VMware ESXi sunucular için önceden tanımlanmış ve sistem gereksinimlere sahip bir parola kullanmanız gerekecektir. Security.PasswordQualityControl gelişmiş seçeneğini kullanarak gerekli uzunluk ve karakter sınıfı gereksinimini değiştirebilir veya parola ifadelerine izin verebilirsiniz. Security.PasswordHistory gelişmiş seçeneğini kullanarak her kullanıcı için hatırlanacak parola sayısını da ayarlayabilirsiniz.
VMware ESXi parolaları için varsayılan gereksinimler bir sürümden diğerine değişiklik gösterebilir. Security.PasswordQualityControl gelişmiş seçeneğini kullanarak varsayılan parola kısıtlamalarını kontrol edebilir ve değiştirebilirsiniz.
VMware ESXi sunucularının barındırıldığı ortamınızın genel siber güvenliği söz konusu olduğunda parola gereksinimlerinin yapılandırılması son derece önemlidir. VMware vSphere çoğu modern parola gereksinimlerini destekleyecek yapılandırma yeteneklerine sahiptir. VMware ESXi söz konusu olduğunda birkaç gelişmiş yapılandırma ayarı ile VMware ESXi şifreleri ve hesap kilitleme davranışı belirleyebiliriz.
VMware ESXi parola ve hesap kilitleme yapılandırmasına bir göz atalım ve hangi ayarların değiştirilebileceğini ve bunun nasıl yapılabileceğini görelim.
VMware ESXi parolası ve hesap kilitleme
VMware ESXi ile aşağıdakilerle ilgili olarak önceden tanımlanmış gereksinimleri değiştirebilirsiniz;
- Account lock failure attempts -> Hesap kilitleme başarısız denemeleri
- Account unlock time -> Hesap açma süresi
- Password history -> Şifre geçmişi
- Password max number of days -> Şifre maksimum gün sayısı
- Password quality control -> Şifre kalite kontrolü
- SSH sessions limit -> SSH oturum sınırı
Aşağıda ekran görüntüsünde de görebileceğiniz gibi bir ESXi sunucusu için Advanced System Settings, belirli parola gereksinimlerini tanımlayan çeşitli güvenlik ayarlarını tanımlar. Burada ESXi kurulumu ile yapılandırılan varsayılan ayarlar yer almaktadır.
Bunları vCenter Server’a bağlı ESXi sunucularını vSphere Client kontrol ediyorsanız, Host -> Configure -> System -> Advanced System Settings ‘e gidin ve security kelimesini kullanarak bir arama yapınız.
Aşağıdaki ekran görüntüsünde aynı ESXi sunucuna ait, VMware Host Client’de oturum açmış bir ekran görüntüsü bulunmaktadır. Bu ekran görüntüsünde de gördüğünüz gibi VMware Host Client’tan listelenen aynı ayarlara sahipsiniz.
VMware firması bir ESXi sürümünden diğerine ESXi parolaları için parola gereksinimlerine dikkat edilmesi gerektiğini özellikle vurgular. Bu varsayılanlar her sürüm arasında VMware tarafından uygulanan daha da geliştirilmiş kullanıma hazır güvenlik ince ayarları nedeniyle sürümler arasında değişiklik gösterecektir.
VMware ESXi Parolaları ve Şifre Zorlama Politikası
VMware ESXi, Direct Console User Interface (DCUI), ESXi Shell, SSH veya VMware Host Client’tan erişim için parola gereksinimlerini zorunlu kılar.
- Varsayılan olarak, aşağıdaki dört karakter sınıfından en az üçünün bir karışımını eklemelisiniz bir parola oluşturduğunuzda küçük harfler, büyük harfler, sayılar ve alt çizgi veya kısa çizgi gibi özel karakterler olmak zorundadır.
- Varsayılan olarak parola uzunluğu en az 7 karakterdir ve en fazla 40’dan az olmak zorundadır.
- Parolalar bir sözlük sözcüğü veya sözlük sözcüğünün bir bölümünü içermemelidir.
- Parolayı başlatan büyük harfli bir karakter, kullanılan karakter sınıfı sayısına dahil edilmez. Parolayı sonlandıran bir sayı, kullanılan karakter sınıfı sayısına dahil edilmez. Parola içinde kullanılan bir sözlük sözcüğü, genel parola gücünü azaltmaktadır.
- Parolalar varsayılan olarak kullanıma hazır olarak etkinleştirilmemiştir
vSphere Client’de Security.PasswordQulityControl gelişmiş seçeneği parola kullanma yeteneğini tanımlayan özniteliktir.
Aşağıdaki ekran görüntüsünde belirttiğiniz gibi varsayılan Security.PasswordQualityControl ayarı şu şekilde yapılandırılmıştır.
retry=3 min=disabled,disabled,disabled, 7,7Bu yapılandırma ile, yeterince güçlü olmayan yeni bir parola için veya parola iki kez doğru girilmemişse, kullanıcıdan en fazla üç kez (retry=3) girişimi istenir. İlk üç öğe devre dışı bırakıldığından bir veya iki karakter sınıfına ve geçiş ifadelerine sahip parolalara izin verilmez. Üç ve dört karakterlik sınıflardan parolalar için yedi karakter gerekir. Bu ayarlarla aşağıdaki şifrelere izin verilir.
- xQaTEhb!: Üç karakter sınıfından sekiz karakter içerir.
- xQaT3#A: Dört karakter sınıfından yedi karakter içerir.
Aşağıdaki parola adayları gereksinimleri karşılamıyor.
- Xqat3hi: Etkili karakter sınıfı sayısını ikiye indirerek büyük harfle başlar. Minimum gerekli karakter sınıfı sayısı üçtür.
- xQaTEh2: Etkili karakter sınıfı sayısını ikiye indirerek bir sayı ile biter. Minimum gerekli karakter sınıfı sayısı üçtür.
VMware ESXi Parola yapılandırması
Birçok kuruluş bir insanın hatırlayabileceği ve etkili bir şekilde kullanabileceği parolalar üretmede daha etkili olduğu için parolaları kullanmaya yöneliyor. Parolaların güçleri karmaşıklıklarından değil, parolanın uzunluğundan gelir. Parola ilkelerinin parolalar gibi daha yeni tekniklerle uyumlu hale getirilmesinin bir parçası olarak ESXi parola güvenliğinin bir parçası olarak parolaları etkinleştirmeyi seçebilir.
Yine bu işlem için de Security.PasswordQualityControl gelişmiş sistem ayarı tarafından kontrol edilir. Örnek olarak, aşağıdakilerle karakterize edilen bir parolayı etkinleştirebilirsiniz:
retry=3 min=disabled,disabled,16,7,7Bu yapılandırma örneği ile; en az 16 karakter ve en az üç kelimeden oluşan geçiş ifadelerine izin verir.
Security.PasswordQualityControl gelişmiş seçeneği ile varsayılan parola veya parola ayarlarını değiştirmek için aşağıdaki örnek doğrultusunda değiştirilebiliriz. Böylece varsayılanı en az 15 karakter ve en az dört sözcük (passphrase=4) gerektirecek şekilde aşağıdaki gibi değiştirebilirsiniz.
retry=3 min=disabled,disabled,15,7,7 passphrase=4VMware ESXi Hesap Kilitleme Yapılandırması
VMware ESXi işletim sisteminde Account Lockout Policy, VMware ESXi sunucularının güvenliğini artırmanın harika bir yoludur. Bir saldırganın ESXi sunucusuna karşı denenen hatalı parola sayısında herhangi bir sınırlama olmamasını engeller. Bunun yerine hesap kilitleme ile yapılandırılan sayıda hatalı parola denemesinden sonra hesap kilitlenir yani doğru parola kullanılsa bile hesapta oturum açılamaz.
VMware ESXi ile, SSH ve vSphere Web Services SDK üzerinden erişim için hesap kilitleme davranışı desteklenir. Ancak ESXi DCUI arayüzünden ve ESXi shell ile yapılan hatalı girişimlerde hesap kilitleme ilkesi kontrol edilmez.
Varsayılan ayarlarda ESXi Account Lockout Policy aşağıdakileri kapsar;
- En fazla 5 hatalı şifre denemesi,
- Hesap 15 dakika kilitlenir.
VMware ESXi’da hesap kilitleme davranışını yapılandırmak için aşağıdaki gelişmiş sistem ayarlarını kullanabilirsiniz.
- Security.AccountLockFailures. Bir kullanıcının hesabı kilitlenmeden önce maksimum başarısız oturum açma denemesi sayısı. Buradaki sıfır (0) hesap kilitlemeyi devre dışı bırakır.
- Security.AccountUnlockTime. Bu seçenek Security.AccountLockFailures yapılandırmasında yapılandırılan hatalı parola girişimleri eşiğine ulaşılması nedeniyle hesabın kilitlendiği saniye sayısını tanımlar.
- Security.PasswordHistory. Her kullanıcı için hatırlanması gereken parola sayısı. Buradaki sıfır (0) parola geçmişini devre dışı bırakır.