Users Guide
Table Of Contents
- Dell EMC iDRAC Service Module 4.0.1 用户指南
- 目录
- 简介
- 预安装设置
- 安装 iDRAC Service Module
- 配置 iDRAC Servcie Module
- 安全配置和兼容性
- iSM 监测功能
- S.M.A.R.T 监测
- 操作系统信息
- 将 Lifecycle Controller 日志复制到操作系统中
- 自动系统恢复
- Windows Management Instrumentation 提供程序
- 准备卸下 NVMe PCIe SSD 设备
- 远程 iDRAC 硬重置
- 通过主机操作系统访问 iDRAC
- 通过 GUI、WS-Man、Redfish、Remote RACADM 访问 iDRAC
- 对 iDRAC SNMP 警报的带内支持
- 远程启用 WS-Man
- 自动更新 iSM
- FullPowerCycle
- SupportAssist on the Box
- 配置 In-band SNMP Get 功能 — Linux
- 配置 In-band SNMP Get 功能 — Windows
- iDRAC GUI 启动程序
- 从主机操作系统管理员桌面单一登录到 iDRAC UI
- 通过 OS-BMC 直通的 iSM 与 iDRAC 之间的 IPv6 通信
- 常见问题
- Linux 和 Ubuntu 安装程序包
- 资源和支持
- 联系 Dell EMC
安全配置和兼容性
iDRAC Service Module (iSM) 采用默认安全配置进行部署,以防范 DLL 劫持、DLL 篡改、信息泄漏等特定事件。本部分简要介绍随
iSM 安装的安全配置。
主题:
• 使用 TLS 协议的 iSM 和 iDRAC 通信之间增强的安全性
• 在加载之前验证 DLL 和共享对象
使用 TLS 协议的 iSM 和 iDRAC 通信之间增强的安全性
iSM 与 iDRAC 之间的数据通信使用 TLS 保护的 USBNIC INET 插槽。这将确保通过 USBNIC 从 iDRAC 传输到 iSM 的所有数据受到保
护。iSM 和 iDRAC 使用自签名证书控制身份验证。自签名证书的有效期为 10 年。每次新安装新 iSM 时都会生成新的自签名证书。当
证书到期时,请重新安装 iSM。
注: iSM 重新安装(修复)在 Linux 操作系统上不起作用。您必须在 Linux 操作系统上先卸载然后安装 iSM。
注: 当 iSM 的 TLS 客户端证书到期时,iSM 和 iDRAC 之间无法进行通信,并且会生成操作系统审核日志。然后,您需要在主机
操作系统上重新安装 iSM。
注: 如果在主机操作系统或 iDRAC 上启用了联邦信息处理标准 (FIPS) 模式,则不会在 iSM 和 iDRAC 之间建立通信。
VMware ESXi 上的 OS-BMC 直通策略设置
以下是 VMware ESXi 上的 OS-BMC 直通接口的策略设置的命令和受影响的参数:
esxcli network vswitch standard portgroup policy security set -u -p "iDRAC Network"
允许混杂:false
允许 MAC 地址变更:false
允许伪装传输:false
esxcli network vswitch standard policy security set -v vSwitchiDRACvusb -f false -m false
覆盖 vSwitch 允许混杂:false
覆盖 vSwitch 允许 MAC 地址变更:false
覆盖 vSwitch 允许伪装传输:false
在加载之前验证 DLL 和共享对象
安全加载 iSM 中的库可以阻止 DLL 劫持、DLL 预加载和二进制植入等攻击。为保护 iSM 免受此类攻击,此功能将不会:
● 从任意路径加载动态库。
● 加载任何未签名的库。
此功能将对 DLL 和共享对象执行路径验证和 Authenticode 签名检查。如果 DLL 和共享对象验证失败,则触发故障事件。如果验证不
成功,则不会加载相应的库,并且会在操作系统日志文件中进行审核。
5
安全配置和兼容性 23