Eu tenho uma instância do VMWare ESXi, executando a versão 6.0.0. Nossa equipe foi bloqueada para fora do cliente thick ESXi (o aplicativo "cliente vSphere" do Windows) por um período substancial de tempo hoje. Recebemos uma mensagem de erro "nome de usuário ou senha incorretos" ao tentar fazer login. Depois de algumas pesquisas, determinamos que estávamos sendo bloqueados de nosso próprio host ESXi devido ao recurso de bloqueio raiz da v6.0, que bloqueia a conta por um definir a quantidade de tempo (padrão: 2 minutos) após 3 tentativas consecutivas de senha com falha. Parece que o atacante continuou por algumas horas até finalmente desistir. Nesse ponto, conseguimos nos conectar usando a conta root.
Estamos um pouco confusos sobre por que isso pode acontecer. O servidor está hospedado em um data center razoavelmente grande e confiável e é uma instância verdadeiramente dedicada. No entanto, esse recurso quer cobrar taxas excessivas para colocar esse servidor da VM atrás de um firewall de hardware. Por isso, confiamos no firewall interno do ESXi.
Na configuração - > Perfil de segurança - > Seção de Firewall, temos os seguintes serviços (que são definidos por padrão) para ser restrito por IP, para permitir apenas o IP do nosso escritório:
Apesar disso, parece que o invasor ainda consegue, pelo menos, passar e, de alguma forma, acionar um erro de "senha incorreta", porque o log de eventos ESXi do servidor mostra várias linhas como esta:
Remote access for ESXi local user account 'root'
has been locked for 120 seconds after 563 failed
login attempts.
Isso ocorre apesar do fato de que apenas o IP do nosso escritório está autorizado e sabemos que ninguém aqui está iniciando isso.
O que estamos fazendo de errado?
a) Você não deveria estar usando o cliente .net / Windows, ele vai embora completamente com o 6.5, que é iminente e a VMware tem insistido strongmente com os usuários para que se afastem dele por literalmente anos.
b) Não estou certo, todos vocês estão logando diretamente no host, ou seja, sem um vCenter e, em caso afirmativo, você está logando como root?
c) Parece que você não colocou o host no modo de bloqueio restrito - eu desabilitaria o SSH também, como um serviço e no firewall.
Eu li um monte de "Desabilitar SSH" ou "Usuário mal-intencionado tentando usar a força bruta" ... se o seu ESXi não estiver exposto à internet (não confiável), e se o SSH estiver desabilitado, essa provavelmente não será a causa bloqueios.
Todos os hosts do ESXi foram bloqueados regularmente da mesma maneira.
Após a investigação dos logs, parece ter sido causado por um script de fornecedor (Lenovo = IBM):
/etc/cim/lenovo/refresh.sh
Resolvi o problema por:
Observação1: remover apenas extensões (3.) não resolveu meu problema.
Observação2: Seu fornecedor pode ser diferente do meu (Dell, HP), portanto, o diretório seria diferente, verifique o arquivo cron.
A causa principal do problema foi: Mudei de uma imagem de fornecedor ( link ) para uma imagem genérica do ESXi 6.5. No processo, as extensões e os scripts não foram limpos pelo VMware Update Manager.
Tags firewall vmware-esxi