文章图片标题

ilo加密算法介绍

分类:linux系统 作者:阳光倾城 评论:0 点击: 438 次 日期:2016-09-10

iLO 可以在分布式 IT 环境中提高远程管理安全性。 将通过 SSL 加密保护 Web 浏览器数据。 通过对 HTTP 数据进行 SSL 加密,可以确保在网络上传输的数据安全可靠。 iLO 支持以下密码强度:

  • 256 位 AES 及 RSA、DHE 和 SHA1 MAC

  • 256 位 AES 及 RSA 和 SHA1 MAC

  • 128 位 AES 及 RSA、DHE 和 SHA1 MAC

  • 128 位 AES 及 RSA 和 SHA1 MAC

  • 168 位 3DES 及 RSA 和 SHA1 MAC

  • 168 位 3DES 及 RSA、DHE 和 SHA1 MAC

iLO 还可以通过 SSH 端口增强加密以保护 CLP 事务安全。 iLO 通过 SSH 端口支持 AES256-CBC、AES128-CBC 和 3DESCBC 密码强度。

如果启用,则 iLO 在安全通道(包括通过浏览器、SSH 端口和 XML 端口的安全 HTTP 传输)上强制使用这些增强的密码(AES 和 3DES)。 如果启用了 AES/3DES 加密,则使用的密码强度必须大于或等于 AES/3DES 才能通过这些安全通道连接到 iLO。 AES/3DES 加密实施设置不影响通过不太安全的通道进行的通信和连接。

默认情况下,远程控制台数据使用 128 位 RC4 双向加密。 HPQLOCFG 实用程序使用 128 位 RC4 以及 160 位 SHA1 和 2048 位 RSAKeyX 加密,将 RIBCL 脚本通过网络安全地发送到 iLO。

iLO 4 固件 1.20 和更高版本支持 FIPS 模式。

iLO 4 固件支持 FIPS 模式。

在本文和 iLO 中,FIPS 模式术语用于描述功能,而不是它的验证状态。

  • FIPS 是一组规定由美国政府机构和承包商使用的标准。

  • iLO 4 1.20 和更高版本中的 FIPS 模式旨在满足 FIPS 140-2 级别 1 的要求。 该版本或任何其它版本的 iLO 固件可能具有该功能,但可能通过了 FIPS 验证,也可能未通过验证。 FIPS 验证过程需要很长时间,因此,并未验证所有 iLO 固件版本。

    有关该版本或任何其它版本的 iLO 固件的当前 FIPS 状态的信息,请访问以下网站:http://www.hpe.com/info/government-certifications

查看加密实施设置

导航到管理安全性加密页。

加密设置页显示当前的 iLO 加密设置。

  • 当前协商的密码 - 当前浏览器会话中使用的密码。 在通过浏览器登录到 iLO 后,浏览器和 iLO 将协商在会话期间使用的密码设置。

  • 加密实施设置 - 当前的 iLO 加密设置。

    • FIPS 模式 - 指示是为该 iLO 系统启用还是禁用 FIPS 模式。

    • 实施 AES/3DES 加密 - 指示是否为该 iLO 实施 AES/3DES 加密。

      如果启用,iLO 仅接受使用 AES 或 3DES 密码的连接。

修改 AES/DES 加密设置

您必须具有“配置 iLO 设置”权限才能更改加密设置。

  1. 导航到管理安全性加密页。

  2. 实施 AES/3DES 加密设置更改为已启用已禁用

  3. 单击应用以终止浏览器连接并重新启动 iLO。

    可能需要几分钟的时间才能重新建立连接。

    在将实施 AES/3DES 加密设置更改为已启用时,单击应用,然后关闭所有打开的浏览器。 任何保持打开状态的浏览器可能会继续使用非 AES/3DES 密码。

使用 AES 或 3DES 加密连接到 iLO

在启用实施 AES/3DES 加密设置后,iLO 要求您至少使用 AES 或 3DES 密码强度通过安全通道(Web 浏览器、SSH 连接或 XML 通道)进行连接。

  • Web 浏览器 - 必须至少为浏览器配置 AES 或 3DES 密码强度。 如果浏览器未使用 AES 或 3DES 密码,iLO 将显示一条错误消息。 错误消息文本将因安装的浏览器而异。

    不同的浏览器使用不同的方法选择协商的密码。 有关详细信息,请参阅浏览器文档。 在更改浏览器密码设置之前,必须通过当前浏览器注销 iLO。 如果在登录到 iLO 后对浏览器密码设置进行任何更改,则浏览器可能会继续使用非 AES/3DES 密码。

  • SSH 连接 - 有关设置密码强度的说明,请参阅 SSH 实用程序文档。

  • XML 通道 - 默认情况下,HPQLOCFG 使用安全 3DES 密码。 例如,HPQLOCFG 在 XML 输出中显示以下密码强度:

    Connecting to Server...
    Negotiated cipher: 128–bit Rc4 with 160–bit SHA1 and 2048–bit RsaKeyx
启用 FIPS 模式

您必须具有“配置 iLO 设置”权限才能更改加密设置。

  1. 可选:使用 HPONCFG 捕获当前 iLO 配置。

    有关详细信息,请参阅 iLO 脚本和命令行指南。

  2. 确认安装了受信任的证书。

    在 FIPS 模式下将 iLO 与默认自签名证书一起使用不符合 FIPS 标准。 有关详细信息,请参阅“获取和导入 SSL 证书”

    重要信息: iLO 的某些接口(如支持的 IPMI 和 SNMP 版本)不符合 FIPS 标准,并且无法使其符合 FIPS 标准。

  3. 关闭服务器。

  4. 导航到管理安全性加密页。

  5. 将 FIPS 模式设置为已启用

    小心: 启用 FIPS 将重置为 iLO 出厂默认设置,并清除所有用户和许可证数据。

  6. 单击应用

    iLO 将提示您确认该请求。

  7. 单击 OK 以确认启用 FIPS 模式的请求。

    iLO 将在 FIPS 模式下重新引导。 在尝试重新建立连接之前,请等待至少 90 秒。

  8. 可选:使用 HPONCFG 恢复 iLO 配置。

    有关详细信息,请参阅 iLO 脚本和命令行指南。

提示: 可以使用登录安全性标题功能通知 iLO 用户,系统正在使用 FIPS 模式。 有关详细信息,请参阅“配置登录安全性标题”

也可以使用 XML 配置和控制脚本启用 FIPS 模式。 有关详细信息,请参阅 iLO 脚本和命令行指南。

禁用 FIPS 模式

如果要为 iLO 禁用 FIPS 模式(例如,在停用服务器时),必须将 iLO 重置为出厂默认设置。 您可以使用 RIBCL 脚本、iLO RBSU 或 iLO 4 Configuration Utility 执行该任务。

有关说明,请参阅 iLO 用户指南或 iLO 脚本和命令行指南。

在禁用 FIPS 模式时,将清除所有潜在的敏感数据,包括所有日志和设置。




声明: 除非注明,本文属( 阳光倾城 )原创,转载请保留链接: http://www.tomrrow.com/archives-8318.html