Maîtriser et sécuriser votre serveur dédié ESXi dès son premier démarrage
3420 vues
09.01.2026 
Cloud / Serveur Dédié (Baremetal)
Objectif
Cette documentation a pour objectif de vous accompagner pour élaborer au mieux la sécurisation de votre système ESXi.
En particulier, ce guide présente comment :
- limiter l'accès à votre ESXi à une adresse IP ou une plage réseau spécifique ;
- désactiver des services augmentant la surface d'attaque de votre serveur.
Nous nous appuierons pour cela sur les fonctions embarquées que propose VMware, mais aussi celles offertes par OVHcloud.
Récemment, les systèmes ESXi ont été victimes d'une faille que des groupes malveillants ont exploitée très rapidement à travers les réseaux publics.
Vous trouverez plus d'informations sur cette attaque dans une FAQ complémentaire.
Rappel des bonnes pratiques de sécurité :
- Mettez à jour régulièrement vos systèmes ESXi.
- Restreignez l’accès aux seules adresses IP de confiance.
- Désactivez les ports ainsi que les services inutilisés.
- Assurez-vous que les accès à vos serveurs ou vos équipements réseaux sont limités, contrôlés et protégés avec des mots de passe robustes.
- Sauvegardez vos données critiques dans des disques externes et des serveurs de backup protégés et isolés d’Internet.
Optionnel :
- Mettez en place des solutions de journalisation nécessaires pour contrôler les évènements survenus sur vos serveurs critiques et vos équipements réseaux.
- Mettez en place des packs de sécurité pour la détection des actions malveillantes, des intrusions (IPS / NIDS) et pour le contrôle de la bande passante de trafic réseau.
Prérequis
- Être connecté à l'espace client OVHcloud.
- Posséder un serveur dédié avec la solution ESXi déployée.
- Avoir souscrit à une offre compatible avec notre fonctionnalité Network Firewall si vous souhaitez l'utiliser pour effectuer le filtrage.
En pratique
La protection anti-intrusion native
Rappel de sa définition et son principe de fonctionnement :
Le système ESXi embarque un mécanisme de sécurité lié au compte administrateur. En effet, en cas de plusieurs tentatives d'accès érronées, le compte administrateur est temporairement vérrouillé. Ce mécanisme permet de protéger votre système et ainsi d'éviter les tentatives de connexions malveillantes.
Si ce système se déclenche et que vous souhaitez vous connecter à votre ESXi immédiatement, il vous faudra déverrouiller manuellement le compte administrateur.
Pour cela, il vous sera nécessaire de redémarrer votre serveur ESXi à travers l'espace client OVHcloud.
Vous pouvez consulter l'historique des logs d'accès dans les fichiers suivants à partir d'un shell SSH :
/var/run/log/vobd.logcontient les logs qui peuvent être utilisés pour la supervision et la résolution de problèmes :
2023-02-13T16:22:22.897Z: [UserLevelCorrelator] 410535559us: [vob.user.account.locked] Remote access for ESXi local user account 'root' has been locked for 900 seconds after 6 failed login attempts.
2023-02-13T16:22:22.897Z: [GenericCorrelator] 410535559us: [vob.user.account.locked] Remote access for ESXi local user account 'root' has been locked for 900 seconds after 6 failed login attempts.
2023-02-13T16:22:22.897Z: [UserLevelCorrelator] 410535867us: [esx.audit.account.locked] Remote access for ESXi local user account 'root' has been locked for 900 seconds after 6 failed login attempts./var/run/log/hostd.logcontient les logs de l'hôte ESXi (tâches, accès à l'interface WEB, etc.) :
2023-02-21T08:44:19.711Z error hostd[2101004] [Originator@6876 sub=Default opID=esxui-d48c-26a4] [module:pam_lsass]pam_do_authenticate: error [login:root][error code:2]
2023-02-21T08:44:19.711Z error hostd[2101004] [Originator@6876 sub=Default opID=esxui-d48c-26a4] [module:pam_lsass]pam_sm_authenticate: failed [error code:2]
2023-02-21T08:44:19.712Z warning hostd[2101004] [Originator@6876 sub=Default opID=esxui-d48c-26a4] Rejected password for user root from xxx.xxx.xxx.xxx
2023-02-21T08:44:19.712Z info hostd[2101004] [Originator@6876 sub=Vimsvc.ha-eventmgr opID=esxui-d48c-26a4] Event 175 : Cannot login root@xxx.xxx.xxx.xxxToutes ces informations sont également disponibles à travers l'interface d'administration web. Cliquez sur le menu Host et accédez à la section Monitor, puis cliquez sur Logs.
La solution Edge Network Firewall
Pour rappel, le Edge Network Firewall n’est pas pris en compte au sein du réseau OVHcloud. Par conséquent, les règles configurées n’affectent pas les connexions provenant de ce réseau interne.
Nous vous proposons d'activer et d'utiliser notre solution de filtrage Edge Network Firewall. Cette solution vous permettra de gérer facilement les accès légitimes, en complément de ceux que vous aurez mis en place à travers votre système ESXi.
Elle vous évitera aussi de verrouiller inopinément votre compte administrateur en cas d'attaque.
Il est donc recommandé de filtrer les accès légitimes de cette manière :
- La règle 1 (Priority 0) autorise des réseaux externes de confiance à accèder à votre système ESXi.
- La règle 2 (Priority 1) bloque tout le reste.
Vous pouvez accéder aux paramètres du Edge Network Firewall depuis l'espace client OVHcloud, en sélectionnant Network, puis en choisissant Adresses IP publiques sous "Réseau public". Vous pouvez retrouver votre serveur dédié en recherchant son adresse IP.
Sur la droite du tableau, cliquez sur le bouton ... correspondant à votre serveur dédié, puis sélectionnez Configurer le Edge Network Firewall.
Le filtrage sous ESXi
Vous avez également la possibilité de filtrer les accès à votre système ESXi grâce au pare-feu intégré. Vous pourrez aussi désactiver les services inutiles, en fonction de votre usage.
La désactivation des services SSH et SLP est fortement conseillée. Si malgré tout, vous continuez à utiliser le service SSH, restreignez au maximum son uilisation et ses accès. Ceci est valable également pour les accès au shell. Ne prévilégiez que le strict nécessaire pour chacun de vos besoins.
Manipulation via l'interface graphique
Dans ESXi 8.0 GA et les versions ultérieures, le service SLP est renforcé, désactivé par défaut et filtré par le pare-feu ESXi. Cela signifie que vous n’avez plus besoin de le désactiver manuellement. Vous trouverez plus d’informations dans cet article officiel du blog VMware
Services
Cliquez sur le menu Host et accédez à la section Manage puis cliquez sur Services.
Trouvez dans la liste le service TSM-SSH et faites un clic droit sur la ligne associée.
Arrêtez le service en cliquant sur Stop :
Selectionnez la Policy puis modifiez-la comme sur l'exemple présenté.
Choisissez l'option Start anc stop manually afin d'éviter que le service ne soit actif au démarrage du serveur.
Appliquez les mêmes paramètres pour le service slpd :
Règles de pare-feu
Cliquez sur le menu Networking puis sur Firewall rules et choisissez Edit settings pour chacun des services à protéger :
Éditez la règle pour n'ajouter que les adresses IP ou les réseaux qui doivent avoir accès à votre système ESXi.
Exemple autorisant uniquement les connexions depuis l'IP 192.168.1.10 :
Manipulation via le shell
Dans ESXi 8.0 GA et les versions ultérieures, le service SLP est renforcé, désactivé par défaut et filtré par le pare-feu ESXi. Cela signifie que vous n’avez plus besoin de le désactiver manuellement. Vous trouverez plus d’informations dans cet article officiel du blog VMware
Services
Désactivez les services inutiles :
- Service SLP
- Service SSH
Vérifiez l'ensemble des services actifs au démarrage :
Règles de pare-feu
Affichez les règles de pare-feu existantes :
Explications sur les modification/ajustement de règle d'accès :
- Le service
vSphereClient: ce service correspond à l'interface WEB d'administration sur le port 443 (HTTPS).- Le service
sshServer: ce service correspond aux accès en SSH sur le port 22.
Exemple avec le service vSphereClient :
Assurez-vous que la règle de pare-feu soit active :
Affichez la liste des IP autorisées pour cette règle :
Résultat :
Ruleset Allowed IP Addresses
------------- --------------------
vSphereClient AllChangez le statut du tag en le désactivant :
Autorisez exclusivement l'adresse IP légitime 192.168.1.10 :
Vérifiez la présence de l'adresse dans la liste d'accès :
Résultat :
Ruleset Allowed IP Addresses
------------- --------------------
vSphereClient 192.168.1.10
Si vous souhaitez malgré tout utiliser le service SSH, nous vous expliquons ici comment mettre en place un accès par clé SSH.
Générez les clés sur la machine devant se connecter au serveur ESXi, l'algorithme ECDSA sur 521 bits est à privilégier pour une sécurité maximale :
L'authentification fonctionne avec une paire de clés : une publique et une autre privée. Ne partagez en aucun cas votre clé privée, celle-ci doit rester sur la machine où elle a été générée.
Exécutez la commande suivante :
Generating public/private ecdsa key pair.
Enter file in which to save the key (/path-to-my-key/key-ecdsa_rsa):Renseignez un mot de passe robuste :
Enter passphrase (empty for no passphrase):
Enter same passphrase again:Seule la clé publique (key-ecdsa.pub) devra être communiquée ou déposée sur les machines auxquelles vous souhaitez vous connecter.
Your identification has been saved in /path-to-my-key/key-ecdsa.
Your public key has been saved in /path-to-my-key/key-ecdsa.pub.
The key fingerprint is:
SHA256:******************************************* key-ecdsa-esxi-hostTransférez la clé publique vers votre hôte ESXi pour qu'elle puisse être déclarée comme étant de confiance :
Aller plus loin
Vous pourrez trouver encore plus de détails sur les bonnes pratiques de sécurité dans ce guide proposé par VMware.
Échangez avec notre communauté d'utilisateurs.
Sécuriser un serveur dédié
44726