vSphere ESXi ハイパーバイザーのブルートフォース保護?

Question 1

あなたが言及している機能は、fail2ban などのアドオンによって実装されることがほとんどです。これは ESXi では利用できないか、すでに組み込まれていません。

ただし、ESXi 6.0 では、ログオンに何度も失敗すると、ルートアカウントがロックアウトされるようになりました。同じではありませんが、何もしないよりは確実にましです。 http://pubs.vmware.com/vsphere-60/index.jsp#com.vmware.vsphere.security.doc/GUID-DC96FFDB-F5F2-43EC-8C73-05ACDAE6BE43.html

いずれにしても、ESXi ホストの管理インターフェイスをインターネットに直接接続することは避けてください。また、SSH アクセスは必要な場合にのみ一時的に有効にしてください。ESXi に組み込まれているファイアウォールを使用することも、アクセスを制限するための別のオプションです。

Answer

あなたが言及している機能は、fail2ban などのアドオンによって実装されることがほとんどです。これは ESXi では利用できないか、すでに組み込まれていません。

ただし、ESXi 6.0 では、ログオンに何度も失敗すると、ルートアカウントがロックアウトされるようになりました。同じではありませんが、何もしないよりは確実にましです。 http://pubs.vmware.com/vsphere-60/index.jsp#com.vmware.vsphere.security.doc/GUID-DC96FFDB-F5F2-43EC-8C73-05ACDAE6BE43.html

いずれにしても、ESXi ホストの管理インターフェイスをインターネットに直接接続することは避けてください。また、SSH アクセスは必要な場合にのみ一時的に有効にしてください。ESXi に組み込まれているファイアウォールを使用することも、アクセスを制限するための別のオプションです。

Question 2

私は @EEAA に同意します。ESXi 管理インターフェイスをインターネットやその他の同様に安全でないネットワークに公開しないでください。

そうは言っても、ESXi には、指定した IP アドレス以外の IP アドレスからのアクセスを制限するように構成できるホストファイアウォールがあります。

Answer

私は @EEAA に同意します。ESXi 管理インターフェイスをインターネットやその他の同様に安全でないネットワークに公開しないでください。

そうは言っても、ESXi には、指定した IP アドレス以外の IP アドレスからのアクセスを制限するように構成できるホストファイアウォールがあります。

Question 3

vSphere には、指定された IP からのアクセスのみを許可するファイアウォールがありますが、fail2bin のように十分ではありません。ログインのテストが失敗しすぎると、すべてのユーザーがロックアウトされ、これはまったく良くありません。通常のユーザーも Web 管理を使用できなくなります。

Answer

vSphere には、指定された IP からのアクセスのみを許可するファイアウォールがありますが、fail2bin のように十分ではありません。ログインのテストが失敗しすぎると、すべてのユーザーがロックアウトされ、これはまったく良くありません。通常のユーザーも Web 管理を使用できなくなります。

関連情報