原因分析如下:RSA加密算法中,公钥是公开的,容易被攻击者获取。因此,我们需要采取措施保障BMC密码的安全性。
解决方案:进入BMC Web门户设置页面,选择“设置”,然后在“账号登录设置”页面进行配置。将“账号锁定”设置为“启用”,并设置“账号认证失败次数”为5次,以及“账号锁定时间”为10分钟。最后,保存设置。
通过以上操作,可以有效防止BMC密码被暴力破解,提升服务器运行的安全性。
问题描述
对R5300 G4服务器的BMC进行渗透测试,发现存在BMC被暴力破解密码的安全问题:攻击者通过使用字典进行暴力破解,破解成功后获取密码,登录BMC Web门户对服务器进行操控,影响服务器运行安全。
适用产品
R5300 G4
原因分析
RSA加密算法的实现方式为公钥加密、私钥解密。公钥本身是公开传递的,所以可被获取。
解决方案
在BMC Web门户的左侧菜单栏中,选择设置,进入设置页面。
单击账号登录设置,进入账号登录设置页面,如下图所示。
配置账号锁定设置参数,参数说明参见下表。
| 参数名称 | 配置说明 |
| 账号锁定 | 配置为启用 |
| 账号认证失败次数 | 配置为5 |
| 账号锁定时间 | 配置为10(单位为:分钟) |
单击保存按钮。
