Iskustva HR
Back to all articles

Vodič za omogućavanje root SSH pristupa na VMware ESXi poslužiteljima

Vodič za omogućavanje root SSH pristupa na VMware ESXi poslužiteljima

Upravljanje virtualizacijskom infrastrukturom putem VMware ESXi platforme često zahtijeva naprednu konfiguraciju kako bi se administratorima omogućila puna kontrola nad sustavom. Jedan od čestih zahtjeva, posebno u okruženjima gdje je potrebna brza manipulacija datotekama, automatizacija skripti ili otklanjanje specifičnih poteškoća, jest omogućavanje root SSH pristupa. Iako VMware iz sigurnosnih razloga prema zadanim postavkama onemogućuje izravnu prijavu za korisnika root putem SSH protokola, postoje situacije u kojima je ta funkcija neophodna za rad sistemskih administratora.

U ovom ćemo vodiču proći kroz proces izmjene konfiguracije na razini poslužitelja. Važno je naglasiti da je ovaj postupak namijenjen isključivo naprednim korisnicima. Prije nego što se odlučite za izmjene, potrebno je odvagnuti potencijalne sigurnosne rizike, budući da root račun ima neograničene ovlasti nad cijelim operacijskim sustavom i svim virtualnim strojevima koji se na njemu nalaze.

Sigurnosni aspekti i preporuke prije izmjene

Omogućavanje root pristupa putem SSH-a otvara mogućnost izravnog napada na najosjetljiviji dio vaše infrastrukture. Ako se odlučite na ovaj korak, toplo se preporučuje da pristup bude ograničen na pouzdane lokalne mreže ili zaštićen putem VPN veze. Također, preporučuje se korištenje SSH ključeva za autentifikaciju umjesto klasičnih lozinki, čime se značajno podiže razina zaštite od pokušaja nasilnog pogađanja lozinki (brute-force napada).

Priprema za rad u konzoli

Da biste promijenili postavke SSH pristupa, morate imati izravan pristup konzoli ESX poslužitelja. To možete učiniti putem fizičkog pristupa tipkovnici i monitoru spojenom na fizički poslužitelj ili kroz sučelje za daljinsko upravljanje (poput iDRAC, ILO ili KVM konzole). Kada se prijavite u sustav, uobičajena praksa je korištenje standardnog korisničkog računa s administratorskim ovlastima, a zatim prelazak na root ovlasti pomoću naredbe su -.

Kada ste uspješno pristupili konzoli i osigurali root ovlasti, spremni ste za izmjenu konfiguracijske datoteke SSH poslužitelja. Važno je da tijekom ovog procesa budete oprezni jer pogrešna izmjena u sistemskim datotekama može dovesti do prekida SSH servisa ili nemogućnosti daljinskog upravljanja poslužiteljem.

Uređivanje konfiguracije SSH servisa

Konfiguracijska datoteka koja kontrolira ponašanje SSH demona (sshd) nalazi se u direktoriju /etc/ssh. Slijedite ove korake kako biste uspješno omogućili pristup:

  1. Navigacija do direktorija: Upišite naredbu cd /etc/ssh kako biste se pozicionirali u ispravan direktorij.
  2. Uređivanje datoteke: Upotrijebite tekstualni uređivač, poput alata nano ili vi. Naredbom nano sshd_config otvorit ćete datoteku za izmjenu.
  3. Promjena parametra: Unutar datoteke potražite redak koji počinje s PermitRootLogin. Prema zadanim postavkama, on je vjerojatno postavljen na no ili je komentiran. Promijenite tu vrijednost u yes.
  4. Spremanje izmjena: Ako koristite nano, pritisnite CTRL + X za izlaz, potvrdite izmjene s Y (Yes) i pritisnite Enter.

Ponovno pokretanje servisa i konfiguracija vatrozida

Nakon što ste spremili datoteku, promjene neće odmah stupiti na snagu. Potrebno je ponovno pokrenuti SSH servis kako bi konfiguracija bila učitana. To ćete učiniti izvršavanjem naredbe service sshd restart u konzoli. Ukoliko dobijete potvrdu o uspješnom pokretanju, servis je spreman za rad.

Posljednji, ali ključni korak, jest osigurati da vatrozid (firewall) na ESXi hostu dopušta dolazni promet na SSH portu. U starijim verzijama ESX sustava to se radilo putem naredbi esxcfg-firewall -e sshServer i esxcfg-firewall -e sshClient. U suvremenim verzijama VMware ESXi platforme, to se najčešće konfigurira kroz grafičko sučelje vSphere Clienta (pod sekcijom Security Profile), gdje je potrebno ručno omogućiti SSH uslugu unutar vatrozida.

Zaključak

Omogućavanje root SSH pristupa na ESXi serveru moćan je alat koji administratorima olakšava svakodnevne zadatke. Iako sam postupak nije kompliciran, zahtijeva odgovornost. Uvijek vodite brigu o ažurnosti sustava i pazite da ne ostavljate nepotrebne portove otvorenima prema javnom internetu. Nakon što obavite potrebne radove, razmislite o vraćanju postavke na početnu vrijednost kako biste dodatno osigurali svoju infrastrukturu.

Često postavljana pitanja (FAQ)

Je li sigurno omogućiti root SSH pristup?

Iz sigurnosnih razloga, to nije preporučljivo ako nije nužno. Ako se ipak odlučite na taj korak, osigurajte da je pristup ograničen na sigurnu mrežu i koristite složene zaporke ili SSH ključeve.

Što učiniti ako pogriješim pri uređivanju sshd_config datoteke?

Uvijek napravite sigurnosnu kopiju (backup) konfiguracijske datoteke prije izmjene naredbom cp sshd_config sshd_config.bak. Ako izgubite pristup, morat ćete se spojiti putem fizičke konzole i vratiti izvornu datoteku.

Radi li ovaj postupak na svim verzijama VMware ESXi?

Osnovni koncept je isti, no naredbe za vatrozid i putanje do datoteka mogu se razlikovati u novijim verzijama (npr. ESXi 7.0 ili 8.0). U modernim verzijama sve se češće koristi grafičko sučelje Host Clienta.

Odgovori

Vaša adresa e-pošte neće biti objavljena. Obavezna polja su označena sa * (obavezno)