如何保护ESXi免受root帐户locking
我有一个VMWare ESXi实例,运行版本6.0.0。 我们的工作人员今天在大量时间内被locking在ESXi胖客户端(“vSphere Client”Windows应用程序)之外。 尝试login时,我们收到了一个“不正确的用户名或密码”错误消息。经过一番调查,我们确定由于v6.0的root lockoutfunction,我们被locking在自己的ESXi主机之外,设置连续3次密码尝试失败后的时间(默认:2分钟)。 攻击者似乎继续了几个小时,直到最终缓解。 在这一点上,我们可以使用root帐户login自己。
我们对为什么会发生这个事情感到有点困惑。 该服务器托pipe在一个相当大的和有信誉的数据中心,是一个真正的专用实例。 但是,该设施希望收取相当高的费用,将该虚拟机服务器置于硬件防火墙之后。 所以我们一直依靠ESXi的内置防火墙。
在“configuration” – >“安全configuration文件” – >“防火墙”部分,我们有以下服务(默认情况下定义为)受IP限制,只允许我们的办公室IP:
- SSH服务器
- vSphere Web Access
- vSphere Web Client
- vsanvp
- vMotion的
尽pipe如此,看起来攻击者至less仍然能够通过并以某种方式触发“错误的密码”错误,因为服务器的ESXi事件日志显示了许多行,如下所示:
- 在Cisco ASA 5510上为端口443/80创buildNAT规则和安全策略
- 如何configurationWindows防火墙的域控制器?
- 如何浏览到只能通过SSH端口访问的Web服务器
- 思科ASA:允许build立的stream量恢复
- Active Directory中的WMI服务使用哪些端口?
Remote access for ESXi local user account 'root' has been locked for 120 seconds after 563 failed login attempts.
尽pipe只有我们的办公室IP被授权,而且我们知道这里没有人提出这个build议。
我们做错了什么?
a)您不应该使用.net / Windows客户端,它将完全消失,即将到来的6.5版本,而VMware现在强烈要求用户远离它。
b)我不清楚,你们是否都直接login到主机,即没有vCenter,如果是的话,你是以root身份login?
c)看起来你并没有把主机置于严格的locking模式 – 我也将SSH作为一项服务禁用在防火墙中。
我读了很多“禁用SSH”或“恶意使用蛮力”……如果您的ESXi没有接触到互联网(不信任),并且SSH被禁用,那么这可能不是您locking的原因。
所有ESXi主机都以相同的方式定期locking。
日志调查后,似乎是由供应商脚本(Lenovo = IBM)引起的:
/etc/cim/lenovo/refresh.sh
我解决了这个问题:
- 从crontab中删除对脚本的调用(/ var / spool / cron / crontab / root)
- 删除供应商目录脚本(/ etc / cim / lenovo /)
- 删除联想扩展程序( https://support.lenovo.com/au/en/solutions/ht502599 )
注1:只删除扩展名(3.)不能解决我的问题。
注2:您的供应商可能与我的(戴尔,惠普)不同,所以目录会有所不同,请检查cron文件。
问题的根本原因是:我从供应商映像( https://my.vmware.com/web/vmware/details?productId=352&downloadGroup=OEM-ESXI55U3A-LENOVO )迁移到通用ESXi 6.5映像。 在进程扩展和脚本没有被VMware Update Manager清除。
