Iskustva HR
Back to all articles

Vodič za omogućavanje root SSH pristupa na VMware ESXi poslužiteljima

Uvod u upravljanje VMware ESXi sustavima putem SSH protokola

Virtualizacija je postala temelj moderne IT infrastrukture, a VMware ESXi zauzima vodeću poziciju u tom segmentu. Iako je većina svakodnevnih zadataka administracije pokrivena kroz grafičko sučelje (vSphere Client ili web sučelje), postoje trenuci kada sistemski administrator mora pristupiti samoj jezgri sustava. Izravan pristup putem SSH (Secure Shell) protokola često je neophodan za napredno otklanjanje poteškoća, izravno kopiranje datoteka putem alata poput WinSCP-a ili izvršavanje skripti koje nisu dostupne kroz standardne izbornike.

Prema zadanim postavkama, VMware iz sigurnosnih razloga ograničava ili potpuno onemogućuje izravnu prijavu root korisnika putem SSH-a. U ovom ćemo vodiču proći kroz korake potrebne za aktivaciju ove funkcionalnosti. Važno je naglasiti da, iako je ovo koristan alat, promjene na sistemskoj razini nose određene rizike te se preporučuje provođenje istih samo u kontroliranim okruženjima i uz dobro poznavanje naredbenog retka.

Sigurnosni aspekti i priprema za rad

Prije nego što krenete s izmjenama, važno je razumjeti zašto je root pristup ograničen. Root korisnik ima apsolutne ovlasti nad datotečnim sustavom i konfiguracijom virtualizacijskog hosta. Ako neovlaštena osoba dobije pristup putem SSH-a, može nanijeti nepopravljivu štetu cijeloj virtualnoj infrastrukturi. Stoga, ako omogućite ovu opciju, osigurajte da je pristup zaštićen snažnom lozinkom i, ako je moguće, ograničen na specifične IP adrese unutar vatrozida.

Za izvođenje ovih koraka potrebno je imati fizički ili konzolni pristup poslužitelju (putem iDRAC, ILO ili izravnog monitora). Prijava se obično vrši standardnim korisničkim računom, nakon čega se pomoću naredbe su - prebacujete na root ovlasti. Ako ste već prijavljeni kao root, možete odmah započeti s modifikacijom konfiguracijske datoteke.

Koraci za konfiguraciju SSH pristupa

Proces omogućavanja SSH pristupa zahtijeva uređivanje konfiguracijske datoteke sshd_config. Slijedite ove korake kako biste sigurno izmijenili postavke:

  • Pristup konfiguraciji: Nakon prijave u konzolu, navigirajte do direktorija gdje se nalaze SSH postavke naredbom: cd /etc/ssh.
  • Uređivanje datoteke: Otvorite datoteku sshd_config koristeći ugrađeni uređivač teksta, primjerice nano sshd_config.
  • Izmjena parametra: Unutar datoteke pronađite liniju koja glasi PermitRootLogin. Promijenite njezinu vrijednost u yes. Ako je linija komentirana znakom #, obavezno ga uklonite.
  • Spremanje promjena: Nakon što ste unijeli izmjene, pritisnite CTRL + X za izlaz, a zatim potvrdite spremanje pritiskom na tipku Y (Yes).
  • Ponovno pokretanje servisa: Kako bi promjene stupile na snagu, potrebno je ponovno pokrenuti SSH daemon. To ćete učiniti naredbom: service sshd restart.

Konfiguracija vatrozida (Firewall)

Samo omogućavanje SSH servisa nije dovoljno ako je vatrozid na samom ESXi hostu blokira dolazni promet na portu 22. VMware ESXi dolazi s ugrađenim vatrozidom koji upravlja mrežnim prometom. Da biste omogućili SSH promet, potrebno je propustiti SSH portove kroz vatrozid pomoću naredbi u konzoli:

NaredbaOpis
esxcfg-firewall -e sshServerOtvara ulazni port za SSH pristup poslužitelju.
esxcfg-firewall -e sshClientOmogućuje odlazni SSH promet za klijentske potrebe.

Nakon izvršenja ovih naredbi, vaš bi ESXi poslužitelj trebao prihvaćati SSH veze za root korisnika. Provjerite vezu s udaljenog računala koristeći SSH klijent (poput PuTTY ili terminala na Linux/macOS sustavima) kako biste potvrdili uspješnost konfiguracije.

Česte pogreške i savjeti za održavanje

Jedna od najčešćih pogrešaka je zaboravljanje ponovnog pokretanja SSH servisa nakon izmjene konfiguracijske datoteke. Bez tog koraka, postavke ostaju u memoriji na starim vrijednostima. Također, pazite na sintaksu u datoteci sshd_config; čak i jedan pogrešno upisan znak može spriječiti podizanje SSH servisa. Ako nakon izmjena izgubite pristup, uvijek se možete vratiti na konzolu poslužitelja i ispraviti pogrešku.

Preporučujemo da nakon završetka radova koji su zahtijevali root pristup, ponovno onemogućite PermitRootLogin ako pristup više nije potreban. Ovo je dobra praksa koja smanjuje rizik od napada grubom silom (brute-force) na vašu infrastrukturu. Ako redovito koristite SSH za održavanje, razmislite o korištenju SSH ključeva umjesto lozinki, jer pružaju znatno višu razinu sigurnosti.

Zaključak

Omogućavanje root SSH pristupa na VMware ESXi poslužitelju pruža administratorima moćan alat za dubinsku analizu i upravljanje sustavom. Iako proces zahtijeva tek nekoliko jednostavnih naredbi u konzoli, uvijek treba imati na umu sigurnosne implikacije takve odluke. Pravilnim upravljanjem pristupnim pravima i redovitim održavanjem konfiguracije, osiguravate da vaš virtualizacijski sustav ostane stabilan, siguran i spreman za sve izazove koje pred vas postavlja svakodnevno poslovanje.

Često postavljana pitanja (FAQ)

Mogu li pristupiti ESXi-u bez omogućavanja root pristupa? Da, preporučuje se kreiranje posebnog korisničkog računa s ograničenim ovlastima za svakodnevne zadatke, a root pristup koristiti samo kada je to zaista neophodno.

Što ako pogriješim u konfiguracijskoj datoteci i izgubim pristup? Uvijek možete pristupiti poslužitelju putem fizičke konzole (ili IPMI/iDRAC sučelja) i vratiti originalne postavke datoteke sshd_config.

Je li ovaj postupak isti za sve verzije ESXi-a? Iako su osnovni koncepti slični, novije verzije ESXi-a mogu imati drugačije naredbe za vatrozid ili integrirane sigurnosne mehanizme. Uvijek provjerite dokumentaciju specifičnu za vašu verziju VMware-a.

Odgovori

Vaša adresa e-pošte neće biti objavljena. Obavezna polja su označena sa * (obavezno)