একটি সুপার মাইক্রো আইপিএমআই বিএমসি সুরক্ষিত করা


17

আমি সম্প্রতি একটি সুপার মাইক্রো এক্স 8 ডিটিইউ-এফ মাদারবোর্ড অর্জন করেছি, যার একটি বিল্ট-ইন বিএমসি রয়েছে, যা মূলত আইপিএমআই সিস্টেম চালায়। এটি একটি আর্ম প্রসেসরের উপর চলমান একটি ছোট লিনাক্স সিস্টেম হিসাবে দেখা গেছে।

দুর্ভাগ্যক্রমে, এটি সফটওয়্যারটির একটি নৌকা বোঝাই চালাচ্ছে, যার অনেক কিছুই আমার দরকার নেই এবং আমার এটি ফায়ারওয়ালের পিছনে রাখার ক্ষমতাও নেই। তবে আমি আইপিএমআই কার্যকারিতা চাই না want এর মধ্যে যে কোনও একটি ব্যবহার করেছেন এমন কি কীভাবে জিনিসটি সুরক্ষিত করবেন সে সম্পর্কে কিছু নির্দিষ্ট পরামর্শ রয়েছে? এটি মূলত একটি রম ফাইল সিস্টেম যা থেকে বুট হয় এবং এটি চালিত বিভিন্ন সার্ভারগুলির কোনওটি বন্ধ করার কোনও হুক বলে মনে হয় না ....

আমি আরও আগ্রহী যে আমি কীভাবে নাম এবং পাসওয়ার্ডগুলির তালিকা যাচাই করতে পারি যা বিভিন্ন পরিষেবাগুলির মাধ্যমে সমস্ত সিস্টেমে অ্যাক্সেস করতে ব্যবহার করা যেতে পারে। ডিফল্টটি হ'ল ADMIN/ ADMINতবে কনফিড বা / ইত্যাদির কোনও ফাইলেই 'অ্যাডমিন' থাকে না, যা আমাকে চিন্তায় ফেলে। সেগুলিতে রহস্যজনক 'টেস্ট' আইডি সহ ফাইল রয়েছে /conf/shadowএবং /conf/webshadowএটি আমাকে বিশেষভাবে স্বাচ্ছন্দ্য বোধ করে না।


আমি এখনও ছায়া, ওয়েবশ্যাডো এবং প্রকৃত বৈধ ব্যবহারকারীদের সামগ্রীর মধ্যে একটি সম্পর্ক খুঁজে পাই। বিএমসি পরিচালনার মাধ্যমে যুক্ত হওয়া নতুন ব্যবহারকারী এই ফাইলগুলিতে উপস্থিত হয় না। আরও, "বেনামে", "টেস্ট 1", "টেস্ট 2" ব্যবহারকারীদের একটি শেল রয়েছে যা ফাইল সিস্টেমে নেই।
ড্যানিয়েল লসন

2
আইপিএমআই সুরক্ষা সেরা অভ্যাসগুলিতে ড্যান ফার্মারের গাইডও দেখুন । তিনি আইপিএমআই- র সাথে আইপিএমআই: জাহান্নামে মালবাহী ট্রেন শিরোনামের কয়েকটি গুরুত্বপূর্ণ সুরক্ষার সমস্যার বিবরণ নিয়ে একটি সাম্প্রতিক পত্রিকা প্রকাশ করেছিলেন ।
স্টিফান লাসিউস্কি

1
এই দুর্দান্ত লিঙ্কের জন্য ধন্যবাদ। সুরক্ষা ইস্যুগুলির সংক্ষিপ্তসারটি ফিশ 2.com/ipmi/itrain-gz.html এ এবং খুব সংক্ষিপ্ত সংক্ষিপ্তসারটি হ'ল, "আপনি একেবারে খারাপ হয়ে গেছেন " " দীর্ঘশ্বাস.
কর্ট জে সাম্পসন

উত্তর:


6

/conf/crontabডেলাউসন যেমন উল্লেখ করেছেন, ব্যবহার করা আমার কাছে একটি দুর্দান্ত ধারণা বলে মনে হচ্ছে। এটি আমাকে মিনিটে একবার স্ক্রিপ্ট চালানোর অনুমতি দেয় যা http এবং ssh ব্যতীত সমস্ত কিছু নিশ্চিত করে:

/etc/init.d/cdserver stop
/etc/init.d/fdserver stop
/etc/init.d/cim_sfcb stop
/etc/init.d/webgo stop

এটি এখনও আমাকে পাসওয়ার্ড-ভিত্তিক অ্যাক্সেস নিয়ন্ত্রণের সাথে একটি ওয়েব সার্ভারে ফেলেছে (এটি ক্লায়েন্টের শংসাপত্রগুলির বৈধতা দেওয়ার কোনও উপায় আমি দেখতে পাচ্ছি না) এবং দূরবর্তী দুর্বলতাগুলি কে জানে। যখন আমি এটি ব্যবহার না করছি তখন এটি বন্ধ করা (যা বেশিরভাগ সময়) একটি যুক্তিসঙ্গত সমাধান বলে মনে হয়; প্রতি পাঁচ বা দশ মিনিটে এটিকে বন্ধ করে দেওয়ার জন্য ক্রন্টব এন্ট্রি যুক্ত করা যখন সেগুলি সম্পন্ন করার পরে কেউ এটি বন্ধ করতে ভুলে যায় তখন সেই ঘটনাগুলি ধরা পড়বে।

Ssh ডিমন ড্রপবিয়ারের একটি সংস্করণ যা মোটামুটি ভারী পরিবর্তিত বলে মনে হয়। এটি ব্যবহারকারীর নাম এবং প্লেইন টেক্সট পাসওয়ার্ডগুলি /conf/PMConfig.dat(যা ওয়েব সার্ভার দ্বারা ব্যবহৃত হয়) থেকেও পড়ে থাকে, মূল ব্যবহারকারী হিসাবে কোনও বৈধ নাম এবং পাসওয়ার্ডে লগ ইন করে এবং ~/.ssh/authorized_keysফাইলটিকে উপেক্ষা করে । এই শেষ সমস্যাটি বিরক্তিকর; এটি আপনাকে পাসওয়ার্ড লগইন করতে অনুমতি দেয় এবং কোথা থেকে এটির নাম এবং পাসওয়ার্ড পায় তার উপর নির্ভর করে বাড়ির দরজার সম্ভাবনাটি খোলে।

সুতরাং আপনার এই দ্বিধাটি: আপনারা কতটা বিশ্বাস করেন যে এই সিস্টেমটি যে সুরক্ষা-ভ্রান্ত বিকাশকারীদের দ্বারা সুস্পষ্টভাবে নকশাকৃতভাবে ইনস্টল করা হয়েছে তাতে এই সংশোধিত ssh ডিমন ইনস্টল করা আছে? মোটেও নয়, আমি তাদের শেল স্ক্রিপ্টগুলিতে দেখেছি ক্রাফটের ভাঙা বিট সংখ্যাটি। এখানে অস্বাভাবিক নামকরণের কনভেনশন রয়েছে (/etc/rc?.d/sshd /etc/init.d/ssh- তে একটি সিমিলিঙ্ক), প্রচুর পরিমাণে কোড যা অব্যবহৃত বলে মনে হয় এবং কেবল এসএসএস স্টার্টআপ স্ক্রিপ্টের বৈশিষ্ট্যগুলি যেমন /conf/portcfg_sshফাইল এবং এমনকি restartকমান্ড সম্পূর্ণভাবে ভাঙা হয়। (এগুলি ব্যবহারের চেষ্টা করবেন না; এসএসএসডি পুনরায় আরম্ভ হবে না এবং আপনার যদি বিদ্যমান লগইন না হয় তবে আপনার ক্ষতি হবে না We আমরা বিএমসিকে রিবুট করেছি এবং এটি পুনরায় প্রকাশ করতে হবে ended)

আমি যে সর্বোত্তম বিকল্পটির কথা ভাবতে পারি, যদি কেউ এই জিনিসটি ব্যবহার করতে চলেছে, তা হল ক্রোন জব ব্যবহার করে বিকল্প বন্দরে এসএসএস শুরু করা, সুতরাং কমপক্ষে কোনও পোর্টস্ক্যানে উপস্থিত হওয়ার সম্ভাবনা কম।

চূড়ান্ত উপাদানটি হ'ল আইপিএমআই নেটওয়ার্ক পরিচালনা পোর্ট; এগুলি কীভাবে বন্ধ করা যায় তা আমি দেখতে পাচ্ছি না।


পরিবর্তনগুলি সম্পর্কিত আপনার বেশিরভাগ উদ্বেগ সম্ভবত কোনও সমস্যা নয়। ড্রপবিয়ার পাম ব্যবহার করে, যা লেখকের জন্য লিপ্পামিপমি ব্যবহার করে - আমি কোনও প্রমাণ দেখিনি যে এটি আসলে ক্লিয়ারটেক্সট পাসওয়ার্ড সরাসরি পড়ে। লিপপামিপি আইপিএমআই স্ট্যাকটিতে একটি আইপিএম কল করবে এবং এটি ক্লিয়ারটেক্সট পাসওয়ার্ডগুলি ভালভাবে পড়তে পারে, তবে আমার বক্তব্যটি এটি ড্রপবার ডিমনটি স্ক্রুযুক্ত বলে মনে হচ্ছে না। আমি তবে আপনার বিপরীতে যে কোনও নির্দিষ্ট প্রমাণ শুনতে আগ্রহী।
ড্যানিয়েল লসন

ঠিক আছে, আমরা জানি যে এটি ভেঙে গেছে) ক এর কোনও উপায় নেই) পাসওয়ার্ডের চেয়ে কীগুলি ব্যবহার করুন এবং খ) পাসওয়ার্ড প্রমাণীকরণ অক্ষম করুন।
কর্ট জে সাম্পসন

6

আদর্শভাবে, আপনার পরিচালনা নেটওয়ার্কটি আপনার অন্যান্য নেটওয়ার্কের একটি আলাদা নেটওয়ার্ক বা সীমিত রাউটেড অ্যাক্সেস সহ কমপক্ষে একটি ভিন্ন ভ্যালান হবে।

এই সিস্টেমগুলি আসলে এতগুলি পরিষেবা চালু নেই যদিও:

PORT     STATE SERVICE
22/tcp   open  ssh
80/tcp   open  http
443/tcp  open  https
555/tcp  open  dsf
5120/tcp open  unknown
5900/tcp open  vnc
5988/tcp open  unknown
MAC Address: 00:30:48:D9:3A:71 (Supermicro Computer)

(এবং নিজেই ইউডিপি / 623 আইপিএমআই এর জন্য)

এগুলির বেশিরভাগগুলির প্রয়োজন যদি আপনি কোনও ধরণের রিমোট ম্যানেজমেন্ট করতে চান। আপনি যদি রিমোট ম্যানেজমেন্ট করতে না চান তবে আপনার আইপিএমআই নিয়ামকটি মোটেই সক্ষম না করা বা এর পরিবর্তে একটি এক্স 9 ডিটিইউ বোর্ড কেনার বিষয়টি বিবেচনা করা উচিত (-F "" বিল্ট-ইন বিএমসি "নির্দেশ করে)

আপনি যদি পুরো রিমোট ম্যানেজমেন্ট করতে চান, আপনার আইপিএমআই কন্ট্রোলারগুলিকে অন্য কোনও নেটওয়ার্কে চালনা করতে না পারেন এবং এখনও কিছু অ্যাক্সেস অক্ষম করতে চান, তবে আপনি সর্বদা আইপিএমআই নিয়ামককে আইপিটিবেল কমান্ডগুলি কার্যকর করতে পেতে পারেন। কমান্ডগুলি সম্পাদন করতে আপনি এসএস লগইন স্ক্রিপ্ট করতে পারেন, বা বিএমসির জন্য ডেভকিটের জন্য সুপারমাইক্রোকে জিজ্ঞাসা করতে এবং একটি কাস্টম iptables স্ক্রিপ্ট সহ একটি নতুন চিত্র তৈরি করতে পারেন।

হালনাগাদ

আমি এখানে আমাদের সিস্টেমে অন্য চেহারা পেয়েছি এবং / কনফারেন্স ফাইল সিস্টেমটি rw মাউন্ট করা আছে। আরআইডি স্ক্রিপ্টগুলির মধ্যে কোনওই সরাসরি / কনফাইমে কোনও কিছু কল করেনি (যা আমি দেখতে পাচ্ছিলাম), তবে ক্রন্টব ফাইল রয়েছে। সুতরাং, আমি অনুমান করি আপনি কোনও iptables স্ক্রিপ্টে অনুলিপি করতে পারেন, এবং কিছু উপযুক্ত ব্যবধানে এটিকে কল করার জন্য সম্পাদনা / কনফিট / ক্রোনট্যাব। আপনি এটি BMC ইনিশিতে ASAP চালিত করতে চান, তবে আপনি প্রতি মিনিটে এটি চলতে চান না। অথবা আপনি যত্ন না।


আমি পরিচালনার জন্য একটি পৃথক নেটওয়ার্ক পছন্দ করতে চাই, তবে দুর্ভাগ্যক্রমে এটি অন্য কারও ডেটা সেন্টারে .ুকছে, এবং আমার এটি থাকতে পারে না। পরিচালনার ক্ষেত্রে, আমি সত্যিই যা চাই তা হ'ল https এবং ssh।
কর্ট জে সাম্পসন

আপনি কখনই ল্যানের ওপরে কেভিএম চাইবেন না?
ড্যানিয়েল লসন

ডিসিতে আপনার হোস্টের সামনে আপনার আলাদা ফায়ারওয়াল ইউনিট থাকতে পারে। এটি কিছুটা সমস্যার সমাধান করবে। আপনি কি এই বিষয়ে সহায়তার জন্য সুপারমাইক্রো সহায়তা চেয়েছেন? আমি তাদের মোটামুটি প্রতিক্রিয়াশীল বলে খুঁজে পেয়েছি
ড্যানিয়েল লসন

না, ল্যানের উপরে আমার কেভিএমের দরকার নেই যেহেতু বিআইওএস, গ্রুব এবং লিনাক্স কার্নেল সকলেই সিরিয়াল কনসোল সমর্থন করে।
কর্ট জে সাম্পসন

4

একটি সুপার মাইক্রো আইপিএমআই সুরক্ষিত করার সময় একটি বিষয় বিবেচনা করে তা হ'ল ssh সার্ভার। এক্স 8 এসআইএল-এফ আইপিএমআই কোডের পুরানো সংস্করণগুলি এসএসএস সংযোগ গ্রহণ করেছে তা যা-ই হোক না কেন পাসওয়ার্ড দেওয়া হয়েছিল। সফ্টওয়্যারটি তখন পাসওয়ার্ডটি পরীক্ষা করে এবং সংযোগটি প্রত্যাখাত বা স্বীকার করবে, তবে এসএস পোর্ট ফরওয়ার্ড তৈরি করার জন্য একটি সংক্ষিপ্ত উইন্ডো ছিল। লোকেরা তাদের আইপিএমআই আইপিগুলির জন্য স্প্যাম / অপব্যবহারের অভিযোগ পেয়েছিল । এক্স 8 এসআইএল-এফ মাদারবোর্ডের জন্য, 2.60 আইপিএমআই ফার্মওয়্যার সংস্করণটি সমস্যার সমাধান করেছে (এটি আগে ঠিক করা যেতে পারে, 2.54 এর চেঞ্জলগ এন্ট্রি দেখে মনে হচ্ছে এটি হতে পারে)।

দ্বিতীয় সমস্যাটি হ'ল ডিফল্ট পাসওয়ার্ড সহ অনামী ব্যবহারকারী। বেনামি ব্যবহারকারীটিকে ফার্মওয়্যার সংস্করণ ২.২২ এ স্থির করা হয়েছে বলে মনে হচ্ছে।


2

আইপিএমআই এর ওয়েব ইন্টারফেসের জন্য এইচটিটিপিএস সক্ষম করার জন্য একটি সামান্য কৌশল আছে trick

যদি আপনার আইপিএমআই ফার্মওয়্যার সেটিকে সমর্থন করে (X8DTH-iF এর জন্য আমার 2.04 ফার্মওয়্যার সমর্থন করে), আপনি প্রথমে কনফিগারেশন -> এসএসএল করে দুটি পিএম ফাইল (শংসাপত্র এবং ব্যক্তিগত কী) আপলোড করে এবং দ্বিতীয়ত ম্যানুয়ালি এইচটিটিপিএস অ্যাক্সেস সক্ষম করতে পারবেন you আপনার আইপিএমআই মডিউলটি পুনরায় বুট করুন।

শেষ অবধি , আপনি https: // বিএমসি-আইপি-বা-হোস্টনাম / দ্বারা আইপিএমআই এর ওয়েব ইন্টারফেস অ্যাক্সেস করতে পারেন । আমি বলতে পারি না এইচটিটিপিএস এইচটিটিপি-র চেয়ে ধীর কাজ করে।


0

আপনার মধ্যে কি কেউ আইপটবেবল দিয়ে জিনিসটি সুরক্ষিত করার চেষ্টা করেছেন? দেখে মনে হচ্ছে iptables ইনস্টল করা আছে এবং আমি একটি রুলসেট তৈরি করতে চাই যা কিছু বিশ্বস্ত আইপি থেকে কিছুটা নিরাপদ করার জন্য সমস্ত কিছু গ্রহণ করার বিষয়টি অস্বীকার করে ... তবে আমি উপরে যেমন পড়েছি / কনফিগারেশন থেকে কোনও স্ক্রিপ্ট পড়ছে না। ক্রোনটব কি একমাত্র বিকল্প? এবং আপনি iptables গোলযোগ যদি?


1
যেমনটি আমি আগেই বলেছি, আপনার আইপিএমআই নিয়ন্ত্রককে বাহ্যিকভাবে সুরক্ষিত করা আরও ভাল: হয় সম্পূর্ণ আলাদা ভ্যালান বা শারীরিক নেটওয়ার্কে রাখার মাধ্যমে, বা সীমান্ত ফায়ারওয়াল দ্বারা সুরক্ষিত। আইপিএমআই / বিএমসি কন্ট্রোলারের এই বিশেষ মডেলটি লিনাক্স চালানোর জন্য ঘটে যা এরপরে আপনাকে এই ধারণাটি দিয়ে অনুরোধ করে যে আপনি এটি iptables দিয়ে সুরক্ষিত করতে পারেন। তবে বাস্তবতাটি হ'ল বিএমসি / আইপিএমআই / তিলে তিঁনিদের বিশাল সংখ্যাগরিষ্ঠ ফায়ারওয়ালিংয়ের পথে তাদের তেমন কিছু বা কিছু নেই, এবং সুতরাং আপনার উপর নির্ভর করা উচিত নয়। নিজেকে ঝামেলা বাঁচান এবং আপনার আইপিএমআই নেটওয়ার্কটিকে ব্যক্তিগত, সুরক্ষিত এবং নন-পোড়িত হিসাবে বিবেচনা করুন।
ড্যানিয়েল লসন

1
আমি একমত নই যে আপনার আইপিএমআই নিয়ন্ত্রককে বাহ্যিকভাবে সুরক্ষিত করা "আরও ভাল"; প্রথম স্থানে যথাযথভাবে সুরক্ষিত হোস্টের চেয়ে ফায়ারওয়াল এবং এর মতো সুরক্ষা ব্যর্থতার ঝুঁকি বেশি। তবে, আপনার যদি আলাদা নেটওয়ার্ক ব্যবহার করার ক্ষমতা থাকে তবে এটি একটি ভাল জিনিস এবং আইপিএমআই ডিভাইসগুলির মতো এটির জন্য এটি প্রায় প্রয়োজনীয় বলে মনে হচ্ছে।
কর্ট জে সাম্পসন

0

আপনি ফাইল সিস্টেমটি কীভাবে দেখেছেন? আমি যদি 22 টি পোর্টে টেলনেট করি, আমি দেখতে পাচ্ছি যে ড্রপবার চলছে, তবে আমি যদি বিভিন্ন ব্যবহারকারীর সাথে এসএসএইচ চেষ্টা করি তবে এটি কোনও পাসওয়ার্ডের জন্য অনুরোধ জানায় না। আমি প্রশাসকের অধিকার সহ একটি নতুন ব্যবহারকারী যুক্ত করেছি, তবে এসএসএইচ সেই ব্যবহারকারীর পক্ষে কোনও প্রতিক্রিয়া জানাবে না। আমি একটি সুপারমাইক্রো এক্স 7 এসপিএ-এইচএফ মাদারবোর্ড ব্যবহার করছি যার একটি উইনবন্ড হার্মান আইপিএমআই 2.0 চিপ, ফার্মওয়্যার রিভিশন 01.29, বিল্ড টাইম 2009-12-31 রয়েছে 1


2
কী চলছে তা দেখতে আমি ssh -v করেছি, দেখেছি এটি পাবলিক কী প্রমাণীকরণের চেষ্টা করছে। আমি এটি অক্ষম করে কাজ করতে পেলাম।

আমি এখন এটেন স্ম্যাস-সিএলপি সিস্টেম ম্যানেজমেন্ট শেল, সংস্করণ 1.00
আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.