所选语种没有对应资源,请选择:

本站点使用Cookies,继续浏览表示您同意我们使用Cookies。Cookies和隐私政策>

提示

尊敬的用户,您的IE浏览器版本过低,为获取更好的浏览体验,请升级您的IE浏览器。

升级

G2500 服务器 1.0.0 iBMC (V300及以上) 用户指南 01

评分并提供意见反馈 :
华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言,希望能帮助您更容易理解此文档的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 华为对于翻译的准确性不承担任何责任,并建议您参考英文文档(已提供链接)。
安全管理

安全管理

安全特性

iBMC系统的安全性由三个部分组成:管理与业务分离、系统管理和维护的安全性、iBMC系统自身的安全性。

  • 管理平面与业务平面分离

    服务器有两个网络平面,一是管理平面,另一个是业务平面。其中,业务平面的安全由服务器的其他模块部件或者用户的解决方案来保证安全的,iBMC负责管理平面的安全。

    iBMC可以通过NCSI边带网口功能与业务平面共享同一个网卡。NCSI是业界所广泛认可的一种简化管理,降低TCO的一种标准。在物理层,管理平面与业务平面共用接口,在软件层,通过VLAN实现二者隔离,互不可见。

    iBMC可以通过Web界面的网络配置功能,实现管理平面与业务平面共用同一张网卡同时又保证系统安全。

    可在配置 > 网络配置节点进行配置,配置方法请参考网络配置

  • 协议与端口防攻击

    iBMC按照最小化原则对外开放网络服务端口:即不使用的网络服务必须关闭,调试使用的网络服务端口在正式使用的时候必须关闭,不安全协议的端口默认处于关闭状态。

    服务器目前支持的服务主要包括Web、SSH、Remote Control、SNMP Agent、RMCP/RMCP+、VMM、HTTP,默认关闭的不安全协议有RMCP、VNC。可在Web界面的配置 > 服务配置节点进行配置,配置方法请参考服务配置

  • 基于场景的登录限制

    基于安全考虑,从时间、地点(IP/MAC)、用户三个维度将服务器管理接口访问控制在最小范围;目前该特性只针对Web接口进行登录限制。

    由用户根据需要设置登录规则的白名单,最多支持三条登录规则,登录时只要匹配上任意一条登录规则,即可登录,否则拒绝登录。

    每条登录规则包括时间段、登录用户的源IP段和MAC段,这三个条件必须同时满足才认为匹配到一条登录规则;登录规则可应用于每个本地用户和LDAP用户,用户默认不应用任何登录规则(即无限制)。

    访问时间到期后,用户被强制退出;支持配置一个紧急管理员用户,该用户不应用任何登录规则,可用于在其他用户不可登录等异常情况下登录iBMC

    可在Web界面的配置 > 本地用户节点进行配置,配置方法请参考本地用户

    说明:

    ID为1的用户为IPMI标准规范里定义的预留用户,无任何权限,也无法通过该用户登录iBMC

  • 用户账号安全管理

    账号安全包括:密码复杂度、密码有效期、禁用历史密码重复次数和登录失败锁定。

    密码有效期针对所有本地用户,以天为单位,有效期内,用户可以登录并管理iBMC;过期后,用户不再允许登录iBMC,而已登录用户可继续访问iBMC

    密码有效期范围为0~365天,0表示永久有效,从用户创建时开始累计天数,按自然时间计算,服务器AC掉电期间的天数也计算在内,并且受iBMC时间更改的影响,iBMC时间更改后,iBMC会自动刷新每个用户的密码有效期开始时间。用户密码有效期天数小于等于10天时,登录Web时有“密码将在xx天后过期,请及时修改密码。”的类似提示,密码过期后,会记录安全日志。

    上述账户安全管理可在Web界面的配置 > 安全增强节点进行配置,配置方法请参考安全增强

    iBMC支持以下紧急通道:

    • 支持配置一个紧急管理员用户,该用户的密码有效期为永久。
    • 通过BIOS修改User ID为2的密码,该用户默认为管理员。
  • 证书管理

    iBMC支持SSL证书加密及证书替换功能。证书替换功能可以通过Web界面进行操作。同时,对证书替换采用了严格的权限控制,只能管理员才可以对证书进行替换,其他用户只能看到证书的基本信息但不能进行证书替换操作。为提高安全性,建议替换成自己的证书和公私钥对,并及时更新证书,保证证书的有效性。可在配置 > SSL证书节点进行配置,配置方法请参考SSL证书

    iBMC还支持LDAP证书的导入功能,为数据传输提供鉴权加密功能,提高系统安全性。可在Web界面的配置 > LDAP配置节点进行配置,配置方法请参考LDAP配置

  • 操作日志管理

    记录了iBMC所有接口的非查询操作。操作日志分两类,一类是Linux系统进程的日志,另一类是用户进程日志。用户进程记录的日志包括时间、操作接口、操作源IP、操作源用户、执行动作。

    操作日志写文件,当达到200K字节大小后自动备份,最多备份1份日志文件,超过1份后自动将最早的备份文件删除。

    操作日志支持在Web上查看、导出。可在系统管理 > 操作日志节点进行配置,配置方法请参考操作日志

  • 数据传输加密

    iBMC支持电子邮件传输时启用TLS加密功能和SMTP登录认证功能,保证数据传输的安全性。可在Web界面的告警与事件 > 告警设置节点配置,配置方法请参考告警设置

    在使用远程控制台时,iBMC支持开启KVM加密功能,实现数据的安全传输。可在Web界面的远程控制节点配置,配置方法请参考远程控制

使用准则

  • 使用专用网络对iBMC进行配置。
  • iBMC不接入因特网。
  • 关闭不使用和不安全的协议、端口。
  • 定期审计操作日志。

初始参数

  • iBMC用户/密码

    缺省用户为“root”,默认密码请参见产品的铭牌。

    为保证系统的安全性,初次登录时,请及时修改初始密码,并定期更新。修改密码时,请遵循密码复杂度要求,可在Web界面的配置 > 本地用户节点进行修改,修改方法请参考本地用户

  • Uboot密码

    Uboot默认密码为“Huawei12#$”,为保证系统的安全性,初次登录时,请及时修改初始密码,并定期更新。修改方法请联系华为技术支持获取。

  • SNMP版本/团体名

    iBMC系统默认支持V3版本的SNMP服务,SNMP V1和SNMP V2C由于自身机制存在安全隐患,默认是不开启的,用户需谨慎使用。

    服务器SNMP团体名的默认值如表2-1所示。

    表2-1  SNMP团体名默认值

    团体名

    默认值

    SNMP只读团体名

    “roAdmin12#$”

    SNMP读写团体名

    “rwAdmin12#$”

    Trap团体名

    “TrapAdmin12#$”

    使用V1和V2C版本的SNMP和Trap服务时,为保证系统的安全性,请及时修改初始团体名,并定期更新。修改团体名时,请遵循密码复杂度要求,可在Web界面的配置 > 系统配置节点进行修改,修改方法请参考系统配置

  • 默认关闭的协议和服务

    由于自身机制的安全隐患,部分服务默认为关闭状态。用户使用这些服务时,需谨慎操作,建议使用相对安全的服务替代。

    这些不安全的服务包括RMCP。

    iBMC支持的各项服务可在Web界面的配置 > 服务配置节点进行启用或关闭,操作方法请参考服务配置

  • 加密认证

    SNMP V3默认的鉴权算法为“SHA”,默认的加密算法为“AES”。当需要设置为不安全的“MD5”“DES”时,不能保证数据传输的安全性。SNMP的算法可在Web界面的配置 > 系统配置节点进行修改,修改方法请参考系统配置

    SMTP默认开启TLS加密功能,为保证电子邮件数据传输的安全性,建议开启该功能,可在Web界面的告警与事件 > 告警设置节点进行修改,修改方法请参考告警设置

    KVM加密功能默认不开启,但为保证使用KVM时数据传输的安全性,建议开启该功能,可在Web界面的“远程控制”节点进行修改,修改方法请参考远程控制

    首次使用电子邮件功能时,为保证数据传输的安全性,建议开启SMTP的用户认证功能,可在Web界面的告警与事件 > 告警设置节点进行修改,修改方法请参考告警设置

翻译
下载文档
更新时间:2018-10-09

文档编号:EDOC1100044299

浏览量:7868

下载量:41

平均得分:
本文档适用于这些产品
相关文档
相关版本
Share
上一页 下一页