安全模式
本主题提供了有关安全模式的概述。
XCC Standard 许可证支持用户采用以下两种安全模式之一来配置其服务器:标准模式和兼容模式。这两种模式在所有 V4 服务器中都可用。
Lenovo XClarity Controller 3 Premier 升级许可证提供了第三种安全模式:企业严格模式。这种模式最适合于高级别的安全需求。
企业严格安全模式是最为安全的模式。
BMC 使用的所有加密算法均符合 CNSA 1.0。
BMC 在 FIPS 140-3 验证模式下运行。
需要企业严格等级证书。
只能启用支持 CNSA 1.0 加密的服务。
需要 Feature on Demand 密钥才能启用。
标准模式是默认的安全模式。
BMC 使用的所有加密算法均符合 FIPS 140-3。
当启用的所有服务都使用符合 FIPS 140-3 的加密时,BMC 将在经 FIPS 140-3 验证的模式下运行。
需要标准等级证书。
默认情况下会禁用需要加密但不支持 FIPS 140-3 兼容加密的服务。
兼容模式是在服务和客户端需要不符合企业严格/标准安全模式要求的加密时使用的模式。
支持更广泛的加密算法。
启用此模式时,BMC 不在符合标准加密要求的模式下运行。
允许启用所有服务。
支持的 TLS 密码套件
| TLS 密码套件 | 安全模式 | TLS 版本 |
|---|---|---|
| TLS_AES_256_GCM_SHA384 |
| TLS 1.3 |
| TLS_CHACHA20_POLY1305_SHA256 |
| TLS 1.3 |
| TLS_AES_128_GCM_SHA256 |
| TLS 1.3 |
| TLS_AES_128_CCM_SHA256 |
| TLS 1.3 |
| TLS_AES_128_CCM_8_SHA256 |
| TLS 1.3 |
| TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 |
| TLS 1.2 |
| TLS_DHE_RSA_WITH_AES_256_GCM_SHA384 |
| TLS 1.2 |
| TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 |
| TLS 1.2 |
| TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 |
| TLS 1.2 |
| TLS_DHE_RSA_WITH_AES_128_GCM_SHA256 |
| TLS 1.2 |
| TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 |
| TLS 1.2 |
| TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305 |
| TLS 1.2 |
| TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305 |
| TLS 1.2 |
| TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 |
| TLS 1.2 |
| TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 |
| TLS 1.2 |
| TLS_DHE_RSA_WITH_AES_256_CBC_SHA256 |
| TLS 1.2 |
| TLS_DHE_RSA_WITH_AES_128_CBC_SHA256 |
| TLS 1.2 |
| TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384 |
| TLS 1.2 |
| TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256 |
| TLS 1.2 |
| TLS_RSA_WITH_AES_256_GCM_SHA384 |
| TLS 1.2 |
| TLS_RSA_WITH_AES_128_GCM_SHA256 |
| TLS 1.2 |
| TLS_DHE_RSA_LATH_AES_256_GCM_SHA384 |
| TLS 1.2 |
| TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA3U |
| TLS 1.2 |
| TLS_RSA_WITH_AES_256_CBC_SHA256 |
| TLS 1.2 |
| TLS_RSA_WITH_AES_128_CBC_SHA256 |
| TLS 1.2 |
功能/服务 | 使用加密 | 默认开箱状态 | 在严格模式下受支持 | 在标准模式下受支持 | 在兼容模式下受支持 |
|---|---|---|---|---|---|
IPMI-over-KCS | 否 | 已启用 | 是 | 是 | 是 |
IPMI-over-LAN | 是 | 已禁用 | 否 | 是 | 是 |
SNMPv1 陷阱 | 否 | 未配置 | 否 | 是 | 是 |
SNMPv3 陷阱 | 是 | 未配置 | 否 | 是 如果启用,会在使用非 FIPS 加密时发出警报 | 是 |
SNMPv3 代理 | 是 | 未配置 | 否 | 是 如果启用,会在使用非 FIPS 加密时发出警报 | 是 |
电子邮件警报 | 是 | 未配置 | 是 无法在使用 CRAM-MD5 认证时启用 | 是 如果需要 CRAM-MD5,会在使用非 FIPS 加密时发出警报。 | 是 |
Syslog 警报 | 否 | 未配置 | 否 | 是 | 是 |
TLS 1.2 | 是 | 已启用 | 是 | 是 | 是 |
TLS 1.3 | 是 | 已启用 | 是 | 是 | 是 |
Web over HTTPS | 是 | 已启用 | 是 | 是 | 是 |
Redfish over HTTPS | 是 | 已启用 | 是 | 是 | 是 |
SSDP | 否 | 已启用 | 是 | 是 | 是 |
SSH-CLI | 是 | 已启用 | 是 | 是 | 是 |
SFTP | 是 | 已禁用 | 是 | 是 | 是 |
LDAP | 否 | 未配置 | 否 | 是 | 是 |
安全 LDAP | 是 | 未配置 | 是 | 是 | 是 |
安全密钥管理 | 是 | 未配置 | 是 | 是 | 是 |
远程控制台 | 是 | 已启用 | 是 | 是 | 是 |
虚拟介质 - CIFS | 是 | 未配置 | 否 | 是 | 是 |
虚拟介质 - NFS | 否 | 未配置 | 否 | 是 | 是 |
虚拟介质 - HTTPFS | 是 | 未配置 | 是 | 是 | 是 |
RDOC - 本地 | 是 | 未配置 | 是 | 是 | 是 |
RDOC - CIFS | 是 | 未配置 | 否 | 是 | 是 |
RDOC - HTTP | 否 | 未配置 | 否 | 是 | 是 |
RDOC - HTTPS | 是 | 未配置 | 是 | 是 | 是 |
RDOC - FTP | 否 | 未配置 | 否 | 是 | 是 |
RDOC - SFTP | 是 | 未配置 | 是 | 是 | 是 |
FFDC 上传(SFTP) | 是 | 已启用 | 是 | 是 | 是 |
FFDC 上传(TFTP) | 否 | 已启用 | 否 | 是 | 是 |
从存储库更新 - CIFS | 是 | 未配置 | 否 | 是 | 是 |
从存储库更新 - NFS | 否 | 未配置 | 否 | 是 | 是 |
从存储库更新 - HTTP | 否 | 未配置 | 否 | 是 | 是 |
从存储库更新 - HTTPS | 是 | 未配置 | 是 | 是 | 是 |
Call Home | 是 | 已禁用 | 是 | 是 | 是 |
第三方密码 | 是 | 未配置 | 否 | 是 | 是 |
端口转发 | 不适用 | 已禁用 | 是 | 是 | 是 |