Firstly, I want to be sure that if someone scans my networks and he finds some IPMI cards, he won't be able to get control of it.
Os BMCs em sistemas Supermicro tiveram alguns erros particularmente desagradáveis no ano passado. Verifique se seus sistemas estão executando o firmware mais recente, que aborda a maioria dos os bugs como o bug 'anonymous user' e o bug Infame cipher zero . Note que estes firmwares só estão disponíveis para placas-mãe recentes (as gerações X8, X9 e X10; geralmente não para a geração X7 que estava sendo enviada há 3-4 anos), então seu hardware precisará ser um hardware moderno.
Mesmo com as atualizações, o IPMI da Supermicro ainda está sujeito a bugs. As senhas são transmitidas pela rede sem problemas, etc. No meu mundo, o IPMI deve estar absolutamente em uma rede privada e disponível somente a partir de alguns nós de gerenciamento especiais.
I know it's a good practice to use IPMI only in local networks without public, however clients won't be happy about using VPN to access IPMI much.
O IPMI é uma ótima ferramenta de gerenciamento para administradores de sistemas. Pela sua natureza, isso significa que também é um bom backdoor para hackers. Se eu obtiver acesso à rede IPMI, posso fazer coisas interessantes, como desligar todas as 200 máquinas em poucos minutos, ou dizer a cada nó para o PXEboot na próxima inicialização (e possivelmente sobrescrever o que estiver nos discos no momento). Se você puder explicar isso muito bem aos seus clientes, eles poderão ver a sabedoria de uma VPN.
Secondly, you can use ipmitool command to manage IPMI configuration without user authentication. I'd like to prevent customers of changing IPMI setting - e.g. IP address, removing my monitoring users, ...
Certifique-se de que ipmitool
, FreeIPMI, etc. não sejam instalados por padrão no sistema. Na documentação do seu cliente, adicione um aviso de que a instalação dessas ferramentas no sistema operacional é um possível problema de segurança e, se elas forem instaladas, elas assumirão alguns dos riscos.