Schakel SSH niet in voor root access"
Gepubliceerd op 11 november 2008 • 2 min leestijd • 225 woordenIk kwam enkele scripts tegen om op je ESX-server uit te voeren nadat deze is geïnstalleerd. Deze scripts deden dingen zoals het uitschakelen van de firewall en het inschakelen van root-aanmelding vanaf een extern systeem.
Hoewel het lijkt alsof het je leven nu gemakkelijker maakt omdat je je met root vanaf een extern systeem kunt aanmelden, zou ik je dringend willen adviseren dergelijke dingen niet te doen.
VMware ESX is de kern van je virtuele infrastructuur. Net zoals elk kernsysteem wil je dat het zo veilig mogelijk is. Je geeft toch ook niet iedereen toegang tot je bankrekening, dus waarom zou je dat wel doen met je infrastructuur?
Het is beter om een aparte gebruiker te creëren die je kunt gebruiken om verbinding te maken met het systeem en dan sudo te gebruiken (commando uitvoeren als supergebruiker). Op deze manier hoef je het root-account niet te gebruiken om in te loggen en is het gemakkelijker te monitoren welke gebruiker wat doet. Het maakt ook het detecteren van inbraken gemakkelijker.
Ik denk ook dat je iptables zou moeten gebruiken om je beveiliging verder te verbeteren. Sta alleen toegang tot je systeem toe van IP-ranges die echt toegang nodig hebben tot de server en weiger alle andere ranges.