HMC를 보안 설정하는 동안 공통 문제점 해결

HMC를 보안 설정할 때 발생할 수 있는 일부 문제점을 해결하는 방법에 대해 학습합니다.

HMC(Hardware Management Console) 및 시스템 간의 연결을 보안 설정하는 방법

HMC는 FSP(Flexible Service Processor)를 통해 시스템에 연결합니다. 네트워크 클라이언트 프로토콜 (NETC) 이라고 하는 독점 2진프로토콜은 FSP및 Power ® 하이퍼바이저 모두를 관리하는 데 사용됩니다. 다음 표에는 HMC에서 사용하는 포트가 나열되어 있습니다.

표 1. HMC 와 상호작용하는 데 사용되는 FSP의 포트
FSP의 포트	설명	프로토콜 버전(기본 모드)	프로토콜 버전(NIST 모드)
443	고급 시스템 관리 인터페이스	HTTPS(TLS 1.2)	HTTPS(TLS 1.2)
30000	NETC	NETC(TLS 1.2). 이전 펌웨어의 지원을 위해 SSLv3으로 폴백합니다.	NETC(TLS 1.2)
30001	VTerm	NETC(TLS 1.2). 이전 펌웨어의 지원을 위해 SSLv3으로 폴백합니다.	NETC(TLS 1.2)

HMC를 잠그는 방법

인프라에 대한 보안을 강화하려는 경우 IPS (Intrusion Prevention System) 디바이스를 사용하거나 방화벽 뒤에 모든 Hardware Management Console및 IBM® Power 시스템 서버를 추가할 수 있습니다. 또한 원격으로 사용하지 않거나 HMC를 잠그려는 경우 HMC에서 네트워크 서비스를 사용 안함으로 설정할 수 있습니다. HMC에서 네트워크 서비스를 사용 안함으로 설정하려면 다음 단계를 완료하십시오.

SSH 포트를 사용하여 원격 명령 실행 을 사용 안함으로 설정하십시오.
원격 가상 터미널 (VTerm) 을 사용 안함으로 설정하십시오.
원격 웹 액세스(HMC 그래픽 사용자 인터페이스 및 REST API) 를 사용 안함으로 설정하십시오.
구성된 각 이더넷 포트에 대해 HMC 네트워크 설정을 사용하여 방화벽에서 포트를 차단하십시오.

NIST SP 800-131A 준수 모드에서 HMC를 설정하는 방법은 무엇입니까?

HMC 버전 8.1.0이상에서는 준수 모드에서 HMC를 설정할 때 NIST SP 800-131A 에 나열된 강력한 암호만 지원됩니다. TLS 1.2(Transport Layer Security) 를 지원하지 않는 POWER5 서버와 같은 이전 Power Systems 서버에 연결할 수 없습니다. 보안 모드 변경에 대한 자세한 정보는 HMC V8R8 NIST 모드를 참조하십시오.

HMC가 사용하는 암호를 보고 변경하는 방법은 무엇입니까?

HMC 버전 8.1.0 이상에서 HMC는 NIST 800-131A에 정의된 더 안전한 암호 세트를 지원합니다. 기본 모드에서 사용되는 암호는 강력합니다. HMC가 사용하는 암호화 암호에 대한 자세한 정보는 lshmcencr 명령을 실행하십시오. 기업 표준에 다른 암호 세트를 사용해야 하는 경우 chhmcencr 명령을 실행하여 암호화 암호를 수정하십시오.

HMC가 사용하는 암호화 암호를 나열하여 사용자 비밀번호를 암호화하려면 다음 명령을 실행하십시오.

lshmcencr -c passwd -t c

HMC 웹 사용자 인터페이스 및 REST API가 현재 사용할 수 있는 암호화 암호를 나열하려면 다음 명령을 실행하십시오.

lshmcencr -c webui -t c

HMC SSH 인터페이스가 현재 사용할 수 있는 MAC 알고리즘 및 암호화 암호를 나열하려면 다음 명령을 실행하십시오.

lshmcencr -c ssh -t c

lshmcencr -c sshmac -t c

HMC에서 인증서의 강도를 확인하는 방법은 무엇입니까?

HMC의 자체 서명 인증서는 강력한 2048비트 RSA 암호화가 있는 SHA256을 사용합니다. CA 서명 인증서를 사용 중인 경우 약한 1024비트 암호화를 사용 중이지 않은지 확인하십시오. HMC에 대해 다음 인증서를 사용할 수 있습니다.

CA 서명 인증서는 HMC 그래픽 사용자 인터페이스 및 REST API (포트 443) 에 사용할 수 있습니다.
HMC 대 HMC 통신에 대해 포트 9920이 사용됩니다. 이 인증서를 사용자 고유의 인증서로 대체할 수 없습니다.

자체 서명 인증서(기본값) 또는 CA 서명 인증서 사이에서 선택하는 방법은 무엇입니까?

HMC는 설치 중에 인증서를 자동 생성합니다. 그러나 HMC에서 인증서 서명 요청(CSR)을 생성하고 인증 기관이 발행하는 새 인증서를 가져올 수 있습니다. 이 인증서를 HMC에 가져올 수 있습니다. 또한 HMC에 대해 도메인 이름을 획득해야 합니다. HMC에서 인증서 관리에 대한 자세한 정보는 인증서 관리를 참조하십시오.

HMC를 감사하는 방법은 무엇입니까?

Hardware Management Console의 감사는 구성된 암호 및 다양한 HMC 사용자의 사용 활동에 초점을 맞춥니다. 다양한 HMC 사용자의 사용 활동을 보려면 다음 명령을 사용하십시오.

표 2. HMC가 사용하는 암호
용도	명령
비밀번호 암호화(글로벌 설정)	`lshmcencr -c passwd -t c`
각 사용자의 비밀번호 암호화	`lshmcusr -Fname:password_encryption`
SSH 암호	`lshmcencr -c ssh -t c`
SSH MAC	`lshmcencr -c sshmac -t c`
HMC 그래픽 사용자 인터페이스 및 REST API에 사용되는 암호	`lshmcencr -c webui -t c`

다음 명령을 사용하여 HMC에서 사용하는 다양한 콘솔 및 서비스 가능 이벤트 정보를 모니터하십시오.

표 3. HMC에서 로그온된 사용자 및 콘솔 또는 서비스 가능 이벤트 정보를 보기 위한 명령
정보	명령
GUI 사용자	`lslogon –r webui –u`
GUI 태스크	`lslogon –r webui –t`
CLI 사용자	`lslogon –r ssh –u`
CLI 태스크	`lslogon –r ssh –t`
HMC의 조작	`lssvcevents -t console -d <number of days>`
시스템의 조작	`lssvcevents –t hardware –m <managed system> -d <number of days>`

HMC의 중앙 집중식 모니터링: 다수의 Hardware Management Console이 있는 경우 모든 사용 데이터를 수집하도록 rsyslog 파일을 설정하십시오.

IBM 이 HMC 보안 취약성을 수정하는 방법은 무엇입니까?

IBM 에는 IBM PSIRT (Product Security Incident Response Team) 라는 보안 사고 대응 프로세스가 있습니다. IBM PSIRT(Product Security Incident Response Team)는 IBM 오퍼링과 관련된 보안 취약성 정보의 수집, 조사, 내부 협력을 관리하는 글로벌 팀입니다. HMC와 함께 제공되는 오픈 소스 및 IBM 구성요소는 적극적으로 모니터되고 분석됩니다. 임시 수정사항 및 보안 수정사항은 HMC의 지원되는 모든 릴리스에 대해 IBM 에서 제공합니다.

HMC의 새 임시 수정사항을 추적하는 방법은 무엇입니까?

보안 공고에는 지원되는 HMC 버전의 취약성 및 임시 수정사항에 대한 정보가 포함되어 있습니다. HMC의 임시 수정사항을 추적하기 위해 다음을 수행할 수 있습니다.

IBM Security Bulletin에서 최신 보안 게시판을 검색하십시오.
팔로우 @IBMPowereSupp 을 팔로우하여 트위터에서 알림을 받아보세요.
IBM Support에서 이메일 알림을 구독하십시오.