Hallo,
ich bin neu im ESXi-Umfeld und werde demnächst einen Server ins RZ stellen, auf dem er ESXi 3.5 läuft.
Angedacht ist neben einem mehr oder weniger Produktiven Einsatz von virtualisierten Web-, mail und FTP-Server auch ein "Testnetz".
Meine Fragen zielen nun darauf ab, was man sinnvollerweise am ESXi einrichten sollte. Der Server wird sobald er im RZ steht auch direkten Zugriff auf das Internet haben.
Mein Server besitzt zwei NICs - diese habe ich bereits dem Management-Network als Failover-Lösung zugewiesen. Den Lockdown-Mode habe ich ebenfalls aktiviert, sodass ich nur mit einem von mir erstellten Benutzer ran komme. Kann/muss ich ggf. bereits existierende Nutzer deaktivieren oder irgendwelche Restriktionen einrichten? Nicht, dass es einen Demo-Benutzer o.ä. per default gibt, über den dann jeder auf meinen Server kommt...
Gibt es allgemein irgendwelche Ratschläge, die die Sicherheit des ESXi betreffen, die ich unbedingt befolgen sollte?
Die Foren-SW läuft ohne erkennbare Probleme. Sollte doch etwas nicht funktionieren, bitte gerne hier jederzeit melden und wir kümmern uns zeitnah darum. Danke!
ESXi "Semi-Produktivschaltung" - Nötige/Sinnvolle
-
Neo van matix
- Member
- Beiträge: 15
- Registriert: 16.01.2009, 13:47
-
Neo van matix
- Member
- Beiträge: 15
- Registriert: 16.01.2009, 13:47
Klare Antwort: Nein 
Keine FW - dirkte, öffentliche IP. Ungefiltert. Sozusagen, das "pure Internet". Mit allem Pr0n, und allen bösen Menschen
Okay, gut, Punkt 1) Management-Website deaktivieren. Eine einfache htaccess dürfte wohl genügen - bzw. die Startseite löschen/leeren/verändern. Oder... ich kann doch auch einfach den http-Dienst aus der /etc/inetd.conf entfernen - oder?
Kann man vllt. den Port, über den der Infrastructure-Client auf den Server zugreift, ändern?
Keine FW - dirkte, öffentliche IP. Ungefiltert. Sozusagen, das "pure Internet". Mit allem Pr0n, und allen bösen Menschen
Okay, gut, Punkt 1) Management-Website deaktivieren. Eine einfache htaccess dürfte wohl genügen - bzw. die Startseite löschen/leeren/verändern. Oder... ich kann doch auch einfach den http-Dienst aus der /etc/inetd.conf entfernen - oder?
Kann man vllt. den Port, über den der Infrastructure-Client auf den Server zugreift, ändern?
Da das ganze kein Apache ist dürfte eine htaccess schonmal wegfallen.
In der inetd.conf konnte ich auch nichts passendes finden. Ich könnte mir vorstellen das durch das deaktivieren unvorhersehbares auf dich zukommt.
Ich würde mir überlegen das "VM-Netz" durch eine virtuelle Firewall abzusichern.
An ein Hintertürchen zum Zugriff auf das Managment Netz sollte man dabei vielleicht auch denken.
In der inetd.conf konnte ich auch nichts passendes finden. Ich könnte mir vorstellen das durch das deaktivieren unvorhersehbares auf dich zukommt.
Ich würde mir überlegen das "VM-Netz" durch eine virtuelle Firewall abzusichern.
An ein Hintertürchen zum Zugriff auf das Managment Netz sollte man dabei vielleicht auch denken.
-
Neo van matix
- Member
- Beiträge: 15
- Registriert: 16.01.2009, 13:47
Ahhh ich weiß was du meinst
Ich hab aktuell einen IPCop virtualisiert, der mir meine 3 Netze verwaltet: RED ("Internet", darin ist auch das Management Interface), Green und Orange.
Ich könnte ja das Management-Interface in das Grüne Netz legen. Wenn ich weiß, über welchen Port der Infrastructure-Client arbeitet, könnte ich mir diesen freigeben.
Allerdings... wie realisier ich dann da ein "Hintertürchen" ? Wenn die FW ausfallen würde, würde ich nicht mehr an den Server kommen... zumindest nicht, ohne das Management Interface zurückzusetzen...
Ich hab aktuell einen IPCop virtualisiert, der mir meine 3 Netze verwaltet: RED ("Internet", darin ist auch das Management Interface), Green und Orange.
Ich könnte ja das Management-Interface in das Grüne Netz legen. Wenn ich weiß, über welchen Port der Infrastructure-Client arbeitet, könnte ich mir diesen freigeben.
Allerdings... wie realisier ich dann da ein "Hintertürchen" ? Wenn die FW ausfallen würde, würde ich nicht mehr an den Server kommen... zumindest nicht, ohne das Management Interface zurückzusetzen...
Was mich bei diesem Thema noch Interessiert ist, wie berechtige ich einen weiteren User sich über VI am ESXi anzumelden?
Habe bereits einen User angelegt und diesen zur Gruppe "root" und "localadmin" hinzugefügt, dennoch bekomme ich die Fehlermeldung vom VI-Client, dass ich keine Berechtigung zum Login habe.
Habe bereits einen User angelegt und diesen zur Gruppe "root" und "localadmin" hinzugefügt, dennoch bekomme ich die Fehlermeldung vom VI-Client, dass ich keine Berechtigung zum Login habe.
RogerG781 hat geschrieben:Was mich bei diesem Thema noch Interessiert ist, wie berechtige ich einen weiteren User sich über VI am ESXi anzumelden?
Habe bereits einen User angelegt und diesen zur Gruppe "root" und "localadmin" hinzugefügt, dennoch bekomme ich die Fehlermeldung vom VI-Client, dass ich keine Berechtigung zum Login habe.
Du hast vermutlich vergessen dem Benutzer eine Rolle zuzuweisen.
1. Im "Inventory" Bereich einen User anlegen unter "Users & Groups"
2. User an passende Gruppe legen (Users als Gruppe sollte schon vorhanden sein)
3. Unter "Administration" eine neue Rolle hinzufügen wo die die Rechte definierst.
4. Wieder im "Inventory" Bereich unter Permissions einen neuen Eintrag anlegen wo du deine Rolle mit einem Benutzer oder eine Gruppe verknüpfst.
Ich könnte ja das Management-Interface in das Grüne Netz legen. Wenn ich weiß, über welchen Port der Infrastructure-Client arbeitet, könnte ich mir diesen freigeben.
Port 443, 902 und 903 (TCP)
Wer ist online?
Mitglieder in diesem Forum: 0 Mitglieder und 2 Gäste