NONE Authentifizierung bei IPMI deaktivieren

Aus Thomas-Krenn-Wiki
Zur Navigation springen Zur Suche springen

IPMI unterstützt mehrere Authentifizierungsmechanismen (Authentication Types) für die Remote-Steuerung von Servern. Neben der gehashten Übertragung von Zugangsdaten (z.B. MD5) unterstützt die IPMI Spezifikation auch die sogenannte NONE Authentication.[1] Ist diese aktiviert, kann jeder, der die IPMI IP Adresse kennt und Zugriff auf das Netzwerk hat den Server per IPMI steuern (z.B. auch aus schalten). Die NONE Authentication sollten Sie daher aus Sicherheitsgründen deaktivieren.

Überprüfen ob NONE Authentifizierung aktiviert ist

Unter Linux können Sie etwa mit dem ipmitool die Überprüfung durchführen. Bei diesem Server ist die NONE Authentifizierung aktiviert:

server:~ # ipmitool lan print 1
Set in Progress         : Set Complete
Auth Type Support       : NONE MD2 MD5 PASSWORD
Auth Type Enable        : Callback : NONE MD2 MD5 PASSWORD
                        : User     : MD5
                        : Operator : NONE MD2 MD5 PASSWORD
                        : Admin    : NONE MD2 MD5 PASSWORD
                        : OEM      : NONE MD2 MD5 PASSWORD
IP Address Source       : Static Address
[...]

NONE Authentifizierung deaktivieren

Sie können die NONE Authentifizierung deaktivieren, indem Sie etwa nur MD5 für die Authentifizierung zulassen:

server:~ # ipmitool lan set 1 auth Callback MD5
server:~ # ipmitool lan set 1 auth User MD5
server:~ # ipmitool lan set 1 auth Operator MD5
server:~ # ipmitool lan set 1 auth Admin MD5
server:~ # ipmitool lan set 1 auth OEM MD5

NONE Authentifizierung deaktiviert

Die NONE Authentifizierung ist danach deaktiviert:

server:~ # ipmitool lan print 1
Set in Progress         : Set Complete
Auth Type Support       : NONE MD2 MD5 PASSWORD 
Auth Type Enable        : Callback : MD5 
                        : User     : MD5
                        : Operator : MD5 
                        : Admin    : MD5
                        : OEM      : MD5
IP Address Source       : Static Address
[...]

Einzelchnachweise

  1. IPMI v2.0 rev. 1.1 specification Kapitel 1.7.26 Channel Model, Authentication, Sessions, and Users (Seite 21): The specification supports different algorithms for the signature - these are referred to as Authentication Types. Authentication Types include ‘none’, ‘straight password’, the MD2 and MD5 message-digest algorithms, etc.

Weitere Informationen


Foto Werner Fischer.jpg

Autor: Werner Fischer

Werner Fischer arbeitet im Product Management Team von Thomas-Krenn. Er evaluiert dabei neueste Technologien und teilt sein Wissen in Fachartikeln, bei Konferenzen und im Thomas-Krenn Wiki. Bereits 2005 - ein Jahr nach seinem Abschluss des Studiums zu Computer- und Mediensicherheit an der FH Hagenberg - heuerte er beim bayerischen Server-Hersteller an. Als Öffi-Fan nutzt er gerne Bus & Bahn und genießt seinen morgendlichen Spaziergang ins Büro.


Das könnte Sie auch interessieren

Bootdevice mit ipmitool setzen
CPU Temp Sensor Interpretation von FreeIPMI
FreeIPMI meldet ipmi ctx open outofband: BMC busy beim Versuch IPMI Sensoren abzufragen