web-dev-qa-db-fra.com

IPMI: MAAS fournit automatiquement les informations d'identification du contrôleur BMC - devrais-je être concerné?

J'ai quelques serveurs SuperMicro que j'utilise pour approvisionner MAAS.

Je suis intrigué par le fait qu’ils démarrent automatiquement avec PXE et qu’ils obtiennent automatiquement un utilisateur 'maas' dans leur base de données d’utilisateurs BMC locale, avec un mot de passe aléatoire clairement défini par le serveur MAAS, car il est ensuite en mesure de contrôler les serveurs. IPMI.

Cela se produit malgré la modification des informations d'identification "admin" par défaut des BMC. C'est très pratique, mais je me demande comment MAAS y parvient? Une sorte d'interface en bande entre le serveur principal et le contrôleur BMC?

Donc mes questions sont:

  1. Ce comportement est-il sûr/attendu ou suggère-t-il que les serveurs n'ont pas été correctement sécurisés?
  2. Existe-t-il un moyen d'influencer le rôle de l'utilisateur créé par MAAS sur le contrôleur BMC? Actuellement, il est créé avec le rôle 'Administrateur'; Je préférerais avoir moins de privilèges, tels que "Opérateur", qui autoriserait encore les opérations d'alimentation requises par MAAS.

Question associée: Comment ajouter une machine à MAAS avec une alimentation IPMI à l'aide de la CLI Notez que je n'ai pas utilisé la CLI mentionnée dans cette question. tout ce que je faisais, c’est d’amorcer mes serveurs PXE sur un réseau inscrit à DHCP MAAS.

MAAS 2.3 (2,0-2,2 avait le même comportement)

maaspxeipmi
3
sxc731

Avec e. g. ipmitool il est possible d'accéder directement au contrôleur ipmi à l'aide du périphérique /dev/ipmi0 (ou similaire). Etant donné que cela ne peut être fait qu’en tant que root et localement, un nom d’utilisateur IPMI et un mot de passe ne sont pas nécessaires. C'est probablement ce que fait MAAS lors du déploiement d'une nouvelle machine.

Pour savoir comment définir comment MAAS crée un compte pour ses propres besoins de gestion, je ne peux pas répondre, mais il devrait être possible de le modifier ultérieurement à l'aide de cette commande:

$ maas-cli maas node update <system-id> power_type="ipmi" \
power_parameters_power_user=<user> \
power_parameters_power_pass=<password>

Dans tous les cas: En règle générale, il est conseillé de définir le mot de passe IPMI par défaut sur une valeur quelconque et, en outre, de placer le port LAN des périphériques IPMI dans un réseau vlan ou physique séparé.

1
Sebastian Stark