Die Foren-SW läuft ohne erkennbare Probleme. Sollte doch etwas nicht funktionieren, bitte gerne hier jederzeit melden und wir kümmern uns zeitnah darum. Danke!

root ausgesperrt - PW-Reset nötig || neuen Benutzer anlegen

Alles zum Thema vSphere 6, ESXi 6.0 und vCenter Server.

Moderatoren: irix, Dayworker

Member
Beiträge: 155
Registriert: 31.01.2014, 12:08

root ausgesperrt - PW-Reset nötig || neuen Benutzer anlegen

Beitragvon lord_icon » 10.08.2015, 00:53

Seit esxi 6 ist es nun möglich, dass esxi einen Benutzer sperrt, wenn 10 mal das falsche Kennwort eingegeben worden ist. Dann ist dieser Benutzer für 2min gesperrt.

Prinzipell eine tolle Sache... aber wenn man seinen ESXi öffentlich hat, schon eine recht nervige Sache, da irgendwo immer jm. versucht ins System einzudringen. (Besonders wenn ssh aktiv ist)

Damit man dennoch arbeiten kann, gibt es 2 Lösungsansätze.

Ist man noch über SSH verbunden kann man folgende 2 Befehle nutzen:

Code: Alles auswählen

pam_tally2 --user=root --reset

Damit werden die fehlerhaften logins auf 0 gestezt.

Code: Alles auswählen

pam_tally2 --user=root

Damit kann man den Status abfragen, wieviele fehlerhaften Logins bereits erfolgt sind... bzw. ob das reseten erfolg hatte.


Wenn root bereits gespeert worden ist, dann bringt einen das natürlich nicht weiter.
Ich z.B. habe eine Acronis Appliance am start, die sich bei jeden Backup mit ESXi verbindet. Desweiteren ein Script, was sich stündlich per SSH verbindet um die Festplattenwerte abzufragen. Desweiteren ist der Server öffendlich erreichbar.
Logisch, dass da der root permanent unter Beschuß liegt und alle Dienste/Script damit in Mitleidenschaft gezogen werden. Also kein Backup... und keine HDD Werte.

Also am besten für jeden Dienst einen neuen Benutzer anlegen.

Bisher hab ich es nur über den vSphere Client realisiert bekommen. Getestet auf esxi 6

1: vSphere Client mit root starten
2: Reiterkarte "Benutzer" klicken und dort einen neuen Benutzer anlegen.
3: Danach dann auf die Reiterkarte "Berechtigungen" Rechts klick und "Berechtigungen hinzufügen"
Dort dann auf der linken Seite auf "Hinzufügen" klicken und seinen neuen Benutzer raussuchen. Auf "hinzufügen" klicken und dann auf "ok"
Auf der rechten Seite die zugewiesene Rolle auswählen. Dort dann den "Administrator" auswählen.

Mit diesen neuen Benutzer kann man sich nun alternativ anmelden oder ein Scipt/Programm diesen Benutzernamen zuordnen. Eine Sperrung betrifft dann im Fehlerfalle immer nur den jeweils gesperrten Benutzer.

Wenn nun ein 2ter Admin Account vorhanden ist, so ist es möglich, den user "root" die !!!Berechtigungen !!! zu entziehen. Den Benutzer selbst zu entfernen ist nicht möglich.
Der Login mit root ist dann nur noch lokal (also direkt am Blech) möglich. SSH + vSphere + vCenter login sind damit nicht mehr möglich.



Der vollständigkeithalber noch die SSH Befehle. Wobei ich hier noch nicht die Anmeldung (Berechtigungen) für vSphere hinbekommen habe.

Code: Alles auswählen

esxcli system account add --id Benutzername --description "Beschreibung" --password="gY}#M-=!mNUk%T(/W#]t" --password-confirmation="gY}#M-=!mNUk%T(/W#]t"

Damit ist ein neuer User schon mal angelegt. Dieser erscheint auch im vSphere.
Nur damit kann man sich noch nicht am vSphere anmelden.

FRÜHER wurden die Berechtigungen über die /etc/group gesetzt.
vi /etc/group

Code: Alles auswählen

root:x:0:root               <= alt
root:x:0:root,test        <= neu


Dies bringt jetzt aber nichts mehr. Wenn jm. weiß wie man einen User mit root-Privilegien auf ssh Befehlsebene versieht, möge sich hier melden. Gern werde ich dieses HowTo dann vervollständigen

Zurück zu „vSphere 6.0“

Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 1 Gast