Users Guide

Table Of Contents

安全配置和兼容性

iDRAC Service Module (iSM) 采用默认安全配置进行部署，以防范 DLL 劫持、DLL 篡改、信息泄漏等特定事件。本部分简要介绍随

iSM 安装的安全配置。

主题：

• 使用 TLS 协议的 iSM 和 iDRAC 通信之间增强的安全性

• 在加载之前验证 DLL 和共享对象

使用 TLS 协议的 iSM 和 iDRAC 通信之间增强的安全性

iSM 与 iDRAC 之间的数据通信使用 TLS 保护的 USBNIC INET 插槽。这将确保通过 USBNIC 从 iDRAC 传输到 iSM 的所有数据受到保

护。iSM 和 iDRAC 使用自签名证书控制身份验证。自签名证书的有效期为 10 年。每次新安装新 iSM 时都会生成新的自签名证书。当

证书到期时，请重新安装或升级 iSM。

注: iSM 重新安装（修复）在 Linux 操作系统上不起作用。您必须在 Linux 操作系统上先卸载然后安装 iSM。

注: 当 iSM 的 TLS 客户端证书到期时，iSM 和 iDRAC 之间无法进行通信，并且会生成操作系统审核日志。然后，您需要在主机

操作系统上重新安装 iSM。

iDRAC 和主机 TLS 版本必须为 1.1 或更高版本。如果 TLS 协议版本协商失败，则 iSM 和 iDRAC 之间无法进行通信。如果在不支持通

过 USBNIC 进行 TLS 通信的 iDRAC 固件上安装了具有 TLS 功能的 iSM，则 iSM 将与非 TLS 信道配合工作，其方式与更早版本的 iSM

相同。

如果在 iDRAC 升级到 3.30.30.30 或更高版本之前，iSM 已安装或升级到版本 3.4.0 或更高版本，则必须卸载 iSM 并重新安装以建立

新的 TLS 证书。iDRAC 固件版本 3.30.30.30 和更高版本支持具有 TLS 功能的 iSM。

不具有 TLS 功能的 iSM 在支持 TLS 的 iDRAC 固件版本上不起作用。例如：不支持 TLS 功能的 iSM 3.3 或更早版本在 iDRAC 固件

3.30.30.30 和更高版本上不受支持。如果 iSM 3.3.0 安装在 iDRAC 3.30.30.30 固件上，您会在 Lifecycle Controller 日志文件中观察到带

有 ISM0050 的多个事件。

注: 如果在主机操作系统或 iDRAC 上启用了联邦信息处理标准 (FIPS) 模式，则不会在 iSM 和 iDRAC 之间建立通信。

VMware ESXi 上的 OS-BMC 直通策略设置

以下是 VMware ESXi 上的 OS-BMC 直通接口的策略设置的命令和受影响的参数：

esxcli network vswitch standard portgroup policy security set -u -p "iDRAC Network"

允许混杂：false

允许 MAC 地址变更：false

允许伪装传输：false

esxcli network vswitch standard policy security set -v vSwitchiDRACvusb -f false -m false

覆盖 vSwitch 允许混杂：false

覆盖 vSwitch 允许 MAC 地址变更：false

覆盖 vSwitch 允许伪装传输：false

在加载之前验证 DLL 和共享对象

安全加载 iSM 中的库可以阻止 DLL 劫持、DLL 预加载和二进制植入等攻击。为保护 iSM 免受此类攻击，此功能将不会：

26 安全配置和兼容性