06 AĞ 2020
vSphere 7.0
Lockdown Mode
vSphere 7.0 Lockdown Mode
ESXi host’ un güvenliğini arttırmak için Lockdown mode aktif edilebilir. Lockdown mode’ u ESXi host’ a doğrudan erişimi kesmek olarak tanımlayabiliriz. Lockdown mode’ un 2 tipi vardır;
1.Normal Lockdown Mode : ESXi host’ a Direct Console User Interface (DCUI) ve vCenter Server (vSphere Client) üzerinden erişilebilir. DCUI servisi enable durumdadır. Eğer vCenter Server ile olan bağlantı koparsa (vSphere Client’ a erişilemezse), privilege kullanıcılar DCUI’ ya girip Lockdown mode’ u kapatabilir. DCUI’ ye giriş yapabilecek privilege kullanıcılar şunlardır:
- Exception User listesinde yer alan ve ESXi host üzerinde Administrator yetkisine sahip olan kullanıcılar. Exception User listesine eklenen kullanıcı Administrator yetkisine sahip değilse DCUI’ ya erişemez.
- ESXi host üzerinde Advanced System Settings’ de yer alan DCUI.Access’ e eklenen kullanıcılar. DCUI.Access’ e eklenen kullanıcıların Administator yetkisine sahip olması şart değildir.
2.Strict Lockdown Mode : ESXi host’ a yalnızca vCenter Server üzerinden erişilebilir. Direct Console User Interface (DCUI) servisi disable durumdadır. Bu yüzden DCUI’ den ESXi hosta erişilemez.
- ESXi host Strick Lockdown Mode’ da iken vSphere Client’ dan DCUI servisi çalıştırılamaz.
NOT:
- ESXi host, Normal ya da Strict Lockdown Mode’ da iken SSH ya da ESXi Shell servisleri açıksa, bu servislere sadece Exception User listesindeki Administrator yetkisine sahip kullanıcılar erişebilir. Diğer tüm kullanıcılar için bu servisler erişelemez durumdadır (root kullanıcısı Exception User listesine eklenmezse, root kullanıcısı için de bu servisler erişilemez durumdadır).
- Normal ya da Strict Lockdown Mode’ da, Host Client ile ESXi host’ a erişim kapalıdır.
- Lockdown mode Standalone ESXi hostlarda aktif edilemez. Standalone ESXi hostlarda DCUI’ da “Configure Lockdown Mode” seçeneği grayed out olarak görünür. Lockdown mode vCenter Server tarafından yönetilen ESXi hostlarda aktif edilebilir.
SSH ile Lockdown Mode’ u Kapatmak için;
Eğer ESXi host Normal Lockdown Mode’ daysa ve vCenter Server erişilemez durumdaysa, yukarıda belirtilen şartlara uygun kullanıcılar ile DCUI’ ye giriş yapıldıktan sonra Lockdown Mode kapatılabilir. Peki ESXi host Strict Lockdown Mode’ daysa ve vCenter Server erişilemez durumdaysa Lockdown Mode nasıl kapatılabilir? Eğer SSH servisi açıksa ve Exception User listesinde Administrator yetkisine sahip kullanıcı varsa, bu kullanıcı kullanılarak SSH ile ESXi hosta bağlanıldıktan sonra;
- vim-cmd -U dcui vimsvc/auth/lockdown_mode_exit komutu ile Lockdown Mode kapatılabilir.
- vim-cmd -U dcui vimsvc/auth/lockdown_mode_enter komutu ile Normal Lockdown Mode açılabilir.