如何给esxi加固?
用了几年的esxi,前不久换成8.0了,昨天没事看了一下日志,一看吓一跳。我家公网,于是在openwrt里把esxi的443转发出来,弄了个一个偏门的端口。每天有几千的扫描记录,好在是强密码。好事者用了好多用户名在扫描,其中好多是中文拼音的user.
请教一下,怎么加强esxi的防护?
2022-12-16T05:37:37.022Z In(38) sshd: Disconnected from invalid user chenai 167.172.184.48 port 44892
2022-12-16T05:37:38.292Z In(38) sshd: FIPS mode initialized
2022-12-16T05:37:38.292Z In(38) sshd: Connection from 167.172.184.48 port 50822
2022-12-16T05:37:39.805Z In(38) sshd: Invalid user chenai from 167.172.184.48 port 50822
2022-12-16T05:37:40.073Z In(38) sshd: Received disconnect from 167.172.184.48 port 50822:11: Normal Shutdown, Thank you for playing
2022-12-16T05:37:40.073Z In(38) sshd: Disconnected from invalid user chenai 167.172.184.48 port 50822
2022-12-16T05:37:41.659Z In(38) sshd: FIPS mode initialized
2022-12-16T05:37:41.659Z In(38) sshd: Connection from 167.172.184.48 port 56742
2022-12-16T05:37:43.261Z In(38) sshd: Invalid user chenai from 167.172.184.48 port 56742
2022-12-16T05:37:43.546Z In(38) sshd: Received disconnect from 167.172.184.48 port 56742:11: Normal Shutdown, Thank you for playing
2022-12-16T05:37:43.546Z In(38) sshd: Disconnected from invalid user chenai 167.172.184.48 port 56742
2022-12-16T05:37:44.774Z In(38) sshd: FIPS mode initialized
2022-12-16T05:37:44.774Z In(38) sshd: Connection from 167.172.184.48 port 34434
2022-12-16T05:37:46.320Z In(38) sshd: Invalid user chenai from 167.172.184.48 port 34434
2022-12-16T05:37:46.605Z In(38) sshd: Received disconnect from 167.172.184.48 port 34434:11: Normal Shutdown, Thank you for playing
2022-12-16T05:37:46.605Z In(38) sshd: Disconnected from invalid user chenai 167.172.184.48 port 34434
2022-12-16T05:37:47.833Z In(38) sshd: FIPS mode initialized
2022-12-16T05:37:47.833Z In(38) sshd: Connection from 167.172.184.48 port 40340
2022-12-16T05:37:49.389Z In(38) sshd: Invalid user chenai from 167.172.184.48 port 40340
2022-12-16T05:37:49.669Z In(38) sshd: Received disconnect from 167.172.184.48 port 40340:11: Normal Shutdown, Thank you for playing
2022-12-16T05:37:49.669Z In(38) sshd: Disconnected from invalid user chenai 167.172.184.48 port 40340
2022-12-16T05:37:50.860Z In(38) sshd: FIPS mode initialized
2022-12-16T05:37:50.861Z In(38) sshd: Connection from 167.172.184.48 port 46262
2022-12-16T05:37:52.420Z In(38) sshd: Invalid user chenzhiwei from 167.172.184.48 port 46262
2022-12-16T05:37:52.705Z In(38) sshd: Received disconnect from 167.172.184.48 port 46262:11: Normal Shutdown, Thank you for playing
2022-12-16T05:37:52.705Z In(38) sshd: Disconnected from invalid user chenzhiwei 167.172.184.48 port 46262
2022-12-16T05:37:54.080Z In(38) sshd: FIPS mode initialized
2022-12-16T05:37:54.080Z In(38) sshd: Connection from 167.172.184.48 port 52196
2022-12-16T05:37:55.606Z In(38) sshd: Invalid user chenzhiwei from 167.172.184.48 port 52196
2022-12-16T05:37:55.868Z In(38) sshd: Received disconnect from 167.172.184.48 port 52196:11: Normal Shutdown, Thank you for playing
2022-12-16T05:37:55.868Z In(38) sshd: Disconnected from invalid user chenzhiwei 167.172.184.48 port 52196
2022-12-16T05:37:57.221Z In(38) sshd: FIPS mode initialized
2022-12-16T05:37:57.221Z In(38) sshd: Connection from 167.172.184.48 port 58122
2022-12-16T05:38:00.275Z In(38) sshd: FIPS mode initialized
2022-12-16T05:38:00.275Z In(38) sshd: Connection from 167.172.184.48 port 35810
2022-12-16T05:38:00.302Z In(38) sshd: Invalid user chenzhiwei from 167.172.184.48 port 58122
2022-12-16T05:38:00.590Z In(38) sshd: Received disconnect from 167.172.184.48 port 58122:11: Normal Shutdown, Thank you for playing
2022-12-16T05:38:00.590Z In(38) sshd: Disconnected from invalid user chenzhiwei 167.172.184.48 port 58122
2022-12-16T05:38:02.484Z In(38) sshd: Invalid user chenzhiwei from 167.172.184.48 port 35810 所以... 为啥需要把esxi开放到公网? inSeek 发表于 2022-12-16 13:54
所以... 为啥需要把esxi开放到公网?
方便回家搞东西。。。。。。。 用跳板机呀,开个虚拟机,把端口转发到这个虚拟机上,再通过虚拟机去访问esxi,访问内网啥的 要么XXN要么跳板 就算再偏门的端口号也会被扫描,现在都是全端口扫描。最安全的办法就是不把远程端口放到公网 nodlinxinyang 发表于 2022-12-16 13:58
要么XXN要么跳板
xxn也扫描,还有人连,我就关了。。。。唉。 weston 发表于 2022-12-16 13:56
用跳板机呀,开个虚拟机,把端口转发到这个虚拟机上,再通过虚拟机去访问esxi,访问内网啥的 ...
就是回去访问虚拟机win10,可以干点事。我在想用teamview连回去了。 建议上tailscale 或者内网跑个rustdesk中继 aikgogo 发表于 2022-12-16 13:55
方便回家搞东西。。。。。。。
如果只是家用,那么真的要想清楚,是否真的有 人在外时远程回家里操控ESXI 这种需求。
把家用服务公开到外网然后boom了的,不少见的。
如果想稍安全些,那就搞个跳板机,但跳板机的系统本身也可能存在0day的bug,然后boom你跳板机,跳板机上esxi密码弄不好还是存浏览器的,然后继续boom... aikgogo 发表于 2022-12-16 14:01
就是回去访问虚拟机win10,可以干点事。我在想用teamview连回去了。
你已经有公网IP了,直接开个端口转发到虚拟机3389端口上,直接远程链接不就可以了嘛,虚拟机上把administrator用户改个名字,设复杂的密码,把guest用户停用,补丁啥打好,基本上就可以了 aikgogo 发表于 2022-12-16 14:01
就是回去访问虚拟机win10,可以干点事。我在想用teamview连回去了。
如果你就只是为了远程操作Windows的话,没必要用ESXI的控制台啊...
装个向日葵、todesk就行啊 inSeek 发表于 2022-12-16 14:11
如果你就只是为了远程操作Windows的话,没必要用ESXI的控制台啊...
装个向日葵、todesk就行啊 ...
谢谢大佬,这就是去把esxi的端口停掉,不转发到公网了,太危险了。 weston 发表于 2022-12-16 14:10
你已经有公网IP了,直接开个端口转发到虚拟机3389端口上,直接远程链接不就可以了嘛,虚拟机上把administ ...
3389还是不要对外公布的好改了端口号也没用 用zerotier,路由器能装客户端的话,所有的设备都能组成大局域网,相当方便,还安全。 wu0lei 发表于 2022-12-16 14:21
3389还是不要对外公布的好改了端口号也没用
扫还是会被扫,但是进不了系统也没折啊,不过貌似不符合楼主的需求[雷人] 1. 既然有公网IP,家里搭个V*N,在外面连回家里解决。
2. 用公钥私钥认证的方式代替密码来登录ssh。
3. 端口敲门。服务器上监听一个不重要的端口D,收到请求指令后打开服务器443端口。用完再发指令关闭443。
我的做法是,暂时停止esxi端口转发,需要远程esxi的时候,再去软路由里开启esxi端口转发,或者直接去esxi的win10虚拟机进入内网搞,esxi直接映射到公网真的有些玩火自焚 本帖最后由 yugu91 于 2022-12-16 15:50 编辑
openwrt开ssh,关闭帐户密码登陆改用密钥登陆,
需要用的时候,本地通过ssh端口进行转发:
ssh -ND 本地端口随意:esxiip:443 root@openwrt
浏览器访问 https://127.0.0.1:本地端口
简单点就是esxi安装zerotier内网穿透,需要openwrt有upnp 设置反向代理 weston 发表于 2022-12-16 14:10
你已经有公网IP了,直接开个端口转发到虚拟机3389端口上,直接远程链接不就可以了嘛,虚拟机上把administ ...
3389死的更快 我pve开TFA和https,默认8006端口暴露在公网,几年了,还没出过问题。 家里内网还清净,直接frpc用https连。
公司的几台服务器之前改administrator 端口 加强密码,还是天天被扫,
现在直接再内网的网关上跑个rustdesk服务端,服务器全部取消外网连接,这样才没天天被扫的烦心事。
如果数量不多-其实frp stcp连也可以。 老饭 发表于 2022-12-16 15:58
3389死的更快
这样搞了两年了,还没歇菜,虽然被扫,但是破不进来 用zerotier啊 ESXI直接映射到公网,楼主胆子够大的[震惊],映射个下挂的虚拟机还行,建议还是走内网穿透吧。
页:
[1]