防火墙 – 如何保护ESXi免受root帐户锁定

前端之家收集整理的这篇文章主要介绍了防火墙 – 如何保护ESXi免受root帐户锁定前端之家小编觉得挺不错的,现在分享给大家,也给大家做个参考。
我有一个VMWare ESXi实例,运行版本6.0.0.我们的员工今天在大量时间内被锁定在ESXi胖客户端(“vSphere Client” Windows应用程序)之外.尝试登录时,我们收到了“错误用户名或密码”错误消息.经过一些研究,我们确定我们被锁定在自己的ESXi主机之外,因为v6.0的root锁定功能会锁定帐户连续3次密码尝试失败后,设置时间(默认值:2分钟).似乎攻击者持续了几个小时,直到最后放松.那时我们可以使用root帐户登录.

我们对为什么会发生这种情况感到有些困惑.服务器托管在一个相当大且信誉良好的数据中心,是一个真正的专用实例.然而,该设施希望收取相当高的费率以将此VM服务器置于硬件防火墙之后.所以我们一直依赖ESXi的内置防火墙.

在配置 – >安全配置文件 – >防火墙部分,我们有以下服务(默认定义)是IP限制的,只允许我们的办公室IP:

> SSH服务器
> vSphere Web Access
> vSphere Web Client
> vsanvp
> vMotion

尽管如此,似乎攻击者仍然能够至少通过并以某种方式触发“错误的密码”错误,因为服务器的ESXi事件日志显示了许多这样的行:

ESXi本地用户帐户“root”的远程访问
在563失败后被锁定了120秒
登录尝试.

尽管事实上只有我们的办公室IP被授权,但我们知道这里没有人启动这个.

我们做错了什么?

解决方法

a)你不应该使用.net / Windows客户端,它完全消失了6.5即将来临,VMware一直强烈要求用户逐渐远离它.

b)我不清楚,您是否都直接登录主机,即没有vCenter,如果是,您是否以root身份登录

c)看来你没有把主机置于严格的锁定模式 – 我也禁用了SSH,作为服务和防火墙.

猜你在找的Linux相关文章