Controlar el acceso a SSH en VMware ESXi – OVH Dedicate Server.

Si como yo, tienes un servidor dedicado en OVH (la versión hospedada en Canadá) y este a su vez tiene ESXi (5.0 en mi caso) te has dado cuenta que tiene el puerto SSH abierto, no sería buena idea simplemente detener el servicio de SSH ya que es muy posible que un día lo necesitemos, el problema es que este puerto está en la IP publica y accesible desde todo Internet.

Si la cuenta root no tiene un strong-password (que debería) es mejor deshabilitarla y crearnos otra cuenta más personalizada y con los mismos privilegios de root, pero este post es para dejar en historia una forma sencilla de proteger nuestro acceso SSH.

ESXi firewall to the rescue!

Desde la consola (DCUI), si tienes un servidor con KVM. Lamentablemente estos comandos no se pueden realizar estando conectado via SSH ya que al remover allowed-all inmediatamente nos deja sin conexión.

  1. Hacemos un respaldo de los servicios configurados en el firewall:

# cp /etc/vmware/firewall/service.xml /etc/vmware/firewall/service.xml.bak

  1. Listamos los rulesset ya configurados en ESXi:

esxcli network firewall ruleset list

  1. Cambiamos el estado actual de allowedall to false

esxcli  network firewall ruleset set –ruleset-id sshServer –allowed-all false

  1. Agregamos las redes o IP desde el cual nos estaremos conectando al SSH de ESXi.

esxcli  network firewall ruleset set –ruleset-id sshServer –ip-address 192.168.0.0/24

 

  1. Revisamos que nuestra lista de redes o IP esta correcta.

esxcli network firewall ruleset allowedip list –ruleset-id sshServer

 

Ahora veamos la versión vía vCenter Client que de hecho es mucho más fácil!

Vamos a Configuration -> en Software seleccionamos Security Profile en firewall seleccionamos Properties lo cual nos traerá una ventana con los servicios que actualmente están en el ESXi ya estén habilitados o no.

Seleccionamos:

SSH Server -> Firewall

Cambiamos de “Allow conections from any IP address” a “Only allow connections from the following” networks.

Y listo, hacemos click en OK unas cuantas veces y ya nuestro ESXi tendra un poco más de protección contra esos -dirty scanners- de Internet.

Por ultimo tengo que aclarar que para sacar beneficio de esto debemos de contar con una IP fija ya sea en la casa o en el trabajo, de lo contrario terminaríamos sin poder conectarnos a SSH de nuestro ESXi.

fuente: http://pubs.vmware.com/vsphere-50/index.jsp?topic=%2Fcom.vmware.vcli.examples.doc_50%2Fcli_manage_networks.11.11.html

 

#vBrownBag LATAM Wants you!

Hace aproximadamente 2 meses se lanzó la iniciativa de vBrownBag LATAM y se realizaron 3 presentaciones de las cuales una fue sobre AutoLab (hecha por mi).

Lamentablemente no se ha podido llevar el ritmo y seguir con presentaciones o seleccionar un tema, por esto no se han podido realizar otros vBrownbag en LATAM. Estamos tratando de reorganizar el tema y atraer a profesionales de Virtualización al capítulo LATAM de vBrownBag.

#vBrownBag Playlist en YouTube.

Hace varios días leí en el blog de Alastair que Nick Marshall ha generado una lista en Youtube de manera que ordena topics para las certificaciones de VCP5 VCAP5(DCA & DCD), estos son los mismo videos que están disponibles vía iTunes pero en la lista de Youtube están recopilados y hacen sentido utilizarlos como material de estudio.

http://www.youtube.com/user/vBrownBag/videos?view=1&flow=grid

#vBrownBagLATAM – AutoLab

Ayer jueves 24 de Enero me toco presentar AutoLab ( http://labguides.com/autolab/ ) en el vBrownBagLATAM, si aun no conoces vBrownBag te recomiendo darle un vistazo al sitio web de esta comunidad – http://professionalvmware.com

UPDATE:

Ya esta disponible el video..

Ayer jueves 24 de Enero me toco presentar AutoLab ( http://labguides.com/autolab/ ) en el vBrownBagLATAM, si aun no conoces vBrownBag te recomiendo darle un vistazo al sitio web de esta comunidad – http://professionalvmware.com

Próximamente el video de la presentación estará disponible y podre postearlo aquí!