на LAN1
юзать на выделенном порту и этот порт в закрытый VLAN
но... вернемся к реалиям... такое сделать на colocation если и можно, то за дополнительные деньги
если отбросим вариант запроса у производителя SDK, то остается пожалуй только один вариант: донастроить костылями встроенный linux
обычно там монтируется раздел с конфигами rw... но модификация загрузочных скриптов не предусмотрена
зато... есть доступ к crontab ну а дальше - дело техники... добавляем в crontab вызов своего скрипта с правилами iptables разрешающими доступ только с определенного ip
-
ev
- ст. лейтенант
- Сообщения: 1325
- Зарегистрирован: 2008-07-27 17:11:30
- Откуда: Москва
Re: Как защитить IPMI
сегодня обновил прошивку IPMI (12.2011) и там уже в интерфейсе есть правила для IP
но это я смотрел для ATEN'овской прошивки - там система малость иная юзается
но это я смотрел для ATEN'овской прошивки - там система малость иная юзается
-
icb
- лейтенант
- Сообщения: 751
- Зарегистрирован: 2008-07-15 16:11:11
Re: Как защитить IPMI
У меня прошивка похоже другая - там нет такого пункта (платформа Supermicro)
Код: Выделить всё
BusyBox v1.1.3 (2011.11.09-02:53+0000) Built-in shell (ash)
Enter 'help' for a list of built-in commands.
# uname -a
Linux SMC002590545574 2.6.24-ami #1 Tue Nov 8 18:53:17 PST 2011 armv5tejl unknown