VMware-Forum

Hallo,

ich bin neu im ESXi-Umfeld und werde demnächst einen Server ins RZ stellen, auf dem er ESXi 3.5 läuft.

Angedacht ist neben einem mehr oder weniger Produktiven Einsatz von virtualisierten Web-, mail und FTP-Server auch ein "Testnetz".

Meine Fragen zielen nun darauf ab, was man sinnvollerweise am ESXi einrichten sollte. Der Server wird sobald er im RZ steht auch direkten Zugriff auf das Internet haben.

Mein Server besitzt zwei NICs - diese habe ich bereits dem Management-Network als Failover-Lösung zugewiesen. Den Lockdown-Mode habe ich ebenfalls aktiviert, sodass ich nur mit einem von mir erstellten Benutzer ran komme. Kann/muss ich ggf. bereits existierende Nutzer deaktivieren oder irgendwelche Restriktionen einrichten? Nicht, dass es einen Demo-Benutzer o.ä. per default gibt, über den dann jeder auf meinen Server kommt...

Gibt es allgemein irgendwelche Ratschläge, die die Sicherheit des ESXi betreffen, die ich unbedingt befolgen sollte?

Frage ist: Wie schützt du den ESXi vor dem bösen Internet?

Stellt dir das RZ eine Firewall hinter die du dich hängen kannst?
Auf dem Port 80 vom Managment Netz wird dir ja eine Webseite vom ESXi angezeigt. Die würde ich nicht unbedingt frei ins Internet stellen

Klare Antwort: Nein
Keine FW - dirkte, öffentliche IP. Ungefiltert. Sozusagen, das "pure Internet". Mit allem Pr0n, und allen bösen Menschen

Okay, gut, Punkt 1) Management-Website deaktivieren. Eine einfache htaccess dürfte wohl genügen - bzw. die Startseite löschen/leeren/verändern. Oder... ich kann doch auch einfach den http-Dienst aus der /etc/inetd.conf entfernen - oder?

Kann man vllt. den Port, über den der Infrastructure-Client auf den Server zugreift, ändern?

Da das ganze kein Apache ist dürfte eine htaccess schonmal wegfallen.
In der inetd.conf konnte ich auch nichts passendes finden. Ich könnte mir vorstellen das durch das deaktivieren unvorhersehbares auf dich zukommt.

Ich würde mir überlegen das "VM-Netz" durch eine virtuelle Firewall abzusichern.
An ein Hintertürchen zum Zugriff auf das Managment Netz sollte man dabei vielleicht auch denken.

Ahhh ich weiß was du meinst

Ich hab aktuell einen IPCop virtualisiert, der mir meine 3 Netze verwaltet: RED ("Internet", darin ist auch das Management Interface), Green und Orange.

Ich könnte ja das Management-Interface in das Grüne Netz legen. Wenn ich weiß, über welchen Port der Infrastructure-Client arbeitet, könnte ich mir diesen freigeben.

Allerdings... wie realisier ich dann da ein "Hintertürchen" ? Wenn die FW ausfallen würde, würde ich nicht mehr an den Server kommen... zumindest nicht, ohne das Management Interface zurückzusetzen...

Was mich bei diesem Thema noch Interessiert ist, wie berechtige ich einen weiteren User sich über VI am ESXi anzumelden?
Habe bereits einen User angelegt und diesen zur Gruppe "root" und "localadmin" hinzugefügt, dennoch bekomme ich die Fehlermeldung vom VI-Client, dass ich keine Berechtigung zum Login habe.

wir wäre es eine nic wie beschrieben über ne virtuelle firewall zu konfigurieren und die zweite nic direkt fürs böse inet zu konfigurieren und diese vom provider? nicht stecken zu lassen? im zweifel und wenn nichts mehr geht muß der halt einmal umstecken

RogerG781 hat geschrieben:Was mich bei diesem Thema noch Interessiert ist, wie berechtige ich einen weiteren User sich über VI am ESXi anzumelden?
Habe bereits einen User angelegt und diesen zur Gruppe "root" und "localadmin" hinzugefügt, dennoch bekomme ich die Fehlermeldung vom VI-Client, dass ich keine Berechtigung zum Login habe.

Du hast vermutlich vergessen dem Benutzer eine Rolle zuzuweisen.

1. Im "Inventory" Bereich einen User anlegen unter "Users & Groups"
2. User an passende Gruppe legen (Users als Gruppe sollte schon vorhanden sein)
3. Unter "Administration" eine neue Rolle hinzufügen wo die die Rechte definierst.
4. Wieder im "Inventory" Bereich unter Permissions einen neuen Eintrag anlegen wo du deine Rolle mit einem Benutzer oder eine Gruppe verknüpfst.

Ich könnte ja das Management-Interface in das Grüne Netz legen. Wenn ich weiß, über welchen Port der Infrastructure-Client arbeitet, könnte ich mir diesen freigeben.

Port 443, 902 und 903 (TCP)