Archiv der Kategorie: VMware Tutorials

Virtualization advanced Workarounds Tutorials Enhancements unblog technical contribution for professionals

ESXi Password Complexity

Bei VMware ESXi6 werden Kennwortrichtlinien für komplexitäre Kennwörter verwendet. ESX erzwingt die Kennwort Anforderungen für den direkten Zugriff von der DCUI, ESXi Shell, SSH oder dem vSphere Web Client.

vSphere

Bei der Evaluation oder in Testumgebungen ist die erzwungene Kennwortkomplexität unnötig und erschweren Administratoren den Alltag. Möchte man nach der Installation ein einfacheres Kennwort vergeben, quotiert dies die ESXi Ereigniskonsole mit:

A general system error occurred: Weak password: based on a dictionary word and not a passphrase.

 

Die Kennwortkomplexität Security.PasswordQualityControl kann man am einfachsten über die SSH-Konsole herabsetzen, in dem man die Datei passwd im Editor öffnet:

vi /etc/pam.d/passwd

#%PAM-1.0

# Change only through host advanced option "Security.PasswordQualityControl".
password   requisite    /lib/security/$ISA/pam_passwdqc.so retry=6 min=7,1,1,1,1
password   sufficient   /lib/security/$ISA/pam_unix.so use_authtok nullok shadow sha512
password   required     /lib/security/$ISA/pam_deny.so

In Zeile 5 wird der default Wert
retry=3 min=disabled,disabled,disabled,7,7
geändert mit retry=6 min=7,1,1,1,1

Kennwortrichtlinien Standardwerte:
ESXi 5: retry=3 min=8,8,8,7,6
ESXi 6: retry=3 min=disabled,disabled,disabled,7,7

Nach einem Reboot kann ein einfaches Passwort vergeben werden. Für Produktive Hypervisoren sollten jedoch dringendst die Standardwerte verwendet werden.

Für den sicheren Zugang ist empfohlen, vSphere hinter der Firewall zu betreiben, in dem der vSphere Client über VPN genutzt wird, oder die SSH Authentifizierung über RSA Zertifikate zu ermöglichen, um Brute-Force Attacken erfolglos werden zu lassen.

Die Kennwortkomplexität kann auch im vSphere Client (ja dem guten alten) angepasst werden, unter Konfiguration – Erweiterte-Einstellungen – Security.

vSphere Konfiguration Erweiterte-Einstellungen Security

SSH zu ESXi 6.0U2 mit PuTTY

VMware 6.0U2 beinhaltet viele Neuerungen, so wurde auch der OpenSSH 7.1 Daemon integriert. Dabei kommt es beim versuch mit

PuTTY ein SSH Terminal zum ESXi-Host zu initialisieren zum timeout, mit anschliessendem Fehler: Server unexpectedly closed network connection.

 

Auf dem ESXi-Host wird folgender Eintrag protokolliert, in /var/log/auth.log:

2016-08-26T19:54:51Z sshd[35650]: error: Hm, kex protocol error: type 30 seq 1

Der Grund liegt beim Algorithmus für den Schlüsselaustausch, Diffie-Hellman group exchange des PuTTY, dieser bereits über 10 Jahre alte Algorithmus zur Verschlüsselung wird von OpenSSH 7.1 nicht mehr unterstützt.

Damit dennoch über PuTTY SSH Terminal Sessions möglich sind, muss der Algorithmus Diffie-Hellman group exchange nach unten verschoben werden, so das der neuere Algorithmus Diffie-Hellman group 14 zur ersten Priorität wird.

 

PuTTY Kex Diffie-Hellman
PuTTY Kex Diffie-Hellman

Die PuTTY Einstellung zur Session des ESXi 6.0 Host speichern, nun sind SSH-Terminal Verbindungen wieder möglich.