web-dev-qa-db-ja.com

Dell Idracカードを保護するにはどうすればよいですか?

ファイアウォールの外に存在する必要があるサーバーを完全にロックダウンしようとしています/インターネットに直接ルーティングされており、ベースOSをできる限り強化しているのに、最悪の事態が発生し、誰かがアクセスできた場合、DRACが管理ネットワークへのバックドアとして使用される可能性があります。

私の知る限り、接続して任意のコマンドを実行するだけでは不可能です。ユーザー名とパスワードが必要です。ただし、無制限の時間とルートアクセスが与えられた場合、ブルートフォースが可能である可能性があるので、私は思っていました。 DRACを保護するにはどうすればよいですか?

最後のクラッシュ画面機能以外は、ローカルホストがDRACへのアクセスを必要とする理由はまったく考えられないので、ローカルアクセスを完全に無効にしたいと思います。

DRACから十分な以下を実行しています:

racadm config -g cfgRacTune -o cfgRacTuneLocalConfigDisable 1

そして、これを実行することにより、何か欠点がありますか?

私は古いiDrac 5の小さなガイドしか見つけることができませんでしたが、何か変更/追加されたのではないかと思っていましたか?

更新

これは、専用のネットワークポートを備えた専用のDrac(アドオン)カードであり、管理ネットワークは完全に異なるサブネット/ネットワークです。

SSHを介してDracにログオンしているときに、ファンキーなことができることに気づきました。ボックスがルート化/ハッキングされた場合、DRACにログオンできないことを確認したいだけです(無制限の場合でも)ホストからの時間/総当たり)、基本的にそれが完全に100%分離されていることを確認します。

4
William Hilsum

リモート管理コントローラーは、サーバーのハードウェアへのフルアクセスが可能なカードにドロップされるかなりフル機能のシステム(他の多くのように、(i)DRACシリーズはLinuxベースです)であるため、一般にセキュリティの観点から問題があります。まれに、更新されます。専用の管理ネットワークから(あなたがしているように)アクセスすることは、必要最低限​​のセキュリティです。

ただし、誰かがサーバーにアクセスし、DRACを通過して管理ネットワークに侵入することを心配しています。これは理論的には可能ですが、システム間で交換されるデータがかなり少ないため、困難です。欠点に対処したい場合は、システムとDRAC間の通信を可能な限り無効にすると、攻撃対象が減ります。

注意が必要なのは、DRACへのローカルアクセスには、サーバーで実行されているOSへの管理アクセスが必要ですが、それ以上の認証は必要ないことです。 Unixを実行していて、racadmまたはomconfig(またはIPMIツールの1つ)をrootとして実行している場合、DRACへの管理アクセス権があります。

racadm config -g cfgRacTune -o cfgRacTuneLocalConfigDisable 1でローカルDRACアクセスを無効にすることの主な欠点は、DRACの構成をローカルで変更できなくなることです。ある時点でDRACのネットワーク設定を再構成する必要がある場合、おそらくこれが最大の潜在的影響を及ぼします。 。リモートでそれを構成できなくなる可能性があるため、これを行うには注意が必要です。私の知る限り、ローカル構成が無効になっていても、サーバーのBIOSからDRAC設定を変更できます。

この設定は2つの間の通信を無効にしないことに注意してください。ローカルプログラムは、DRACから構成パラメータを読み取ることができます。 IPMIベースのツールはracadmと同じ効果を示すはずです。すべての設定は読み取り専用にする必要がありますが、センサーの読み取り値などは引き続き機能します。 OpenManage Server Administratorソフトウェアをインストールしている場合は、omconfigで変更できるDRAC関連の設定を確認する必要があります(できればなし)。

Mxxは、「OS to iDRACパススルー」の無効化について言及しました。私はまだiDRAC7を使用していません(注文したものがいくつかあります)が、これはメインシステムとDRAC間のより高速な通信チャネルであることをドキュメントが示しています。これを無効にしても機能上の違いはないでしょう-2つの間の通信はNIC経由ではなくIPMI経由で行われますが、不便はありません(通信をできるだけ制限したいため)できるだけ)、私は先に進んでそれを無効にします。

4
asciiphil

デルは、iDRACポートを物理的に専用のLAN上に配置することをお勧めします。これにより、そのような機能に関する合理的な懸念の多くが解消されます。

1
Mark

ここであなたの懸念は何ですか?パブリックIPで構成されたiDRACが危険にさらされることになりますか?または、誰かがホストマシンを危険にさらし、どういうわけかiDRACを使用して他の管理コントローラーに対して攻撃を仕掛ける可能性がありますか?

前者については、iDRACを直接インターネットに公開したままにしないことをお勧めします。ルーターでいくつかのACLを使用して、不正なIPがアクセスしないようにします。可能であれば、プライベートIPブロックに配置して、問題が少なくなるようにします。

後者の場合、同様のことが機能します。ルーターACLを使用して、iDRACが許可された管理マシンとのみ通信できるようにし、地獄とは通信できないようにします。

1
devicenull

racadmコマンドについてはよく知りませんが、iDRAC7 GUIにはOS To iDRAC Pass-throughというオプションがあります。その説明は次のとおりです。

このページを使用して、共有LOMまたは専用NICを介したiDRAC7とホストオペレーティングシステム間の高速双方向帯域内通信を提供する内部システム通信チャネルを有効にします。これは、ネットワークドーターカード(NDC)またはLAN On Motherboard(LOM)デバイスを搭載したシステムに適用されます。

これは、無効になっていることを確認したいものだと思います。

さらに、ローカルユーザーアカウントを使用する代わりに、AD/LDAP認証を実装することはおそらく意味があります。これにより、失敗したログイン通知/ロックアウトを設定できます。

0
Mxx