TL;DR:是否有任何选项可以禁用操作系统(带内)访问 SuperMicro 板上的 Aspeed AST 2500 BMC 或至少以某种方式限制它(例如通过特定密码或通过将权限级别设置为只读访问)?
长版:
去年我们购买了几台装有 Aspeed AST2500 BMC 的 SuperMicro 服务器。到目前为止,我们还没有使用 BMC,但现在正在设置它们,可以通过单独的带外管理网络访问它们。在研究重置 BMC 密码的选项时,我发现了多个帖子(例如这个),表明一旦我在主机上获得了 root 权限,我也可以访问 BMC 并更改管理员密码,而无需任何额外的安全措施。
我真的不喜欢能够从主机操作系统中更改 BMC 参数的想法,特别是因为 BMC 经常被严重修补并且是 rootkit 的一个非常有趣的目标(顺便说一下,前几天发现了这样一个 rootkit ; 至少,据我所知,它无法通过带内接口进入 BMC)
是否有任何选项可以限制主机到 BMC 的通信?
编辑:我们服务器中使用的服务器主板是“ASRock ROMED8-2T”。
简短回答:我不知道 BMC 设置告诉它“禁用所有带内访问”,但我真的怀疑它是否存在或者它根本有用
长答案:虽然您的问题很有趣,但请注意,如果有人获得了 root 权限,您的服务器将无法恢复,因此您不能再信任它了。毕竟,root 不仅可以重置 BMC 密码,还可以刷新它,重写主板 BIOS/UEFI 和更新其他附加卡(即:RAID 控制器)的固件。
所有这些都可以通过 linux 内核原生支持的标准低级接口(I2C、DMI、IPMI 等)来完成。删除相应的模块/代码将不起作用,因为具有 root 权限的不良行为者可以安装并重新启动已修补的内核。