در این مقاله قصد دارم شما را با یکی از ویژگی های امنیتی با نام Lockdown Mode آشنا کنم که بسیار بسیار کاربردی بوده، پس بریم و lockdown mode را با هم بررسی کنیم.
یکی از راه هایی که شما میتوانید دسترسی به Host های esxi را امن کنید استفاده از lockdown mode بوده این ویژگی از ESXI 5.0 ارائه شد و در ورژن های بعدی امکانات دیگری هم به این ویژگی اضافه شد. اگر شما Host های خودتان را در حالت lockdown mode قرار دهید اتفاقی که میوفتد این بوده که هاست های شما و ماشین های مجازی شما تنها از طریق vCenter قابل مدیریت بوده و شما بصورت مستقیم به Host ها امکان دسترسی نخواهید داشت. شاید در اول یکم گیج کننده باشد اما خوب وقتی در عمل، عملکرد lockdown mode را مشاهده کنید، بهتر درک خواهید کرد پس بریم سراغ لابراتور و با هم به کانفیگ Lockdown mode بپردازیم.
به vCenter از طریق vSphere web client متصل شوید و عمل لاگین را انجام دهید.
بر روی Host که کلیک کرده و وارد تب Configure و در پایین Security Profile را انتخاب کنید.
در بخش lockdown mode بر روی Edit کلیک کرده تا پنجره پیکربندی Lockdown Mode برای شما ظاهر شود.
همانطور که مشاهده میکنید Lockdown mode شامل سه حالت بود که در ادامه هر کدام را بررسی خواهیم کرد :
Disable
اگر lockdown mode در این حالت تنظیم شده باشد شما بغیر از vCenter میتوانید بصورت مستقیم به Esxi خود متصل شوید. (مانند Host Client, SSH و DCUI)
Normal
در این حالت تنها راه برای مدیریت esxi استفاده از vCenter بوده البته سرویس DCUI (DCUI همان کنسولی زرد رنگی بوده که شما اگر یک مانیتور بزنید به سرور یا از طریق ILO مشاهده میکنید.صفحه ای که شما برای بار اول برای تنظیم کردن ایپی و تنظیمات کارت شبکه استفاده میکنید)غیر فعال نبوده و هنوز هم شما میتوانید از طریق DCUI بصورت مستقیم به سرور esxi متصل شوید و Lockdown mode را Disable کنید در زمانی که سرور vCenter شما در دسترس نبوده و شما نتوانستید به vSphere web client متصل شوید، البته نکته مهم این بوده که تنها کاربر هایی میتوانند به DCUI در حالت normal متصل شوند که در Exception user list یا DCUI.Access advance قرار داشته باشند که در ادامه این دو مورد را بررسی خواهیم کرد.
Exception user list
کاربرهای که در این بخش اضافه شوند از قوانین Lockdown mode مستثنی خواهند شد. البته نکته مهم این بوده که کاربران در این بخش حتما باید administrative access به Host داشته باشند.
DCUI.Access advance option
کاربران در این بخش یکجورایی برای زمان اضطراری بوده و نیازی به داشتن administrative accees نداشته این کاربر تنها فقط میتواند به DCUI متصل شده تا در زمانی که vCenter به هر دلیلی از کار افتاد به DCUI متصل شده و Lockdown mode را Disable کنید. نکته مهم بصورت پیش فرض در DCUi.Access وجود دارد.
Strict Lockdown mode
در این حالت DCUI هم در حالت Stop قرار خواهد گرفت. نکته مهم اگر شما نتوانید به vCenter متصل شوید شما نمیتوانید دیگر به esxi متصل شوید و تنها راه نصب مجدد Esxi بوده اما شما باز هم میتوانید از طریق SSH و shell local متصل شوید اگر یوزری را شما در exception user list تعریف کرده باشد پس حتما قبل از قرار دادن Lockdown mode در این حالت هم SSH را فعال کنید و هم exception user list را پیکربندی کنید که در ادامه بررسی خواهیم کرد.
من گزینه Normal را انتخاب کرده و OK را زده.
همانطور که میبینید Lockdown mode از حالت Disable به Normal تغییر کرد است.
در این حالت اگر من به Host client بخوام متصل بشوم خطای Access denied میدهد
و همچنین اگر من از طریق SSH هم بخوام وصل بشم این امکان وجود نخواهد داشت.
اما نکته جالب این بوده که الان من خیلی راحت میتوانم با یوزر root میتوانم به DCUI وارد شوم در حالیکه من نه این کاربر را عضو exception user list و نه DCUI.Access نکردم. نکته مهم این بوده که یوزر root بصورت پیش فرض عضو DCUI.Access بوده.
در قدم بعد بریم و Strict mode هم تنظیم کنیم و ببینیم الان کاربر root میتواند باز هم به DCUI متصل شود.
برای این کار کافیه Mode را به Strict تغییر دهید.
و الان اگر من در محیط DCUI کلید F2 را بزنم به من پیامی میدهد که Direct console بوسیله administrator در حالت غیر فعال گرفته است.
در مقاله بعد در مورد DCUI.Access و همچنین exception user list صحبت خواهیم کرد
امیدوارم مفید واقع شده باشد.
یکی از راه هایی که شما میتوانید دسترسی به Host های esxi را امن کنید استفاده از lockdown mode بوده این ویژگی از ESXI 5.0 ارائه شد و در ورژن های بعدی امکانات دیگری هم به این ویژگی اضافه شد. اگر شما Host های خودتان را در حالت lockdown mode قرار دهید اتفاقی که میوفتد این بوده که هاست های شما و ماشین های مجازی شما تنها از طریق vCenter قابل مدیریت بوده و شما بصورت مستقیم به Host ها امکان دسترسی نخواهید داشت. شاید در اول یکم گیج کننده باشد اما خوب وقتی در عمل، عملکرد lockdown mode را مشاهده کنید، بهتر درک خواهید کرد پس بریم سراغ لابراتور و با هم به کانفیگ Lockdown mode بپردازیم.
به vCenter از طریق vSphere web client متصل شوید و عمل لاگین را انجام دهید.
بر روی Host که کلیک کرده و وارد تب Configure و در پایین Security Profile را انتخاب کنید.
در بخش lockdown mode بر روی Edit کلیک کرده تا پنجره پیکربندی Lockdown Mode برای شما ظاهر شود.
همانطور که مشاهده میکنید Lockdown mode شامل سه حالت بود که در ادامه هر کدام را بررسی خواهیم کرد :
Disable
اگر lockdown mode در این حالت تنظیم شده باشد شما بغیر از vCenter میتوانید بصورت مستقیم به Esxi خود متصل شوید. (مانند Host Client, SSH و DCUI)
Normal
در این حالت تنها راه برای مدیریت esxi استفاده از vCenter بوده البته سرویس DCUI (DCUI همان کنسولی زرد رنگی بوده که شما اگر یک مانیتور بزنید به سرور یا از طریق ILO مشاهده میکنید.صفحه ای که شما برای بار اول برای تنظیم کردن ایپی و تنظیمات کارت شبکه استفاده میکنید)غیر فعال نبوده و هنوز هم شما میتوانید از طریق DCUI بصورت مستقیم به سرور esxi متصل شوید و Lockdown mode را Disable کنید در زمانی که سرور vCenter شما در دسترس نبوده و شما نتوانستید به vSphere web client متصل شوید، البته نکته مهم این بوده که تنها کاربر هایی میتوانند به DCUI در حالت normal متصل شوند که در Exception user list یا DCUI.Access advance قرار داشته باشند که در ادامه این دو مورد را بررسی خواهیم کرد.
Exception user list
کاربرهای که در این بخش اضافه شوند از قوانین Lockdown mode مستثنی خواهند شد. البته نکته مهم این بوده که کاربران در این بخش حتما باید administrative access به Host داشته باشند.
DCUI.Access advance option
کاربران در این بخش یکجورایی برای زمان اضطراری بوده و نیازی به داشتن administrative accees نداشته این کاربر تنها فقط میتواند به DCUI متصل شده تا در زمانی که vCenter به هر دلیلی از کار افتاد به DCUI متصل شده و Lockdown mode را Disable کنید. نکته مهم بصورت پیش فرض در DCUi.Access وجود دارد.
Strict Lockdown mode
در این حالت DCUI هم در حالت Stop قرار خواهد گرفت. نکته مهم اگر شما نتوانید به vCenter متصل شوید شما نمیتوانید دیگر به esxi متصل شوید و تنها راه نصب مجدد Esxi بوده اما شما باز هم میتوانید از طریق SSH و shell local متصل شوید اگر یوزری را شما در exception user list تعریف کرده باشد پس حتما قبل از قرار دادن Lockdown mode در این حالت هم SSH را فعال کنید و هم exception user list را پیکربندی کنید که در ادامه بررسی خواهیم کرد.
من گزینه Normal را انتخاب کرده و OK را زده.
همانطور که میبینید Lockdown mode از حالت Disable به Normal تغییر کرد است.
در این حالت اگر من به Host client بخوام متصل بشوم خطای Access denied میدهد
و همچنین اگر من از طریق SSH هم بخوام وصل بشم این امکان وجود نخواهد داشت.
اما نکته جالب این بوده که الان من خیلی راحت میتوانم با یوزر root میتوانم به DCUI وارد شوم در حالیکه من نه این کاربر را عضو exception user list و نه DCUI.Access نکردم. نکته مهم این بوده که یوزر root بصورت پیش فرض عضو DCUI.Access بوده.
در قدم بعد بریم و Strict mode هم تنظیم کنیم و ببینیم الان کاربر root میتواند باز هم به DCUI متصل شود.
برای این کار کافیه Mode را به Strict تغییر دهید.
و الان اگر من در محیط DCUI کلید F2 را بزنم به من پیامی میدهد که Direct console بوسیله administrator در حالت غیر فعال گرفته است.
در مقاله بعد در مورد DCUI.Access و همچنین exception user list صحبت خواهیم کرد
امیدوارم مفید واقع شده باشد.
فایل های پیوست شده