silent-daniel
Goto Top

VMware ESXi Web Zugriff blockieren aber Backup ermöglichen

Guten Tag,

kann ich einen VMWare ESXi 7 Server so beschränken, dass mit den Userdaten kein Zugriff auf die Weboberfläche möglich ist (auch nicht lesend), aber Veeam den Server sichern kann.

Gruß silent-daniel

Content-ID: 4345147332

Url: https://administrator.de/forum/vmware-esxi-web-zugriff-blockieren-aber-backup-ermoeglichen-4345147332.html

Ausgedruckt am: 21.12.2024 um 15:12 Uhr

em-pie
em-pie 20.10.2022 um 14:35:28 Uhr
Goto Top
Moin,

den ESXi Host hinter eine Firewall packen und nur den VEEAM-Server durchlassen?

Ggf. noch nen Proxy mit UserAuth einsetzen...

Gruß
em-pie
2423392070
2423392070 20.10.2022 um 14:51:51 Uhr
Goto Top
Weiteren User anlegen?
silent-daniel
silent-daniel 20.10.2022 um 14:59:26 Uhr
Goto Top
Zitat von @2423392070:

Weiteren User anlegen?

ja kann ich, aber selbst mit der "kleinsten" rolle kann ich mich immer am ESX anmelden und alles durchsehen, auch wenn ich nichts umstellen kann.
em-pie
em-pie 20.10.2022 um 15:00:23 Uhr
Goto Top
reden wir eigentlich vom ESXi7 Host oder vom vCenter?
Crusher79
Crusher79 20.10.2022 um 15:48:40 Uhr
Goto Top
Und wer hat Zugriff? Alle die in der AD stehen oder wie? Normal sollten nur Admins Zugriff haben.

Ist AD integriert? Oder wie erfolgt die Nutzer Verwaltung. Wer oder was stört?
Mr-Gustav
Mr-Gustav 20.10.2022 um 16:26:54 Uhr
Goto Top
Soweit ich weis funktioniert der ein oder andere Zugriff auf das System über die RestAPI und somit kannst du die Authentifizierung nicht ausschalten.
Wenn kein User mehr Zugriff auf den Server hat wie willst du diesen dann administrieren ?

Was willst du damit erreichen ?
Du könntest die eingebaute Firewall im System des ESX oder vCenter nutzen und den zugriff auf eine IP einschränken. Das sollte soweit ich mich erinnere funktionieren. Der Backupserver meldet sich mehr oder weniger auf dem gleichen weg an wie ein Benutzer nur eben nicht über die GUI sondern über RESTAPI Schnittstelle auf 443. Gleiches gilt auch für die Anmeldung des Backupservers auf eine vCenter Umgebung ( ebenfalls REST API )
silent-daniel
silent-daniel 20.10.2022 um 16:54:06 Uhr
Goto Top
Stand Alone ESX 7.0u3 Server
gibt einen root Admin

Es geht darum:

Ich habe eine Kundschaft übernommen, da der Support der alten Firma nicht richtig funktioniert.
Der Kunde hat aber einen "Wartungsvertrag" mit dem alten IT Betreuer bezüglich Sicherung (NAS und Cloud) aus dem er nicht rauskommt und zu viel zahlt, dass er es einfach ignoriert.

Darum soll der alte IT Betreuer nur die Sicherung (mit einem eigenen Backup-PC) machen, aber sonst komplett aus dem System gesperrt sein. Ich will nur dass er sein Backup machen kann und sonst nichts, nichts ansehen, nichts ändern (alle PW sind schon geändert) aber für Veeam brauche ich halt einen User zum Backupen.
tech-flare
tech-flare 20.10.2022 aktualisiert um 18:58:28 Uhr
Goto Top
Der ESXI hat selbst auch eine Firewall.

Einfach diesen so konfigurieren, dass der Zugriff nur vom Admin PC bzw Admin VLAN möglich ist und für Veeam nur die Ports öffnen
.
silent-daniel
silent-daniel 20.10.2022 um 20:49:43 Uhr
Goto Top
Zitat von @tech-flare:

Der ESXI hat selbst auch eine Firewall.

Einfach diesen so konfigurieren, dass der Zugriff nur vom Admin PC bzw Admin VLAN möglich ist und für Veeam nur die Ports öffnen
.

Laut Veeam muss aber auch der 443 offen sein, damit das Backup funktioniert und dann kann man wieder auf die Weboberfläche des ESX.

Sieht aus als ginge es nicht, was ich brauche...
em-pie
em-pie 20.10.2022 um 22:01:13 Uhr
Goto Top
Hast du Zugriff auf Veeam?

Falls ja: ändere das Passwort des ESXi und aktualisiere es in Veeam.
Wenn ich die Maske mit den Credentials gerade richtig im Kopf habe, kann man sich in Veeam die hinterlegten Kennwörter NICHT rückwirkend anschauen.

Dann kann der DL schalten und walten, hat aber keinen Zugriff auf den ESXi
tech-flare
tech-flare 20.10.2022 aktualisiert um 22:32:31 Uhr
Goto Top
Liest du dir die Antworten eigentlich mal durch?

Wenn du Port 443 nur für Veeam und den AdminPC (dein PC) in der ESXI Firewall freigibst kann niemand anders da drauf, außer Veeam und du selbst.
silent-daniel
silent-daniel 20.10.2022 aktualisiert um 23:09:51 Uhr
Goto Top
Zitat von @em-pie:

Hast du Zugriff auf Veeam?

Falls ja: ändere das Passwort des ESXi und aktualisiere es in Veeam.
Wenn ich die Maske mit den Credentials gerade richtig im Kopf habe, kann man sich in Veeam die hinterlegten Kennwörter NICHT rückwirkend anschauen.

Dann kann der DL schalten und walten, hat aber keinen Zugriff auf den ESXi

ja ich habe aber keinen Zugriff auf den Veeam Backup Rechner, der ist von einem externen Dienstleister.
Ich habe mir gedacht es geht irgendwie, dass der zwar einen user und pw bekommt, aber am ESX nichts ansehen kann.
Problem ist halt, dass Veeam so viele rechte braucht, dass er Theoretisch auf die Weboberfläche kann.
Der Kunde will das nicht... Aber rauswerfen will er ihn auch nicht, da der Vertrag noch läuft und hunderte € kostet bis Ende.


Zitat von @tech-flare:

Liest du dir die Antworten eigentlich mal durch?

Wenn du Port 443 nur für Veeam und den AdminPC (dein PC) in der ESXI Firewall freigibst kann niemand anders da drauf, außer Veeam und du selbst.


ja aber wenn ich port 443 für den veeam pc freigebe, kann der externe auch über web auf den ESX...
da der den Backup PC stellt, wegen vertrag oben...

ich weiß, blödes Problem, ich habe es mir nicht ausgedacht, aber sollte um eine schnelle Lösung schauen.
Wenns nicht geht, gehts halt nicht.
em-pie
em-pie 21.10.2022 um 07:20:01 Uhr
Goto Top
Mal als Info, auch für deinen Kunden:
Wenn der DL (alleinigen) Zugriff auf den VEEAM-Server hat, dann kann er spielend auf ALLE Daten im Backup zugreifen…
Dann ist es quatsch, den ESXi abzuriegeln. Außer es geht darum, dass er nichts verstellen/ ändern/ löschen darf…

Aber selbst wenn er das tut: das ist (vermutlich!) Vorsatz und kann, wird es ihm nachgewiesen, seeeehr teuer werden…

Sorgt also eher dafür, dass er einen eigenen, eindeutigen User erhält und so viel wie möglich protokolliert wird…

Edit: Typo
Mr-Gustav
Mr-Gustav 21.10.2022 um 08:33:13 Uhr
Goto Top
so wie du dir das vorstellst wird nicht gehen.
Veeam greift wie bereits mehrfach geschrieben über die Weboberfläche bzw. über die API auf den Host zu ( Port 443 ).
Wenn du jetzt verhindern willst das er keinen Zugriff auf die Weboberfläche haben soll dann kannst du
eigentlich nur folgendes machen:
Mach einen Termin mit dem Backup Dienstleister -- Er lässt dich dann eben kurz auf den Server und du kannst dann das
neue Kennwort in den VEEAM VMWARE Credentials ohne das der Dienstleister es sieht.
Ergebnis = Der Dienstleister kann sein Backup weiterhin machen. Hat aber keinen Zugriff auf / über das Webinterface und kann so nichts sehen.
Wenn der DL sich weigert so kann hier der GF ein Machtwort sprechend denn der DL ist Ihm gegnüber weisungsgebunden. Als Begründung kann ja einfach gesagt werden dass das Kennwort aufgrund von Sicherheitsguidelines alle x Wochen/Monate/Jahre gewechselt werden muss und das es nur durch bestimmte Personen eingetragen werden darf. PUNKT ! Das muss der DL fressen oder sich mit den Folgen rumschlagen und das kann u.U. teuer werden. Und wenn er mault immer darauf hinweisen das es das System des GF ist und nicht seins !

Auf der anderen Seite ist es aber eigentlich auch egal ob er sich über das Webinterface anmelden kann oder nicht denn über VEEAM kann er sich auch im System umsehen denn der VEEAM User muss ja entsprechend auch alles sehen damit das mit dem Backup überhaupt funktioniert.
Und wenn er an die Daten will so kann er das auch ohne Probleme denn Ihm liegt ja das Backup vor bzw. er hat wie oben geschrieben sowieso Zugriff auf das System über die VEEAM Konsole.

Du siehst also das dein Vorhaben so oder so nicht funktioniert.

Aber mal unter uns Klosterschwestern, wenn ich Probleme mit einem DL habe so sollte ich das ganze Klären und schauen das man eine Lösung für beide Seiten findet. Mit dieser Paranoia und Beschneidungen hat man hinterher nur Probleme bzw. im Fehlerfall immer ein hin und her wer für den Fehler verantwortlich ist.

Grundsätzlich verstehe ich dich bezüglich der Problematik.
Crusher79
Crusher79 21.10.2022 um 11:52:28 Uhr
Goto Top
Oh man. Das ist alles so unschön.

Verstötßt der Vertrag vlt. gegen die guten Sitten etc.? Ggf. mal anderen Anwalt konsultieren? Sonst steht ihr bei jeden Kleinkram hoch, da es theoretisch ja der ander verursacht haben kann.

Gilt der Kontrakt nur über Backup oder auch über Wiederherstellung? Nicht dass die die Daten als Geiseln nehmen face-big-smile

Ka wie hoch die Beträge sind. Doppeltzahlen wäre hier bald einfacher. Also jemanden engagieren der 100% Vertrauen genießt. Sonst ist man immer am grübeln, was so vorgefallen ist.

Ansonsten Schiedsstelle anrufen. Sachverständige. Keine Ahnung. Über wie viele Jahre Laufzeit reden wir hier eig.? Aber ernsthaft: bei so einen Vertrauensbruch - oder vermeintlichen - ist es verdammt schwer.