No meu SuperMicro Server, usando uma placa-mãe H8SCM, eu tenho uma placa IPMI
A placa IPMI usa a versão 2.0 e executa o firmware 2.37
O problema que tenho é que não encontro uma maneira viável para desabilitar a porta 80 (HTTP) Access
Como usuário ADMIN ...
Through the Web Interface, i can only change the port (1-65535)
Through the SSH login, i have no access to any relative or interesting information whatsoever
Through the ipmitool, i can only change setting relative to SOL
Through the patched SuperMicro ipmitool, there is no setting available
Estou faltando alguma coisa, ou o SuperMicro deixou um buraco de segurança que permite a transmissão de senhas em texto puro?
Supermicro IPMI BMCs são extremamente úteis, mas não são projetados para segurança. Eu recomendo manter o IPMI em uma interface separada / VLAN. Mesmo se você for capaz de desativar a porta 80, é altamente provável que existam vulnerabilidades de exploração remota não documentadas.
Existe uma extensão OEM para o IPMI que o Supermicro suporta para desativar portas não-IPMI em seu processador de serviços. Não tenho certeza sobre quais linhas de placa-mãe ele suporta atualmente e em quais versões de firmware ele está, mas pode valer a pena tentar.
Não tenho certeza se a extensão é compatível com qualquer software cliente da Supermicro. A extensão OEM é atualmente suportada na ferramenta ipmi-oem do FreeIPMI (disclaimer: Eu mantenho este projeto, então este é um mini-plug). Aqui está o pedaço relevante da manpage.
Supermicro
get-bmc-services-status
This OEM command will determine if non-IPMI services (e.g. ssh, http, https, vnc, etc.) are currently enabled or disabled on the BMC. Command confirmed to work on Supermicro X8DTG.
set-bmc-services-status enable|disable
This OEM command will enable or disable all non-IPMI services on the BMC. This command can be used to enable or disable non-IPMI services such as ssh, http, https, and vnc. Command confirmed to work on Supermicro X8DTG.
Tags security ipmi supermicro