服务器 Gind.cn
  1. 服务器 Gind.cn
  3. 如何保护根服务器上的vmware esxi主机?
Intereting Posts
什么是页面错误的“很多”? 接口修改后eth0不启动 密集读写的分布式文件系统的select F5 Big-IP,X-Forwarded-For和IIS日志 Windows 2008 R2上的SMTP服务器设置 iptables FORWARD没有指定目标地址的链规则 HaProxy放下CONNECT请求 CentOS 5上的命令行LVM问题 什么是“sys”和“adm”组的规范使用? 设置wifi时,哪个干扰更小? 当所有后端服务器在Apache后面运行HAProxy时,获得502而不是503 Apache的redirect是否足够安全,并且可以被信任来保持每个人都出去? 无法在Ubuntu 14.04上设置Kerberos – krb5kdc:没有这样的文件或目录 – 初始化数据库的领域myrealm 使用文件夹redirectGPO和脱机文件和文件夹 使用域控制器作为专用Web服务器是不好的做法吗?

如何保护根服务器上的vmware esxi主机?

对于我来说,一台虚拟机通常有2个局域网接口,一个连接局域网或pipe理计算机,另一个连接WAN接口供公众访问。

所以通过在vmware的“公用网卡”之前设置防火墙并且仅通过“专用网卡”访问pipe理接口来确保安全性。

但我如何确保安全,如果我安装在多个公共ips,没有防火墙在服务器前,没有任何(没有任何(我可访问)路由服务器之前,没有多个networking接口的正常专用根服务器上的VMWare ESXI 5.0?

我发现有关防火墙的文章: http : //www.virtualizationadmin.com/articles-tutorials/vmware-esx-and-vsphere-articles/networking/understanding-vmware-esx-server-security-profiles.html

但是哪个ip是打开的端口? 是否所有的公众都必须遵守? 我可以将pipe理界面绑定到特定的IP吗? 如何将一个ip绑定到pipe理界面,其余的则绑定到一个或多个虚拟机?

我想在esxi里面创build一个vlan,然后在vm上build立一个vpn,然后让这个pipe理控制台只能通过vpn的ip来访问,但是我如何locking自己以后再尝试一下。

任何提示?

编辑:根服务器像:server4you.com/root-server一个单一的服务器,其中VMware安装,“直接”连接到互联网 – >直接攻击,而不是在一个安全的局域网

编辑2:记住,那些没有英语作为第一语言的人,可能会定义一些东西,比如“根服务器”。 请评论这个问题,并写下如何让问题更清楚的事情。

也许这句话更好:如何使一个vmware esxi 5.0服务器安全,它只有一个网卡,并直接连接到互联网?

我没有保护连接到networking的esxi的经验,如果我运行像kvm或vserver这样的虚拟化,这相当简单,只需使用iptables防火墙保护主机服务器,并在那里处理路由。

我没有find关于我的问题谷歌的一个很好的信息,它是一个相当特殊的问题,公司如何虚拟化有一个整个vmware服务器集群,往往不只是在他们面前的一个防火墙。

所以他们很简单,不需要安装一个vmware esxi主机,而无需额外的防火墙和只有一个networking接口。 其他人可能不会虚拟化或不关心安全性。

所以我问downvoters,这个问题这么糟糕?

所以c33s,我已经得到了你自己的研究这个话题后的答案:-)

我将说明ESXi 4的4个步骤(也应该在5上工作)。 在ESXi 5上,VMware包含一个数据包筛选器(您应该在Google上find有关此主题的许多信息)。

让我们开始吧:首先,您需要通过SSH访问ESXi。 这里有4个步骤来改善根服务器上的情况:

1)删除ESXi欢迎屏幕:请求https:// your-esxi /显示一个页面,告诉您如何开始使用ESXi。 现在没有人需要这个免除你。 所以阅读后,重命名文件: 

mv /usr/lib/vmware/hostd/docroot/index.html /usr/lib/vmware/hostd/docroot/index.html.bak

2)只允许在ssh上进行auth_keylogin为你的pipe理员机器生成一个SSH auth_key(在文本中我称之为“YOUR-SSH-RSA”)。 通过在ESXi上运行此代码来检查您的设置 

 mkdir /.ssh chmod 0600 -R /.ssh echo "YOUR-SSH-RSA" >> /.ssh/authorized_keys

检查login是否工作。 如果是这样,你可以把这些行放入rc.local中使用 

 vi /etc/rc.local

这是必需的,因为ESXi在重新启动后忘记了这一点。 要禁用密码login,请执行以下操作: 

 vi /etc/inetd.conf

将参数-s添加到以下行中: 

 ssh stream tcp nowait root /sbin/dropbearmulti dropbear ++min=0,swap,group=shell -i -K60 ssh stream tcp6 nowait root /sbin/dropbearmulti dropbear ++min=0,swap,group=shell -i -K60

以后应该是这样的: 

 ssh stream tcp nowait root /sbin/dropbearmulti dropbear ++min=0,swap,group=shell -s -i -K60 ssh stream tcp6 nowait root /sbin/dropbearmulti dropbear ++min=0,swap,group=shell -s -i -K60

重启(或至less重新启动inetd)才能生效。

3)更改SSH默认端口 

 vi /etc/services

search 

 ssh 22/tcp # SSH Remote Login Protocol ssh 22/udp # SSH Remote Login Protocol

改变港口22,以任何你喜欢的。 注意与其他港口的冲突!

重启(或至less重新启动inetd)才能生效。

4)更改路由因为ESXi 4没有数据包filter,所以我们需要更改路由,因此不知道如何与每个人交谈。 这有点危险,因为错误的路由可能会导致只能从本地控制台访问ESXi-Management! 您需要一个静态IP或已知networking来pipe理您的ESXi。 我们添加一条路由到这里,然后删除默认路由。 

 esxcfg-route -a xxxx/sub yyyy

其中“xxxx”是你的networking或ip。 “sub”子网掩码。 和“yyyy”你的门户。

例如我们有一个默认网关12.34.56.78的ESXi,并且只想添加一个单一的IP 98.76.54.21,该命令是 

 esxcfg-route -a 98.76.54.21/32 12.34.56.78

检查您的路线是否正确设置: 

 esxcfg-route -l

如果是这样,请删除您的默认路由 

 esxcfg-route -d default yyyy

当所有的工作都正确的时候,你仍然应该到达你的ESXi。 如果没有,你必须login本地,并改变一切。