近期,网上曝出了针对vmware 虚拟化平台的勒&索^病*毒,综合包过滤技术与vmware的方案,在不具备升级条件的环境,对vsphere进行加固。
对esxi主机的root密*码进行加固,包括数字、大写字母、小写字母、符号,长度设置为15位;且每台esxi主机的密码都不一样。 这一步,如果可以console到物理服务器前的,可以到物理服务器更改,但需要重新加入vcenter;也可以在vcenter上使用主机配置文件的方法进行更改。先生成每台机器的配置文件,然后编辑配置文件,修改安全配置下的管理员密码,将虚拟机迁移到其他服务器,置为维护模式,接着把配置文件附加,应用。这样,可以免除vcneter与esxi重新连接。
关闭主机的SSH和Esxi shell功能,这个可以在console下面做,也可以在vcneter上设置。在vsphere client上,选中一台主机,选择配置,软件,安全配置文件,服务,将ESXi shell和 SSH服务关闭,并且将启动策略设置为手动启动和停止。
三、 开启vCenter的防火墙,登录到vCenter管理网页,点击主页--系统配置--节点--管理,在这里可以设置允许访问vcenter的IP地址,然后,也可以设置阻止访问vcenter的IP地址。我设置的方法是:允许需要管理vcenter的IP地址,允许Esxi主机的管理IP,允许VDP的IP;将阻止所有的条目放到最后。vCenter的防火墙,只允许对IP进行管控,而不支持对端口进行管控。官方文档地址如下:https://docs.vmware.com/cn/VMware-vSphere/6.5/com.vmware.vsphere.vcsa.doc/GUID-B37E5402-80B4-4846-B561-BF74500C99D8.html
四、 在连接VMware物理机的交换机上做ACL,因为我这边有一台单独的交换机与办公网络连接,所以,我把ACL做在入口方向。当然,也可以做在每个连接管理网络的交换机的接口的出方向。
ACL配置:
拒绝vCenter访问esxi所有主机的TCP22
允许vCenter访问esxi主机
允许源地址为esxi主机所在网段的网关,否则,会报高可用无法正常工作
拒绝VDP到esxi主机的TCP22
允许VDP到ESXI主机
允许网络工程师电脑IP到ESXI主机的TCP22,80,443,902
允许vsphere clinet电脑IP到esxi主机的TCP443,902 (不允许这个,客户端在访问vcenter时,会显示unable to connect the mks: could not connect to pipe \\.\pipe\vmware)
拒绝所有地址到ESXI主机网段的访问
允许其他所有
停止esxi的SLP服务,登录到ESXI主机,官方文档:https://kb.vmware.com/s/article/76372 当然,这一步可以在最先操作,操作完成后,再关闭SSH
/etc/init.d/slpd stop #停止slpd服务
esxcli network firewall ruleset set -r CIMSLP -e 0 #防火墙修改
chkconfig slpd off #禁止开机自启
chkconfig --list | grep slpd #查看开机是否自启
/etc/init.d/slpd status #查看服务状态
第五点是官方的缓解方案,前面几点是我结合原来的访问控制来做的,是否有效,还有待验证。
