Cómo resolver problemas comunes al fijar la HMC

Aprenda a resolver problemas comunes que pueden surgir al fijar la HMC.

Cómo fijar la conexión entre la Hardware Management Console (HMC) y el sistema?

La HMC se conecta al sistema a través del procesador de servicio flexible (FSP). Para gestionar tanto el FSP como el hipervisor Power® se utiliza un protocolo binario propietario denominado Network Client protocol (NETC). En la tabla siguiente se listan puertos que utiliza la HMC:
Tabla 1. Puertos en el FSP que se utilizan para interactuar con la HMC
Puerto en FSP Descripción Versión de protocolo (modalidad predeterminada) Versión de protocolo (modalidad NIST)
443 Interfaz de gestión avanzada del sistema HTTPS (TLS 1.2) HTTPS (TLS 1.2)
30000 NETC NETC (TLS 1.2). Recurre a SSLv3 para soporte de firmware más antiguo. NETC (TLS 1.2)
30001 VTerm NETC (TLS 1.2). Recurre a SSLv3 para soporte de firmware más antiguo. NETC (TLS 1.2)

¿Cómo puedo bloquear la HMC?

Si desea mejorar la seguridad de su infraestructura, puede utilizar un dispositivo de sistema de prevención de intrusiones (IPS) o añadir todas las consolas de gestión de hardware y servidores de sistemas IBM® Power detrás de un cortafuegos. Además, puede inhabilitar servicios de red en la HMC si no la utiliza de forma remota o si desea bloquear la HMC. Para inhabilitar los servicios de red en la HMC, complete los pasos siguientes:
  1. Desactivar la ejecución remota de comandos mediante el puerto SSH.
  2. Desactivar el terminal virtual remoto (VTerm).
  3. Desactivar el acceso web remoto (interfaz gráfica de usuario HMC y API REST).
  4. Bloquee puertos en el cortafuego utilizando los valores de red HMC para cada puerto Ethernet configurado.

Cómo establecer la HMC en modalidad de conformidad con NIST SP 800-131A?

Con la versión de HMC 8.1.0, o posterior, cuando se configura la HMC en el modo de conformidad, sólo se admiten los cifrados fuertes enumerados por NIST SP 800-131A. Es posible que no pueda conectarse a servidores Power Systems más antiguos como, por ejemplo, los servidores POWER5 que no admiten Transport Layer Security (TLS 1.2 ). Para más información sobre cómo cambiar el modo de seguridad, consulte HMC V8R8 Modo NIST.

¿Cómo puedo ver y cambiar cifrados que utilizan la HMC?

Con HMC Versión 8.1.0 o posterior, la HMC da soporte a conjuntos de cifrados más seguros que están definidos en NIST 800-131A. Los cifrados que se utilizan en la modalidad predeterminada son sólidos. Para obtener más información sobre cifras de cifrados que utiliza la HMC, ejecute el mandato lshmcencr. Si los estándares corporativos requieren el uso de un conjunto de cifrados diferente, ejecute el mandato chhmcencr para modificar las cifras de cifrados.

Para listar las cifras de cifrados que utiliza la HMC para cifrar la contraseña de usuario, ejecute el mandato siguiente:
lshmcencr -c passwd -t c
Para listar las cifras de cifrado que utiliza actualmente la interfaz de usuario web de HMC y la API REST, ejecute el mandato siguiente:
lshmcencr -c webui -t c
Para listar las cifras de cifrado que utiliza actualmente la interfaz de usuario SSH de HMC y la API REST, ejecute el mandato siguiente:
lshmcencr -c ssh -t c
lshmcencr -c sshmac -t c

¿Cómo puedo comprobar la solidez del certificado en la HMC?

Los certificados autofirmados en la HMC utilizan SHA256 con cifrado RSA de 2048 bits, que es robusto. Si utiliza certificados firmados por CA, asegúrese de que no utilice el cifrado de 1024 bits, que es poco seguro. Los certificados siguientes se pueden utilizar para la HMC:
  • El certificado firmado por la CA puede utilizarse para la interfaz gráfica de usuario de HMC y la API REST (puerto 443).
  • El puerto 9920 se utiliza para comunicación de HMC a HMC. No puede sustituir este certificado por su propio certificado.

¿Cómo puedo elegir entre un certificado autofirmado (valor predeterminado) o un certificado firmado por CA?

La HMC genera automáticamente un certificado durante la instalación. No obstante, puede generar una solicitud de firma de certificado (CSR) desde la HMC y obtener un nuevo certificado que emita la entidad emisora de certificados. Puede importar este certificado a HMC. Asegúrese de que también obtenga un nombre de dominio para la HMC. Para obtener más información sobre la gestión de certificados en HMC, consulte Gestión de certificados.

¿Cómo puedo auditar la HMC?

La auditoría sobre las consolas HMC se centra en cifras configuradas y el uso de actividad de los diversos usuarios de HMC. Utilice los mandatos siguientes para ver la actividad de uso de varios usuarios de HMC:
Tabla 2. Cifrados que se utilizan en la HMC
Finalidad Mandato
Cifrado de contraseña (valor global) lshmcencr -c passwd -t c
Cifrado de contraseña para cada usuario lshmcusr -Fname:password_encryption
Cifrados SSH lshmcencr -c ssh -t c
SSH MAC lshmcencr -c sshmac -t c
Cifrado que se utiliza para la interfaz gráfica de usuario HMC y la API REST lshmcencr -c webui -t c
Utilice los mandatos siguientes para supervisar información sobre diversos sucesos susceptibles de servicios y de consola para usos en la HMC:
Tabla 3. Mandatos para ver los usuarios registrados e información sobre los sucesos susceptibles de servicios y de consola para usos en la HMC: HMC
Información Mandato
Usuarios de la GUI lslogon –r webui –u
Tareas de la GUI lslogon –r webui –t
Usuarios de la CLI lslogon –r ssh –u
Tareas de la CLI lslogon –r ssh –t
Operaciones en HMC lssvcevents -t console -d <number of days>
Operaciones en System lssvcevents –t hardware –m <managed system> -d <number of days>

Sucesos de supervisión centralizados para la HMC: Si tiene muchas consolas de gestión de hardware (HMC), establezca el archivo rsyslog para recopilar todos los datos de uso.

¿Cómo soluciona IBM las vulnerabilidades de seguridad de la HMC?

IBM dispone de un proceso de respuesta a incidentes de seguridad denominado IBM Product Security Incident Response Team (PSIRT). El equipo de IBM Product Security Incident Response Team (PSIRT) es un equipo global que gestiona la recepción, la investigación y la coordinación interna de la información sobre vulnerabilidad de seguridad relacionada con las ofertas de IBM. Los componentes de código abierto y IBM que se suministran con la HMC se supervisan y analizan activamente. IBM proporciona correcciones provisionales y de seguridad para todas las versiones compatibles de la HMC.

¿Cómo puedo rastrear nuevos arreglos internos en la HMC?

El boletín de seguridad contiene información sobre la vulnerabilidad y arreglos temporales para versiones HMC soportadas. Para rastrear arreglos temporales en la HMC, puede: