การจำกัดการเข้าถึง OS ในวงไปยัง Supermicro BMC (AST2500) เป็นไปได้ไหม

Apollo13

2/5/23 13:55

TL;DR: มีตัวเลือกใดในการปิดการเข้าถึง OS (ในแบนด์) ไปยัง Aspeed AST 2500 BMC บนบอร์ด SuperMicro หรืออย่างน้อยก็จำกัดด้วยวิธีใดวิธีหนึ่ง (เช่น ผ่านรหัสผ่านเฉพาะหรือผ่านการตั้งค่าระดับสิทธิ์การเข้าถึงแบบอ่านอย่างเดียว)

รุ่นยาว:

ปีที่แล้ว เราซื้อเซิร์ฟเวอร์ SuperMicro สองสามตัวที่มี Aspeed AST2500 BMC จนถึงตอนนี้เราไม่ได้ใช้ BMC แต่ตอนนี้อยู่ในขั้นตอนการตั้งค่า ซึ่งสามารถเข้าถึงได้ผ่านเครือข่ายการจัดการนอกแบนด์ที่แยกต่างหาก ขณะค้นหาตัวเลือกในการรีเซ็ตรหัสผ่าน BMC ฉันพบโพสต์หลายรายการ (เช่น อันนี้) ซึ่งระบุว่าทันทีที่ฉันมีสิทธิ์รูทบนโฮสต์ ฉันยังสามารถเข้าถึง BMC และเปลี่ยนรหัสผ่านผู้ดูแลระบบได้โดยไม่ต้องมีมาตรการรักษาความปลอดภัยเพิ่มเติม

ฉันไม่ชอบความคิดที่จะเปลี่ยนพารามิเตอร์ BMC จากภายในโฮสต์ OS โดยเฉพาะอย่างยิ่งเนื่องจาก BMC มักจะได้รับการแพตช์ที่ไม่ดีและเป็นเป้าหมายที่น่าสนใจสำหรับรูทคิต (ยังไงก็ตาม รูทคิทถูกค้นพบเมื่อวันก่อน; อย่างน้อยเท่าที่ฉันรู้ มันไม่สามารถเข้าสู่ BMC ผ่านอินเตอร์เฟสในแบนด์ได้)

มีตัวเลือกใด ๆ เพื่อจำกัดการสื่อสารระหว่างโฮสต์กับ BMC หรือไม่

แก้ไข: บอร์ดเซิร์ฟเวอร์ที่ใช้ในเซิร์ฟเวอร์ของเราคือ "ASRock ROMED8-2T"

0 + 0

การแชร์หน้าจอ

ซูเปอร์ไมโคร

ขสมก

Score:2

Server

shodanshok

2/5/23 18:37

คำตอบสั้น ๆ : ฉันไม่ทราบการตั้งค่า BMC ที่บอกว่า "ปิดใช้งานการเข้าถึงในวงทั้งหมด" แต่ฉันสงสัยว่ามีอยู่จริง หรือจะเป็นประโยชน์เลยก็ได้

คำตอบยาว: แม้ว่าคำถามของคุณจะน่าสนใจ โปรดทราบว่าหากมีคนได้รับสิทธิ์รูทเซิร์ฟเวอร์ของคุณ ประนีประนอมอย่างไม่สามารถกู้คืนได้ดังนั้นคุณจึงไม่สามารถไว้วางใจได้อีกต่อไป ท้ายที่สุด รูทไม่เพียงสามารถรีเซ็ตรหัสผ่าน BMC เท่านั้น แต่ยังรีเฟรชรหัสผ่าน เขียน BIOS/UEFI ของเมนบอร์ดใหม่ และอัปเดตเฟิร์มแวร์ของการ์ดเสริมอื่นๆ (เช่น ตัวควบคุม RAID)

ทั้งหมดนี้สามารถทำได้โดยใช้อินเทอร์เฟซระดับต่ำมาตรฐาน (I2C, DMI, IPMI ฯลฯ) ซึ่งเคอร์เนล linux รองรับโดยกำเนิดการลบโมดูล/โค้ดที่เกี่ยวข้องจะไม่ทำงาน เนื่องจากผู้ไม่หวังดีที่มีสิทธิ์รูทสามารถติดตั้งและรีบูตเคอร์เนลที่แพตช์ได้

0 + 0

Apollo13

12/5/23 23:07

ขอบคุณสำหรับคำตอบของคุณ - แน่นอนว่าคุณพูดถูกเกี่ยวกับเซิร์ฟเวอร์ที่ "ถูกบุกรุกโดยไม่สามารถกู้คืนได้" หากผู้โจมตีได้รับสิทธิ์เข้าถึงรูทอันที่จริง ฉันถามเกี่ยวกับวิธีจำกัดการสื่อสาร เพราะฉันต้องการป้องกันไม่ให้ผู้โจมตีเข้าถึงเครือข่ายการจัดการผ่าน BMC แต่เห็นได้ชัดว่าไม่มีตัวเลือกดังกล่าว...

ตอบกลับ

Kulap

คำถามนี้เป็นภาษาอื่นๆ:

EN: Limiting in-band OS access to Supermicro BMC (AST2500) possible?

TH: การจำกัดการเข้าถึง OS ในวงไปยัง Supermicro BMC (AST2500) เป็นไปได้ไหม

RO: Limitarea accesului la sistemul de operare în bandă la Supermicro BMC (AST2500) este posibilă?

RU: Возможно ли ограничение внутриполосного доступа ОС к Supermicro BMC (AST2500)?

VI: Có thể giới hạn quyền truy cập hệ điều hành trong dải vào Supermicro BMC (AST2500) không?

โพสต์คำตอบ

คนส่วนใหญ่ไม่เข้าใจว่าการถามคำถามมากมายจะปลดล็อกการเรียนรู้และปรับปรุงความสัมพันธ์ระหว่างบุคคล ตัวอย่างเช่น ในการศึกษาของ Alison แม้ว่าผู้คนจะจำได้อย่างแม่นยำว่ามีคำถามกี่ข้อที่ถูกถามในการสนทนา แต่พวกเขาไม่เข้าใจความเชื่อมโยงระหว่างคำถามและความชอบ จากการศึกษาทั้ง 4 เรื่องที่ผู้เข้าร่วมมีส่วนร่วมในการสนทนาด้วยตนเองหรืออ่านบันทึกการสนทนาของผู้อื่น ผู้คนมักไม่ตระหนักว่าการถามคำถามจะมีอิทธิพลหรือมีอิทธิพลต่อระดับมิตรภาพระหว่างผู้สนทนา