安全模式
本主题提供了有关安全模式的概述。
XCC Standard 许可证支持用户采用以下两种安全模式之一来配置其服务器:标准模式和兼容模式。这两种模式在所有 V3 服务器中都可用。
Lenovo XClarity Controller 2 Platinum 升级许可证提供第三种安全模式:企业严格模式。这种模式最适合于高级别的安全需求。
企业严格安全模式是最为安全的模式。
BMC 在 FIPS 140-3 验证模式下运行。
需要企业严格等级证书。
仅允许使用支持企业严格级别加密的服务。
需要 Lenovo XClarity Controller 2 Platinum 升级许可证才能启用。
可以使用 CNSA 加密算法。
标准模式是默认的安全模式。
BMC 使用的所有加密算法均符合 FIPS 140-3。
BMC 在 FIPS 140-3 验证模式下运行。
需要标准等级证书。
默认禁用需要加密但不支持标准级别加密的服务。
安装 Lenovo XClarity Controller 2 Platinum 升级许可证时,可以使用 CNSA 算法。
兼容模式是在服务和客户端需要不符合企业严格/标准安全模式要求的加密时使用的模式。
支持更广泛的加密算法。
启用此模式时,BMC 不在 FIPS 140-3 验证模式下运行。
允许启用所有服务。
支持各种密码套件,以实现最大的兼容性。
支持的 TLS 密码套件
| TLS 密码套件 | 安全模式 | TLS 版本 |
|---|---|---|
| TLS_AES_256_GCM_SHA384 |
| TLS 1.3 |
| TLS_CHACHA20_POLY1305_SHA256 |
| TLS 1.3 |
| TLS_AES_128_GCM_SHA256 |
| TLS 1.3 |
| TLS_AES_128_CCM_8_SHA256 |
| TLS 1.3 |
| TLS_AES_128_CCM_SHA256 |
| TLS 1.3 |
| TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 |
| TLS 1.2 |
| TLS_DHE_RSA_WITH_AES_256_GCM_SHA384 |
| TLS 1.2 |
| TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 |
| TLS 1.2 |
| TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 |
| TLS 1.2 |
| TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305 |
| TLS 1.2 |
| TLS_DHE_RSA_WITH_AES_128_GCM_SHA256 |
| TLS 1.2 |
| TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 |
| TLS 1.2 |
| TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305 |
| TLS 1.2 |
| TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 |
| TLS 1.2 |
| TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 |
| TLS 1.2 |
| TLS_DHE_RSA_WITH_AES_256_CBC_SHA256 |
| TLS 1.2 |
| TLS_DHE_RSA_WITH_AES_128_CBC_SHA256 |
| TLS 1.2 |
| TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384 |
| TLS 1.2 |
| TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256 |
| TLS 1.2 |
功能/服务 | 使用加密 | 默认状态开箱即用 | 在严格模式下受支持 | 在标准模式下受支持 | 在兼容模式下受支持 |
|---|---|---|---|---|---|
IPMI-over-KCS | 否 | 已启用 | 是 | 是 | 是 |
IPMI-over-LAN | 是 | 已禁用 | 否 | 是 | 是 |
SNMPv1 陷阱 | 否 | 未配置 | 否 | 是 | 是 |
SNMPv3 陷阱 | 是 | 未配置 | 否 | 是 如果启用,会在使用非 FIPS 加密时发出警报 | 是 |
SNMPv3 代理 | 是 | 未配置 | 否 | 是 如果启用,会在使用非 FIPS 加密时发出警报 | 是 |
电子邮件警报 | 是 | 未配置 | 是 无法在使用 CRAM-MD5 认证时启用 | 是 如果需要 CRAM-MD5,会在使用非 FIPS 加密时发出警报。 | 是 |
Syslog 警报 | 否 | 未配置 | 否 | 是 | 是 |
TLS 1.2 | 是 | 已启用 | 是 | 是 | 是 |
TLS 1.3 | 是 | 已启用 | 是 | 是 | 是 |
Web over HTTPS | 是 | 已启用 | 是 | 是 | 是 |
Redfish over HTTPS | 是 | 已启用 | 是 | 是 | 是 |
SSDP | 否 | 已启用 | 是 | 是 | 是 |
SSH-CLI | 是 | 已启用 | 是 | 是 | 是 |
SFTP | 是 | 已禁用 | 是 | 是 | 是 |
LDAP | 否 | 未配置 | 否 | 是 | 是 |
安全 LDAP | 是 | 未配置 | 是 | 是 | 是 |
安全密钥管理 | 是 | 未配置 | 是 | 是 | 是 |
远程控制台 | 是 | 已启用 | 是 | 是 | 是 |
虚拟介质 - CIFS | 是 | 未配置 | 否 | 是 | 是 |
虚拟介质 - NFS | 否 | 未配置 | 否 | 是 | 是 |
虚拟介质 - HTTPFS | 是 | 未配置 | 是 | 是 | 是 |
RDOC - 本地 | 是 | 未配置 | 是 | 是 | 是 |
RDOC - CIFS | 是 | 未配置 | 否 | 是 | 是 |
RDOC - HTTP | 否 | 未配置 | 否 | 是 | 是 |
RDOC - HTTPS | 是 | 未配置 | 是 | 是 | 是 |
RDOC - FTP | 否 | 未配置 | 否 | 是 | 是 |
RDOC - SFTP | 是 | 未配置 | 是 | 是 | 是 |
FFDC 上传(SFTP) | 是 | 已启用 | 是 | 是 | 是 |
FFDC 上传(TFTP) | 否 | 已启用 | 否 | 是 | 是 |
从存储库更新 - CIFS | 是 | 未配置 | 否 | 是 | 是 |
从存储库更新 - NFS | 否 | 未配置 | 否 | 是 | 是 |
从存储库更新 - HTTP | 否 | 未配置 | 否 | 是 | 是 |
从存储库更新 - HTTPS | 是 | 未配置 | 是 | 是 | 是 |
Call Home | 是 | 已禁用 | 是 | 是 | 是 |
第三方密码 | 是 | 未配置 | 否 | 是 | 是 |
端口转发 | 不适用 | 已禁用 | 是 | 是 | 是 |