Как улучшить безопасность vCenter Appliance. Настройка vCenter. Часть 3

Описывается как улучшить безопасность vCenter Appliance – изменить имя пользователя администратора и оптимизировать настройки сервера SSH. Третья статья цикла “Настройка vCerver”.

Мы успешно завершили установку VMware vCenter Server Appliance из его шаблона на сервере под управлением гипервизора ESXi (см. “Как установить vCenter сервер“),  настроили ее сетевые параметры (см. “Как настроить сетевой адаптер vCenter Appliance“), настроили и запустили службы vCenter (см. “Как настроить службы vCenter Appliance“). Однако, до того, как начать его использование, надо улучшить безопасность vCenter Appliance.

В только что установленной виртуальной машине имеются две достаточно серьезные проблемы:

  • все знают имя суперпользователя root;
  • пользователь root может устанавливать безопасное соединение по протоколу ssh, пользуясь только паролем,

Таким образом, чтобу кому-нибудь получить доступ к Вашему серверу vCenter, достаточно каким-либо образом получить или отгадать пароль root. Причем, можно это сделать удаленно.

Попробуем устранить эти проблемы.

Добавить пользователя vCenter

Несколько ранее мы решали весьма похожую задачу для гипервизора ESXi (см. “Как добавить пользователя ESXi“).

  1. При помощи клиента sftp (см. “Что такое ssh/sftp и для чего он нужен?“, “Клиент sftp. Краткое описание” для Linux, “PSFTP –  SFTP клиент PuTTY для Windows” и “Клиент SSH для Windows Bitvise Tunnelier” для ОС Windows) устанавливаем безопасное соединение с сервером vCenter:
    sftp root@IP адрес vCenter 
  2. Вводим пароль суперпользователя, который задали во время начальной настройке vCenter Appliance и передаем файл authorized_keys2 на сервер:
    put authorized_keys2
  3. Завершаем безопасное соединение (должно выглядеть как на рис. 1.):
    exit

    безопасность vCenter Appliance. Рис. 1. Передача authorized_keys2 на сервер

    Рис. 1. Передача authorized_keys2 на сервер

  4. Устанавливаем безопасное соединение с сервером vCenter по протоколу ssh (как это сделать см. “Что такое ssh/sftp и для чего он нужен?” для Linux, “Клиент SSH для Windows Bitvise Tunnelier” или “SSH клиент для Windows PuTTY” для Windows):
    ssh  root@IP адрес vCenter
  5. Используя команды Linux (см. “Несколько слов о Linux” и “Команды Linux. Краткое описание“), создаем нового пользователя, скажем, superuser (Вы придумайте что-нибудь свое).
    useradd --home "/home/имя_нового_пользователя" --create-home --shell "/bin/bash" имя_нового_пользователя
  6. Задаем его пароль (о хороших паролях я писал здесь):
    passwd имя_нового_пользователя
  7. Далее повторяем все действия, описаные в статье “Как настроить сервер ssh” – помещаем файл authorized_keys2 в дочернюю папку .ssh домашней папки пользователя, копируем конфигурационный файл сервиса ssh из статьи и заменяем файл на сервере vCenter. При этом надо поменять имя пользователя “admin” в строке “AllowUsers” на имя пользователя, которого только что добавили. Перезапускаем сервис ssh. Должно быть как на на рис. 2.
    безопасность vCenter Appliance. Рис. 2. Добавление пользователя Linux

    Рис. 2. Добавление пользователя Linux

  8. Проверяем сделанное. Попытка установить безопасное соединение с vCenter Appliance для пользователя root теперь вызовет ошибку, а под только что введенным пользователем должна оказаться успешной.
  9. Запускаем vSphere Client и соединяемся с сервером vCenter, как это описано в “Загрузка и установка vSphere Client“. При этом в поле адреса вводим IP адрес vCenter Appliance, который был введен при начальной настройке. Имя пользователя – root, пароль – тот, который Вы присвоили суперпользователю. Пока так.
  10. При установке соединения с сервером, vSphere Client пожалуется на сертификат сервера, которому, по его мнению нельзя доверять (рис.1.). Игнорируем предупреждение. (подробнее см. “Цифровые сертификаты“,  “Как создать службу сертификатов. Подготовка“и “Как создать службу сертификатов. Пошаговая инструкция“).
    безопасность vCenter Appliance. Рис. 1. Недостоверный сертификат vCenter

    Рис. 3. Недостоверный сертификат vCenter

  11. Как только рабочий стол откроется, переходим на вкладку “Permissions” (Права доступа), на которой будет два существующих в настоящий момент пользователя vCenter (рис. 4.)
    безопасность vCenter Appliance. Рис. 4. Пользователи vCenter

    Рис. 4. Пользователи vCenter

  12. Нажимаем правой клавишей мышки на свободном месте сразу под списком пользователей и в всплывающем меню выбираем “Add Permission” (Добавить права доступа) и в новом окне появляется форма добавления прав доступа (рис. 5.)
    безопасность vCenter Appliance. Рис. 5. Добавление прав доступа

    Рис. 5. Добавление прав доступа

  13. Нажимаем мышкой кнопку “Add” (Добавить) и появится новое окно (Рис. 6) в котором мы должны выбрать пользователя, для которого будем задавать права.
    безопасность vCenter Appliance. Рис. 6. Выбор пользователя

    Рис. 6. Выбор пользователя

  14. Выбираем в списке пользователей только что добавленного (в моем случае, это superuser, в Вашем – нечто другое), Нажимаем кнопку “Add” (Добавить) сразу под списком. Нажимаем кнопку “OK” внизу.
  15. Окно выбора пользователя закроется и окне “Users and Groups” (Пользователи и группы) формы назначения прав доступа появится выбранный нами пользователь (Рис. 7.). Выбираем в выпадающем меню “Assigned Role” справа права администратора (отмечено красной галочкой) , при этом все квадратики в описании ниже станут отмеченными галочками – администратор имеет доступ ко всему на сервере. Нажимаем кнопку “OK” внизу.
    безопасность vCenter Appliance. Рис. 7. Права администратора

    Рис. 7. Права администратора

  16. Форма закроется, но в списке пользователей с назначенными правами появится еще один – тот, которого мы только что добавили (Рис. 8.)
    безопасность vCenter Appliance. Рис. 8. Новый администратора сервера

    Рис. 8. Новый администратора сервера

  17. Закрываем vSphere Client и открываем его еще раз. Только теперь устанавливаем соединение под пользователем – новым администратором системы. После того, как успешно установим соединение с сервером vCenter Appliance, переходим на вкладку “Permissions“, нажимаем правой клавишей мышки на строку пользователя root и в появившемся контекстном меню, выбираем команду “Properties” (Свойства).
  18. Появляется небольшое окошко с выпадающем меню (Рис. 9.), в котором выбираем права доступа “No Access” (Нет Доступа)  и нажимаем кнопку “OK” внизу.
    безопасность vCenter Appliance. Рис. 9. Изменение прав root

    Рис. 9. Изменение прав root

  19. Закрываем vSphere Client и открываем его еще раз. Пытаемся установить соединение под пользователем root. Вы должны получить ответ, что Вы не имеете прав для установления соединения с сервером. Что нам было и надо.

Итак, что мы получили.

  • чтобы установить соединение с сервером vCenter при помощи vSphere Client (vSphere Web Client), необходимо знать имя пользователя и пароль (вмеcто пароля root);
  • Чтобы установить безопасное удаленное соединение с сервером по протоколу ssh и получить к нему полный доступ, необходимо иметь секретный ключ клиента ssh, знать его пароль, имя пользователя и пароль суперпользователя root.

Таким образом получить доступ к серверу постороннему стало намного сложнее и его безопасность существенно увеличилась.

Замечание. Система прав доступа для vCenter очень простая, но позволяет организовывать конструкции любой сложности для виртуальных сред с большим количеством серверов и обслуживающих ее специалистов. Мы же пока рассматриваем простую среду, которую обслуживает только один администратор. Однако, в любом случае, работу с vCenter Appliance необходимо начинать с того, чтобы запретить пользователю root доступ к серверу. Вообще.

Описано как улучшить безопасность vCenter Appliance  – изменить имя пользователя администратора и оптимизировать настройки сервера SSH. Теперь необходимо познакомиться с Web-клиентом vSphere (“Что такое vSphere Web Client“) и продолжить с его помощью настройку vCenter Appliance (“Как настроить провайдер SSO vCenter Appliance“)

, ,

No comments yet.

Leave a Reply