رفع مشکل بروت فورس esxi6.7 : روش‌ها و راهکارها

مدیران سرورها و سیستم‌های مجازی‌سازی اغلب با چالش‌های امنیتی و عملکردی مواجه هستند. یکی از مشکلات رایج در ESXi 6.7، حملات بوت فورس است که می‌تواند به کاهش عملکرد و حتی دسترسی به سیستم منجر شود. در این مقاله، به بررسی راهکارهایی برای رفع این مشکل پرداخته‌ایم و نحوه جلوگیری از وقوع آن را توضیح داده‌ایم.

همراه شما هستیم با موضوع رفع مشکل بروت فورس esxi6.7 که نکات امنیتی آن را مرور خواهیم کرد.

esxi چیست؟

آخرین ورژن از مجموعه نرم افزارهای VMware Hypervisor است، که مستقل از سیستم عامل می باشد و به طور مستقیم روی سخت افزار نصب می گردد.

در این نرم افزار از تکنولوژی Bare Metal استفاده شده است و امکان مدیریت روی سخت افزار و منابع سیستم را فراهم می نماید.

مجازی ساز esxi که دارای نسخه های مختلفی میباشد پرکاربردترین و پرمصرفترین مجازی ساز حال حاضر را شامل میشود و از نسخه esxi6.5 بصورت web GUI با محیط کاربری تحت وب ارایه شده است.

امنیت esxi

مجازی ساز esxi 6.7 دارای افزونه ها و فیچرهای زیادی میباشد که ابزار مدیریتی زیادی دارد و برای مدیران سرور گزینه های خیلی خوبی را شامل میشود.

• استفاده به عنوان core ماشین های مجازی
• پشتیبانی از انواع نسخه های سیستم عامل
• مدیریت وابستگی گروهی برای تعداد بالا
• امکان یکپارچه سازی قدرت سخت افزارها
• خروجی قدرت چند سرور در یک سرور
• کلود کردن سرور اختصاصی با vcenter و…

گاهی کاربر هنگام ورود با مشکلاتی روبرو میشود که در esxi این مشکلات طبیعی است زیرا ربات ها و بد افزارهای زیادی در حال bruteforce کردن رمز عبور مدیر(root) هستند.

bruteforce چیست؟

رفع مشکل بروت فورس esxi6.7

بروت فورس چیست؟ به حملاتی که توسط انسان یا ربات ها زمانبندی یا اجرا میشوند حملات بروف فورس میگویند. فرض بر این که نام کاربری شما admin میباشد.

بروت فورس با ابزار ها و رباتهایی برنامه نویسی میشوند که هزاران کلمه عبور از پیش تعیین شده مانند:۱۲۳۴۵ و ۱۲۳۴۵۶۷۸۹ , admin123 یا … با نام کاربری شما در صفحه ورود تست میکند تا رمز عبور مدیر را پیدا کنند.

هدف از بروت فورس کردن دسترسی به اطلاعات میباشد که قطعا نیست خوبی پیش این قضیه نمیباشد:d

برای جلوگیری از هک شدن پیشنهاد میکنیم همیشه یک یوزر با سطح دسترسی root ایجاد کنید مثلا یوزر famaserver و بعد از ایجاد دسترسی به یوزر root را غیر فعال کنید تا از وبجود آمدن این مشکلات جلوگیری شود.

esxi

در نسخه های قدیمی این مجازی ساز, روش اتصال به آن توسط نرم افزار های آن ورژن انجام میشد ولی حال بصورت آنلاین قابل دسترس است مانند تصویر زیر:

شما میتوانید ۲ ورژن از پایدارترین های این مجازی ساز را از لینک زیر دانلود نمایید:

دانلود esxi 6.5 آپدیت ۲(download esxi 6.5u2)

https://dl.famaserver.com/esxi/VMware-ESXi-6.5.0-Update2-10719125-HPE-Gen9plus-650.U2.10.4.0.29-Apr2019.iso

حجم ۳۶۹ مگابایت(تعرفه دانلود نیمبها از سرور ایران)

دانلود esxi 6.7 آپدیت ۲(download esxi 6.7u2)

https://dl.famaserver.com/esxi/VMware-ESXi-6.7.0-Update2-13006603-HPE-Gen9plus-670.U2.10.4.1.8-Apr2019.iso

esxi دارای سیستم عامل منحصر بفرد تحت فوتون میباشد که مستقیم روی سرور اختصاصی نصب میگردد.

نصب esxi در سرور اختصاصی ایران بلا مانع میباشد.

در نسخه ۶٫x از vmware esxi مکانیسم دفاعی بصورت پیشفرض فعال است که باعث قفل شدن یوزر root خواهد شد ،

رفع محدودیت ورود به esxi 6.7

برای رفع مشکل بروت فورس esxi6.7 راحت ترین روش برای این محدودیت صبر کردن به مدل ۱۵ دقیقه میباشد ولی در صورتی که ربات های کشورهای چین و روسیه امان نمیدهند مراحل زیر را دنبال کنید.

۱-در صورتی که ابزار vcenter را برای مدریت سرور اختصاصی نصب کرده اید به ویسنتر لاگین شوید و از تب config سرویس ssh را فعال کنید و توسط ssh به سرور متصل شوید.

۲- در صورتی که مرحله ۱ را نتوانستید انجام دهید یا دسترسی نداشتید میتوانید با اتصال موس و کیبورد به سرور(درصورت وجود سرور فیزیکی) اقدام به اتصال نمایید و یا از کنسول vnc برای اتصال استفاده کنید.

۳- این مراحل توسط ssh انجام میشود که با نرم افزار putty به سرور متصل شده ایم.

۴- در فولدر (var/log) فایل vobd.log را توسط دستور زیر مشاهده میکنیم:

cat var/log/vobd.log

پیامی مانند پیام زیر مشاهده خواهید کرد:

2021-01-02T08:12:00.003Z: [GenericCorrelator] 9312887197us:
[famaserver.user.account.locked] Remote access for ESXi local user account 'root' has been locked for 900 seconds after 58 failed login attempts.

۲۰۲۱-۰۱-۰۲T08:12:00.003Z: [UserLevelCorrelator] 9312887197us:
[famaserver.user.account.locked] Remote access for ESXi local user account 'root' has been locked for 900 seconds after 58 failed login attempts.

۲۰۲۱-۰۱-۰۲T08:12:00.003Z: [UserLevelCorrelator] 9312895236us:
[famaserver.audit.account.locked] Remote access for ESXi local user account 'root' has been locked for 900 seconds after 58 failed login attempts.

و همچنین در فایل auth.log هم پیامی مانند پیام زیر مشاهده میکنید:

1
2021-01-02T08:12:00.003Z: sshd[117700]: Connection from 213.195.22.65 port 63449
2
2021-01-02T08:12:00.003Z: sshd[117701]: pam_tally2(sshd:auth): user root (0) tally 72, deny 5
3
2021-01-02T08:12:00.003Z: sshd[117700]: error: PAM: Authentication failure for root from 111.98.24.8
4
2021-01-02T08:12:00.003Z: sshd[117710]: pam_tally2(sshd:auth): user root (0) tally 73, deny 5

۵-برای نمایش تعداد تلاشها برای ورود به اکانت دستور زیر را وارد کنید:

pam_tally2 --user root

که خروجی شبیه به خروجی زیر را مشاهده میکنید(البته عدد ها متغیر هتسند.)

Login Failures Latest failure From
root 18 01/01/18 08:18:23 unknown

۶-برای حذف رکوردهای متخلف و حل شدن مشکل ورود به esxi دستور زیر را وارد کنید:

pam_tally2 --user root --reset

کار تمام است و اکنون میتوانید با مشخصات قبلی به محیط UI سرور esxi یا vsphere خود لاگین کنید.

این مشکل میتواند با سناریوهای مختلفی ایجاد شود که مهمترین آنها حمله رباتها و هکر ها هتسند و در مرحله آخر نرم افزارهایی که برای مدیریت سرور مجازی یا سرور اختصاصی به اشتباه تلاش میکنند برای دسترسی گرفتند.

نتیجه‌گیری:

با استفاده از روش‌های موثر در مدیریت دسترسی‌ها و تقویت امنیت سیستم‌های ESXi، می‌توان از وقوع حملات بروت فورس جلوگیری کرد و عملکرد سرورها را بهبود بخشید. استفاده از تکنیک‌های مانیتورینگ و راهکارهای امنیتی ارائه شده، می‌تواند به مدیران کمک کند تا از سرورهای خود به بهترین شکل محافظت کنند.