如何给esxi加固？

aikgogo

用了几年的esxi，前不久换成8.0了，昨天没事看了一下日志，一看吓一跳。

我家公网，于是在openwrt里把esxi的443转发出来，弄了个一个偏门的端口。每天有几千的扫描记录，好在是强密码。好事者用了好多用户名在扫描，其中好多是中文拼音的user.

请教一下，怎么加强esxi的防护？

1. 2022-12-16T05:37:37.022Z In(38) sshd[626338]: Disconnected from invalid user chenai 167.172.184.48 port 44892 [preauth]
   
2. 2022-12-16T05:37:38.292Z In(38) sshd[626340]: FIPS mode initialized
   
3. 2022-12-16T05:37:38.292Z In(38) sshd[626340]: Connection from 167.172.184.48 port 50822
   
4. 2022-12-16T05:37:39.805Z In(38) sshd[626340]: Invalid user chenai from 167.172.184.48 port 50822
   
5. 2022-12-16T05:37:40.073Z In(38) sshd[626340]: Received disconnect from 167.172.184.48 port 50822:11: Normal Shutdown, Thank you for playing [preauth]
   
6. 2022-12-16T05:37:40.073Z In(38) sshd[626340]: Disconnected from invalid user chenai 167.172.184.48 port 50822 [preauth]
   
7. 2022-12-16T05:37:41.659Z In(38) sshd[626342]: FIPS mode initialized
   
8. 2022-12-16T05:37:41.659Z In(38) sshd[626342]: Connection from 167.172.184.48 port 56742
   
9. 2022-12-16T05:37:43.261Z In(38) sshd[626342]: Invalid user chenai from 167.172.184.48 port 56742
   
10. 2022-12-16T05:37:43.546Z In(38) sshd[626342]: Received disconnect from 167.172.184.48 port 56742:11: Normal Shutdown, Thank you for playing [preauth]
    
11. 2022-12-16T05:37:43.546Z In(38) sshd[626342]: Disconnected from invalid user chenai 167.172.184.48 port 56742 [preauth]
    
12. 2022-12-16T05:37:44.774Z In(38) sshd[626344]: FIPS mode initialized
    
13. 2022-12-16T05:37:44.774Z In(38) sshd[626344]: Connection from 167.172.184.48 port 34434
    
14. 2022-12-16T05:37:46.320Z In(38) sshd[626344]: Invalid user chenai from 167.172.184.48 port 34434
    
15. 2022-12-16T05:37:46.605Z In(38) sshd[626344]: Received disconnect from 167.172.184.48 port 34434:11: Normal Shutdown, Thank you for playing [preauth]
    
16. 2022-12-16T05:37:46.605Z In(38) sshd[626344]: Disconnected from invalid user chenai 167.172.184.48 port 34434 [preauth]
    
17. 2022-12-16T05:37:47.833Z In(38) sshd[626346]: FIPS mode initialized
    
18. 2022-12-16T05:37:47.833Z In(38) sshd[626346]: Connection from 167.172.184.48 port 40340
    
19. 2022-12-16T05:37:49.389Z In(38) sshd[626346]: Invalid user chenai from 167.172.184.48 port 40340
    
20. 2022-12-16T05:37:49.669Z In(38) sshd[626346]: Received disconnect from 167.172.184.48 port 40340:11: Normal Shutdown, Thank you for playing [preauth]
    
21. 2022-12-16T05:37:49.669Z In(38) sshd[626346]: Disconnected from invalid user chenai 167.172.184.48 port 40340 [preauth]
    
22. 2022-12-16T05:37:50.860Z In(38) sshd[626348]: FIPS mode initialized
    
23. 2022-12-16T05:37:50.861Z In(38) sshd[626348]: Connection from 167.172.184.48 port 46262
    
24. 2022-12-16T05:37:52.420Z In(38) sshd[626348]: Invalid user chenzhiwei from 167.172.184.48 port 46262
    
25. 2022-12-16T05:37:52.705Z In(38) sshd[626348]: Received disconnect from 167.172.184.48 port 46262:11: Normal Shutdown, Thank you for playing [preauth]
    
26. 2022-12-16T05:37:52.705Z In(38) sshd[626348]: Disconnected from invalid user chenzhiwei 167.172.184.48 port 46262 [preauth]
    
27. 2022-12-16T05:37:54.080Z In(38) sshd[626351]: FIPS mode initialized
    
28. 2022-12-16T05:37:54.080Z In(38) sshd[626351]: Connection from 167.172.184.48 port 52196
    
29. 2022-12-16T05:37:55.606Z In(38) sshd[626351]: Invalid user chenzhiwei from 167.172.184.48 port 52196
    
30. 2022-12-16T05:37:55.868Z In(38) sshd[626351]: Received disconnect from 167.172.184.48 port 52196:11: Normal Shutdown, Thank you for playing [preauth]
    
31. 2022-12-16T05:37:55.868Z In(38) sshd[626351]: Disconnected from invalid user chenzhiwei 167.172.184.48 port 52196 [preauth]
    
32. 2022-12-16T05:37:57.221Z In(38) sshd[626353]: FIPS mode initialized
    
33. 2022-12-16T05:37:57.221Z In(38) sshd[626353]: Connection from 167.172.184.48 port 58122
    
34. 2022-12-16T05:38:00.275Z In(38) sshd[626355]: FIPS mode initialized
    
35. 2022-12-16T05:38:00.275Z In(38) sshd[626355]: Connection from 167.172.184.48 port 35810
    
36. 2022-12-16T05:38:00.302Z In(38) sshd[626353]: Invalid user chenzhiwei from 167.172.184.48 port 58122
    
37. 2022-12-16T05:38:00.590Z In(38) sshd[626353]: Received disconnect from 167.172.184.48 port 58122:11: Normal Shutdown, Thank you for playing [preauth]
    
38. 2022-12-16T05:38:00.590Z In(38) sshd[626353]: Disconnected from invalid user chenzhiwei 167.172.184.48 port 58122 [preauth]
    
39. 2022-12-16T05:38:02.484Z In(38) sshd[626355]: Invalid user chenzhiwei from 167.172.184.48 port 35810

复制代码

inSeek

所以... 为啥需要把esxi开放到公网？

aikgogo

inSeek 发表于 2022-12-16 13:54
所以... 为啥需要把esxi开放到公网？

方便回家搞东西。。。。。。。

weston

用跳板机呀，开个虚拟机，把端口转发到这个虚拟机上，再通过虚拟机去访问esxi，访问内网啥的

nodlinxinyang

要么XXN要么跳板

zdiljx

就算再偏门的端口号也会被扫描，现在都是全端口扫描。最安全的办法就是不把远程端口放到公网

aikgogo

nodlinxinyang 发表于 2022-12-16 13:58
要么XXN要么跳板

xxn也扫描，还有人连，我就关了。。。。唉。

aikgogo

weston 发表于 2022-12-16 13:56
用跳板机呀，开个虚拟机，把端口转发到这个虚拟机上，再通过虚拟机去访问esxi，访问内网啥的 ...

就是回去访问虚拟机win10，可以干点事。我在想用teamview连回去了。

wu0lei

建议上tailscale 或者内网跑个rustdesk中继

inSeek

aikgogo 发表于 2022-12-16 13:55
方便回家搞东西。。。。。。。

如果只是家用，那么真的要想清楚，是否真的有 人在外时远程回家里操控ESXI 这种需求。
把家用服务公开到外网然后boom了的，不少见的。

如果想稍安全些，那就搞个跳板机，但跳板机的系统本身也可能存在0day的bug，然后boom你跳板机，跳板机上esxi密码弄不好还是存浏览器的，然后继续boom...

weston

aikgogo 发表于 2022-12-16 14:01
就是回去访问虚拟机win10，可以干点事。我在想用teamview连回去了。

你已经有公网IP了，直接开个端口转发到虚拟机3389端口上，直接远程链接不就可以了嘛，虚拟机上把administrator用户改个名字，设复杂的密码，把guest用户停用，补丁啥打好，基本上就可以了

inSeek

aikgogo 发表于 2022-12-16 14:01
就是回去访问虚拟机win10，可以干点事。我在想用teamview连回去了。

如果你就只是为了远程操作Windows的话，没必要用ESXI的控制台啊...
装个向日葵、todesk就行啊

aikgogo

inSeek 发表于 2022-12-16 14:11
如果你就只是为了远程操作Windows的话，没必要用ESXI的控制台啊...
装个向日葵、todesk就行啊 ...

谢谢大佬，这就是去把esxi的端口停掉，不转发到公网了，太危险了。

wu0lei

weston 发表于 2022-12-16 14:10
你已经有公网IP了，直接开个端口转发到虚拟机3389端口上，直接远程链接不就可以了嘛，虚拟机上把administ ...

3389还是不要对外公布的好  改了端口号也没用

高子

用zerotier，路由器能装客户端的话，所有的设备都能组成大局域网，相当方便，还安全。

weston

wu0lei 发表于 2022-12-16 14:21
3389还是不要对外公布的好  改了端口号也没用

扫还是会被扫，但是进不了系统也没折啊，不过貌似不符合楼主的需求

FrozenSky

1. 既然有公网IP，家里搭个V*N，在外面连回家里解决。
2. 用公钥私钥认证的方式代替密码来登录ssh。
3. 端口敲门。服务器上监听一个不重要的端口D，收到请求指令后打开服务器443端口。用完再发指令关闭443。

霏凡公子

我的做法是，暂时停止esxi端口转发，需要远程esxi的时候，再去软路由里开启esxi端口转发，或者直接去esxi的win10虚拟机进入内网搞，esxi直接映射到公网真的有些玩火自焚

yugu91

openwrt开ssh，关闭帐户密码登陆改用密钥登陆，
需要用的时候，本地通过ssh端口进行转发：
ssh -ND 本地端口随意:esxiip:443 root@openwrt

浏览器访问 https://127.0.0.1:本地端口

简单点就是esxi安装zerotier内网穿透，需要openwrt有upnp

qbenny

设置反向代理

老饭

weston 发表于 2022-12-16 14:10
你已经有公网IP了，直接开个端口转发到虚拟机3389端口上，直接远程链接不就可以了嘛，虚拟机上把administ ...

3389死的更快

normanlu

我pve开TFA和https，默认8006端口暴露在公网，几年了，还没出过问题。

lovest

家里内网还清净，直接frpc用https连。
公司的几台服务器之前改administrator 端口 加强密码，还是天天被扫，
现在直接再内网的网关上跑个rustdesk服务端，服务器全部取消外网连接，这样才没天天被扫的烦心事。
如果数量不多-其实frp stcp连也可以。

weston

老饭 发表于 2022-12-16 15:58
3389死的更快

这样搞了两年了，还没歇菜，虽然被扫，但是破不进来

zogljc

用zerotier啊

港城钢铁侠

ESXI直接映射到公网，楼主胆子够大的，映射个下挂的虚拟机还行，建议还是走内网穿透吧。