{"id":2443,"date":"2013-04-19T22:32:59","date_gmt":"2013-04-20T02:32:59","guid":{"rendered":"http:\/\/arielantigua.com\/weblog\/?p=2443"},"modified":"2013-04-19T22:32:59","modified_gmt":"2013-04-20T02:32:59","slug":"controlar-el-acceso-a-ssh-en-vmware-esxi-ovh-dedicate-server","status":"publish","type":"post","link":"https:\/\/arielantigua.com\/weblog\/2013\/04\/controlar-el-acceso-a-ssh-en-vmware-esxi-ovh-dedicate-server\/","title":{"rendered":"<!--:es-->Controlar el acceso a SSH en VMware ESXi \u2013 OVH Dedicate Server.<!--:-->"},"content":{"rendered":"<p><!--:es-->Si como yo, tienes un servidor dedicado en OVH (la versi\u00f3n hospedada en Canad\u00e1) y este a su vez tiene ESXi (5.0 en mi caso) te has dado cuenta que tiene el puerto SSH abierto, no ser\u00eda buena idea simplemente detener el servicio de SSH ya que es muy posible que un d\u00eda lo necesitemos, el problema es que este puerto est\u00e1 en la IP publica y accesible desde todo Internet.<\/p>\n<p>Si la cuenta root no tiene un strong-password (que deber\u00eda) es mejor deshabilitarla y crearnos otra cuenta m\u00e1s personalizada y con los mismos privilegios de root, pero este post es para dejar en historia una forma sencilla de proteger nuestro acceso SSH.<\/p>\n<p>ESXi firewall to the rescue!<\/p>\n<p>Desde la consola (DCUI), si tienes un servidor con KVM. Lamentablemente estos comandos no se pueden realizar estando conectado via SSH ya que al remover allowed-all inmediatamente nos deja sin conexi\u00f3n.<\/p>\n<ol>\n<li>Hacemos un respaldo de los servicios configurados en el firewall:<\/li>\n<\/ol>\n<p><code># cp \/etc\/vmware\/firewall\/service.xml \/etc\/vmware\/firewall\/service.xml.bak<\/code><\/p>\n<ol>\n<li>Listamos los rulesset ya configurados en ESXi:<\/li>\n<\/ol>\n<p><code>esxcli network firewall ruleset list<\/code><\/p>\n<ol>\n<li>Cambiamos el estado actual de allowedall to false<\/li>\n<\/ol>\n<p>esxcli \u00a0network firewall ruleset set &#8211;ruleset-id sshServer &#8211;allowed-all false<\/p>\n<ol>\n<li>Agregamos las redes o IP desde el cual nos estaremos conectando al SSH de ESXi.<\/li>\n<\/ol>\n<p>esxcli \u00a0network firewall ruleset set &#8211;ruleset-id sshServer \u2013ip-address 192.168.0.0\/24<\/p>\n<p>&nbsp;<\/p>\n<ol>\n<li>Revisamos que nuestra lista de redes o IP esta correcta.<\/li>\n<\/ol>\n<p>esxcli network firewall ruleset allowedip list &#8211;ruleset-id sshServer<\/p>\n<p>&nbsp;<\/p>\n<p>Ahora veamos la versi\u00f3n v\u00eda vCenter Client que de hecho es mucho m\u00e1s f\u00e1cil!<\/p>\n<p>Vamos a Configuration -&gt; en Software seleccionamos Security Profile en firewall seleccionamos Properties lo cual nos traer\u00e1 una ventana con los servicios que actualmente est\u00e1n en el ESXi ya est\u00e9n habilitados o no.<\/p>\n<p>Seleccionamos:<\/p>\n<p>SSH Server -&gt; Firewall<\/p>\n<p><a href=\"http:\/\/galeria.arielantigua.com\/index.php\/Ariel-Antigua\/Varios\/firewall_imagen1\"><img loading=\"lazy\" decoding=\"async\" alt=\"\" src=\"http:\/\/galeria.arielantigua.com\/var\/resizes\/Ariel-Antigua\/Varios\/firewall_imagen1.jpg?m=1366424900\" width=\"485\" height=\"512\" \/><\/a><\/p>\n<p>Cambiamos de \u201cAllow conections from any IP address\u201d a \u201cOnly allow connections from the following\u201d networks.<\/p>\n<p><a href=\"http:\/\/galeria.arielantigua.com\/index.php\/Ariel-Antigua\/Varios\/firewall_imagen2\"><img loading=\"lazy\" decoding=\"async\" alt=\"\" src=\"http:\/\/galeria.arielantigua.com\/var\/resizes\/Ariel-Antigua\/Varios\/firewall_imagen2.jpg?m=1366424898\" width=\"497\" height=\"266\" \/><\/a><\/p>\n<p>Y listo, hacemos click en OK unas cuantas veces y ya nuestro ESXi tendra un poco m\u00e1s de protecci\u00f3n contra esos -dirty scanners- de Internet.<\/p>\n<p>Por ultimo tengo que aclarar que para sacar beneficio de esto debemos de contar con una IP fija ya sea en la casa o en el trabajo, de lo contrario terminar\u00edamos sin poder conectarnos a SSH de nuestro ESXi.<\/p>\n<p>fuente: http:\/\/pubs.vmware.com\/vsphere-50\/index.jsp?topic=%2Fcom.vmware.vcli.examples.doc_50%2Fcli_manage_networks.11.11.html<\/p>\n<p>&nbsp;<!--:--><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Si como yo, tienes un servidor dedicado en OVH (la versi\u00f3n hospedada en Canad\u00e1) y este a su vez tiene ESXi (5.0 en mi caso) te has dado cuenta que tiene el puerto SSH abierto, no ser\u00eda buena idea simplemente detener el servicio de SSH ya que es muy posible que un d\u00eda lo necesitemos, [&hellip;]<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[20],"tags":[82,119,68],"class_list":["post-2443","post","type-post","status-publish","format-standard","hentry","category-vmware","tag-esxi5","tag-vmware","tag-vmwarelab"],"_links":{"self":[{"href":"https:\/\/arielantigua.com\/weblog\/wp-json\/wp\/v2\/posts\/2443","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/arielantigua.com\/weblog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/arielantigua.com\/weblog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/arielantigua.com\/weblog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/arielantigua.com\/weblog\/wp-json\/wp\/v2\/comments?post=2443"}],"version-history":[{"count":0,"href":"https:\/\/arielantigua.com\/weblog\/wp-json\/wp\/v2\/posts\/2443\/revisions"}],"wp:attachment":[{"href":"https:\/\/arielantigua.com\/weblog\/wp-json\/wp\/v2\/media?parent=2443"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/arielantigua.com\/weblog\/wp-json\/wp\/v2\/categories?post=2443"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/arielantigua.com\/weblog\/wp-json\/wp\/v2\/tags?post=2443"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}