NONE Authentifizierung bei IPMI deaktivieren
IPMI unterstützt mehrere Authentifizierungsmechanismen (Authentication Types) für die Remote-Steuerung von Servern. Neben der gehashten Übertragung von Zugangsdaten (z.B. MD5) unterstützt die IPMI Spezifikation auch die sogenannte NONE Authentication.[1] Ist diese aktiviert, kann jeder, der die IPMI IP Adresse kennt und Zugriff auf das Netzwerk hat den Server per IPMI steuern (z.B. auch aus schalten). Die NONE Authentication sollten Sie daher aus Sicherheitsgründen deaktivieren.
Überprüfen ob NONE Authentifizierung aktiviert ist
Unter Linux können Sie etwa mit dem ipmitool die Überprüfung durchführen. Bei diesem Server ist die NONE Authentifizierung aktiviert:
server:~ # ipmitool lan print 1 Set in Progress : Set Complete Auth Type Support : NONE MD2 MD5 PASSWORD Auth Type Enable : Callback : NONE MD2 MD5 PASSWORD : User : MD5 : Operator : NONE MD2 MD5 PASSWORD : Admin : NONE MD2 MD5 PASSWORD : OEM : NONE MD2 MD5 PASSWORD IP Address Source : Static Address [...]
NONE Authentifizierung deaktivieren
Sie können die NONE Authentifizierung deaktivieren, indem Sie etwa nur MD5 für die Authentifizierung zulassen:
server:~ # ipmitool lan set 1 auth Callback MD5 server:~ # ipmitool lan set 1 auth User MD5 server:~ # ipmitool lan set 1 auth Operator MD5 server:~ # ipmitool lan set 1 auth Admin MD5 server:~ # ipmitool lan set 1 auth OEM MD5
NONE Authentifizierung deaktiviert
Die NONE Authentifizierung ist danach deaktiviert:
server:~ # ipmitool lan print 1 Set in Progress : Set Complete Auth Type Support : NONE MD2 MD5 PASSWORD Auth Type Enable : Callback : MD5 : User : MD5 : Operator : MD5 : Admin : MD5 : OEM : MD5 IP Address Source : Static Address [...]
Einzelchnachweise
- ↑ IPMI v2.0 rev. 1.1 specification Kapitel 1.7.26 Channel Model, Authentication, Sessions, and Users (Seite 21): The specification supports different algorithms for the signature - these are referred to as Authentication Types. Authentication Types include ‘none’, ‘straight password’, the MD2 and MD5 message-digest algorithms, etc.
Weitere Informationen
- (IPMI-plugin-user) Error in open session response message : no matching cipher suite (lists.thomas-krenn.com, 29.09.2010): And here is an additional remark: your server's IPMI allows "NONE" as authentication for Callback, Operator, Admin and OEM user rights - so everybody on your network can switch off your server etc. only by knowing the IPMI ip address.
Autor: Werner Fischer Werner Fischer arbeitet im Product Management Team von Thomas-Krenn. Er evaluiert dabei neueste Technologien und teilt sein Wissen in Fachartikeln, bei Konferenzen und im Thomas-Krenn Wiki. Bereits 2005 - ein Jahr nach seinem Abschluss des Studiums zu Computer- und Mediensicherheit an der FH Hagenberg - heuerte er beim bayerischen Server-Hersteller an. Als Öffi-Fan nutzt er gerne Bus & Bahn und genießt seinen morgendlichen Spaziergang ins Büro.
|