Перейти к основному содержанию

Zabbix — безопасный мониторинг iLO через IPMI

Zabbix

Несколько прописных истин для организации безопасного мониторинга серверов HPE Proliant через IPMI. В данном примере мы используем систему мониторинга Zabbix. Проблема актуальна не только для HPE серверов, но в примере у нас именно такой сервер.

Для мониторинга устройств через IPMI сервер Zabbix сохраняет имя пользователя и пароль, под которыми он логинится в IPMI и получает значения сенсоров. Пароль хранится в открытом виде, поэтому, если какой-то злоумышленник или просто сотрудник, получит доступ к интерфейсу Zabbix или к базе данных, то он просто может посмотреть этот пароль.

zabbix

Очень странно, но при аудите безопасности на эти моменты не обращают внимания. Если у нас в iLO сервера всего один пользователь с правами администратора, то очень небезопасный мониторинг получается.

Зачем системе мониторинга админские права? Не нужны, будем убирать. Работаем c 10-м поколением серверов и iLO 5.

Для начала регистрируем в iLO пользователя без прав, пусть это будет пользователя с именем zabbix. Ставим ему роль ReadOnly и единственное право, которое есть у пользователя, это Login.

ilo

Обращаем внимание не строку:

IPMI/DCMI Privilege based on above settings:
user

В Zabbix в настройках хоста в IPMI указываем такой же уровень привилегий User, алгоритм аутентификации RMCP+. Логин у нас будет zabbix, по имени созданного пользователя, пароль тот что указали при создании пользователя в iLO.

zabbix

Отлично, данные сенсоров получаются, пароль администратора iLO нигде в Zabbix не светится. Если кто-то воспользуется этим паролем, то получить доступ с правами только на чтение.

zabbix

Теги

 

Похожие материалы

Zabbix — добавление элемента данных и триггера для HP MSA 2050

Появилась необходимость мониторить HP MSA 2050.  Я уже выкладывал Zabbix шаблон для мониторинга СХД - HP MSA 2040. Шаблон от HP MSA 2040 вполне подходит для мониторинга HP MSA 2050, но есть тонкость: в новом СХД добавились новые трапы. В этой статье я приведу пример, как добавить в шаблон новый неизвестный трап. Итак, от HP MSA 2050 пришёл неизвестный трап:

Zabbix шаблон для мониторинга сервера HP Proliant DL120 Gen9

Делюсь полезным шаблоном для мониторинга сервера  HP Proliant DL120 Gen9. Мониторим по IPMI. Шаблон делал сам. В шаблоне 5 приложений, 51 элемент данных, 7 триггеров и 1 график.

Теги