NONE Authentifizierung bei IPMI deaktivieren

Aus Thomas-Krenn-Wiki
Wechseln zu: Navigation, Suche

IPMI unterstützt mehrere Authentifizierungsmechanismen (Authentication Types) für die Remote-Steuerung von Servern. Neben der gehashten Übertragung von Zugangsdaten (z.B. MD5) unterstützt die IPMI Spezifikation auch die sogenannte NONE Authentication.[1] Ist diese aktiviert, kann jeder, der die IPMI IP Adresse kennt und Zugriff auf das Netzwerk hat den Server per IPMI steuern (z.B. auch aus schalten). Die NONE Authentication sollten Sie daher aus Sicherheitsgründen deaktivieren.

Überprüfen ob NONE Authentifizierung aktiviert ist

Unter Linux können Sie etwa mit dem ipmitool die Überprüfung durchführen. Bei diesem Server ist die NONE Authentifizierung aktiviert:

server:~ # ipmitool lan print 1
Set in Progress         : Set Complete
Auth Type Support       : NONE MD2 MD5 PASSWORD
Auth Type Enable        : Callback : NONE MD2 MD5 PASSWORD
                        : User     : MD5
                        : Operator : NONE MD2 MD5 PASSWORD
                        : Admin    : NONE MD2 MD5 PASSWORD
                        : OEM      : NONE MD2 MD5 PASSWORD
IP Address Source       : Static Address
[...]

NONE Authentifizierung deaktivieren

Sie können die NONE Authentifizierung deaktivieren, indem Sie etwa nur MD5 für die Authentifizierung zulassen:

server:~ # ipmitool lan set 1 auth Callback MD5
server:~ # ipmitool lan set 1 auth User MD5
server:~ # ipmitool lan set 1 auth Operator MD5
server:~ # ipmitool lan set 1 auth Admin MD5
server:~ # ipmitool lan set 1 auth OEM MD5

NONE Authentifizierung deaktiviert

Die NONE Authentifizierung ist danach deaktiviert:

server:~ # ipmitool lan print 1
Set in Progress         : Set Complete
Auth Type Support       : NONE MD2 MD5 PASSWORD 
Auth Type Enable        : Callback : MD5 
                        : User     : MD5
                        : Operator : MD5 
                        : Admin    : MD5
                        : OEM      : MD5
IP Address Source       : Static Address
[...]

Einzelchnachweise

  1. IPMI v2.0 rev. 1.1 specification Kapitel 1.7.26 Channel Model, Authentication, Sessions, and Users (Seite 21): The specification supports different algorithms for the signature - these are referred to as Authentication Types. Authentication Types include ‘none’, ‘straight password’, the MD2 and MD5 message-digest algorithms, etc.

Weitere Informationen


Foto Werner Fischer.jpg

Autor: Werner Fischer

Werner Fischer, tätig im Bereich Communications / Knowledge Transfer bei Thomas-Krenn, hat sein Studium zu Computer- und Mediensicherheit an der FH Hagenberg abgeschlossen. Er ist regelmäßig Autor in Fachzeitschriften und Speaker bei Konferenzen wie LinuxCon, OSDC, OSMC, LinuxTag u.v.m. Seine Freizeit gestaltet er sehr abwechslungsreich. In einem Moment absolviert er seinen Abschluss im Klavierspielen, im anderen läuft er beim Linzmarathon in der Staffel mit oder interessiert sich für OpenStreetMap.


Das könnte Sie auch interessieren

Detaillierte Analyse eines IPMI Sensors
IPMI Fan Sensor meldet Lower Non-Recoverable Fehler
Supermicro Mainboards IPMI Sensoren ausblenden