একটি সুপার মাইক্রো আইপিএমআই বিএমসি সুরক্ষিত করা

আমি সম্প্রতি একটি সুপার মাইক্রো এক্স 8 ডিটিইউ-এফ মাদারবোর্ড অর্জন করেছি, যার একটি বিল্ট-ইন বিএমসি রয়েছে, যা মূলত আইপিএমআই সিস্টেম চালায়। এটি একটি আর্ম প্রসেসরের উপর চলমান একটি ছোট লিনাক্স সিস্টেম হিসাবে দেখা গেছে।

দুর্ভাগ্যক্রমে, এটি সফটওয়্যারটির একটি নৌকা বোঝাই চালাচ্ছে, যার অনেক কিছুই আমার দরকার নেই এবং আমার এটি ফায়ারওয়ালের পিছনে রাখার ক্ষমতাও নেই। তবে আমি আইপিএমআই কার্যকারিতা চাই না want এর মধ্যে যে কোনও একটি ব্যবহার করেছেন এমন কি কীভাবে জিনিসটি সুরক্ষিত করবেন সে সম্পর্কে কিছু নির্দিষ্ট পরামর্শ রয়েছে? এটি মূলত একটি রম ফাইল সিস্টেম যা থেকে বুট হয় এবং এটি চালিত বিভিন্ন সার্ভারগুলির কোনওটি বন্ধ করার কোনও হুক বলে মনে হয় না ....

আমি আরও আগ্রহী যে আমি কীভাবে নাম এবং পাসওয়ার্ডগুলির তালিকা যাচাই করতে পারি যা বিভিন্ন পরিষেবাগুলির মাধ্যমে সমস্ত সিস্টেমে অ্যাক্সেস করতে ব্যবহার করা যেতে পারে। ডিফল্টটি হ'ল ADMIN/ ADMINতবে কনফিড বা / ইত্যাদির কোনও ফাইলেই 'অ্যাডমিন' থাকে না, যা আমাকে চিন্তায় ফেলে। সেগুলিতে রহস্যজনক 'টেস্ট' আইডি সহ ফাইল রয়েছে /conf/shadowএবং /conf/webshadowএটি আমাকে বিশেষভাবে স্বাচ্ছন্দ্য বোধ করে না।

/conf/crontabডেলাউসন যেমন উল্লেখ করেছেন, ব্যবহার করা আমার কাছে একটি দুর্দান্ত ধারণা বলে মনে হচ্ছে। এটি আমাকে মিনিটে একবার স্ক্রিপ্ট চালানোর অনুমতি দেয় যা http এবং ssh ব্যতীত সমস্ত কিছু নিশ্চিত করে:

/etc/init.d/cdserver stop
/etc/init.d/fdserver stop
/etc/init.d/cim_sfcb stop
/etc/init.d/webgo stop

এটি এখনও আমাকে পাসওয়ার্ড-ভিত্তিক অ্যাক্সেস নিয়ন্ত্রণের সাথে একটি ওয়েব সার্ভারে ফেলেছে (এটি ক্লায়েন্টের শংসাপত্রগুলির বৈধতা দেওয়ার কোনও উপায় আমি দেখতে পাচ্ছি না) এবং দূরবর্তী দুর্বলতাগুলি কে জানে। যখন আমি এটি ব্যবহার না করছি তখন এটি বন্ধ করা (যা বেশিরভাগ সময়) একটি যুক্তিসঙ্গত সমাধান বলে মনে হয়; প্রতি পাঁচ বা দশ মিনিটে এটিকে বন্ধ করে দেওয়ার জন্য ক্রন্টব এন্ট্রি যুক্ত করা যখন সেগুলি সম্পন্ন করার পরে কেউ এটি বন্ধ করতে ভুলে যায় তখন সেই ঘটনাগুলি ধরা পড়বে।

Ssh ডিমন ড্রপবিয়ারের একটি সংস্করণ যা মোটামুটি ভারী পরিবর্তিত বলে মনে হয়। এটি ব্যবহারকারীর নাম এবং প্লেইন টেক্সট পাসওয়ার্ডগুলি /conf/PMConfig.dat(যা ওয়েব সার্ভার দ্বারা ব্যবহৃত হয়) থেকেও পড়ে থাকে, মূল ব্যবহারকারী হিসাবে কোনও বৈধ নাম এবং পাসওয়ার্ডে লগ ইন করে এবং ~/.ssh/authorized_keysফাইলটিকে উপেক্ষা করে । এই শেষ সমস্যাটি বিরক্তিকর; এটি আপনাকে পাসওয়ার্ড লগইন করতে অনুমতি দেয় এবং কোথা থেকে এটির নাম এবং পাসওয়ার্ড পায় তার উপর নির্ভর করে বাড়ির দরজার সম্ভাবনাটি খোলে।

সুতরাং আপনার এই দ্বিধাটি: আপনারা কতটা বিশ্বাস করেন যে এই সিস্টেমটি যে সুরক্ষা-ভ্রান্ত বিকাশকারীদের দ্বারা সুস্পষ্টভাবে নকশাকৃতভাবে ইনস্টল করা হয়েছে তাতে এই সংশোধিত ssh ডিমন ইনস্টল করা আছে? মোটেও নয়, আমি তাদের শেল স্ক্রিপ্টগুলিতে দেখেছি ক্রাফটের ভাঙা বিট সংখ্যাটি। এখানে অস্বাভাবিক নামকরণের কনভেনশন রয়েছে (/etc/rc?.d/sshd /etc/init.d/ssh- তে একটি সিমিলিঙ্ক), প্রচুর পরিমাণে কোড যা অব্যবহৃত বলে মনে হয় এবং কেবল এসএসএস স্টার্টআপ স্ক্রিপ্টের বৈশিষ্ট্যগুলি যেমন /conf/portcfg_sshফাইল এবং এমনকি restartকমান্ড সম্পূর্ণভাবে ভাঙা হয়। (এগুলি ব্যবহারের চেষ্টা করবেন না; এসএসএসডি পুনরায় আরম্ভ হবে না এবং আপনার যদি বিদ্যমান লগইন না হয় তবে আপনার ক্ষতি হবে না We আমরা বিএমসিকে রিবুট করেছি এবং এটি পুনরায় প্রকাশ করতে হবে ended)

আমি যে সর্বোত্তম বিকল্পটির কথা ভাবতে পারি, যদি কেউ এই জিনিসটি ব্যবহার করতে চলেছে, তা হল ক্রোন জব ব্যবহার করে বিকল্প বন্দরে এসএসএস শুরু করা, সুতরাং কমপক্ষে কোনও পোর্টস্ক্যানে উপস্থিত হওয়ার সম্ভাবনা কম।

চূড়ান্ত উপাদানটি হ'ল আইপিএমআই নেটওয়ার্ক পরিচালনা পোর্ট; এগুলি কীভাবে বন্ধ করা যায় তা আমি দেখতে পাচ্ছি না।

আদর্শভাবে, আপনার পরিচালনা নেটওয়ার্কটি আপনার অন্যান্য নেটওয়ার্কের একটি আলাদা নেটওয়ার্ক বা সীমিত রাউটেড অ্যাক্সেস সহ কমপক্ষে একটি ভিন্ন ভ্যালান হবে।

এই সিস্টেমগুলি আসলে এতগুলি পরিষেবা চালু নেই যদিও:

PORT     STATE SERVICE
22/tcp   open  ssh
80/tcp   open  http
443/tcp  open  https
555/tcp  open  dsf
5120/tcp open  unknown
5900/tcp open  vnc
5988/tcp open  unknown
MAC Address: 00:30:48:D9:3A:71 (Supermicro Computer)

(এবং নিজেই ইউডিপি / 623 আইপিএমআই এর জন্য)

এগুলির বেশিরভাগগুলির প্রয়োজন যদি আপনি কোনও ধরণের রিমোট ম্যানেজমেন্ট করতে চান। আপনি যদি রিমোট ম্যানেজমেন্ট করতে না চান তবে আপনার আইপিএমআই নিয়ামকটি মোটেই সক্ষম না করা বা এর পরিবর্তে একটি এক্স 9 ডিটিইউ বোর্ড কেনার বিষয়টি বিবেচনা করা উচিত (-F "" বিল্ট-ইন বিএমসি "নির্দেশ করে)

আপনি যদি পুরো রিমোট ম্যানেজমেন্ট করতে চান, আপনার আইপিএমআই কন্ট্রোলারগুলিকে অন্য কোনও নেটওয়ার্কে চালনা করতে না পারেন এবং এখনও কিছু অ্যাক্সেস অক্ষম করতে চান, তবে আপনি সর্বদা আইপিএমআই নিয়ামককে আইপিটিবেল কমান্ডগুলি কার্যকর করতে পেতে পারেন। কমান্ডগুলি সম্পাদন করতে আপনি এসএস লগইন স্ক্রিপ্ট করতে পারেন, বা বিএমসির জন্য ডেভকিটের জন্য সুপারমাইক্রোকে জিজ্ঞাসা করতে এবং একটি কাস্টম iptables স্ক্রিপ্ট সহ একটি নতুন চিত্র তৈরি করতে পারেন।

হালনাগাদ

আমি এখানে আমাদের সিস্টেমে অন্য চেহারা পেয়েছি এবং / কনফারেন্স ফাইল সিস্টেমটি rw মাউন্ট করা আছে। আরআইডি স্ক্রিপ্টগুলির মধ্যে কোনওই সরাসরি / কনফাইমে কোনও কিছু কল করেনি (যা আমি দেখতে পাচ্ছিলাম), তবে ক্রন্টব ফাইল রয়েছে। সুতরাং, আমি অনুমান করি আপনি কোনও iptables স্ক্রিপ্টে অনুলিপি করতে পারেন, এবং কিছু উপযুক্ত ব্যবধানে এটিকে কল করার জন্য সম্পাদনা / কনফিট / ক্রোনট্যাব। আপনি এটি BMC ইনিশিতে ASAP চালিত করতে চান, তবে আপনি প্রতি মিনিটে এটি চলতে চান না। অথবা আপনি যত্ন না।

একটি সুপার মাইক্রো আইপিএমআই সুরক্ষিত করার সময় একটি বিষয় বিবেচনা করে তা হ'ল ssh সার্ভার। এক্স 8 এসআইএল-এফ আইপিএমআই কোডের পুরানো সংস্করণগুলি এসএসএস সংযোগ গ্রহণ করেছে তা যা-ই হোক না কেন পাসওয়ার্ড দেওয়া হয়েছিল। সফ্টওয়্যারটি তখন পাসওয়ার্ডটি পরীক্ষা করে এবং সংযোগটি প্রত্যাখাত বা স্বীকার করবে, তবে এসএস পোর্ট ফরওয়ার্ড তৈরি করার জন্য একটি সংক্ষিপ্ত উইন্ডো ছিল। লোকেরা তাদের আইপিএমআই আইপিগুলির জন্য স্প্যাম / অপব্যবহারের অভিযোগ পেয়েছিল । এক্স 8 এসআইএল-এফ মাদারবোর্ডের জন্য, 2.60 আইপিএমআই ফার্মওয়্যার সংস্করণটি সমস্যার সমাধান করেছে (এটি আগে ঠিক করা যেতে পারে, 2.54 এর চেঞ্জলগ এন্ট্রি দেখে মনে হচ্ছে এটি হতে পারে)।

দ্বিতীয় সমস্যাটি হ'ল ডিফল্ট পাসওয়ার্ড সহ অনামী ব্যবহারকারী। বেনামি ব্যবহারকারীটিকে ফার্মওয়্যার সংস্করণ ২.২২ এ স্থির করা হয়েছে বলে মনে হচ্ছে।

আইপিএমআই এর ওয়েব ইন্টারফেসের জন্য এইচটিটিপিএস সক্ষম করার জন্য একটি সামান্য কৌশল আছে trick

যদি আপনার আইপিএমআই ফার্মওয়্যার সেটিকে সমর্থন করে (X8DTH-iF এর জন্য আমার 2.04 ফার্মওয়্যার সমর্থন করে), আপনি প্রথমে কনফিগারেশন -> এসএসএল করে দুটি পিএম ফাইল (শংসাপত্র এবং ব্যক্তিগত কী) আপলোড করে এবং দ্বিতীয়ত ম্যানুয়ালি এইচটিটিপিএস অ্যাক্সেস সক্ষম করতে পারবেন you আপনার আইপিএমআই মডিউলটি পুনরায় বুট করুন।

শেষ অবধি , আপনি https: // বিএমসি-আইপি-বা-হোস্টনাম / দ্বারা আইপিএমআই এর ওয়েব ইন্টারফেস অ্যাক্সেস করতে পারেন । আমি বলতে পারি না এইচটিটিপিএস এইচটিটিপি-র চেয়ে ধীর কাজ করে।

আপনার মধ্যে কি কেউ আইপটবেবল দিয়ে জিনিসটি সুরক্ষিত করার চেষ্টা করেছেন? দেখে মনে হচ্ছে iptables ইনস্টল করা আছে এবং আমি একটি রুলসেট তৈরি করতে চাই যা কিছু বিশ্বস্ত আইপি থেকে কিছুটা নিরাপদ করার জন্য সমস্ত কিছু গ্রহণ করার বিষয়টি অস্বীকার করে ... তবে আমি উপরে যেমন পড়েছি / কনফিগারেশন থেকে কোনও স্ক্রিপ্ট পড়ছে না। ক্রোনটব কি একমাত্র বিকল্প? এবং আপনি iptables গোলযোগ যদি?

আপনি ফাইল সিস্টেমটি কীভাবে দেখেছেন? আমি যদি 22 টি পোর্টে টেলনেট করি, আমি দেখতে পাচ্ছি যে ড্রপবার চলছে, তবে আমি যদি বিভিন্ন ব্যবহারকারীর সাথে এসএসএইচ চেষ্টা করি তবে এটি কোনও পাসওয়ার্ডের জন্য অনুরোধ জানায় না। আমি প্রশাসকের অধিকার সহ একটি নতুন ব্যবহারকারী যুক্ত করেছি, তবে এসএসএইচ সেই ব্যবহারকারীর পক্ষে কোনও প্রতিক্রিয়া জানাবে না। আমি একটি সুপারমাইক্রো এক্স 7 এসপিএ-এইচএফ মাদারবোর্ড ব্যবহার করছি যার একটি উইনবন্ড হার্মান আইপিএমআই 2.0 চিপ, ফার্মওয়্যার রিভিশন 01.29, বিল্ড টাইম 2009-12-31 রয়েছে 1