我有一个VMWare ESXi实例,运行版本6.0.0.我们的员工今天在大量时间内被锁定在ESXi胖客户端(“vSphere Client”
Windows应用程序)之外.尝试登录时,我们收到了“错误的用户名或密码”错误消息.经过一些研究,我们确定我们被锁定在自己的ESXi主机之外,因为v6.0的root锁定功能会锁定帐户连续3次密码尝试失败后,设置时间(默认值:2分钟).似乎攻击者持续了几个小时,直到最后放松.那时我们可以使用root帐户登录.
我们对为什么会发生这种情况感到有些困惑.服务器托管在一个相当大且信誉良好的数据中心,是一个真正的专用实例.然而,该设施希望收取相当高的费率以将此VM服务器置于硬件防火墙之后.所以我们一直依赖ESXi的内置防火墙.
在配置 – >安全配置文件 – >防火墙部分,我们有以下服务(默认定义)是IP限制的,只允许我们的办公室IP:
> SSH服务器
> vSphere Web Access
> vSphere Web Client
> vsanvp
> vMotion
尽管如此,似乎攻击者仍然能够至少通过并以某种方式触发“错误的密码”错误,因为服务器的ESXi事件日志显示了许多这样的行:
ESXi本地用户帐户“root”的远程访问
在563失败后被锁定了120秒
登录尝试.
尽管事实上只有我们的办公室IP被授权,但我们知道这里没有人启动这个.
我们做错了什么?
解决方法
a)你不应该使用.net / Windows客户端,它完全消失了6.5即将来临,VMware一直强烈要求用户逐渐远离它.
b)我不清楚,您是否都直接登录主机,即没有vCenter,如果是,您是否以root身份登录?
c)看来你没有把主机置于严格的锁定模式 – 我也禁用了SSH,作为服务和防火墙.
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。