IPMI (Intelligent Platform Management Interface) — открытый стандарт, определяющий набор интерфейсов для мониторинга и управления серверным оборудованием. Ключевое свойство: IPMI работает независимо от основной операционной системы через выделенный микроконтроллер BMC (Baseboard Management Controller). Сервер может быть выключен, зависший или с повреждённой ОС — IPMI всё равно доступен по сети.
Как работает
BMC — отдельный микропроцессор, распаянный на материнской плате. Он имеет собственное питание (работает при подключённом к розетке сервере), собственную прошивку, выделенный сетевой порт (или shared-порт с основным NIC) и подключён к внутренним шинам материнской платы (I²C, SMBus). BMC собирает данные с датчиков: температура CPU и дисков, скорость вентиляторов, напряжения питания, события POST.
IPMI-интерфейс предоставляет:
- KVM over IP — удалённый доступ к видео, клавиатуре и мыши (виртуальная консоль).
- Virtual Media — монтирование ISO-образа как виртуального DVD для переустановки ОС.
- Управление питанием — power on/off/reset/cycle через веб-интерфейс или
ipmitool. - SEL (System Event Log) — журнал аппаратных событий: ошибки памяти, отказы дисков, перегрев.
- Serial over LAN (SOL) — доступ к последовательной консоли сервера по сети.
Производители реализуют IPMI под собственными брендами: Dell — iDRAC (integrated Dell Remote Access Controller), HP — iLO (Integrated Lights-Out), Supermicro — IPMI/BMC. Функциональность схожая, интерфейсы различаются. Стандарт IPMI версии 2.0 выпущен в 2004 году и актуален до сих пор.
История
IPMI разработала Intel совместно с Dell, HP и NEC в 1998 году (версия 1.0). Задача — стандартизировать управление серверами разных производителей через единый интерфейс. Версия 1.5 (2001) добавила LAN-доступ. IPMI 2.0 (2004) принёс шифрование (AES-128 через RAKP), KVM over IP, Serial over LAN. Несмотря на возраст стандарта, IPMI 2.0 остаётся базой: более новые проекты (OpenBMC, Redfish API) постепенно вытесняют его в корпоративном сегменте.
Безопасность IPMI
IPMI-интерфейс — критичная точка безопасности. Если BMC-порт доступен из интернета, атакующий с правами администратора получает полный контроль над сервером вне зависимости от файрвола ОС. Известные уязвимости: Cipher 0 (IPMI 2.0 позволял аутентификацию без пароля при определённых настройках), слабые пароли по умолчанию (ADMIN/ADMIN у Supermicro), уязвимости в веб-интерфейсе BMC. Рекомендация: IPMI размещать в отдельной VLAN управления без выхода в интернет, доступ — только через VPN или SSH-джамп.
На что обращать внимание
При аренде выделенного сервера наличие IPMI-доступа — стандарт качества провайдера. Без него при зависании ОС придётся создавать тикет и ждать, пока техник в дата-центре физически нажмёт кнопку перезагрузки. Уточняйте: предоставляет ли хостер прямой IPMI-доступ или только через тикет-систему, есть ли поддержка KVM для переустановки ОС, какой порт используется (выделенный 1GbE или shared). Для IP-KVM требуется дополнительное оборудование и обычно включается за доплату.
Безопасность IPMI
IPMI — наиболее уязвимый компонент серверной инфраструктуры. В 2013 году исследователи обнаружили критические уязвимости в BMC (CVE-2013-4782): обход аутентификации через RAKP-протокол позволял получить хэш пароля. В 2014 году вышел Metasploit-модуль для эксплуатации. Обязательные меры безопасности: изолировать IPMI в отдельный VLAN, закрыть доступ к IPMI-порту через VPN, сменить пароли по умолчанию (admin/admin), обновить firmware BMC до актуальной версии, отключить неиспользуемые сервисы (SNMP, Telnet). Также закройте порт 623 (UDP/TCP) на внешнем файрволе.