IPMI: MAAS автоматически предоставляет учетные данные BMC - следует ли мне беспокоиться?

Question

IPMI: MAAS автоматически предоставляет учетные данные BMC - следует ли мне беспокоиться?

У меня есть несколько серверов SuperMicro, которые я использую для предоставления MAAS.

Я заинтригован тем, что после их PXE-загрузки они автоматически получают пользователя 'maas' в своей локальной базе данных пользователей BMC со случайным паролем, который четко устанавливается сервером MAAS, поскольку он затем может управлять серверами IPMI.

Это происходит несмотря на то, что вы изменили заводские настройки администратора по умолчанию на BMC. Это очень удобно, но заставляет меня задуматься, как MAAS достигает этого? Какой-то внутриполосный интерфейс между главным сервером и BMC?

Итак, мои вопросы:

Это безопасное / ожидаемое поведение или оно предполагает, что серверы не были должным образом защищены?
Есть ли способ повлиять на роль пользователя, которую MAAS создает на BMC? В настоящее время он создан с ролью "Администратор"; Я бы предпочел что-то менее привилегированное, например, "Оператор", который по-прежнему разрешал бы силовые операции, которые требуются MAAS.

Смежный вопрос: Как добавить компьютер в MAAS с питанием IPMI с помощью интерфейса командной строки? Обратите внимание, что я не использовал интерфейс командной строки, упомянутый в этом вопросе; все, что я сделал, это загрузил PXE-серверы в сети, зарегистрированной в MAAS DHCP.

MAAS 2.3 (2.0-2.2 имел такое же поведение)

5

maas pxe ipmi

Источник

sxc731 26 фев '18 в 21:16

1 ответ

Решение

Другие вопросы по тегам maas pxe ipmi

Sebastian Stark 17 июл '18 в 17:06 2018-07-17 17:06 · Accepted Answer · 2018-07-17 17:06

Например, ipmitool можно получить прямой доступ к контроллеру ipmi с помощью /dev/ipmi0 устройство (или подобное). Поскольку это может быть сделано только как пользователь root и локально, для него не требуется имя пользователя и пароль IPMI. Предположительно это то, что MAAS делает развертывание новой машины.

Что касается того, как определить, как MAAS создает учетную запись для собственных нужд управления, я не могу ответить, но это можно изменить позже, используя эту команду:

$ maas-cli maas node update <system-id> power_type="ipmi" \
power_parameters_power_user=<user> \
power_parameters_power_pass=<password>

В любом случае: в общем случае рекомендуется установить пароль IPMI по умолчанию на что-то вменяемое и, кроме того, иметь порт LAN устройств IPMI в отдельной виртуальной сети или физической сети.