翰文个人计算机学习网
  • 翰文快讯
  • 翰文PC快讯
  • 综合软件区
  • 操作系统
  • 注册表解析
  • Windows系列
  • Unix/Linux
  • 其他系统
  • 应用软件
  • 微软MS Office
  • WPS Office
  • 多媒体软件
  • 图像处理
  • Photoshop
  • Painter
  • Illustrator
  • CorelDRAW
  • 三维空间
  • AutoCAD
  • 3DMAX
  • 3DMAYA
  • 硬件资源
  • 攒机指南
  • 硬件超频
  • 维修指南
  • 网络资源
  • 在线通讯
  • 网上冲浪
  • 浏览器中心
  • 网络故障解析
  • 病毒资料
  • 病毒通报
  • 病毒防治
  • 病毒常识
  • 黑客技巧
  • SQL/MySQL
  • Oracle
  • Delphi
  • 编程资源
  •  C/C#/C++/VC++/VC.NET
  •  Basic/VB/VB.NET/VBScript
  •  FoxBasic/FoxPro/VF/VF.NET
  •  Java/JavaScript
  • PowerBuilder
  • 热门词:
  • 翰文计算机学习网首页
  • >
  • 病毒防治
  • >
  • 智能平台管理接口(IPMI) 可能存在的安全隐患及防范措施
  • 智能平台管理接口(IPMI) 可能存在的安全隐患及防范措施

  • 资源来源:
  • HW-PCS.ORG
  • 资源作者:
  • 翰文计算机学习网
  • 人气指数:
  • [2894]
  •   智能平台管理接口(IPMI) 是一种开放标准的硬件规格,定义了嵌入式管理子系统进行通信的特定方法。 信息通过基板管理控制器(位于 规格的硬件组件上)进行交流。

      是一项应用于服务器管理系统设计的标准,由Intel、HP、Dell和NEC公司于1998年共同提出,当前最新版本为2.0.利用此接口标准设计有助于在不同类系统硬件上实施系统管理,是一个被大多数厂商支持的协议,配合基板管理控制器,可以实现很多有用的功能。比如远程电源状态控制和端口重定向。利用这个特性,你可以远程控制机房的电源状态(比如你机器之前的状态是关机,但是只要电源还插着,就可以远程打开电源)和安装操作系统,配置 BIOS 等等。

      上面已经介绍了是什么,以及它能做什么;那我们如何管理的呢? 要实现对的ipmi管理,必须在硬件、OS、管理工具等几个方面都满足。

      (1)硬件本身提供对ipmi的支持。

      (2)目前IBM、HP、Dell和NEC等大多数厂商的都支持,但并不是所有都支持,所以应该先通过产品手册或在BIOS中确定是否支持ipmi,也就是说在主板上要具有BMC等嵌入式的管理微控制器。

      (3)提供相应的ipmi驱动。通过监控自身的ipmi信息时需要系统内核提供相应的支持,linux系统通过内核对Open(ipmi驱动)的支持来提供对ipmi的系统接口。

      如果以上三点都满足,那就说明可以用来管理了,管理windows机器我们有RDP协议的远程桌面连接(Mstsc)以及Telnet管理;管理Linux的机器我们有SSH和 Telnet管理,那管理的呢?

      可以通过本地和远程两种方式来获取被监控的监测信息,两种方式都需要相关的硬件,但是软件的安装和软件命令使用稍微有所不同。常用的管理工具是ipmitool, 下需要先安装Open驱动并启动它,SourceForge上的ipmitool只支持/Unix系列的OS,不过它有很多针对Windows的移植版本,比如Sun公司的一个版本,可下载支持平台的ipmitool.后来超微出了一个工具叫做 View,可以windows或者linux使用,可以统一管理和查看的信息,用起来比较方便。注意驱动必须安装在的OS中,管理工具可以安装上(本地管理),或者远程的客户端上(远程管理)。

      可能存在的安全隐患以及防范措施:

      既然是可以用于运维人员对进行管理,那如果一个想入侵某的黑客得到的访问控制权限那会如何?在关机的时候都是可以ping通的,可以说只要黑客有了访问控制权,除非你拔掉网线才能组织黑客对的控制,所以说不管什么控制系统一定要加强密码策略,防止用户名密码泄漏,这是最基本的防范措施。

      基本的密码策略防范措施以及说过了,我们回头看看过去出现过什么问题:

      1、Supermicro Web接口多个安全绕过漏洞

      2、超微(SuperMicro)的越权漏洞

      3、Apple Xserve Lights-Out系统含权限提升漏洞

      关于相关漏洞看看看的历史上真的很少,一般都是厂家自己的问题;比如刚才我们提到的那两个都是属于supermicro(超微)的问题,第一个漏洞详情大致是:

      Supermicro 存在两个管理账户

      用于WEB接口访问:

      "ADMIN"

      "Anonymous"

      官方文件仅告诉用户更改"ADMIN"账户密码,但可通过SSH指定空用户名,默认密码使用小写的"admin"可绕过限制登录系统。

      第二个更离谱,其实就是supermicro(超微)自己管理的WEB接口的问题,低权限的用户在对进行操作的时候,WEB接口会提示无权限,但是如果通过禁用javascript等方法组织错误消息弹出,即可做到越权。

      第三个也是厂家的问题,Xserve是苹果推出的高性能,Xserve内嵌的Lights-Out管理固件实现时存在错误,可能允许远程攻击者在以特殊方式配置了的上获得管理权限。过去关于的漏洞数量比较少,可能很多黑客并没有把眼光放在上,但是并不能说是绝对安全的东西。 对最好的防范措施当然就是密码策略,防止密码泄漏,因为再安全的系统如果泄漏了密码,那系统再稳定也无用。Google了一些关于安全资料,其中一些Engineer说可以物理隔离有的,此方法也是一个不错的方法,即使黑客拿到了的帐号密码,也要想办法让他们无法登陆。

      最后就是如果厂家出了漏洞,那就多留意厂家是否会出相关的漏洞补丁,在最短的时间内解决。关于可能出现的的安全隐患以及防范措施暂时就有这些了,关于的密码传输看官方吹的还是很靠谱的,所以应该不会出现被嗅探等问题。

    感谢您对翰文计算机学习网的支持

  • 关于我们
  • 联系方式
  • 成功案例
  • 技术报价
  • RSS索引
  • 网站地图
  • 翰文电脑学习网
  • MSN:LNDDYGYC9@HOTMAIL.COM Powered by 翰文个人计算机学习网 版权所有,未经允许不得转载
    ICP备案号码:[沪ICP备12020678号] Copyright 2008-2020 HW-PCS.ORG, All Rights Reserved.