国产精品香蕉在线观看网,亚洲欧美精品综合在线观看,亚洲不卡av一区二区无码不卡,亚洲日本精品国产第一区二区

　　智能平臺管理接口(IPMI) 是一種開放標準的硬件管理接口規(guī)格，定義了嵌入式管理子系統(tǒng)進行的特定方法。IPMI 信息通過基板管理控制器(位于 IPMI 規(guī)格的硬件組件上)進行交流。

　　IPMI是一項應(yīng)用于管理系統(tǒng)設(shè)計的標準，由、、Dell和NEC公司于1998年共同提出，當(dāng)前最新版本為2.0.利用此接口標準設(shè)計有助于在不同類硬件上實施系統(tǒng)管理，IPMI是一個被大多數(shù)服務(wù)器廠商支持的協(xié)議，配合基板管理控制器，可以實現(xiàn)很多有用的功能。比如遠程電源狀態(tài)控制和端口重定向。利用這個特性，你可以遠程控制的服務(wù)器電源狀態(tài)(比如你機器之前的狀態(tài)是關(guān)機，但是只要電源還插著，就可以遠程打開電源)和安裝，配置 BIOS 等等。

　　上面已經(jīng)介紹了IPMI是什么，以及它能做什么;那我們?nèi)绾喂芾矸?wù)器的IPMI呢？ 要實現(xiàn)對服務(wù)器的ipmi管理，必須在硬件、、管理工具等幾個方面都滿足。

　　(1)服務(wù)器硬件本身提供對ipmi的支持。

　　(2)目前、HP、Dell和NEC等大多數(shù)廠商的服務(wù)器都支持IPMI，但并不是所有服務(wù)器都支持，所以應(yīng)該先通過產(chǎn)品手冊或在BIOS中確定服務(wù)器是否支持ipmi，也就是說上要具有BMC等嵌入式的管理微控制器。

　　(3)操作系統(tǒng)提供相應(yīng)的ipmi驅(qū)動。通過操作系統(tǒng)監(jiān)控服務(wù)器自身的ipmi信息時需要系統(tǒng)內(nèi)核提供相應(yīng)的支持，系統(tǒng)通過內(nèi)核對OpenIPMI(ipmi驅(qū)動)的支持來提供對ipmi的系統(tǒng)接口。

　　如果以上三點都滿足，那就說明可以用IPMI來管理服務(wù)器了，管理windows機器我們有RDP協(xié)議的遠程桌面連接(Mstsc)以及Telnet管理;管理Linux的機器我們有和 Telnet管理，那管理IPMI的服務(wù)器呢？

　　IPMI可以通過本地和遠程兩種方式來獲取被監(jiān)控服務(wù)器的監(jiān)測信息，兩種方式都需要相關(guān)的硬件，但是軟件的安裝和軟件命令使用稍微有所不同。常用的管理工具是ipmitool， Linux下需要先安裝OpenIPMI驅(qū)動并啟動它，SourceForge上的ipmitool只支持Linux/系列的OS，不過它有很多針對Windows的移植版本，比如公司的一個版本，可下載支持Windows平臺的ipmitool.后來超微出了一個工具叫做IPMI View，可以windows或者linux使用，可以統(tǒng)一管理和查看IPMI的信息，用起來比較方便。注意驅(qū)動必須安裝在服務(wù)器的OS中，管理工具可以安裝服務(wù)器上(本地管理)，或者遠程的客戶端上(遠程管理)。

　　IPMI可能存在的安全隱患以及防范措施：

　　IPMI既然是可以用于運維人員對服務(wù)器進行管理，那如果一個想某服務(wù)器的黑客得到IPMI的訪問控制權(quán)限那會如何？IPMI在關(guān)機的時候都是可以ping通的，可以說只要黑客有了IPMI訪問控制權(quán)，除非你拔掉網(wǎng)線才能組織黑客對IPMI服務(wù)器的控制，所以說不管什么控制系統(tǒng)一定要加強密碼策略，防止用戶名密碼泄漏，這是最基本的防范措施。

　　基本的密碼策略防范措施以及說過了，我們回頭過去IPMI出現(xiàn)過什么問題：

　　1. Supermicro IPMI Web接口多個安全繞過漏洞

　　2. 超微(SuperMicro)服務(wù)器IPMI的越權(quán)漏洞

　　3. Apple Xserve Lights-Out系統(tǒng)含IPMI權(quán)限提升漏洞

　　…

　　關(guān)于IPMI相關(guān)漏洞看看看IPMI的歷史上真的很少，一般都是廠家自己的問題;比如剛才我們提到的那兩個都是屬于supermicro(超微)的問題，第一個漏洞詳情大致是：

　　Supermicro IPMI存在兩個管理賬戶

　　用于WEB接口訪問：

　　"ADMIN"

　　"Anonymous"

　　官方文件僅告訴用戶更改"ADMIN"賬戶密碼，但可通過SSH指定空用戶名，默認密碼使用小寫的"admin"可繞過限制登錄系統(tǒng)。

　　第二個更離譜，其實就是supermicro(超微)自己管理IPMI的WEB接口的問題，低權(quán)限的用戶在對服務(wù)器進行操作的時候，WEB接口會提示無權(quán)限，但是如果通過禁用javascript等方法組織錯誤消息彈出，即可做到越權(quán)。

　　第三個也是廠家的問題，Xserve是推出的高性能服務(wù)器，Xserve內(nèi)嵌的Lights-Out管理固件實現(xiàn)IPMI時存在錯誤，可能允許遠程攻擊者在以特殊方式配置了IPMI的服務(wù)器上獲得管理權(quán)限。 過去關(guān)于IPMI的漏洞數(shù)量比較少，可能很多黑客并沒有把眼光放在IPMI上，但是并不能說IPMI是絕對安全的東西。 對IPMI服務(wù)器最好的防范措施當(dāng)然就是密碼策略，防止密碼泄漏，因為再安全的系統(tǒng)如果泄漏了密碼，那系統(tǒng)再穩(wěn)定也無用。了一些關(guān)于IPMI安全資料，其中一些Engineer說可以物理隔離有IPMI的服務(wù)器，此方法也是一個不錯的方法，即使黑客拿到了IPMI服務(wù)器的帳號密碼，也要想辦法讓他們無法登陸。 最后就是如果廠家出了漏洞，那就多留意廠家是否會出相關(guān)的漏洞補丁，在最短的時間內(nèi)解決。關(guān)于IPMI可能出現(xiàn)的的安全隱患以及防范措施暫時就有這些了，關(guān)于IPMI的密碼傳輸看官方吹的還是很靠譜的，所以應(yīng)該不會出現(xiàn)被嗅探等問題。

　　UPDATE：

　　之前鬧的沸沸揚揚的SCADA工控被入侵，其實SCADA基本都支持IPMI2.0，就我個人覺得如果做了隔離然后撥入，你能奈我若何？