ESXi 基础安全加强（ing...）

# 查看防火墙规则
esxcli network firewall ruleset allowedip list

# 允许指定ip使用web服务和客户端访问
[root@localhost:~] esxcli network firewall ruleset allowedip add -i <IP> -r <SERVER_NAME>
[root@localhost:~] esxcli network firewall ruleset allowedip add -i 192.168.x.x -r webAccess
[root@localhost:~] esxcli network firewall ruleset allowedip remove -i 192.168.x.x -r vSphereClient

# 修改默认esxi登录的ui地址

vi /etc/rc.local.d/local.sh

mv /usr/lib/vmware/hostd/docroot/index.html /usr/lib/vmware/hostd/docroot/index.html.bak
mv /usr/lib/vmware/hostd/docroot/ui /usr/lib/vmware/hostd/docroot/<自定义其他名字>

 

# 增加证书登录，登录成功后关闭密码登录

 

# 勒索病毒比较关注的文件及配置文件
/var/spool/cron/crontabs/root
/bin/hostd-probe.sh
/etc/vmware/rhttpproxy/endpoints.conf
/etc/rc.local.d/local.sh

 

【生产环境慎用！】# 预防VSPHERE勒索病毒，适用于 ESXI 6.X 中的 OPENSLP 安全漏洞 (CVE-2019-5544) 的权宜措施 (76372)  [开放端口： 427 ]

注意：仅当 SLP 服务未在使用中的时候才能将其停止。使用以下命令可查看服务位置协议守护进程的运行状况：
esxcli system slp stats get

/etc/init.d/slpd stop

esxcli network firewall ruleset set -r CIMSLP -e 0  # 禁用SLP服务

chkconfig slpd off

chkconfig --list | grep slpd

PS：当然，最好的方法还是打补丁，如果因某种不可描述的情况不能安装官方补丁，可以尝试这种权宜方法

警告：此解决办法仅适用于 ESXi。请勿将此权宜措施应用于其他 VMware 产品。

功能影响：使用该权宜措施，使用 SLP 通过端口 #427 查找 CIM 服务器的 CIM 客户端将无法找到该服务。

-----------------------------------------------------如果需要恢复

esxcli network firewall ruleset set -r CIMSLP -e 1

chkconfig slpd on

/etc/init.d/slpd start

-----------------------------------------------------------------------

 

参考内容：

https://kb.vmware.com/s/article/1025757

CIM（通用信息模型）代理是提供硬件运行状况信息的进程。禁用此服务将禁用硬件运行状况