Назад | Перейти на главную страницу

Как защитить ESXi от блокировки учетной записи root

У меня есть экземпляр VMWare ESXi версии 6.0.0. Сегодня наши сотрудники не могли пользоваться толстым клиентом ESXi (приложение для Windows "vSphere Client") в течение значительного времени. При попытке входа в систему мы получили сообщение об ошибке «неправильное имя пользователя или пароль». После некоторого исследования мы определили, что мы были заблокированы на нашем собственном хосте ESXi из-за функции блокировки root v6.0, которая блокирует учетную запись для установить время (по умолчанию: 2 минуты) после 3 последовательных неудачных попыток ввода пароля. Похоже, злоумышленник продолжал действовать несколько часов, пока наконец не смягчился. На этом этапе мы смогли войти в систему, используя учетную запись root.

Мы немного не понимаем, почему это могло произойти. Сервер размещен в довольно большом и уважаемом центре обработки данных и является настоящим выделенным экземпляром. Однако указанное предприятие хочет взимать довольно завышенную плату за установку этого виртуального сервера за аппаратный брандмауэр. Итак, мы полагались на встроенный брандмауэр ESXi.

В разделе Конфигурация -> Профиль безопасности -> Брандмауэр у нас есть следующие службы (которые определены по умолчанию), для которых нужно ограничить IP, чтобы разрешить только наш офисный IP:

Несмотря на это, похоже, что злоумышленник все еще может хотя бы разобраться и каким-то образом вызвать ошибку `` неправильный пароль '', потому что журнал событий ESXi сервера показывает множество таких строк:

Remote access for ESXi local user account 'root' has been locked for 120 seconds after 563 failed login attempts.

И это несмотря на то, что авторизован только IP нашего офиса, и мы знаем, что никто здесь не инициирует это.

Что мы делаем не так?

Я читал много статей «Отключить SSH» или «Злоумышленники, пытающиеся применить грубую силу» ... если ваш ESXi не подключен к Интернету (недоверие), и если SSH отключен, это, скорее всего, не причина ваших локаутов.

У меня все хосты ESXi регулярно блокировались таким же образом.

После исследования журналов выяснилось, что это вызвано скриптом поставщика (Lenovo = IBM):

/etc/cim/lenovo/refresh.sh

Я решил проблему:

  1. Удаление вызова скрипта из crontab (/ var / spool / cron / crontab / root)
  2. Удаление скриптов каталога поставщиков (/ etc / cim / lenovo /)
  3. Удаление расширений Lenovo (https://support.lenovo.com/au/en/solutions/ht502599)

Примечание 1. Удаление только расширений (3.) сделало не решить мою проблему.

Примечание 2: ваш поставщик может отличаться от моего (Dell, HP), поэтому каталог будет другим, проверьте файл cron.

Основная причина проблемы: Я перешел с изображения продавца (https://my.vmware.com/web/vmware/details?productId=352&downloadGroup=OEM-ESXI55U3A-LENOVO) в общий образ ESXi 6.5. В процессе работы расширения и скрипты не очищались с помощью VMware Update Manager.

a) Вы не должны использовать клиент .net / Windows, он полностью уходит с 6.5, что неизбежно, и VMware настоятельно призывает пользователей отказаться от него буквально на протяжении многих лет.

б) Мне непонятно, все ли вы входите в систему напрямую, то есть без vCenter, и если да, то входите ли вы как root?

c) Похоже, вы не перевели хост в режим строгой блокировки - я бы тоже отключил SSH, как службу и в брандмауэре.