Некоторые улучшения безопасности VMware vSphere 5.1 и гипервизора ESXi 5.1. 16/10/2012 Поддержите VM Guru! USDT / TRC20, адрес: TCDP7d9hBM4dhU2mBt5oX2x5REPtq9QdU1 Пост:

Среди новых возможностей VMware vSphere 5.1 мы еще не упоминали о том, что теперь в подсистеме безопасности хост-серверов VMware ESXi 5.1 появились некоторые улучшения. Во-первых, учетным записям обычных пользователей (named user accounts) можно назначать полностью административные привилегии, чего раньше не было.

Это означает, что такие пользователи не нуждаются в использовании общего root-аккаунта при выполнении различных операций на хост-серверах ESXi (например, просмотр логов или выполнение команд esxtop и vmkfstools). То есть теперь не надо вополнять в консоли команду "su", а можно просто работать под своим административным аккаунтом. Раньше эта необходимость вызывала некоторые проблемы, так как важные операции, выполняемые несколькими администраторами, логировались как один аккаунт "root".

Для новых административных аккаунтов ESXi 5.1 нужно помнить, что:

• Завести их можно только прямым соединением vSphere Client к хосту, а не через Web Client.
• Для массового создания административных аккаунтов на хостах ESXi можно использовать функции Host Profiles.
• Административные привилегии можно назначить пользователю (группе) из Active Directory. Для этого нужно создать группу администраторов серверов ESXi в AD, а потом добавить ее в расширенные настройки хоста ESXi. Для этого нужно зайти в Advanced Settings в vSphere Client, далее Config –> HostAgent и добавить нужную группу AD в параметр "Config.HostAgent.plugins.hostsvc.esxAdminsGroup":

Во-вторых, административные привилегии могут быть отобраны у встроенного аккаунта root, чтобы злоумышленник, в случае его получения, не мог им воспользоваться на хосте ESXi.

В-третьих, появилась возможность автоматически терминировать сущствующие неактивные сессии пользователей в консоли ESXi. Для настройки этого параметра нужно зайти Advanced Settings в vSphere Client, далее UserVars и выставить там следующее значение в секундах:

UserVars.ESXiShellInteractiveTimeOut

Как многие помнят, в vSphere 5 была расширенная настройка UserVars.ESXiShellTimeOut, которая задавала таймаут в секундах, по прошествии которого доступ к ESXi Shell или SSH, будучи включенным однажды - автоматически отключался:

То есть, по прошествии этого времени нельзя уже зайти на хост ESXi, и администратору не нужно заботиться об отключении сервиса. Однако все его сессии, если он их не прекратил продолжали работать, что может быть небезопасно.

Поэтому в ESXi 5.1 и появилась дополнительная настройка ESXiShellInteractiveTimeOut, которая определяет время, по истечении которого пользователь неактивной консоли (DCUI или SSH) будет автоматически разлогинен.