VMware ESXi Web Zugriff blockieren aber Backup ermöglichen
Guten Tag,
kann ich einen VMWare ESXi 7 Server so beschränken, dass mit den Userdaten kein Zugriff auf die Weboberfläche möglich ist (auch nicht lesend), aber Veeam den Server sichern kann.
Gruß silent-daniel
kann ich einen VMWare ESXi 7 Server so beschränken, dass mit den Userdaten kein Zugriff auf die Weboberfläche möglich ist (auch nicht lesend), aber Veeam den Server sichern kann.
Gruß silent-daniel
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 4345147332
Url: https://administrator.de/forum/vmware-esxi-web-zugriff-blockieren-aber-backup-ermoeglichen-4345147332.html
Ausgedruckt am: 21.12.2024 um 15:12 Uhr
15 Kommentare
Neuester Kommentar
Weiteren User anlegen?
Soweit ich weis funktioniert der ein oder andere Zugriff auf das System über die RestAPI und somit kannst du die Authentifizierung nicht ausschalten.
Wenn kein User mehr Zugriff auf den Server hat wie willst du diesen dann administrieren ?
Was willst du damit erreichen ?
Du könntest die eingebaute Firewall im System des ESX oder vCenter nutzen und den zugriff auf eine IP einschränken. Das sollte soweit ich mich erinnere funktionieren. Der Backupserver meldet sich mehr oder weniger auf dem gleichen weg an wie ein Benutzer nur eben nicht über die GUI sondern über RESTAPI Schnittstelle auf 443. Gleiches gilt auch für die Anmeldung des Backupservers auf eine vCenter Umgebung ( ebenfalls REST API )
Wenn kein User mehr Zugriff auf den Server hat wie willst du diesen dann administrieren ?
Was willst du damit erreichen ?
Du könntest die eingebaute Firewall im System des ESX oder vCenter nutzen und den zugriff auf eine IP einschränken. Das sollte soweit ich mich erinnere funktionieren. Der Backupserver meldet sich mehr oder weniger auf dem gleichen weg an wie ein Benutzer nur eben nicht über die GUI sondern über RESTAPI Schnittstelle auf 443. Gleiches gilt auch für die Anmeldung des Backupservers auf eine vCenter Umgebung ( ebenfalls REST API )
Hast du Zugriff auf Veeam?
Falls ja: ändere das Passwort des ESXi und aktualisiere es in Veeam.
Wenn ich die Maske mit den Credentials gerade richtig im Kopf habe, kann man sich in Veeam die hinterlegten Kennwörter NICHT rückwirkend anschauen.
Dann kann der DL schalten und walten, hat aber keinen Zugriff auf den ESXi
Falls ja: ändere das Passwort des ESXi und aktualisiere es in Veeam.
Wenn ich die Maske mit den Credentials gerade richtig im Kopf habe, kann man sich in Veeam die hinterlegten Kennwörter NICHT rückwirkend anschauen.
Dann kann der DL schalten und walten, hat aber keinen Zugriff auf den ESXi
Mal als Info, auch für deinen Kunden:
Wenn der DL (alleinigen) Zugriff auf den VEEAM-Server hat, dann kann er spielend auf ALLE Daten im Backup zugreifen…
Dann ist es quatsch, den ESXi abzuriegeln. Außer es geht darum, dass er nichts verstellen/ ändern/ löschen darf…
Aber selbst wenn er das tut: das ist (vermutlich!) Vorsatz und kann, wird es ihm nachgewiesen, seeeehr teuer werden…
Sorgt also eher dafür, dass er einen eigenen, eindeutigen User erhält und so viel wie möglich protokolliert wird…
Edit: Typo
Wenn der DL (alleinigen) Zugriff auf den VEEAM-Server hat, dann kann er spielend auf ALLE Daten im Backup zugreifen…
Dann ist es quatsch, den ESXi abzuriegeln. Außer es geht darum, dass er nichts verstellen/ ändern/ löschen darf…
Aber selbst wenn er das tut: das ist (vermutlich!) Vorsatz und kann, wird es ihm nachgewiesen, seeeehr teuer werden…
Sorgt also eher dafür, dass er einen eigenen, eindeutigen User erhält und so viel wie möglich protokolliert wird…
Edit: Typo
so wie du dir das vorstellst wird nicht gehen.
Veeam greift wie bereits mehrfach geschrieben über die Weboberfläche bzw. über die API auf den Host zu ( Port 443 ).
Wenn du jetzt verhindern willst das er keinen Zugriff auf die Weboberfläche haben soll dann kannst du
eigentlich nur folgendes machen:
Mach einen Termin mit dem Backup Dienstleister -- Er lässt dich dann eben kurz auf den Server und du kannst dann das
neue Kennwort in den VEEAM VMWARE Credentials ohne das der Dienstleister es sieht.
Ergebnis = Der Dienstleister kann sein Backup weiterhin machen. Hat aber keinen Zugriff auf / über das Webinterface und kann so nichts sehen.
Wenn der DL sich weigert so kann hier der GF ein Machtwort sprechend denn der DL ist Ihm gegnüber weisungsgebunden. Als Begründung kann ja einfach gesagt werden dass das Kennwort aufgrund von Sicherheitsguidelines alle x Wochen/Monate/Jahre gewechselt werden muss und das es nur durch bestimmte Personen eingetragen werden darf. PUNKT ! Das muss der DL fressen oder sich mit den Folgen rumschlagen und das kann u.U. teuer werden. Und wenn er mault immer darauf hinweisen das es das System des GF ist und nicht seins !
Auf der anderen Seite ist es aber eigentlich auch egal ob er sich über das Webinterface anmelden kann oder nicht denn über VEEAM kann er sich auch im System umsehen denn der VEEAM User muss ja entsprechend auch alles sehen damit das mit dem Backup überhaupt funktioniert.
Und wenn er an die Daten will so kann er das auch ohne Probleme denn Ihm liegt ja das Backup vor bzw. er hat wie oben geschrieben sowieso Zugriff auf das System über die VEEAM Konsole.
Du siehst also das dein Vorhaben so oder so nicht funktioniert.
Aber mal unter uns Klosterschwestern, wenn ich Probleme mit einem DL habe so sollte ich das ganze Klären und schauen das man eine Lösung für beide Seiten findet. Mit dieser Paranoia und Beschneidungen hat man hinterher nur Probleme bzw. im Fehlerfall immer ein hin und her wer für den Fehler verantwortlich ist.
Grundsätzlich verstehe ich dich bezüglich der Problematik.
Veeam greift wie bereits mehrfach geschrieben über die Weboberfläche bzw. über die API auf den Host zu ( Port 443 ).
Wenn du jetzt verhindern willst das er keinen Zugriff auf die Weboberfläche haben soll dann kannst du
eigentlich nur folgendes machen:
Mach einen Termin mit dem Backup Dienstleister -- Er lässt dich dann eben kurz auf den Server und du kannst dann das
neue Kennwort in den VEEAM VMWARE Credentials ohne das der Dienstleister es sieht.
Ergebnis = Der Dienstleister kann sein Backup weiterhin machen. Hat aber keinen Zugriff auf / über das Webinterface und kann so nichts sehen.
Wenn der DL sich weigert so kann hier der GF ein Machtwort sprechend denn der DL ist Ihm gegnüber weisungsgebunden. Als Begründung kann ja einfach gesagt werden dass das Kennwort aufgrund von Sicherheitsguidelines alle x Wochen/Monate/Jahre gewechselt werden muss und das es nur durch bestimmte Personen eingetragen werden darf. PUNKT ! Das muss der DL fressen oder sich mit den Folgen rumschlagen und das kann u.U. teuer werden. Und wenn er mault immer darauf hinweisen das es das System des GF ist und nicht seins !
Auf der anderen Seite ist es aber eigentlich auch egal ob er sich über das Webinterface anmelden kann oder nicht denn über VEEAM kann er sich auch im System umsehen denn der VEEAM User muss ja entsprechend auch alles sehen damit das mit dem Backup überhaupt funktioniert.
Und wenn er an die Daten will so kann er das auch ohne Probleme denn Ihm liegt ja das Backup vor bzw. er hat wie oben geschrieben sowieso Zugriff auf das System über die VEEAM Konsole.
Du siehst also das dein Vorhaben so oder so nicht funktioniert.
Aber mal unter uns Klosterschwestern, wenn ich Probleme mit einem DL habe so sollte ich das ganze Klären und schauen das man eine Lösung für beide Seiten findet. Mit dieser Paranoia und Beschneidungen hat man hinterher nur Probleme bzw. im Fehlerfall immer ein hin und her wer für den Fehler verantwortlich ist.
Grundsätzlich verstehe ich dich bezüglich der Problematik.
Oh man. Das ist alles so unschön.
Verstötßt der Vertrag vlt. gegen die guten Sitten etc.? Ggf. mal anderen Anwalt konsultieren? Sonst steht ihr bei jeden Kleinkram hoch, da es theoretisch ja der ander verursacht haben kann.
Gilt der Kontrakt nur über Backup oder auch über Wiederherstellung? Nicht dass die die Daten als Geiseln nehmen
Ka wie hoch die Beträge sind. Doppeltzahlen wäre hier bald einfacher. Also jemanden engagieren der 100% Vertrauen genießt. Sonst ist man immer am grübeln, was so vorgefallen ist.
Ansonsten Schiedsstelle anrufen. Sachverständige. Keine Ahnung. Über wie viele Jahre Laufzeit reden wir hier eig.? Aber ernsthaft: bei so einen Vertrauensbruch - oder vermeintlichen - ist es verdammt schwer.
Verstötßt der Vertrag vlt. gegen die guten Sitten etc.? Ggf. mal anderen Anwalt konsultieren? Sonst steht ihr bei jeden Kleinkram hoch, da es theoretisch ja der ander verursacht haben kann.
Gilt der Kontrakt nur über Backup oder auch über Wiederherstellung? Nicht dass die die Daten als Geiseln nehmen
Ka wie hoch die Beträge sind. Doppeltzahlen wäre hier bald einfacher. Also jemanden engagieren der 100% Vertrauen genießt. Sonst ist man immer am grübeln, was so vorgefallen ist.
Ansonsten Schiedsstelle anrufen. Sachverständige. Keine Ahnung. Über wie viele Jahre Laufzeit reden wir hier eig.? Aber ernsthaft: bei so einen Vertrauensbruch - oder vermeintlichen - ist es verdammt schwer.