禁用本地主机ipmitool访问

Question

在大多数/许多供应商的服务器上，我可以使用以下命令看到潜在的敏感信息：

ipmitool user list 1

或

ipmitool lan print 1

或者设置新的管理员用户，所有这些用户都不需要身份验证。

这不一定是你想要的东西，如果你给其他用户裸金属的访问。是否有办法防止本地主机用户访问/修改BMC设置？

Answer 1

禁用操作系统级别或“本地”IMPI访问，通过供应商特定的程序为您的BMC。

ipmitool及其使用的设备通常仅限于特权的OS用户。根可以绕过内核模块阻塞或安装缺少的ipmi软件。

Answer 2

正如约翰指出的那样。禁用OS级别或“本地”IPMI访问是一个良好的开端。这取决于IPMI设备的供应商。另外，确保IPMItools没有安装在运行在带有IPMI的机器上的操作系统上也是一个不错的选择。

这里是一个类似的线程，用于保护IPMI。

SuperMicro也有一些关于这个主题的像样的文件。它主要归结为：

• 限制入站流量
• 使用专用管理接口来利用IPMI/BMC。
• 更改IPMI的默认值。
• 监视来自网络其他部分的IPMI/BMC之间的通信量。