como proteger um host esxi vmware em um servidor raiz?

Question

como proteger um host esxi vmware em um servidor raiz?

#1 resposta do (2 votos)

3

para mim, uma máquina vmware normalmente tem 2 interfaces lan, uma conectada com o lan ou o computador de gerenciamento e a segunda conectada com a interface wan para acesso público.

Assim, a segurança é garantida por ter um firewall em frente à "placa de rede pública" do VMware e somente possibilitando o acesso à interface de gerenciamento pela "placa de rede privada".

mas como garantir a segurança, se eu instalar o vmware esxi 5.0 no servidor raiz dedicado normal com vários ips públicos, sem um firewall na frente do servidor, sem nenhum roteamento (para mim acessível) antes do servidor, sem rede múltipla interfaces?

Eu encontrei o artigo sobre o firewall: link

mas em qual ip a porta está aberta? está ligado a todos os ips públicos? posso ligar a interface de gerenciamento para um ip específico? como ligar um ip à interface de gerenciamento e o resto a uma ou mais máquinas virtuais?

Eu pensei em fazer um vlan dentro do esxi e deixar construir um vpn sobre um vm de roteamento, e fazer o console de gerenciamento acessível apenas com um ip da vpn, mas eu gosto um pouco depois de como me trancar.

alguma sugestão?

edite: servidor raiz como: server4you.com/root-server um único servidor onde vmware está instalado, "diretamente" conectado à internet - > diretamente atacável, não em uma lan bem protegida

edit2: Tenha em mente que as pessoas que não têm inglês como primeira língua, talvez definam coisas como "servidor raiz" diferente de você. por favor, comente sobre a questão e escreva algo sobre como tornar a questão mais clara para você.

talvez essa frase seja melhor: como fazer um servidor vmware esxi 5.0 seguro, que tem apenas uma placa de rede e está diretamente conectado à internet?

não tenho experiência em proteger o esxi conectado assim à net, se eu executar uma virtualização como kvm ou vserver é bastante fácil, apenas proteger o servidor host com um firewall iptables e também lidar com o roteamento lá.

Eu não encontrei uma boa informação sobre o meu problema googleing para ele, é um problema muito especial, as empresas como a virtualização tem todo um cluster de servidores vmware e muitas vezes não apenas um firewall na frente deles.

para que eles simples não tenham que proteger um único host vmware esxi sem um firewall extra e apenas uma única interface de rede. outros talvez não virtualizem ou não se importem com segurança.

então eu pergunto aos downvoters, essa pergunta é tão ruim?

security firewall routing vmware-esxi

por c33s 10.09.2011 / 03:14

1 resposta

Tags security firewall routing vmware-esxi

Sincronização de arquivos de várias fontes para uma cópia principal com base no tempo de modificação como limitar o tamanho da memória que um processo pode consumir no linux

score 2 · Accepted Answer

Então c33s, eu tenho uma resposta para você depois de pesquisar este tópico eu mesmo: -)

vou indicar 4 passos para o ESXi 4 (deve funcionar em 5 também). no ESXi 5 VMware incluiu um filtro de pacotes (você deve encontrar muitos sobre este tópico no google).

vamos começar: primeiro você precisa de acesso SSH ao seu ESXi. aqui estão os 4 passos para melhorar um pouco a situação em um servidor raiz:

1) remova a tela de boas-vindas do ESXi: uma solicitação para o link mostra uma página informando como começar a usar o ESXi. Ninguém precisa agora disso, exceto você. Então leia e depois disso renomeie o arquivo:

mv /usr/lib/vmware/hostd/docroot/index.html /usr/lib/vmware/hostd/docroot/index.html.bak

2) permitir somente o login auth_key no ssh gere um auth_key de SSH para sua máquina de administração (eu chamo-o "SEU-SSH-RSA" mais adiante em texto). verifique sua configuração executando este código no seu ESXi

mkdir /.ssh
chmod 0600 -R /.ssh
echo "YOUR-SSH-RSA" >> /.ssh/authorized_keys

Verifique se o login está funcionando. Se assim for, você pode colocar essas linhas em rc.local usando

vi /etc/rc.local

Isso é necessário porque o ESXi se esquece disso depois de uma reinicialização. Para desativar o login da senha, faça o seguinte:

vi /etc/inetd.conf

Adicione o parâmetro -s às seguintes linhas:

ssh stream tcp nowait root /sbin/dropbearmulti dropbear ++min=0,swap,group=shell -i -K60
ssh stream tcp6 nowait root /sbin/dropbearmulti dropbear ++min=0,swap,group=shell -i -K60

Deve ser assim depois:

ssh stream tcp nowait root /sbin/dropbearmulti dropbear ++min=0,swap,group=shell -s -i -K60
ssh stream tcp6 nowait root /sbin/dropbearmulti dropbear ++min=0,swap,group=shell -s -i -K60

reinicializar (ou pelo menos reiniciar o inetd) é necessário para entrar em vigor.

3) Alterar a porta padrão do SSH

vi /etc/services

pesquise

ssh             22/tcp                         # SSH Remote Login Protocol
ssh             22/udp                         # SSH Remote Login Protocol

mude a porta 22 para o que você quiser. procure conflitos com outras portas!

reinicializar (ou pelo menos reiniciar o inetd) é necessário para entrar em vigor.

4) Alterar o roteamento Como o ESXi 4 não possui filtro de pacotes, precisamos mudar o roteamento para que ele não saiba como falar com todos. isso é um pouco perigoso, porque o roteamento errado pode levar a um ESXi-Management apenas acessível a partir do console local! Você precisa de um IP estático ou uma rede conhecida da qual deseja administrar seu ESXi. Adicionamos uma rota a isso e excluímos a rota padrão depois.

esxcfg-route -a x.x.x.x/sub y.y.y.y

onde "x.x.x.x" é sua rede ou ip. "sub" a máscara de sub-rede. e "y.y.y.y" seu gateway.

por exemplo, temos um ESXi com gateway padrão 12.34.56.78 e queremos adicionar apenas um único ip 98.76.54.21 o comando é

esxcfg-route -a 98.76.54.21/32 12.34.56.78

verifique se sua rota está configurada corretamente:

esxcfg-route -l

se sim, exclua sua rota padrão

esxcfg-route -d default y.y.y.y

Quando tudo foi feito corretamente, você ainda deve alcançar seu ESXi. Caso contrário, você precisa fazer o login local e mudar tudo de volta.