Tagged: ESXCLI

ESXi Comptes par défaut

ESXi Comptes par défaut : l’hyperviseur VMware ESXi est déployé avec deux comptes intégrés, root et dcui, et lorsqu’il est géré avec VMware vCenter Server, il est généralement activé avec un troisième compte, vpxuser.

Root

Le compte root est créé lors de l’installation. Il est nécessaire pour l’administration et n’est pas supprimable.

Le mot de passe peut être modifié manuellement et via les interfaces utilisateur et les API.

Il n’existe aucune disposition permettant de modifier automatiquement le mot de passe ou d’en assurer la rotation, ni de le gérer en dehors des interfaces utilisateur et des interfaces de programmation du produit.

Le mot de passe n’est pas « par défaut » puisqu’il est spécifié par l’administrateur lors de l’installation.

Le mot de passe est soumis aux paramètres de complexité et d’historique du mot de passe ESXi, tels que Security.PasswordQualityControl.

Le mot de passe est stocké sous la forme d’un hachage SHA512, conformément aux systèmes d’exploitation UNIX.

Un accès administratif équivalent peut être accordé à d’autres comptes ajoutés après l’installation pour une utilisation quotidienne par les administrateurs vSphere, de sorte que des alertes de surveillance des journaux (Log Insight et autres) puissent être créées pour une utilisation directe de ce compte.

Il n’est pas recommandé de désactiver l’accès au shell pour ce compte sur ESXi 8.0.0 ou plus récent.

dcui

Le compte dcui est créé lors de l’installation. Il est nécessaire pour isoler le service de console directe et n’est pas supprimable.

Le mot de passe peut être modifié manuellement et par programme via les interfaces utilisateur et les interfaces de programmation du produit, bien qu’il soit recommandé de le laisser verrouillé.

Il n’existe aucune disposition permettant de modifier automatiquement le mot de passe ou d’effectuer une rotation, ni de le gérer en dehors des interfaces utilisateur et des interfaces de programmation du produit.

Il n’y a pas de mot de passe par défaut. Le compte est verrouillé par la méthode standard UNIX qui consiste à remplacer le mot de passe dans /etc/shadow par une valeur incompatible avec un hachage SHA512 (comme ‘x’ ou ‘!’ ou ‘*’).

Le compte ne devrait pas avoir de mot de passe configuré, mais s’il en avait un, il serait soumis aux paramètres de complexité et d’historique des mots de passe ESXi, tels que Security.PasswordQualityControl.

Le mot de passe, s’il est défini, serait stocké sous la forme d’un hachage SHA512, conformément aux systèmes d’exploitation UNIX et de type UNIX.

Les administrateurs vSphere n’ont aucune raison de se connecter à ESXi de cette manière, en tant que tel, ce compte peut voir son accès au shell supprimé dans ESXi 8.0.0 et les versions plus récentes.

vpxuser

Le compte vpxuser est créé lorsque ESXi est attaché pour la première fois à vCenter Server.

Il est nécessaire pour l’administration par vCenter Server. Pour attacher ESXi à vCenter Server, l’administrateur vSphere fournit des identifiants root ou équivalents. vCenter Server utilise ces identifiants pour créer et sécuriser le compte ‘vpxuser’ et tous les accès ultérieurs de vCenter Server se font par l’intermédiaire de vpxuser.

Le mot de passe peut, mais ne doit pas, être modifié manuellement, car vCenter Server devra être reconnecté, ce qui peut entraîner des problèmes opérationnels et des pannes.

vCenter Server effectuera automatiquement une rotation du mot de passe à un intervalle régi par le paramètre avancé VirtualCenter.VimPasswordExpirationInDays de vCenter Server, mesuré en jours, avec un minimum de 1 et une valeur par défaut de 30 jours.

Le mot de passe généré aléatoirement est composé de 32 caractères utilisant quatre classes de caractères (chiffres, caractères spéciaux, majuscules et minuscules) et ce mot de passe est généré de manière aléatoire pour chaque hôte ESXi.

Le mot de passe est soumis aux paramètres de complexité et d’historique du mot de passe ESXi, tels que Security.PasswordQualityControl.

Le mot de passe est stocké sous la forme d’un hachage SHA512 sur ESXi, conformément aux systèmes d’exploitation UNIX.

Pour permettre la gestion, vCenter Server stocke le mot de passe vpxuser dans un format crypté à l’intérieur de la base de données vCenter Server Appliance.

Ce compte n’est pas supprimable et il n’est pas possible de lui substituer un autre compte.

L’accès au shell peut être supprimé sur ESXi 8.0.0 et les versions plus récentes, mais cela aura un impact sur les capacités de gestion de vCenter Server.

Il n’y a aucune raison pour que les administrateurs vSphere se connectent à ESXi avec ce compte, de sorte que les alertes de surveillance des journaux (Log Insight et autres) peuvent être configurées pour s’alarmer si ce compte est accessible à partir de n’importe quel endroit autre que vCenter Server.

ESXi Comptes par défaut

Mode maintenance via ESXCLI

Certaines opérations d’installation et de mise à jour nécessitent que l’hôte soit en mode maintenance via ESXCLI.

Le mode maintenance est requis lorsqu’une opération de mise à jour nécessite un redémarrage.

Un hôte entre ou sort du mode maintenance uniquement suite à une demande initiée par l’administrateur.

Cependant, vous pouvez mettre l’hôte en mode maintenance via ESXCLI en utilisant la procédure suivante:

  • Vérifiez si l’hôte est en mode maintenance.

esxcli –server=<server_name> system maintenanceMode get

  • Mettez hors tension chaque machine virtuelle exécutée sur l’hôte ESXi.

Vous lister toutes les machines virtuelles en cours d’exécution et récupérer l’ID de chacune d’elles en exécutant la commande suivante.

esxcli –server=<server_name> vm process list

NB : Pour éviter de mettre hors tension les machines virtuelles, vous pouvez également les migrer vers un autre hôte.

Pour arrêter le système d’exploitation, puis éteindre la machine virtuelle

esxcli –server=<server_name> vm process kill –type soft –world-id <vm_ID>

  • Placez l’hôte en mode maintenance

esxcli –server=<server_name> system maintenanceMode set –enable true

Badr Eddine CHAFIQ