我有一些使用 MAAS 配置的 SuperMicro 服务器。
我很感兴趣的是,在 PXE 引导它们时,它们会自动在本地 BMC 用户数据库中获得一个“maas”用户,并使用 MAAS 服务器明确设置的随机密码,因为它可以控制服务器IPMI。
尽管修改了 BMC 上的出厂默认“管理员”凭据,但仍会发生这种情况。这非常方便,但让我想知道 MAAS 是如何实现这一点的?主服务器和 BMC 之间的某种带内接口?
所以我的问题是:
- 这是安全/预期的行为还是表明服务器没有得到适当的保护?
- 有没有办法影响用户 MAAS 在 BMC 上创建的角色?目前它是使用“管理员”角色创建的;我宁愿拥有更少的特权,例如“操作员”,它仍然允许 MAAS 需要的电源操作。
相关问题:How do you add a machine to MAAS with IPMI power using CLI 请注意,我没有使用该问题中提到的 CLI;我所做的只是在注册 MAAS DHCP 的网络上 PXE 启动我的服务器。
MAAS 2.3(2.0-2.2 具有相同的行为)
例如
ipmitool
,可以使用/dev/ipmi0
设备(或类似设备)直接访问 ipmi 控制器。由于这只能以 root 和本地身份完成,因此不需要 IPMI 用户名和密码。大概这就是 MAAS 所做的新机器的部署。至于如何定义 MAAS 如何为自己的管理需求创建帐户我无法回答,但应该可以稍后使用此命令进行更改:
在任何情况下:通常建议将默认 IPMI 密码设置为合理的值,并且另外将 IPMI 设备的 LAN 端口设置在单独的 vlan 或物理网络中。