在提供专用服务时,从公共网络或通过内核模块保护 IPMI 的最佳做法是什么。
首先,我想确保如果有人扫描我的网络并找到了一些 IPMI 卡,他将无法控制它。有一个错误,允许通过匿名帐户通过 supermicro IPMI 发送电子邮件。我知道只在没有公共网络的本地网络中使用 IPMI 是一个很好的做法,但是客户不会很高兴使用 VPN 来访问 IPMI。
其次,您可以使用 ipmitool 命令来管理 IPMI 配置,而无需用户身份验证。我想阻止客户更改 IPMI 设置 - 例如 IP 地址、删除我的监控用户、...
你最好的做法是什么?如果你遇到了这个问题,你会如何解决?
IPMI 的主要好处是 SHTF 场合的带外访问,在这种场合,内核通常不起作用。因此,您应该允许在操作系统之外进行访问。设置一个 VPN 或至少,一种让您的客户通过 ssh 隧道或其他方式访问 IPMI 的方式。
您对将 IPMI 暴露给公共互联网持谨慎态度是正确的。如果您的客户抱怨额外的安全性,那么他们就不是您想要与之打交道的那种客户。
| 归档时间: |
|
| 查看次数: |
1421 次 |
| 最近记录: |