Uncategorized

ESXi Passwords and Account Lockout Configuration

Cengiz YILMAZ fotoğrafı Cengiz YILMAZ Twitter'da takip edin Bir e-posta göndermek 04/06/2021
0 3 dakika okuma süresi

Merhaba, Parola gereksinimlerinizi yapılandırmak ortamınızın genel siber güvenliği için son derece önemlidir. Bu konuda bütün şirketler gibi Mware vSphere‘de çok hassas bir yapılandırmaya sahip. ESXi söz konusu olduğunda, birkaç gelişmiş yapılandırma ayarıyla ESXi şifrelerini ve hesap kilitleme davranışını yapılandırabiliriz. VMware ESXi parola ve hesap kilitleme yapılandırmasına bir göz atalım ve hangi ayarların değiştirilebileceğini ve bunun nasıl yapılabileceğini görelim.

VMware ESXi Password Configuration

VMware ESXi ile, aşağıdakilerle ilgili önceden tanımlanmış gereksinimleri değiştirebilirsiniz: Bu yapılandırmayı Microsoft Group Policy gibi düşünebilirsiniz;

  • Hesap kilitleme hatası girişimleri
  • Hesap kilit açma süresi
  • Parola geçmişi
  • Parola en fazla gün sayısı
  • Parola kalitesi denetimi
  • SSH oturumları sınırı

Advanced System Settings penceresi üzerinde, belirli parola gereksinimlerini tanımlayan çeşitli güvenlik ayarlarını tanımlayabiliyorsunuz. Aşağıda, bir ESXi ana bilgisayarı için Advanced System Settings ekran görüntüsü verilmiştir. Bunlar ESXi ile yapılandırılan varsayılan ayarlardır. Bunları vCenter Server‘a bağlı ana bilgisayarla vSphere İstemcisi’nden kontrol ediyorsanız,Host > Configure > System > Advanced System Settings ve security araması yapmanız gerekmekte.

VMware ESXi Advanced System Settings

Aşağıda ki görselde, VMware İstemcisi’ne giriş yapmış aynı ana bilgisayarın ekran görüntüsü veriyorum. Gördüğünüz gibi, VMware Ana Bilgisayar İstemcisi’nden listelenen ayarların aynısına sahipsiniz.

VMware, ESXi’nin bir sürümünden başka bir sürüme ESXi şifreleri için şifre gereksinimlerine dikkat etme ihtiyacını vurgulamaktadır. Bu varsayılanlar, her sürüm arasında VMware tarafından uygulanan daha da geliştirilmiş ilk çalıştırma güvenlik düzenlemeleri nedeniyle sürümler arasında değişebilir.

ESXi Passwords and Password Enforcement

ESXi için yapılandırılan parola gereksinimleri tam olarak ne için geçerlidir? ESXi, Doğrudan Konsol Kullanıcı Arabirimi (DCUI), ESXi kabuğu, SSH ve VMware Ana Bilgisayar İstemcisi’nden erişim için parola gereksinimlerini zorlar. ESXi ana bilgisayarının varsayılan ayarları aşağıdakileri gerektirir:

  • Dört karakter sınıfından karakterlerin karışımı: büyük, küçük, sayılar ve özel karakterler
  • 7 karakter uzunluğunda ancak 40’tan az olan bir parola
  • Sözlük parolası veya sözlük parolasının bölümleri yok
  • **Note** Parolanın başındaki büyük harf karakteri ve sonundaki bir sayı, gereken karakter sınıfı sayısına dahil değildir.
  • Parolalar varsayılan olarak kutudan çıktığı gibi etkinleştirilmez

vSphere İstemcisi’nden Security.PasswordQulityControl gelişmiş seçeneği, parolaları kullanma yeteneğini tanımlayan özniteliktir. Yukarıda ekran görüntüsünde belirttiğiniz gibi, varsayılan SEcurity.PasswordQualityControl ayarı aşağıdakiler için yapılandırılır:

retry=3 min=disabled,disabled,disabled,7,7

Yukarı da belirtmiş olduğum parola ilkesinin karşılığı nedir?

  • Bir veya iki karakter sınıfı ve parola içeren parolalara izin verilmez
  • Üç ve dört karakterli sınıflardaki parolalar parolada 7 karakter gerektirir

Bu ayarlarla, aşağıdaki parolalara izin verilir:

  • xQaTEhb! – Üç karakter sınıfından sekiz karakter içerir.
  • xQaT3#A – Dört karakter sınıfından yedi karakter içerir.

Aşağıdaki parolalara izin verilmez:

  • Xqat3hi – Büyük harf karakteriyle başlar ve karakter sınıflarının etkili sayısını ikiye indirir. Gerekli karakter sınıflarının en az sayısı üç’tür.
  • xQaTEh2 – Karakter sınıflarının etkili sayısını ikiye indirerek bir sayıyla sona erer. Gerekli karakter sınıflarının en az sayısı üç’tür

ESXi parola yapılandırması

Yukarıda belirttiğimiz gibi, varsayılan olarak parolalar etkinleştirilmez. Birçok kuruluş, bir insanın hatırlayabileceği ve etkili bir şekilde kullanabileceği parolalar üretmede daha etkili olduğundan, parolaları kullanmaya doğru geçiş yapıyor. Güçleri karmaşıklıklarında değil, parolanın uzunluğunda gelir. Parola ilkelerinin parola parolaları gibi daha yeni tekniklerle yeni bir hizalamasının bir parçası olarak, kuruluşlar ESXi parola güvenliğinin bir parçası olarak parolaları etkinleştirmeyi seçebilir.

 ESXi’de parolalar nasıl etkinleştirilir?

Yine, bu Security.PasswordQualityControl gelişmiş sistem ayarı tarafından denetlenir. Örnek olarak, aşağıdakiler ile karakterize edilen bir parola etkinleştirebilirsiniz:

  • 16 karakter
  • üç kelime
  • boşluklarla ayrılmış
retry=3 min=disabled,disabled,16,7,7

SEcurity.PasswordQualityControl gelişmiş seçeneğiyle varsayılan parola veya parola ayarlarını nasıl değiştirirsiniz?

Aşağıda vermiş olduğum örnek gibi değiştirebilirsiniz;

retry=3 min=disabled,disabled,15,7,7 passphrase=4

ESXi hesabı kilitleme yapılandırması

Hesap kilitleme politikası, VMware ESXi ana bilgisayarlarınızın güvenliğini artırmanın harika bir yoludur. Bir saldırganın ana bilgisayara karşı denenen hatalı parola sayısıyla sınırı olmamasını engeller. Bunun yerine, hesap kilitleme ile, yapılandırılmış sayıda hatalı parola denemesinden sonra, hesap “kilitlenir”, yani hesap doğru parola kullanılarak bile oturum açılamaz. VMware ESXi ile, hesap kilitleme davranışı SSH ve vSphere Web Services SDK aracılığıyla erişim için desteklenir. DCUI ve ESXi kabuğu hesap kilitleme ilkesi tarafından denetlenmez.

ESXi ile varsayılan hesap kilitleme yapılandırması ne olacak? Bu nasıl kontrol ediliyor?

Varsayılan olarak, ESXi şu şekilde yapılandırılır:

  • En fazla 5 hatalı parola denemesi
  • Hesap 15 dakika kilitlensin

Hesap kilitleme davranışını yapılandırmak için, aşağıdaki gelişmiş sistem ayarlarını yapılandırın:

  • Security.AccountLockFailures – Bu, hesap kilitlenene kadar ESXi ana bilgisayarınıza karşı en fazla başarısız oturum açma denemesi sayısıdır. “0” ayarı, hesap kilitleme ilkesini etkin bir şekilde devre dışı bırakır.
  • Security.AccountUnlocktime – Bu ayar, Security.AccountLockFailures yapılandırmasında yapılandırılan hatalı parola girişimlerinin eşiğine isabet etmesi nedeniyle hesabın kilitlenme sayısını tanımlar
  • Security.PasswordHistory – Parola geçmişini ayarlamak istiyorsanız, bu her kullanıcı için hatırlanan parola sayısıdır. Bunu “0” olarak ayarlamak parola geçmişini devre dışı bırakır.

Not;

VMware ESXi ana bilgisayarlarınız için VMware ESXi parola ve hesap kilitleme yapılandırmasını anlamak, vSphere ortamınızın genel güvenliğini artırmak için kritik öneme sahiptir. VSphere kümesindeki her ESXi ana bilgisayarı için bulunan Gelişmiş Sistem yapılandırmasını yapılandırarak, gerekli parola türlerini, parola etkinleştirmeyi, parola geçmişini ve parola kilitlemeyi denetleyebilirsiniz.

Etiketler
Cengiz YILMAZ fotoğrafı Cengiz YILMAZ Twitter'da takip edin Bir e-posta göndermek 04/06/2021
0 3 dakika okuma süresi
Cengiz YILMAZ fotoğrafı

Cengiz YILMAZ

5 Yıldır IT Sektörü içerisindeyim, Microsoft ürünleri ile ilgilenmekteyim. Cengiz YILMAZ | MCT |

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Başa dön tuşu