Resolver problemas comuns enquanto protege a HMC

Saiba como resolver alguns problemas que poderá encontrar quando proteger a HMC.

Como proteger a ligação entre a Consola de Gestão de Hardware (HMC, Hardware Management Console) e o sistema?

A HMC estabelece ligação ao sistema através do FSP (Flexible Service Processor). Um protocolo binário proprietário denominado protocolo NETC (Network Client) é utilizado para gerir o FSP e o hipervisor Power. A seguinte tabela lista portas utilizadas pela HMC:
Tabela 1. Portas no FSP que são utilizadas para interagir com a HMC
Porta no FSP Descrição Versão do Protocolo (Modo predefinido) Versão do Protocolo (Modo NIST)
443 Interface de Gestão do Sistema Avançada HTTPS (TLS 1.2) HTTPS (TLS 1.2)
30000 NETC NETC (TLS 1.2). Reverte para SSLv3 para suporte de software proprietário mais antigo. NETC (TLS 1.2)
30001 VTerm NETC (TLS 1.2). Reverte para SSLv3 para suporte de software proprietário mais antigo. NETC (TLS 1.2)

Como bloquear a HMC?

Caso pretenda melhorar a segurança da infra-estrutura, é possível utilizar um dispositivo de Prevenção de Intrusões (IPS, Intrusion Prevention System) ou adicionar todas as Consolas de Gestão de Hardware e servidores IBM® Power Systems por detrás de uma firewall. Além disso, é possível desactivar serviços de rede na HMC caso não a utilize remotamente ou caso pretenda bloquear a HMC. Para desactivar serviços de rede na HMC, conclua os seguintes passos:
  1. Desactive a execução do comando remoto através da utilização da porta SSH.
  2. Desactive o terminal virtual remoto (porta VTerm).
  3. Desactive o acesso da Web remota(interface gráfica de utilizador da HMC e API REST).
  4. Bloqueie portas na firewall através da utilização das definições de rede da HMC para cada porta Ethernet configurada.

Como definir a HMC no modo de conformidade NIST SP 800-131A?

Com a HMC Versão 8.1.0 ou posterior, quando definir a HMC no modo de conformidade, apenas são suportadas cifras seguras listadas por NIST SP 800-131A. Poderá não ser possível estabelecer ligação a servidores Power Systems mais antigos como, por exemplo, servidores POWER5 que não suporta Transport Layer Security (TLS 1.2). Para obter mais alterações sobre a alteração do modo de segurança, consulte Modo V8R8 NIST da HMC.

Como visualizar e alterar cifras utilizadas pela HMC?

Com a HMC Versão 8.1.0 ou posterior, a HMC suporta mais conjuntos de cifras seguras definidas em NIST 800-131A. As cifras que são utilizadas no modo predefinido são seguras. Para obter mais informações sobre cifras de encriptação utilizadas pela HMC, execute o comando lshmcencr. Caso o padrão empresarial requeira a utilização de um conjunto diferente de cifras, execute o comando chhmcencr para modificar as cifras de encriptação.

Para listar as cifras de encriptação utilizadas pela HMC para encriptar palavras-passe de utilizadores, execute o seguinte comando: 
lshmcencr -c passwd -t c
Para listar as cifras de encriptação que podem ser utilizadas actualmente pela interface da Web de utilizador de HMC e API REST, execute o seguinte comando: 
lshmcencr -c webui -t c
Para listar as cifras de encriptação e algoritmo MAC que podem ser utilizados actualmente pela interface SSH da HMC, execute o seguinte comando: 
lshmcencr -c ssh -t c
lshmcencr -c sshmac -t c

Como verificar a potência do certificado na HMC?

Os certificados de assinatura local na HMC utilizam SHA256 com encriptação RSA de 2048-bits, que é segura. Caso esteja a utilizar certificados assinados CA, certifique-se de que não está a utilizar a encriptação de 1024-bits, que é fraca. É possível utilizar os seguintes certificados para a HMC:
  • É possível utilizar o certificado assinado CA para a interface de utilizador gráfica da HMC e API REST (portas 443 e 12443).
  • A porta 9920 é utilizada para comunicação HMC a HMC. Não é possível substituir este certificado por um certificado próprio.

Como escolher entre um certificado de assinatura local (predefinição) ou um certificado assinado CA?

A HMC cria automaticamente um certificado durante a instalação. No entanto, é possível criar um Pedido de Assinatura de Certificado (CSR, Certificate Signing Request) a partir da HMC e obter um novo certificado emitido por uma Autoridade Certificadora. É possível importar este certificado para a HMC. Certifique-se de que também obtém um nome de domínio para a HMC. Para obter mais detalhes sobre a gestão dos certificados na HMC, consulte Gerir Certificados.

Como auditar a HMC?

A auditoria nas Consolas de Gestão de Hardware foca-se em cifras configuradas e a actividade de utilização dos vários utilizadores da HMC. Utilize os seguintes comandos para visualizar a actividade de utilização de vários utilizadores da HMC:
Tabela 2. Cifras utilizadas pela HMC
Finalidade Comando
Codificação de palavras-passe (definição global) lshmcencr -c passwd -t c
Codificação de palavras-passe para cada utilizador lshmcusr -Fname:password_encryption
Cifras SSH lshmcencr -c ssh -t c
MAC de SSH lshmcencr -c sshmac -t c
Cifras utilizadas para a interface de utilizador gráfica da HMC e API REST lshmcencr -c webui -t c
Utilize os seguintes comandos para monitorizar várias informações da consola e de eventos passíveis de assistência para utilizadores na HMC:
Tabela 3. Comandos para visualizar os utilizadores com sessão iniciada ou informações de eventos passíveis de assistência na HMC
Informações Comando
Utilizadores da GUI lslogon –r webui –u
Tarefas da GUI lslogon –r webui –t
Utilizadores da CLI lslogon –r ssh –u
Tarefas da CLI lslogon –r ssh –t
Operações na HMC lssvcevents -t console -d <number of days>
Operações no Sistema lssvcevents –t hardware –m <managed system> -d <number of days>

Eventos de monitorização centralizada para a HMC: Caso possua várias Consolas de Gestão de Hardware, defina o ficheiro rsyslog para recolher todos os dados de utilização.

Como corrige a IBM as vulnerabilidades de segurança da HMC?

A IBM possui um processo de resposta a incidências de segurança denominado Equipa de Resposta a Incidentes de Segurança de Produtos da IBM (PSIRT, IBM Product Security Incident Response Team). A PSIRT (IBM Product Security Incident Response Team) é uma equipa global que gere a recepção, investigação e coordenação interna de informações de vulnerabilidades de segurança relacionadas com ofertas da IBM. Os componentes de Código Aberto e da IBM que são enviados com a HMC são monitorizados e analisados de forma activa. As correcções provisórias e correcções de segurança são facultadas pela IBM para todas as edições suportadas da HMC.

Como rastrear novas correcções provisórias na HMC?

O boletim de segurança contém informações sobre a vulnerabilidade e correcções provisórias para versões suportadas da HMC. Para rastrear correcções provisórias na HMC, é possível: