Vmware esxi сбросить пароль root
Администраторам среды VMware периодически нужен удаленный доступ к хостам ESXi. Доступ к консоли сервера ESXi через SSH позволяет администратору в консоли сервера удалено выполнять различные процедуры обслуживания гипервизора, решать проблемы, запускать скрипты и другие задачи через SSH клиент (например, PuTTY). В целях безопасности, по умолчанию на серверах ESXi доступ по протоколу SSH отключен. Однако, его можно активировать несколькими способами. Рассмотрим основные способы включения SSH доступа на серверах VMware ESXi 6.5.
Включаем SSH в ESXi через консоль DCUI
Direct Console User Interface (DCUI) это консольный интерфейс сервера ESXi, который вы видите на мониторе при прямом подключении к монитору сервера. Откройте экран DCUI, подключившись к консоли сервера (локально или через интерфейс управления сервером, например, HP iLo или iDRAC).
В консоли сервера нажмите клавишу F2 и авторизуйтесь на сервере ESXi c учетной записью root.
В меню System Customization выберите Troubleshooting Options.
В разделе Troubleshooting Mode Options найдите и выберите пункт Enable SSH (как вы видите, по-умолчанию этот протокол отключен)
Чтобы вернуться в основной экран DCUI нажмите ESC.
Как включить SSH на хосте с помощью веб-клиента vSphere
На главной странице выберите Host и нажмите на шестеренку меню Actions. В выпадающем меню выберите пункт Services и в раскрывающемся меню выберите Enable Secure Shell.
Кроме того, активировать SSH можно в разделе Manage на вкладке Services. Найдите в списке служб TSM-SSH и в меню Actions выберите Start.
Как включить SSH через vCenter
Есть еще один метод включения SSH с помощью интерфейса vCenter. Нам также понадобится веб клиент vSphere, с помощью которого нужно авторизоваться на сервере vCenter.
Выберите хост, затем перейдите на вкладку Configure и выберите раздел System. Выберите пункт Security Profile.
В правом окне промотайте список до секции Services со списком запущенных служб и нажмите Edit.
В списке служб найдите остановленную службу SSH и нажмите кнопку Start.
Теперь вы сможете удалено подключиться к данному серверу ESXi с помощью любого клиента Secure Shell. В том случае, если SSH доступ вам более не нужен, в целях безопасности желательно отключить доступ, остановив службу SSH на гипервизоре VMWare ESXi.
В основном к данной процедуре прибегают, когда хотят сделать пароль либо более стойким в целях безопасности, либо более удобным, чтобы проще было набирать, у всех свои требования.
Методы смены пароля у учетной записи в ESXI 6.5
Существует, как минимум четыре метода позволяющих нам выполнить нужные действия:
- Из интерфейса управления DCUI
- Из командной строки ssh
- С помощью веб-интерфейса Vmware-ESXI 6.5
- С использованием Power-CLI
Как видите инструментарий весь и весьма значительный.
Смена пароля из DCUI меню
Direct Console User Interface (DCUI) - это первый инструмент после установки гипервизора, который видит администратор. Серо-желтый интерфейс с минимализмом, но с большой функциональностью. И так залогиньтесь через DCUI интерфейс и перейдите в меню "Configure Password". Нажмите Enter.
У вас появится окно предлагающее изменить текущий пароль от учетной записи root. В первом поле "Old Password" вам необходимо ввести текущий пароль, без этого никуда. Далее в в поле "New Password т Confirm Password" новый пароль. Старайтесь чтобы в пароле присутствовала большая буква, маленькая, цифра и спецсимвол, чтобы он был стойким.
Если пароль будет не соответствовать требованиям к безопасности, то вы получите уведомление:
The password change operation failed. Please ensure that your password meets the complexity criteria set by the system
Это такой аналог политики PSO в Windows Server у Microsoft. К данному методу, обычно прибегают в самую последнюю очередь, так как для этого нужно иметь физический доступ к серверу или порту управления, такому, как ILO или IPMI.
Смена пароля пользователя через ssh
Данный метод, на мой взгляд самый простой, но он требует активированной службы ssh в ESXI 6.5. Хотя сама Vmware рекомендует ssh постоянно не оставлять в рабочем состоянии, так как это еще один вектор проникновения и атаки на хосты, в этом есть доля истины.
Подключаемся по ssh к вашему хосту с гипервизором, для этого можно использовать Putty или более мне привычный mRemoteNG.Так как ESXI, это по сути Linux, то и конфигурационные файлы у него в большинстве случаев лежат по тем же путям, что и у большинства дистрибутивов. Нас с вами будут интересовать файл passwd в котором мы можем получить список локальных пользователей на хосте. Для этого выполните команду:
Как видите у меня, это стандартный список. Я в своем примере поменяю пароль для root.
Чтобы это сделать введите команду:
Вам предложат в пунктах "Enter new password" и "Re-Type" указать новый пароль для учетной записи root, если все хорошо, то получите уведомление password updated successfully.
Кстати, если вы читали мою статью, про командную строку ESXI, то вы должны помнить, что вызвать Direct Console User Interface можно и в ssh сессии, тем самым получить псевдографику. Для этих целей была команда:
Выглядит это вот так, все те же пункты меню, но уже без разноцветных цветов, зато функционал полностью доступен. Выйти из данного режима позволит вам команда CTRL+C.
Смена пароля пользователя через Web-интерфейс
Так же данный метод очень удобный, для его осуществления вам необходим только браузер. В поисковой строке укажите ip адрес вашего ESXI 6.5 сервера и залогиньтесь. Перейдите в пункт "Manage", далее на вкладку "Security & users". После чего найдите пункт "Users", он будет так же содержать список учетных записей, кроме системных. Выбираем нужную учетную запись и выбираем пункт "Edit user".
В открывшемся окне укажите два раза новый пароль и сохраните его.
Смена пароля пользователя через Vmware PowerCLI
Уверен. что многие из вас уже активно используют командлеты оболочки PowerShell, у Vmware есть своя оболочка Vmware PowerCLI 6.5. Запускаем ее и вводим команду для подключения к ESXI 6.5 хосту:
Нажимаем Enter. У вас появится запрос на указание DNS-имени сервер или его ip, указываем его и продолжаем. У вас выскочит предупреждение про сертификат и форма аутентификации.
Если все хорошо, то вы увидите, что вы подключились по 443 порту под учетной записью с административными правами.
Для смены пароля введите:
Set-VMHostAccount -UserAccount root -Password ваш парольЕсли пароль будет слабым, то вы получите ошибку, если все хорошо, то пароль будет изменен.
Смена пароля ESXI через толстого клиента
Данный метод будет актуален для устаревших версий гипервизора Vmware ESXI 5.5 и ниже. Откройте VMware vSphere Client и перейдите в vSphere Configuration->Security Profile->Services->Properties->Local Users & Groups. Найдите нужного вам пользователя и перейдите в его свойства.
Согласно KB VMWare единственный поддерживаемый способ сбросить пароль на ESXi хосте (будь то ESXi 3.5, ESXi 4.x или ESXi 5.x ) – полная переустановка ESXi, что естественно, не всегда приемлемо, ведь при переустановке (пункт “Repair”) несмотря на то, что с файлами виртуальных машин на хранилище VMFS ничего не произойдет (достаточно при установки выбрать пункт «Install ESXi, preserve VMFS datatore»), настройки самого гипервизора будут потеряны, и восстановить их по памяти – достаточно трудоемкая задача, особенно в случае сложной конфигурации ESXi. Специалисты VMWare немного лукавят, сбросить пароль root на VMWare ESXi можно, однако в этом случае с точки зрения технической поддержки вендора система переходит в разряд unsupported configuration (в силу сложности архитектуры ESXi).
Итак, разберемся, как же сбросить пароль root на гипервизоре ESXi 5.1, с помощью сторонних средств. Основная проблема, которая стоит перед нами, заключается в том, что в ESXi нет сервисной консоли, и традиционные способы сброса пароля для Linux систем (через single-user mode) тут не сработают.
Пароли (а точнее их хеши) пользователей ESXi хранятся в файле etc/shadow, который хранится в архиве local.tgz, который хранится в архиве state.tgz. Естественно, узнать пароль root по информации в файле не получится, все, что можно сделать – сбросить его на пустой (проще всего) либо заменить на хеш заранее известного пароля.
- Загружаем cервер с ESXi с любого Live CD с Linux (например, Slax, GRML, KNOPPIX или CentOS LiveCD)
- Далее нам нужно найти раздел, на котором лежит файл state.tgz. Определить раздел, на котором он хранится – задача непростая. Для диска с разделами mbr введите команду
, если используется GPT, воспользуйтесь командой parted
Как Вы видите, в консоли отображается просьба сменить стандартный пароль пользователя root.
Этот способ подходит для версий VMware vSphere 6.5 / 6.7 / 7.0
Итак, Вы получаете в ответ на ввод пароля: Authentication failed. Invalid login or password.
Как сбросить пароль root в VMware ESXi по шагам
Делается это достаточно быстро, при должном опыте. Сперва выключаем хост. Нам понадобится ISO образ GParted LiveCD. Записываем диск или монтируем его через менеджмент сервера. Включаем и загружаемся.
Сейчас мы будем работать с разделом /dev/sda5
Теперь открываем терминал и выполняем следующие команды:
sudo su
mkdir /boot /temp
mount /dev/sda5 /boot
cd /boot
cp state.tgz /temp
cd /temp
tar -xf state.tgz
tar -xf local.tgz
rm *.tgz
cd etc
После этого открываем файл shadow с паролями, например, с помощью редактора vim. И удаляем то, что находится в первой строке между первыми двоеточиями (это и есть пароль) с помощью клавиши Del. Получится что-то вроде того, что на скриншоте ниже.
Затам нажимаем : потом x и потом Enter. Так мы сохранили изменения в файле. Собираем все обратно и перезагружаемся.
cd ..
tar -cf local.tgz etc/
tar -cf state.tgz local.tgz
mv state.tgz /boot
umount /boot
reboot
Как только сервер VMware ESXi загрузится, Вы сможете зайти на него под пользователем root без пароля. Установите пароль в веб-интерфейсе или через SSH командой passwd root.
Заключение
В этой записи мы рассмотрели как можно быстро сбросить пароль root в VMware ESXi. На самом деле больше нечего добавить, кроме как призвать Вас привыкнуть сохранять свои пароли с помощью надежного менеджера паролей. Дайте мне знать в комментариях ниже, если вам нужна какая-либо помощь с вышеприведенной информацией, я буду рад помочь.
Читайте также: