Как защитить ESXi от блокировки учетной записи root
У меня есть экземпляр VMWare ESXi версии 6.0.0. Сегодня наши сотрудники не могли пользоваться толстым клиентом ESXi (приложение для Windows "vSphere Client") в течение значительного времени. При попытке входа в систему мы получили сообщение об ошибке «неправильное имя пользователя или пароль». После некоторого исследования мы определили, что наш собственный хост ESXi заблокирован из-за версии 6.0 ' s функция блокировки root, которая блокирует учетную запись на установленный период времени (по умолчанию: 2 минуты) после 3 последовательных неудачных попыток ввода пароля. Похоже, злоумышленник продолжал действовать несколько часов, пока наконец не смягчился. В этот момент мы смогли войти в систему, используя учетную запись root.
Мы немного не понимаем, почему это могло произойти. Сервер размещен в довольно большом и уважаемом центре обработки данных и является настоящим выделенным экземпляром. Тем не менее, указанное предприятие хочет взимать довольно высокую плату за установку этого виртуального сервера за аппаратным межсетевым экраном. Итак, мы полагались на встроенный брандмауэр ESXi.
В разделе «Конфигурация» -> «Профиль безопасности» -> «Брандмауэр» у нас есть следующие службы (которые определены по умолчанию) с ограничением по IP, чтобы разрешить только IP-адрес нашего офиса: был заблокирован на 120 секунд после сбоя 563 попытки входа в систему.
Это несмотря на то, что авторизован только IP-адрес нашего офиса, и мы знаем, что никто здесь не инициирует это.
Что мы делаем не так?
a) Вам не следует использовать клиент .net / Windows, он полностью уходит с 6.5, что неизбежно, и VMware настоятельно призывает пользователей отказаться от него буквально на протяжении многих лет. .
b) Мне непонятно, все ли вы входите на хост напрямую, то есть без vCenter, и если да, то входите ли вы как root?
c) Похоже, вы не ввели хост в строгий режим режим блокировки - я бы тоже отключил SSH, как службу и в брандмауэре.
Я прочитал много «Отключить SSH» или «Злоумышленник пытается применить грубую силу» ... если ваш ESXi не подключен к Интернету (не доверяет), и если SSH отключен, это, скорее всего, не причина ваших локаутов.
I все хосты ESXi регулярно блокировались одним и тем же способом.
После исследования журналов выяснилось, что это было вызвано скриптом поставщика (Lenovo = IBM):
/etc/cim/lenovo/refresh.sh
Я решил проблему следующим образом:
- Удаление вызов скрипта из crontab (/ var / spool / cron / crontab / root)
- Удаление скриптов каталога поставщика (/ etc / cim / lenovo /)
- Удаление расширений Lenovo ( https://support.lenovo.com/au/en/solutions/ht502599 )
Примечание 1. Удаление только расширений (3.) не решило мою проблему.
Примечание 2: Ваш поставщик может отличаться от моего (Dell, HP), поэтому каталог будет другим, проверьте файл cron.
Основная причина проблемы: Я переместил образ поставщика ( https://my.vmware.com/web/vmware/details?productId=352&downloadGroup=OEM-ESXI55U3A-LENOVO ) в общий образ ESXi 6.5. В процессе расширения и сценарии не очищались с помощью диспетчера обновлений VMware.
