Wil*_*sum 6 security remote-access drac dell hardening
我正在尝试完全锁定必须存在于防火墙之外/直接路由到 Internet 的服务器,虽然我已尽我所能强化基本操作系统,但当我想到如果最坏的情况应该发生并且有人能够获得访问权限,DRAC 可能会被用作我们管理网络的后门。
据我所知,不可能只连接和运行任意命令,你需要一个用户名和密码 - 但是,如果给予无限时间和 root 访问权限,我想可能会使用蛮力,所以,我想知道我将如何保护 DRAC?
除了最后一个崩溃屏幕功能之外,我真的想不出本地主机甚至需要访问 DRAC 的任何原因,因此,我想完全禁用本地访问。
从 drac 运行以下内容是否足够:
racadm config -g cfgRacTune -o cfgRacTuneLocalConfigDisable 1
通过运行这个,有什么缺点吗?
我只能找到旧 iDrac 5 的小指南,但是,我想知道此后是否有任何更改/添加?
这是一个带有专用网络端口的专用 Drac(附加)卡,管理网络是一个完全不同的子网/网络。
当通过 SSH 登录到 Drac 时,我注意到你可以做一些时髦的事情,我只是想确保如果这个盒子曾经被 root/黑客入侵过,它是不可能登录到 DRAC(即使给予无限来自主机的时间/蛮力)并基本上确保它是完全 100% 隔离的。
从安全角度来看,远程管理控制器通常存在问题,因为它们是功能相当齐全的系统((i)DRAC 系列,与许多其他系统一样,是基于 Linux 的),它们被放置在一张卡上,可以完全访问您的服务器硬件和很少,如果有的话,更新。从专用管理网络访问它们(正如您所做的那样)是必要的最低安全级别。
但是,您担心有人会获得对您的服务器的访问权,然后设法通过 DRAC 进入您的管理网络。这在理论上是可能的,但很困难,因为系统之间交换的数据相当少。如果您愿意忍受这些缺点,则尽可能多地禁用系统和 DRAC 之间的通信将减少您的攻击面。
需要注意的一件事是,对 DRAC 的本地访问需要对服务器上运行的操作系统进行管理访问,但除此之外不需要身份验证。如果您正在运行 Unix 并以 root 身份运行racadmor omconfig(或 IPMI 工具之一),您将拥有对 DRAC 的管理访问权限。
使用 禁用本地 DRAC 访问的主要缺点racadm config -g cfgRacTune -o cfgRacTuneLocalConfigDisable 1是您将无法再在本地更改 DRAC 的配置,如果您在某个时候需要重新配置 DRAC 的网络设置,这可能会产生最大的潜在影响。这样做需要小心,因为您可能无法远程配置它。据我所知,即使禁用本地配置,您仍然可以通过服务器的 BIOS 修改 DRAC 设置。
请注意,此设置不会禁用两者之间的通信;本地程序仍然可以从 DRAC 读取配置参数。基于 IPMI 的工具应该看到相同的效果racadm;所有设置都应该是只读的,但传感器读数之类的东西仍然有效。如果您安装了 OpenManage Server Administrator 软件,则必须查看可以更改哪些与 DRAC 相关的设置omconfig(希望没有)。
Mxx 提到禁用“OS To iDRAC Pass-through”。我还没有使用过 iDRAC7(我订购了一些),但文档表明这是主系统和 DRAC 之间更快的通信通道。禁用它可能不会对您产生功能上的影响——两者之间的通信仍然会发生,只是通过 IPMI 而不是通过 NIC——但它也不会给你带来不便(因为你想尽可能地限制通信尽可能),所以我会继续禁用它。
我不熟悉racadm命令,但在 iDRAC7 gui 中,有一个名为 的选项OS To iDRAC Pass-through。其描述是:
使用此页面可启用内部系统通信通道,该通道通过共享 LOM 或专用 NIC 在 iDRAC7 和主机操作系统之间提供高速双向带内通信。这适用于具有网络子卡 (NDC) 或主板 LAN (LOM) 设备的系统。
我认为您需要确保禁用此功能。
此外,不使用本地用户帐户,实施 AD/LDAP 身份验证也许更有意义。这样您就可以设置登录失败通知/锁定。
| 归档时间: |
|
| 查看次数: |
11969 次 |
| 最近记录: |