问使用IPMI租用远程服务器:易受攻击吗？

EN

我认为所提到的问题是臭名昭著的密码零问题。如果您正在租用一台具有此功能的专用服务器，一种选择是完成对服务器的漏洞扫描，以查看它是否易受攻击。内苏斯肯定会检查这个问题，而Metasploit也有检测它的模块(它们详细介绍了问题和模块这里)。

扫描服务器之前的一个关键点是从主机公司获得扫描许可(以书面形式)。我见过的大多数公司只要接到通知，就可以进行这种扫描。

我建议您看看公司处理漏洞报告的方式，以及他们对这些报告的反应。

公司应该提供一种安全和私密的方法来报告漏洞，例如专用的安全响应电子邮件和用于对报表进行加密的PGP密钥，他们应该在一个容易找到的位置提供这一点。他们也不应该像一些公司以前那样，迫害那些发现和报告这些漏洞的人。

对于事件报告，作为报告后48小时内的准则，他们应迅速对报告漏洞的人作出反应。如果可能的话，应该尽快发布一个临时修补程序(比如微软的FixIts)，然后发布一个更永久性的补丁，完全消除漏洞的原因。公司还应该提供一种方法，让客户了解产品中的安全问题，如邮件列表，并定期更新。