Перейти к основному содержанию

Zabbix — безопасный мониторинг iBMC через IPMI

Huawei FusionServer Pro 2288X V5 Rack Server

Несколько прописных истин для организации безопасного мониторинга серверов Huawei FusionServer Pro через IPMI. В данном примере мы используем систему мониторинга Zabbix.

Для мониторинга устройств через IPMI сервер Zabbix сохраняет имя пользователя и пароль, под которыми он логинится в IPMI и получает значения сенсоров. Пароль хранится в открытом виде, поэтому, если какой-то злоумышленник или просто сотрудник, получит доступ к интерфейсу Zabbix или к базе данных, то он просто может посмотреть этот пароль.

zabbix

Очень странно, но при аудите безопасности на эти моменты не обращают внимания. Если у нас в iBMC сервера всего один пользователь с правами администратора, то получается небезопасный мониторинг.

Зачем системе мониторинга админские права? Не нужны, будем убирать. Работаем c сервером Huawei FusionServer Pro 2288X V5.

Для начала регистрируем в iBMC пользователя без прав, пусть это будет пользователя с именем zabbix. Ставим ему роль Common User и разрешаем ему доступ к интерфейсу IPMI.

huawei

В Zabbix в настройках хоста в IPMI указываем уровень привилегий User, алгоритм аутентификации RMCP+. Логин у нас будет zabbix, по имени созданного пользователя, пароль тот что указали при создании пользователя в iBMC.

zabbix

Отлично, данные сенсоров получаются, пароль администратора iBMC нигде в Zabbix не светится. Если кто-то воспользуется этим паролем, то получить доступ с правами только на чтение.

huawei

Цены

 

Похожие материалы