Upravljanje virtualizacijskim okruženjima zahtijeva preciznost, duboko poznavanje sustava i, povremeno, izravan pristup operacijskom sustavu koji pokreće hipervizor. VMware ESX, kao jedan od temelja moderne virtualizacije, dolazi s nizom sigurnosnih postavki koje su inicijalno konfigurirane kako bi zaštitile integritet sustava. Jedna od tih postavki je onemogućavanje izravnog SSH pristupa za root korisnika. Iako je ova mjera opravdana s aspekta sigurnosti, administratori se često susreću sa situacijama u kojima je takav pristup nužan za naprednu dijagnostiku, prijenos datoteka putem WinSCP-a ili izvršavanje specifičnih skripti koje zahtijevaju najvišu razinu ovlasti.
Zašto je SSH pristup root korisniku inicijalno onemogućen?
Prije nego što prijeđemo na tehničke korake omogućavanja ove značajke, važno je razumjeti zašto VMware, ali i većina modernih Linux distribucija, preferira restriktivni pristup. SSH (Secure Shell) je protokol koji omogućuje kriptiranu komunikaciju s udaljenim poslužiteljem. Ako bi napadač uspio probiti lozinku root korisnika putem SSH-a, imao bi potpunu kontrolu nad cijelim hipervizorom, a time i nad svim virtualnim strojevima koji se na njemu nalaze.
Standardna praksa u ESX okruženju je prijava putem običnog korisničkog računa koji je kreiran tijekom instalacije, nakon čega se koristi naredba su - (switch user) za prelazak u root domenu. Ipak, za automatizirane alate i određene administrativne zadatke, izravna prijava je ponekad neizbježna. U nastavku donosimo detaljan postupak kako to učiniti na siguran način na ESX 4.0 i sličnim sustavima.
Preduvjeti za rad na ESX konzoli
Da biste uopće mogli mijenjati konfiguracijske datoteke sustava, morate imati fizički ili udaljeni pristup konzoli (npr. putem iLO, iDRAC ili vSphere Client konzole). Budući da SSH još nije aktivan za root korisnika, nećete se moći spojiti udaljeno koristeći alate poput Putty-ja dok ne završite ovaj postupak.
- Administrativne ovlasti: Morate znati lozinku za root korisnika ili imati korisnika s ovlastima unutar sudoers grupe.
- Poznavanje uređivača teksta: U ovom vodiču koristit ćemo nano, ali iskusniji korisnici mogu koristiti i vi.
- Mrežna povezanost: Osigurajte da je mrežna kartica poslužitelja ispravno konfigurirana kako bi prihvatila dolazne veze na portu 22 nakon što otvorite pristup.
Korak po korak: Omogućavanje root prijave
Postupak se sastoji od modifikacije datoteke koja upravlja radom SSH servisa (sshd). Slijedite ove korake pažljivo kako ne biste narušili stabilnost sustava.
1. Navigacija do konfiguracijskog direktorija
Nakon što se prijavite na konzolu poslužitelja kao root, prvi korak je ulazak u direktorij gdje se nalaze konfiguracijske datoteke za SSH. Unesite sljedeću naredbu:
cd /etc/ssh
Ovaj direktorij sadrži ključeve hosta i glavnu konfiguracijsku datoteku sshd_config. Preporučuje se napraviti sigurnosnu kopiju datoteke prije bilo kakvih izmjena naredbom cp sshd_config sshd_config.bak.
2. Uređivanje sshd_config datoteke
Sada je potrebno otvoriti datoteku u tekstualnom editoru. Koristit ćemo nano jer je intuitivan za većinu korisnika:
nano sshd_config
Unutar datoteke potražite liniju koja glasi: PermitRootLogin no. Pomoću tipki sa strelicama dođite do te linije i promijenite “no” u “yes”. Time izričito dopuštate SSH servisu da prihvati root vjerodajnice prilikom prijave.
Nakon što ste unijeli promjenu, pritisnite CTRL + X, zatim potvrdite spremanje pritiskom na Y i na kraju pritisnite Enter za izlaz.
3. Ponovno pokretanje SSH servisa
Promjene u konfiguracijskoj datoteci neće postati aktivne sve dok se servis ponovno ne pokrene. To činite naredbom:
service sshd restart
Ako sustav ne javi nikakvu pogrešku, servis je uspješno učitao nove postavke i sada je spreman za prihvaćanje veza.
Konfiguracija vatrozida (Firewall)
Čak i ako je SSH servis ispravno konfiguriran, ESX poslužitelji često imaju ugrađeni vatrozid koji blokira promet na određenim portovima. Kako biste osigurali nesmetanu komunikaciju, potrebno je omogućiti SSH klijent i poslužitelj unutar firewall pravila.
Izvršite sljedeće dvije naredbe u konzoli:
esxcfg-firewall -e sshServer– omogućuje dolazni promet prema vašem ESX serveru.esxcfg-firewall -e sshClient– omogućuje vašem ESX serveru da inicira SSH veze prema vanjskim strojevima (korisno za migracije podataka).
Sigurnosne preporuke i najbolje prakse
Iako ste sada uspješno omogućili pristup, važno je naglasiti da ostavljanje root SSH pristupa stalno otvorenim predstavlja rizik. Razmotrite sljedeće savjete za poboljšanje sigurnosti:
| Mjera opreza | Opis |
|---|---|
| Ograničavanje IP adresa | Konfigurirajte vatrozid tako da dopušta SSH pristup samo s određenih administrativnih IP adresa. |
| Korištenje SSH ključeva | Umjesto lozinke, koristite par javnog i privatnog ključa za autentifikaciju. To je znatno sigurnija metoda. |
| Privremeno omogućavanje | Omogućite root SSH samo kada obavljate održavanje, a nakon završetka vratite postavku na “no”. |
| Snažne lozinke | Osigurajte da root lozinka ima visoku kompleksnost (velika i mala slova, brojevi, simboli). |
Često postavljana pitanja (FAQ)
Mogu li se spojiti putem WinSCP-a nakon ovih koraka?
Da, WinSCP koristi SFTP ili SCP protokol koji se oslanja na SSH. Nakon što ste u sshd_config datoteci postavili PermitRootLogin yes i restartali servis, WinSCP će se moći uspješno spojiti koristeći root korisničko ime i lozinku.
Što ako naredba ‘nano’ nije instalirana?
U starijim verzijama ESX-a ili minimalnim instalacijama, nano možda neće biti dostupan. U tom slučaju upotrijebite vi sshd_config. U vi editoru pritisnite tipku i za unos teksta, promijenite vrijednost, pritisnite Esc, te utipkajte :wq i pritisnite Enter za spremanje i izlaz.
Vrijedi li ovaj postupak za novije verzije ESXi-ja?
Kod novijih verzija VMware ESXi-ja (6.x, 7.x, 8.x), SSH se obično omogućuje putem vSphere Web Clienta ili direktne konzole (DCUI) pod opcijom “Troubleshooting Options”. Iako je princip uređivanja datoteka isti, preporučuje se korištenje službenog sučelja za upravljanje servisima.
Zaključak
Omogućavanje izravnog root pristupa putem SSH-a na ESX poslužitelju moćan je alat u rukama administratora, ali sa sobom nosi i odgovornost. Kroz ovaj smo vodič prošli kroz cijeli proces – od navigacije kroz datotečni sustav, preko uređivanja konfiguracije, pa sve do podešavanja vatrozida. Uvijek imajte na umu da je sigurnost primarni cilj svakog stabilnog sustava, stoga ove ovlasti koristite mudro i samo u situacijama kada je to doista potrebno za operativnu učinkovitost vašeg virtualizacijskog centra.