IPMI: O MAAS automagicamente provisiona as credenciais do BMC - devo estar preocupado?

Navegue suas respostas
3

Eu tenho alguns servidores SuperMicro que eu uso o MAAS para provisionar.

Estou intrigado com o fato de que, após a inicialização do PXE, eles ganham automaticamente um usuário 'maas' em seus usuários locais do BMC DB, com uma senha aleatória que é claramente definida pelo servidor MAAS, pois é capaz de controlar os servidores através do IPMI.

Isso acontece apesar de ter modificado as credenciais de 'admin' padrão de fábrica nas BMCs. É muito conveniente, mas me deixa imaginando como a MAAS consegue isso? Algum tipo de interface in-band entre o servidor principal e o BMC?

Então, minhas perguntas são:

  1. Esse comportamento é seguro / esperado ou sugere que os servidores não foram protegidos adequadamente?
  2. Existe uma maneira de influenciar o papel do usuário criado pelo MAAS no BMC? Atualmente é criado com o papel de 'Administrador'; Eu prefiro ter menos privilegiado, como 'Operador', o que ainda permitiria operações de energia que o MAAS requer.

Pergunta relacionada: Como você adiciona uma máquina ao MAAS com poder de IPMI usando o CLI Observe que eu não usei o CLI mencionado nessa pergunta; tudo que fiz foi PXE-boot meus servidores em uma rede cadastrada no MAAS DHCP.

MAAS 2.3 (2.0-2.2 teve o mesmo comportamento)

    
por sxc731 26.02.2018 / 22:16

1 resposta

1

Com e. g. ipmitool é possível acessar diretamente o controlador ipmi usando o dispositivo /dev/ipmi0 (ou similar). Como isso pode ser feito apenas como raiz e localmente, ele não exige um nome de usuário e senha do IPMI. Presumivelmente, isso é o que o MAAS faz com a implantação de uma nova máquina.

Sobre como definir como o MAAS cria uma conta para suas próprias necessidades de gerenciamento, não posso responder, mas deve ser possível alterar mais tarde usando este comando: 

$ maas-cli maas node update <system-id> power_type="ipmi" \
power_parameters_power_user=<user> \
power_parameters_power_pass=<password>

Em qualquer caso: Em geral, é aconselhável definir a senha IPMI padrão como algo sensato e, além disso, ter a porta LAN dos dispositivos IPMI em uma rede vlan ou física separada.

    
por Sebastian Stark 17.07.2018 / 19:06
Por que o systemd pára meu serviço, mas não o reinicia? O que significa baixar o driver ..common ..?