نویسنده: fema co
12 ژوئن 2021
0 416
رفع مشکل بروت فورس esxi6.7

رفع مشکل بروت فورس esxi6.7 : روش‌ها و راهکارها

مدیران سرورها و سیستم‌های مجازی‌سازی اغلب با چالش‌های امنیتی و عملکردی مواجه هستند. یکی از مشکلات رایج در ESXi 6.7، حملات بوت فورس است که می‌تواند به کاهش عملکرد و حتی دسترسی به سیستم منجر شود. در این مقاله، به بررسی راهکارهایی برای رفع این مشکل پرداخته‌ایم و نحوه جلوگیری از وقوع آن را توضیح داده‌ایم.

همراه شما هستیم با موضوع رفع مشکل بروت فورس esxi6.7 که نکات امنیتی آن را مرور خواهیم کرد.

 

esxi چیست؟

آخرین ورژن از مجموعه نرم افزارهای VMware Hypervisor است، که مستقل از سیستم عامل می باشد و به طور مستقیم روی سخت افزار نصب می گردد.

در این نرم افزار از تکنولوژی Bare Metal استفاده شده است و امکان مدیریت روی سخت افزار و منابع سیستم را فراهم می نماید.

مجازی ساز esxi که دارای نسخه های مختلفی میباشد پرکاربردترین و پرمصرفترین مجازی ساز حال حاضر را شامل میشود و از نسخه esxi6.5 بصورت web GUI با محیط کاربری تحت وب ارایه شده است.

 

امنیت esxi

مجازی ساز esxi 6.7 دارای افزونه ها و فیچرهای زیادی میباشد که ابزار مدیریتی زیادی دارد و برای مدیران سرور گزینه های خیلی خوبی را شامل میشود.

  • استفاده به عنوان core ماشین های مجازی
  • پشتیبانی از انواع نسخه های سیستم عامل
  • مدیریت وابستگی گروهی برای تعداد بالا
  • امکان یکپارچه سازی قدرت سخت افزارها
  • خروجی قدرت چند سرور در یک سرور
  • کلود کردن سرور اختصاصی با vcenter و…

گاهی کاربر هنگام ورود با مشکلاتی روبرو میشود که در esxi این مشکلات طبیعی است زیرا ربات ها و بد افزارهای زیادی در حال bruteforce کردن رمز عبور مدیر(root) هستند.

 

bruteforce چیست؟

bruteforce چیست؟

رفع مشکل بروت فورس esxi6.7

بروت فورس چیست؟ به حملاتی که توسط انسان یا ربات ها زمانبندی یا اجرا میشوند حملات بروف فورس میگویند. فرض بر این که نام کاربری شما admin میباشد.

بروت فورس با ابزار ها و رباتهایی برنامه نویسی میشوند که هزاران کلمه عبور از پیش تعیین شده مانند:۱۲۳۴۵ و ۱۲۳۴۵۶۷۸۹ , admin123 یا … با نام کاربری شما در صفحه ورود تست میکند تا رمز عبور مدیر را پیدا کنند.

هدف از بروت فورس کردن دسترسی به اطلاعات میباشد که قطعا نیست خوبی پیش این قضیه نمیباشد:d

برای جلوگیری از هک شدن پیشنهاد میکنیم همیشه یک یوزر با سطح دسترسی root ایجاد کنید مثلا یوزر famaserver و بعد از ایجاد دسترسی به یوزر root را غیر فعال کنید تا از وبجود آمدن این مشکلات جلوگیری شود.

 

esxi

در نسخه های قدیمی این مجازی ساز, روش اتصال به آن توسط نرم افزار های آن ورژن انجام میشد ولی حال بصورت آنلاین قابل دسترس است مانند تصویر زیر:

"<yoastmark

شما میتوانید ۲ ورژن از پایدارترین های این مجازی ساز را از لینک زیر دانلود نمایید:

دانلود esxi 6.5 آپدیت ۲(download esxi 6.5u2)

https://dl.famaserver.com/esxi/VMware-ESXi-6.5.0-Update2-10719125-HPE-Gen9plus-650.U2.10.4.0.29-Apr2019.iso

 

حجم ۳۶۹ مگابایت(تعرفه دانلود نیمبها از سرور ایران)

دانلود esxi 6.7 آپدیت ۲(download esxi 6.7u2)

https://dl.famaserver.com/esxi/VMware-ESXi-6.7.0-Update2-13006603-HPE-Gen9plus-670.U2.10.4.1.8-Apr2019.iso

 

esxi دارای سیستم عامل منحصر بفرد تحت فوتون میباشد که مستقیم روی سرور اختصاصی نصب میگردد.

نصب esxi در سرور اختصاصی ایران بلا مانع میباشد.

در نسخه ۶٫x از vmware esxi مکانیسم دفاعی بصورت پیشفرض فعال است که باعث قفل شدن یوزر root خواهد شد ،

رفع محدودیت ورود به esxi 6.7

برای رفع مشکل بروت فورس esxi6.7 راحت ترین روش برای این محدودیت صبر کردن به مدل ۱۵ دقیقه میباشد ولی در صورتی که ربات های کشورهای چین و روسیه امان نمیدهند مراحل زیر را دنبال کنید.

۱-در صورتی که ابزار vcenter را برای مدریت سرور اختصاصی نصب کرده اید به ویسنتر لاگین شوید و از تب config سرویس ssh را فعال کنید و توسط ssh به سرور متصل شوید.

۲- در صورتی که مرحله ۱ را نتوانستید انجام دهید یا دسترسی نداشتید میتوانید با اتصال موس و کیبورد به سرور(درصورت وجود سرور فیزیکی) اقدام به اتصال نمایید و یا از کنسول vnc برای اتصال استفاده کنید.

۳- این مراحل توسط ssh انجام میشود که با نرم افزار putty به سرور متصل شده ایم.

۴- در فولدر (var/log) فایل vobd.log را توسط دستور زیر مشاهده میکنیم:

cat var/log/vobd.log
نکته: میتوایند از ویرایشگر های nano یا vim استفاده کنید که ویرایشگر vi بصورت پیشفرض در تمامیه نسخه های لینوکس فعال است.

پیامی مانند پیام زیر مشاهده خواهید کرد:

 

2021-01-02T08:12:00.003Z: [GenericCorrelator] 9312887197us:
[famaserver.user.account.locked] Remote access for ESXi local user account 'root' has been locked for 900 seconds after 58 failed login attempts.

۲۰۲۱-۰۱-۰۲T08:12:00.003Z: [UserLevelCorrelator] 9312887197us:
[famaserver.user.account.locked] Remote access for ESXi local user account 'root' has been locked for 900 seconds after 58 failed login attempts.

۲۰۲۱-۰۱-۰۲T08:12:00.003Z: [UserLevelCorrelator] 9312895236us:
[famaserver.audit.account.locked] Remote access for ESXi local user account 'root' has been locked for 900 seconds after 58 failed login attempts.

 

و همچنین در فایل auth.log هم پیامی مانند پیام زیر مشاهده میکنید:

1
2021-01-02T08:12:00.003Z: sshd[117700]: Connection from 213.195.22.65 port 63449
2
2021-01-02T08:12:00.003Z: sshd[117701]: pam_tally2(sshd:auth): user root (0) tally 72, deny 5
3
2021-01-02T08:12:00.003Z: sshd[117700]: error: PAM: Authentication failure for root from 111.98.24.8
4
2021-01-02T08:12:00.003Z: sshd[117710]: pam_tally2(sshd:auth): user root (0) tally 73, deny 5

 

۵-برای نمایش تعداد تلاشها برای ورود به اکانت دستور زیر را وارد کنید:

pam_tally2 --user root

 

که خروجی شبیه به خروجی زیر را مشاهده میکنید(البته عدد ها متغیر هتسند.)

Login Failures Latest failure From
root 18 01/01/18 08:18:23 unknown

 

۶-برای حذف رکوردهای متخلف و حل شدن مشکل ورود به esxi دستور زیر را وارد کنید:

pam_tally2 --user root --reset
 

کار تمام است و اکنون میتوانید با مشخصات قبلی به محیط UI سرور esxi یا vsphere خود لاگین کنید.

این مشکل میتواند با سناریوهای مختلفی ایجاد شود که مهمترین آنها حمله رباتها و هکر ها هتسند و در مرحله آخر نرم افزارهایی که برای مدیریت سرور مجازی یا سرور اختصاصی به اشتباه تلاش میکنند برای دسترسی گرفتند.

نتیجه‌گیری:

با استفاده از روش‌های موثر در مدیریت دسترسی‌ها و تقویت امنیت سیستم‌های ESXi، می‌توان از وقوع حملات بروت فورس جلوگیری کرد و عملکرد سرورها را بهبود بخشید. استفاده از تکنیک‌های مانیتورینگ و راهکارهای امنیتی ارائه شده، می‌تواند به مدیران کمک کند تا از سرورهای خود به بهترین شکل محافظت کنند.

 

اشتراک گذاری
+

حملات بوت فورس چیست؟

حملات بوت فورس روشی است که در آن هکرها سعی می‌کنند با تلاش مکرر از طریق حدس زدن گذرواژه، به سیستم‌ها دسترسی پیدا کنند.

+

چرا ESXi 6.7 مستعد حملات بوت فورس است؟

ESXi 6.7 به دلیل استفاده گسترده در محیط‌های مجازی‌سازی، هدف حملات امنیتی مانند بوت فورس قرار می‌گیرد. بدون تنظیمات امنیتی قوی، این سیستم‌ها آسیب‌پذیر خواهند بود

+

چگونه می‌توان حملات بوت فورس را در ESXi 6.7 شناسایی کرد؟

با مانیتورینگ لاگ‌های سیستم و استفاده از ابزارهای تحلیل امنیتی، می‌توان تلاش‌های غیرمجاز و ناموفق را شناسایی کرد و به موقع اقدام کرد.

+

بهترین روش‌های جلوگیری از حملات بوت فورس چیست؟

استفاده از پسوردهای قوی، محدود کردن تلاش‌های ورود ناموفق و فعال کردن سیستم‌های احراز هویت دو مرحله‌ای، از مهمترین روش‌های مقابله با این نوع حملات هستند.

اقدام به محدود کردن ip برای ورود یکی از مواثر ترین راه ها برای جلوگیری از نفوذ و بروت فورس میباشد.

+

چه نرم‌افزارهایی برای مقابله با بوت فورس در ESXi 6.7 توصیه می‌شود؟

استفاده از ابزارهای امنیتی مانند Firewall، IDS/IPS و سیستم‌های مانیتورینگ مخصوص ESXi به همراه تنظیمات امنیتی مناسب توصیه می‌شود.

منابع:

فاماسرور

مقالات مرتبط این مطلب پیشنهاد می شود

خدمات فاما سرور

  • سرور مجازی

    سرور مجازی

    سرور مجازی یکی از سرویس های پر استفاده و مقرون بصرفه برای کسب و کارهای کوچک و خدمات سایر در ضمینه IT و شبکه میباشد که توان پشتیبانی از 128 هسته و 512 گیگ رم را دارد.

  • سرور اختصاصی

    سرور اختصاصی

    سرور های اختصاصی فاماسرور از دو گروه نسل جدید و پردازش سنگین استفاده میشود که میتوانید تا 155 گیگاهرتز پردازش و تا 1.5 ترابایت رم را در اختیار داشته باشید.

  • بیگ بلوباتن

    بیگ بلوباتن

    سرور بیگ بلوباتن اختصاصی و مجازی یکی از خدمات , برای استفاده از کلاس های آموزشی , جلسات و ... بصورت دوطرفه و با کیفیت تضمین شده میباشد.

  • هاست لینوکس

    هاست لینوکس

    در هاست لینوکس با منابع گوناگون امکان میزبانی از سایت های بزرگ و پر بازدید نیز وجود دارد و میتوان از مزایا و خدمات آن استفاده کرد.

  • هاست ویندوز

    هاست ویندوز

    هاست های ویندوز فاماسرور میزبانی شده در ایران و هلند میباشد که با سخت افزار ها و استوریج های نسل جدید میزبانی و پشتیبانی میشوند.

  • ثبت دامنه

    ثبت دامنه

    ثبت دامنه های بین المللی , دامنه ir و دامنه های با پسوند های مختلف در فاماسرور پشتیبانی میشوند.