EZ
Очень простой вопрос - при наличии вцентра, когда все работает, зачем лезть в esxi?
Size: a a a
2020 September 18
DZ
Думаешь, все одновременно по ssh ломятся?
Зачем ssh? Что мешает залезть в esxi по web?
VK
Очень простой вопрос - при наличии вцентра, когда все работает, зачем лезть в esxi?
Написано же - чтобы накосячить анонимно
DZ
Очень простой вопрос - при наличии вцентра, когда все работает, зачем лезть в esxi?
Потому что могут?
По незнанию или со злым умыслом, не важно.
По незнанию или со злым умыслом, не важно.
VK
Зачем ssh? Что мешает залезть в esxi по web?
Пишет же с какого ip зайдено, какие таски запустил
DZ
Пишет же с какого ip зайдено, какие таски запустил
А если с общего RDP-сервера?
VK
А если с общего RDP-сервера?
Тоже вариант, тогда ещё логи rds подтянуть
N
Strict lockdown mode вас спасет + логи с vCenter в vRLI/Splunk. И никакого AD подключать не нужно. 🙂
EZ
А потом вцентр делает ручкой и остаемся мы вообще без возможности куда-либо зайти
DZ
Коллеги, disclaimer, я сейчас не хочу сказать, что ESXi обязательно надо в домен вводить, скорее хочу понять для себя насколько это оправдано или нет в зависимости от различных моделей угроз
VK
Коллеги, disclaimer, я сейчас не хочу сказать, что ESXi обязательно надо в домен вводить, скорее хочу понять для себя насколько это оправдано или нет в зависимости от различных моделей угроз
О, дык если есть модель угроз, то там у нам vgate стоит
N
А потом вцентр делает ручкой и остаемся мы вообще без возможности куда-либо зайти
Это незначительные издержки повышения безопасноти
i
А если с общего RDP-сервера?
жесть, mgmt в отдельные сегменты, bastion хост/ы с аудитом, ssh сертификаты
EZ
Если пароль от рута знает минимальное количество людей, которые не хранят его в плейнтексте и mgmt-сеть esxi зафаерволена по самое не балуйся - AD на esxi не нужен
DZ
Тоже вариант, тогда ещё логи rds подтянуть
Ну допустим в логах видно, что на RDS одновременно сидело 5 человек, у которых есть доступ к ESXi и паролю root
AK
Коллеги, disclaimer, я сейчас не хочу сказать, что ESXi обязательно надо в домен вводить, скорее хочу понять для себя насколько это оправдано или нет в зависимости от различных моделей угроз
ввести ESXi в домен@настроить strict lockdown mode... :-D
VK
ввести ESXi в домен@настроить strict lockdown mode... :-D
А если сосед тебе в домене пароль сбросит и под тобой зайдёт?
DZ
жесть, mgmt в отдельные сегменты, bastion хост/ы с аудитом, ssh сертификаты
Что за bastion?
EZ
Это незначительные издержки повышения безопасноти
Фигасе незначительные. если параллельно ручкой делает esxi, единственный вариант - переустановка, даунтайм на нее, если был vsan или что-то еще программно-определяемое - даунтайм еще и на эти сервисы
i
Что за bastion?
незнакомая концепция?