Security

ESXi 託管在沒有防火牆的公共 IP 上

  • June 27, 2018

所以我有一個有趣的問題。

我目前從 Hetzner(德國託管服務提供商)租用了幾台伺服器。每台伺服器都有一個軟防火牆,並做一些類似網路託管/數據庫的事情。

我想租一個更強大的伺服器並在其上設置一個像 ESXi 這樣的管理程序,其中一個 vSwitch 連接到物理 NIC 和一個 pfSense VM,另一個 vSwitch 從 pfSense VM 到其他 VM。不幸的是,Hetzner 似乎沒有在公共介面和您的伺服器之間提供硬體防火牆(將軟防火牆作為唯一選項)。

像這樣在公共場合執行 ESXi (v5.5) 有什麼安全隱患?快速研究在 spiceworks 上提出了這個執行緒,總結為禁用 SSH/控制台(telnet?)訪問並設置正確的 SSL 證書和非常複雜的不可猜測的使用者名/密碼對。具有明顯的單入攻擊點含義。

您可以限制允許通過 ESXi 防火牆的 IP 地址。

http://pubs.vmware.com/vsphere-50/index.jsp?topic=%2Fcom.vmware.vcli.examples.doc_50%2Fcli_manage_networks.11.11.html

這就是你真正需要硬化它的全部。將您的管理鎖定到特定的 IP 地址是非常安全的。自然也遵循其他最佳實踐密碼等。

只需確保完全查看防火牆並將所有內容鎖定到您的管理 IP。

非靜態 IP 替代方案

鎖定所有埠到 127.0.0.1,如上所述,除了SSH。 將 SSH 鎖定為僅使用私鑰/公鑰身份驗證並禁用 ChallengeResponseAuthentication 和 PasswordAuthentication。這是非常安全的。

使用您最喜歡的 SSH 客戶端通過命令行連接到伺服器,例如:

ssh my.vmhost.rackhoster -L80:localhost:80 -L443:localhost:443 -L903:localhost:903

然後讓 SSH 會話保持執行並將瀏覽器指向https://localhost/它,它會自動將埠 443 轉發到 ESXi 主機。如果您已經在本地電腦上使用埠 443,請更改埠(即 -L8443:localhost:443 代替 -> https://localhost:8443/)。埠 80 相同。埠 903 用於控制台。

如果您曾經失去過您的私鑰,那麼您將被這種方式搞砸了,所以請備份它!:-)

為了獲得超安全性,請確保您的私鑰使用良好的密碼進行加密。 別忘了!

引用自:https://serverfault.com/questions/609747