Tagged: VMware vSphere

VMSA-2022-0001

Le 04 janvier, VMware a publié l’avis de sécurité (security advisory) VMSA-2022-0001 pour une vulnérabilité de débordement de tas  »Heap-Overflow » qui affecte plusieurs produits VMware.

VMSA-2022-0001

Cette vulnérabilité permet à un attaquant de provoquer l’exécution de code arbitraire à distance.

VMware déclare qu’un acteur malveillant ayant accès à une machine virtuelle avec une émulation de périphérique de CD-ROM peut être en mesure d’exploiter cette vulnérabilité pour exécuter du code sur l’hyperviseur à partir d’une machine virtuelle.

L’exploitation réussie de CVE-2021-22045 par un acteur malveillant peut entraîner :

  • L’exécution de code arbitraire non autorisé.
  • La possibilité de contourner les mécanismes de protection.
  • La modification de la mémoire.
  • Une possible perte de service, donc un plantage (crash) du système.

Produits Concernés

ProduitsVersions
VMware ESXi6.5, 6.7 et 7.0
VMware Workstation16.x
VMware Fusion12.x
VMware Cloud Foundation3.x et 4.x

Actions Correctives

VMware a investigué sur CVE-2021-22045 et a déterminé que la possibilité d’exploitation peut être supprimée en appliquant les étapes décrites au niveau solution de contournement « Workarounds » publié sur l’avis de sécurité VMSA-2022-0001.

Cette solution de contournement est censée être une solution temporaire jusqu’à ce que les mises à jour documentées dans VMSA-2022-0001 puissent être déployées.

Veuillez noter que cette vulnérabilité peut être temporairement corrigée en désactivant les lecteurs de CD-ROM sur toutes les machines virtuelles.

vSphere Diagnostic Tool

vSphere Diagnostic Tool est un script python qui exécute des commandes de diagnostic au niveau vCenter Server.

Cet utilitaire vous permet d’effectuer plusieurs tests et d’obtenir un résultat détaillé.

Le but est de vérifier le niveau de conformité des éléments importants de votre environnement vSphere et de rectifier les écarts.

vSphere Diagnostic Tool a déjà été testé par un groupe sélectionné au sein du support VMware pour aider à rechercher des anomalies et à fournir des informations à l’équipe produit vSphere.

Vérifications

L’outil est actuellement un ensemble de scripts python et bash autonomes qui peuvent effectuer les tests et vérifications suivants :

  • Informations de base vCenter
  • Lookup Service Check
  • AD
  • Certificat vCenter
  • Fichier de base (Core File)
  • Disque
  • DNS vCenter
  • NTP vCenter
  • Port vCenter
  • Compte Root
  • Services vCenter
  • VCHA

L’équipe de développement continuera d’ajouter de nouvelles fonctionnalités et vérifications.

Leur objectif à long terme est de rendre cet outil disponible dans tous les produits VMware actuels et futurs avec les appliances PhotonOS ainsi que ESXi.

Prérequis

vCenter Server Appliance 6.5 ou version ultérieure.

Procédure d’exécution

  • Télécharger le fichier ZIP à partir du lien : URL
  • Transférer le fichier ZIP sur le vCenter à analyser via WinSCP.
  • Décompresser le zip :

$ unzip vdt-version_number.zip

  • Accéder au dossier décompresser, ensuite, exécuter la commande suivante :

$ python vdt.py

L’outil vous demandera le mot de passe.
NB : de nombreuses vérifications seront effectuées même si les informations d’identification ne sont pas fournies.

Installing and running vSphere Diagnostic Tool

Pour plus de détails, veuillez consulter le lien suivant : URL

vSphere 7.0 Update 3 : Problèmes critiques

Certains clients ont rencontré des problèmes lors de la mise à niveau de leurs environnements vers vSphere 7.0 Update 3.

Après un examen attentif, VMware a supprimé la version ESXi 7 Update 3 du site officiel de téléchargement de produits.

Les versions récemment supprimées de vSphere 7.0 Update 3 :

  • vSphere ESXi 7.0 Update 3    (build 18644231)
  • vSphere ESXi 7.0 Update 3a  (build 18825058)
  • vSphere ESXi 7.0 Update 3b  (build 18905247)
  • vSphere vCenter 7.0 Update 3b (build 18901211)

Cette décision vise à protéger les clients contre les défaillances potentielles pouvant survenir lors de la mise à niveau vers ESXi 7 Update 3.

Bien que cela n’affecte qu’un nombre limité de clients, une fois les problèmes résolus dans ESXi 7 Update 3, les clients VMware seront informés qu’ils peuvent reprendre les mises à niveau vers ESXi 7 Update 3.

A noter que la version de VMware vCenter Server 7 Update 3 reste stable et disponible, donc pas impactée.

Les clients peuvent continuer à télécharger et mettre à niveau vers cette dernière version de vCenter Server.

Pour les clients qui ont déjà mis à niveau avec succès vers ESXi 7 Update 3, vous pouvez rester sur cette version et bénéficier d’une prise en charge complète (Full Support) de VMware.

Le problème est que les modifications apportées au pilote VIB ont provoqué des collisions de noms dans ESXi, entraînant des échecs de mise à niveau et des échecs de haute disponibilité associés.

Pour plus de détails:

VMware Tools – UpgradeAtPowerCycle

UpgradeAtPowerCycle est une option qui permet la mise à niveau de VMware Tools automatiquement au démarrage/redémarrage d’une machine virtuelle.

L’activation de cette option permet d’automatiser l’exécution de deux tâches lors du démarrage de vos machines :

  1. Vérification de l’état de VMware Tools.
  2. Mise à jour de VMware Tools (si nécessaire).

Dans de nombreux cas et selon le système d’exploitation de la machine, cela peut entraîner un redémarrage supplémentaire une fois l’installation terminée.

Pour plus de précision, depuis Windows Server 2016, VMware Tools n’a plus besoin d’un redémarrage lors de la mise à niveau.

Vous pouvez activer UpgradeAtPowerCycle dans les paramètres avancés de la machine virtuelle via vSphere Client, plus précisément dans Options VM.

Paramètres VM

Parlons automatisation et PowerCLI 👨‍💻😉

Voyons donc comment vous pouvez vérifier l’état de cette fonctionnalité à l’échelle d’une grande plateforme via une seule commande à l’aide du PowerCLI.

Get-Datacenter -name « DC NAME » | Get-VM | Get-View | select name,@{N=’ToolsUpgradePolicy’;E={$_.Config.Tools.ToolsUpgradePolicy } } |Sort Name

Etat UpgradeAtPowerCycle

Vu que nous avons identifié les machines virtuelles pour lesquelles cette fonctionnalité n’est pas activée.

Après cela, vous pouvez activer cette option en ligne de commande PowerCLI :

  • Activer l’option pour une VM spécifique

Set-vmToolsPolicy -vm MyVmName –ToolsUpgradePolicy UpgradeAtPowerCycle

  • Activer/configurer l’option pour toutes les VMs

Get-VM | Set-vmToolsPolicy -ToolsUpgradePolicy UpgradeAtPowerCycle

Articles Liés 🔗 :

vSphere Mobile Client

vSphere Mobile Client permet aux administrateurs de surveiller et de gérer l’infrastructure vSphere directement depuis un appareil mobile (smartphone ou tablette).

À l’aide de cette application, les administrateurs peuvent se connecter à vCenter Server, sélectionner, gérer et à surveiller des elements d’inventaire, telles que les machines virtuelles.

Fonctionnalités

Le client mobile vSphere fournit les fonctionnalités suivantes pour les administrateurs vSphere en déplacement :

Vue d’ensemble des machines virtuelles

Examinez l’état de vos machines virtuelles, y compris l’état (activé/désactivé), l’utilisation des ressources, les informations de configuration et les graphiques de performances.

Gestion des machines virtuelles 

Modifiez l’état d’alimentation d’une machine virtuelle.

Surveillance des tâches

Abonnez-vous à n’importe quelle tâche en cours et recevez une notification sur votre appareil mobile lorsque la tâche est terminée.

Graphiques de performances

Surveillez l’utilisation des ressources d’une machine virtuelle en temps réel, sur une journée, une semaine, un mois ou un an.
Les compteurs incluent le processeur, la mémoire, le stockage et le réseau.

Remarques

  • L’application VMware vSphere Mobile a été testée sur vCenter Server version 6.0 (et versions ultérieures).
  • vSphere Mobile Client est compatible avec les versions Android 4.4 (KitKat) et ultérieures.
  • L’accès à l’infrastructure vSphere peut nécessiter une méthode d’accès sécurisée telle qu’un VPN sur un appareil mobile.

Démonstration

YouTube player

Téléchargement

Vous pouvez télécharger vSphere Mobile Client sur vos appareils Android et iOS

  • Android
Android vSphere Mobile Client
  • iOS
iOS vSphere Mobile Client

Pour plus de détails, veuillez consulter le lien suivant : URL

Mise à niveau VMware Tools – PowerCLI

Maintenant que nous avons identifié les machines virtuelles nécessitent une mise à niveau VMware Tools.

Pour information, l’identification des VMs a été faite dans notre article précédent : Etat VMware Tools.

Vous pouvez effectuer la mise à niveau de VMtools, via deux méthodes :

ou

  • PowerCLI (méthodes que je vous recommande 👌), en utilisant les commandes suivantes :

Veuillez noter que ces commandes vous permettent de mettre à niveau VMware Tools sans redémarrer les machines virtuelles via le paramètre [-NoReboot]

  1. Mise à niveau VMware tools pour les machines avec version obsolètes

Get-Datacenter -name « DC Name » | Get-VM | % { get-view $_.id } |Where-Object {$_.Guest.ToolsVersionStatus -like « guestToolsNeedUpgrade »} |select name, @{Name=“ToolsVersion”; Expression={$_.config.tools.toolsversion}}, @{ Name=“ToolStatus”; Expression={$_.Guest.ToolsVersionStatus}}| Update-Tools -NoReboot -VM {$_.Name} -Verbose

  1. Mise à jour/installation VMware tools pour les machines sans VMtools

Get-Datacenter -name « DC Name » | Get-VM | % { get-view $_.id } |Where-Object {$_.Guest.ToolsVersionStatus -like  » guestToolsNotInstalled »} |select name, @{Name=“ToolsVersion”; Expression={$_.config.tools.toolsversion}}, @{ Name=“ToolStatus”; Expression={$_.Guest.ToolsVersionStatus}}| Update-Tools -NoReboot -VM {$_.Name} -Verbose

Articles Liés :

Mise à niveau VMware Tools : www.badreddinechafiq.website

KMS : Configuration KeyControl

Cet article décrit les étapes de Configuration KeyControl en tant cluster Key Management Server (KMS) de deux nœuds.

Configuration de la première Appliance KeyControl

  1. Lancez votre navigateur Web et accédez à l’adresse IP ou au nom de domaine complet (FQDN) de l’appliance KeyControl, puis utilisez les informations d’identifications suivantes pour vous connecter :
    • Nom d’utilisateur : secroot
    • Mot de passe : secroot
Ecran de connexion KeyControl
ECRAN DE CONNEXION KEYCONTROL
  1. Une fois connecté, lisez et acceptez la licence en cliquant sur J’accepte.
Licence KeyControl
Licence
  1. Puisqu’il s’agit du premier nœud KeyControl, cliquez sur Continue as a Standalone Node.
Bienvenue sur KeyControl
BIENVENUE SUR L’ÉCRAN KEYCONTROL
  1. Entrez un nouveau mot de passe pour le compte secroot, en veillant à suivre les règles de complexité du mot de passe, puis cliquez sur Update Password.
Mot de passe KeyControl
CHANGER LE MOT DE PASSE
  1. Configurez les paramètres de votre adresse e-mail et de votre serveur de messagerie.

Je vous déconseille de désactiver les notifications par e-mail.

Mail Server Configuration KeyControl
EMAIL ET DE SERVEUR DE MESSAGERIE
  1. Il s’agit d’une étape cruciale, veuillez télécharger et conserver la clé dans un endroit sûr et mémorable

Je tiens à souligner que si vous souhaitez effectuer une récupération de l’appliance, vous devez disposer de cette clé, sinon, comme l’indique le texte, vous risquez de perdre vos données (clés de cryptage).

Key Admin KeyControl
Key Admin
  1.  Cliquez sur Continue pour Vitals Reporting.
Vitals Reporting KeyControl
Vitals Reporting

Félicitations 👏, vous avez terminé avec succès la configuration du premier nœud du cluster.

KeyControl Web

Deuxième Appliance KeyControl

  1. Lancez un navigateur Web et accédez à l’adresse IP ou au nom de domaine complet (FQDN) du deuxième Appliance, puis utilisez le même compte pour vous connecter :
    • Nom d’utilisateur : secroot
    • Mot de passe : secroot
  1. Une fois connecté, lisez et acceptez la licence en cliquant sur J’accepte.
  1. Cliquez sur Join an Existing Cluster.
Bienvenue KeyControl
Join an Existing Cluster
  1. Vérifiez les informations et cliquez sur Continue.
Get Started
  1. Cliquez sur Generate and Download CSR, puis sur Continue
Download CSR
GÉNÉRER ET TÉLÉCHARGER CSR
  1. A cette étape, vous devez ouvrir une nouvelle fenêtre de navigateur et vous connecter au premier nœud KeyControl.

NB: Ne cliquez pas sur le bouton Continuer sur cet écran ! (laisser cette fenêtre ouverte)

Join Existing Cluster KeyControl
AJOUT NŒUD
  1. Une fois connecté au premier nœud KeyControl, cliquez sur Cluster dans le menu du haut.

Ensuite, cliquez sur Actions et sélectionnez Add a Node.

Ajout Node
AJOUT NŒUD
  1. Cliquez sur le bouton Load File et sélectionnez le fichier .csr de l’étape 5.

Ensuite, saisissez une Passphrase d’au moins 12 caractères.

Cliquez sur Save and Download Bundle, un fichier zip sera télécharger dans votre ordinateur.

Le fichier zip contient à la fois un certificat SSL crypté au format .p12 et un certificat CA au format .pem.

Charger la CSR
CHARGER LA CSR
  1. Cliquez sur OK et revenez à la fenêtre du navigateur du deuxième nœud, que nous avons déjà laissée ouverte (étape 6).
Basculer vers le premier nœud
BASCULER VERS LE PREMIER NŒUD
  1. Maintenant, vous pouvez cliquer sur le bouton Continuer sur cet écran.
CLIQUEZ SUR CONTINUER
  1. sélectionnez le certificat SSL et le certificat CA et cliquez sur le bouton Upload File, puis saisissez la Passphrase que vous avez créée à l’étape 9.

Cliquez sur Join.

Télécharger des certificats
TÉLÉCHARGER DES CERTIFICATS
  1. Le processus de jointure affichera les étapes nécessaires pour joindre le nœud au cluster et le deuxième nœud sera redémarré.
Progression de l'adhésion au cluster
PROGRESSION DE L’ADHÉSION AU CLUSTER
  1. Une fois que le nœud a redémarré avec succès, cliquez sur le bouton Login et connectez-vous au nœud via le compte secroot (que vous avez défini lors de la configuration du premier nœud KeyControl).
Ajout de nœud réussi
AJOUT DE NŒUD RÉUSSI
Entrust KeyControl
Page d’authentification

Une fois connecté au deuxième nœud, vous remarquerez que le menu Cluster affiche deux nœuds.

Confirmer l'état du nœud
CLUSTER KMS à 2 Nœuds
Cluster KMS à 2 nœuds
CLUSTER KMS à 2 Nœuds

Félicitations👏 🥳👏, vous avez configuré avec succès un cluster KeyControl KMS à 2 nœuds.

Si vous êtes arrivé jusqu’ici, vous méritez un cadeau 🎁.

Votre cadeau est cette vidéo qui résume toutes les étapes d’installation et de configuration 😀

YouTube player
Entrust KeyControl – Déploiement d’un cluster KMS à 2 nœuds

Articles Liés 🔗 :

Etat VMware Tools

La vérification de l’Etat VMware Tools est essentiel pour voir si la version à jour de VMware Tools est installée et s’il s’exécute sur vos machines virtuelles.

Cela vous permet de surveiller l’état de conformité et de remédier aux écarts.

Vous devez d’abord déterminer les machines virtuelles :

  • Sans VMware Tools.
  • Avec une version VMware Tools obsolète.

Le moyen le plus simple de vérifier si une machine virtuelle n’est pas conforme est de la visualiser via le client vSphere.

Cela vous montrera des détails tels que la version et la conformité.

VM sans VMware Tools
Cas1 : VM sans VMware Tools (non installé)
Cas2 : VM avec VMware Tools non à jour/obsolète

Pour plus d’efficacité et moins de charge de travail, parlons automatisation.

Je vais vous montrer comment vérifier l’Etat VMware Tools de manière automatisée à l’échelle d’une plateforme VMware via deux commandes à l’aide de PowerCLI.

  • Liste des VMs avec VMware Tools obsolètes

Get-Datacenter -name « DC NAME » | Get-VM | % { get-view $_.id } |Where-Object {$_.Guest.ToolsVersionStatus -like « guestToolsNeedUpgrade »} |select name, @{Name=“ToolsVersion”; Expression={$_.config.tools.toolsversion}}, @{ Name=“ToolStatus”; Expression={$_.Guest.ToolsVersionStatus}}| Sort-Object Name

  • Liste des VMs sans VMware Tools (non installé)

Get-Datacenter -name « DC NAME » | Get-VM | % { get-view $_.id } |Where-Object {$_.Guest.ToolsVersionStatus -like « guestToolsNotInstalled »} |select name, @{Name=“ToolsVersion”; Expression={$_.config.tools.toolsversion}}, @{ Name=“ToolStatus”; Expression={$_.Guest.ToolsVersionStatus}}| Sort-Object Name

Articles Liés :

Invalid server certificate – VMware PowerCLI

Parfois, lorsque vous essayez de vous connecter à VMware vCenter ou ESXi à l’aide de PowerCli, vous rencontrez un problème de certificat : Invalid server certificate

Invalid server certificate

Votre certificat n’est pas valide et c’est exactement la cause de ce message d’erreur « Invalid server certificate« .

La bonne approche pour résoudre ce problème consiste à remplacer le certificat vCenter/ESX par un certificat signé par une autorité de certification de confiance.

Mais si ce n’est pas possible pour vous !!

Vous pouvez résoudre ce problème en utilisant une solution de contournement.

Cela consiste à ignorer la vérification du certificat à l’aide de la commande suivante :

Set-PowerCLIConfiguration -InvalidCertificateAction Ignore -Confirm:$false

InvalidCertificateAction

Vous pouvez maintenant vous reconnecter au vCenter ou à l’ESXi sans l’erreur de certificat.

Connect-vIServer

Key Management Server

VMware Key Management Server a été introduit dans vSphere 6.5 et vSAN 6.6 pour améliorer la sécurité.

Un cluster Key Management Server (KMS) fournit les clés que vous pouvez utiliser pour chiffrer vos VMs et Banque de données vSAN.

Key Management Server

Pour activer le chiffrement sur votre plateforme VMware vSphere, vous devez configurer un cluster KMS pour prendre en charge le chiffrement.

Cette tâche comprend l’ajout et configuration du KMS au niveau de votre vCenter Server.

Cela permet d’obtenir les clés nécessaires pour chiffrer et déchiffrer les machines virtuelles à l’aide du protocole KMIP.

Donc, KMS doit prendre en charge le protocole KMIP (Key Management Interoperability Protocol).

vCenter Server établit une connexion au serveur KMS pour obtenir les clés à attribuer aux hôtes ESXi en conservant uniquement la liste des ID de clé (NB: aucune clé n’est stockée dans vCenter Server).

Une fois le disque virtuel [*.VMDK] chiffré, seule la machine virtuelle qui gère le disque possède la clé utilisée pour le chiffrement et déchiffrement.

Ainsi, si vous essayez d’accéder au VMDK crypté à partir d’une VM non autorisée, vous n’obtenez que des données illisibles.

YouTube player
Badr Eddine CHAFIQ