как защитить VMware esxi, размещают на корневом сервере?
Если это - веб-сайт, который генерирует доход (или для бизнеса с поступившим) Вы могли попытаться поместить нагрузку в сайт, который уже глобально расположен и избыточен, как облако Amazon. Они могут вращать новые виртуальные серверы для обработки большего количества загрузки при необходимости.
Итак, c33s, у меня есть ответ, после того как я сам изучил эту тему: -)
Я назову 4 шага для ESXi 4 (должен работать и на 5). на ESXi 5 VMware включила фильтр пакетов (вы найдете много по этой теме в Google).
давайте начнем: сначала вам нужен SSH-доступ к вашему ESXi. вот 4 шага, чтобы немного улучшить ситуацию на корневом сервере:
1) удалить экран приветствия ESXi: запрос к https: // your-esxi / показывает страницу, рассказывающую вам, как начать работу с ESXi. Теперь это никому не нужно, кроме вас. Прочтите его и переименуйте файл:
mv /usr/lib/vmware/hostd/docroot/index.html /usr/lib/vmware/hostd/docroot/index.html.bak
2) разрешить вход только auth_key на ssh сгенерируйте SSH auth_key для вашей административной машины (далее в тексте я называю его «YOUR-SSH-RSA»). проверьте свою настройку, запустив этот код на вашем ESXi
mkdir /.ssh
chmod 0600 -R /.ssh
echo "YOUR-SSH-RSA" >> /.ssh/authorized_keys
. Проверьте, работает ли вход в систему. Если это так, вы можете поместить эти строки в rc.local, используя
vi /etc/rc.local
. Это необходимо, потому что ESXi забывает об этом после перезагрузки. Чтобы отключить вход по паролю, сделайте следующее:
vi /etc/inetd.conf
Добавьте параметр -s в следующие строки:
ssh stream tcp nowait root /sbin/dropbearmulti dropbear ++min=0,swap,group=shell -i -K60
ssh stream tcp6 nowait root /sbin/dropbearmulti dropbear ++min=0,swap,group=shell -i -K60
После этого должно выглядеть так:
ssh stream tcp nowait root /sbin/dropbearmulti dropbear ++min=0,swap,group=shell -s -i -K60
ssh stream tcp6 nowait root /sbin/dropbearmulti dropbear ++min=0,swap,group=shell -s -i -K60
перезагрузка (или, по крайней мере, перезапуск inetd) вступила в силу.
3) Изменить Порт по умолчанию SSH
vi /etc/services
поиск
ssh 22/tcp # SSH Remote Login Protocol
ssh 22/udp # SSH Remote Login Protocol
измените порт 22 на любой другой. остерегайтесь конфликтов с другими портами!
требуется перезагрузка (или, по крайней мере, перезапуск inetd).
4) Изменить маршрутизацию Поскольку ESXi 4 не имеет фильтра пакетов, нам нужно изменить маршрутизацию, чтобы он не знал, как разговаривать со всеми. это немного опасно, потому что неправильная маршрутизация может привести к тому, что ESXi-Management будет доступен только с локальной консоли! Вам нужен статический IP-адрес или известная сеть, из которой вы хотите управлять своим ESXi. Мы добавляем к нему маршрут и впоследствии удаляем маршрут по умолчанию.
esxcfg-route -a x.x.x.x/sub y.y.y.y
где «xxxx» - ваша сеть или IP-адрес. "sub" маска подсети. и «yyyy» ваш шлюз.
например, у нас есть ESXi со шлюзом по умолчанию 12.34.56.78 и мы хотим добавить только один IP 98.76.54.21 команда
esxcfg-route -a 98.76.54.21/32 12.34.56.78
проверьте, правильно ли установлен ваш маршрут:
esxcfg-route -l
если да, удалите маршрут по умолчанию
esxcfg-route -d default y.y.y.y
. Когда все будет сделано правильно, вы все равно должны добраться до своего ESXi. Если нет, вам нужно авторизоваться локально и изменить все обратно.