Si como yo, tienes un servidor dedicado en OVH (la versión hospedada en Canadá) y este a su vez tiene ESXi (5.0 en mi caso) te has dado cuenta que tiene el puerto SSH abierto, no sería buena idea simplemente detener el servicio de SSH ya que es muy posible que un día lo necesitemos, el problema es que este puerto está en la IP publica y accesible desde todo Internet.
Si la cuenta root no tiene un strong-password (que debería) es mejor deshabilitarla y crearnos otra cuenta más personalizada y con los mismos privilegios de root, pero este post es para dejar en historia una forma sencilla de proteger nuestro acceso SSH.
ESXi firewall to the rescue!
Desde la consola (DCUI), si tienes un servidor con KVM. Lamentablemente estos comandos no se pueden realizar estando conectado via SSH ya que al remover allowed-all inmediatamente nos deja sin conexión.
- Hacemos un respaldo de los servicios configurados en el firewall:
# cp /etc/vmware/firewall/service.xml /etc/vmware/firewall/service.xml.bak
- Listamos los rulesset ya configurados en ESXi:
esxcli network firewall ruleset list
- Cambiamos el estado actual de allowedall to false
esxcli network firewall ruleset set –ruleset-id sshServer –allowed-all false
- Agregamos las redes o IP desde el cual nos estaremos conectando al SSH de ESXi.
esxcli network firewall ruleset set –ruleset-id sshServer –ip-address 192.168.0.0/24
- Revisamos que nuestra lista de redes o IP esta correcta.
esxcli network firewall ruleset allowedip list –ruleset-id sshServer
Ahora veamos la versión vía vCenter Client que de hecho es mucho más fácil!
Vamos a Configuration -> en Software seleccionamos Security Profile en firewall seleccionamos Properties lo cual nos traerá una ventana con los servicios que actualmente están en el ESXi ya estén habilitados o no.
Seleccionamos:
SSH Server -> Firewall
Cambiamos de “Allow conections from any IP address” a “Only allow connections from the following” networks.
Y listo, hacemos click en OK unas cuantas veces y ya nuestro ESXi tendra un poco más de protección contra esos -dirty scanners- de Internet.
Por ultimo tengo que aclarar que para sacar beneficio de esto debemos de contar con una IP fija ya sea en la casa o en el trabajo, de lo contrario terminaríamos sin poder conectarnos a SSH de nuestro ESXi.
fuente: http://pubs.vmware.com/vsphere-50/index.jsp?topic=%2Fcom.vmware.vcli.examples.doc_50%2Fcli_manage_networks.11.11.html