我在超级微型主板上有一个无法禁用的 IPMI 服务器。甚至没有跳线来禁用它。在看到他们展示的 IPMI 服务器存在的所有安全问题后,我决定不再与它有任何关系。
我有一个想法来打破这个网络。您可以选择 DHCP 或静态 IP 地址。
我的想法是将地址设置为永远不会起作用的东西。
IP:0.0.0.0 子网:0.0.0.0 网关:0.0.0.0
第二个想法:IP:192.168.0.0 子网:255.255.255.255 网关:0.0.0.0
这两个都行吗?我担心如果我选择像 192.168.0.0 这样的 IP 地址,如果有人直接连接到端口并将数据包发送到网络地址,可能会导致问题。是否有更好的 IP 可以用来破坏任何人连接到我的 IPMI 服务器的能力?
这两个都行吗?我担心如果我选择像 192.168.0.0 这样的 IP 地址,如果有人直接连接到端口并将数据包发送到网络地址,可能会导致问题。
如果他们有物理访问权限来执行此操作,那么您将遇到更大的问题。
选择随机 IP 地址的问题在于,基本上任何人最终都能找到它。但是,如果他们有权插入它,他们可能有权重置 IPMI 并仅使用默认值。但是,如果他们有权重置 IPMI 接口,他们就可以直接拔出驱动器并与它们一起运行。
还有一个事实是,IPMI 可以配置为共享一个接口而不是使用内部接口,这意味着即使拔掉它并给接口涂上环氧树脂也可能不足以做你想做的事。
哦,对了,还有一个事实是,IPMI 可以使用ipmitool. (我认为您实际上是指 IPMI Over LAN,它是 IPMI 的附加功能)。
因此,尽管我对您的情况表示同情,但我认为从您的系统中完全消除 IPMI 不会取得太大成功。要最小化 IPMI 表面积:
这真的是关于你能做的最好的事情。通过设置强密码,您可以阻止人们进入并将 IPMI 设置为使用共享接口并阻止他们使用ipmitool,并且通过拔下和管理服务器的物理安全,您应该能够阻止远程攻击直接针对 LAN 接口上的 IPMI。
| 归档时间: |
|
| 查看次数: |
117 次 |
| 最近记录: |