tes*_*rod 7 security hosting firewall vmware-esxi
所以我遇到了一个有趣的问题。
我目前从 Hetzner(一家德国托管服务提供商)租用了几台服务器。每个服务器都有一个软防火墙,并执行诸如网络托管/数据库之类的功能。
我想租一个更强大的服务器并在其上设置一个像 ESXi 这样的虚拟机管理程序,其中一个 vSwitch 连接到物理网卡和一个 pfSense VM,以及另一个从 pfSense VM 到其他 VM 的 vSwitch。不幸的是,Hetzner 似乎没有在公共接口和您的服务器之间提供硬件防火墙(将软防火墙作为唯一的选择)。
像这样公开运行 ESXi (v5.5) 有什么安全隐患?快速研究建议spiceworks上的这个线程将其总结为禁用 SSH/控制台(telnet?)访问并设置正确的 SSL 证书和非常复杂的无法猜测的用户名/密码对。具有明显的单进攻击点含义。
您可以限制允许通过 ESXi 防火墙的 IP 地址。
这就是你需要强化它的全部内容。将您的管理锁定到特定的 IP 地址是非常安全的。自然也遵循其他最佳实践,如密码等。
只需确保完全查看防火墙并将所有内容锁定到您的管理 IP。
除SSH外,将所有端口锁定到 127.0.0.1,如上所述。 将 SSH 锁定为仅私钥/公钥身份验证并禁用 ChallengeResponseAuthentication 和 PasswordAuthentication。这是非常安全的。
使用您喜欢的 SSH 客户端通过命令行连接到服务器,例如:
ssh my.vmhost.rackhoster -L80:localhost:80 -L443:localhost:443 -L903:localhost:903
然后保持 SSH 会话运行并将浏览器指向https://localhost/,它会自动将端口 443 转发到 ESXi 主机。如果您已经在本地机器上使用端口 443(即 -L8443:localhost:443 代替 -> https://localhost:8443/),请更改端口。端口 80 相同。端口 903 用于控制台。
如果您丢失了您的私钥,那么您就很糟糕,所以请备份它!:-)
为确保超级安全,请确保您的私钥使用良好的密码进行加密。 不要忘记它!