자체구축 클라우드 보안 취약점 점검

1. vCenter
- 로그인 실패 횟수에 따른 접속 제한 설정 미흡 조치
Connect-VIServer -Server $vcenterip -User $id -Password $password -Confirm:$false
Connect-CisServer -Server $vcenterip -Username $id -Password $password -Confirm:$false
Connect-SsoAdminServer -Server $vcenterip -User $id -Password $password -SkipCertificateCheck
$TargetUser = Get-SsoPersonUser -Domain vsphere.local - Name Administrator
Get-SsoLockoutPolicy | Set-SsoLockoutPolicy - MaxFaildAttempts 5
Get-SsoLockoutPolicy | Set-SsoLockoutPolicy - FaildAttemptIntervalSec 1
Get-SsoLockoutPolicy | Set-SsoLockoutPolicy - AutoUnlockIntervalSec 0
Disconnect-VIServer -Server $vcenterip -User $id -Password $password -Confirm:$false
Disconnect -CisServer -Server $vcenterip -Username $id -Password $password -Confirm:$false
Disconnect -SsoAdminServer -Server $vcenterip -User $id -Password $password -SkipCertificateCheck
- 시스템 사용 주의사항 미출력
$ ssh $vcenterip
$ shell
# vi /etc/issue
# vi /etc/motd

경고 문구 입력

2. ESXi
- 비밀번호 복잡도 설정  : 감사하는 업체도 권장설정 말로는 하는데 아래처럼 Setting 제공 못함. 자기들도 적용방법 모르면서 감사하는거 보면 한숨만...
$targethosts = 
"A ESXi ip", "B ESXi ip"

foreach ($target in $targethosts) {
Connect-VIServer -Server $target -User root -Password $password

Get-AdvancedSetting -Entity $target -Name "Security.PasswordQualityControl" | Set-AdvancedSetting -Value "retry=3 min=10,10,8,8,8" -Confirm:$false
Disconnect-VIServer -Server $target -Confirm:$false
}
- 비밀번호 변경 주기 : 적용하지 말것. 패스워드 기간 지나면 경고 없이 잠궈버림. 정기적으로 패스워드 변경 권고. 다시 주기를 99999로 바꾸면 해결되긴 함.
Get-AdvancedSetting -Entity $target -Name "Security.PasswordMaxDays" | Set-AdvancedSetting -Value 90 -Confirm:$false
- 이전 비밀번호 재사용 
Get-AdvancedSetting -Entity $target -Name "UserVars.PasswordHistory" | Set-AdvancedSetting -Value 5 -Confirm:$false
- 관리 홈페이지 세션 타임아웃
Get-AdvancedSetting -Entity $target -Name "UserVars.HostSessionTimeout" | Set-AdvancedSetting -Value 900 -Confirm:$false
- 코어덤프 수집 기능 활성화 여부 : 보통 ESXi의 vCenter 로 설정한다. vCenter:5480 으로 가서 코어덤프 수집 Service Start를 먼저 해줘야 한다. 이건 부득이하게 esxcli로 설정이 필요하다.
esxcli system coredump network set --interface-name=vmk0 --server-ipv4=$vcenterip --server-port=6500
esxcli system coredump network set --enable=true
esxcli system coredump network get
- CEIP 기능 활성화 : 비활성화 하라는 소리다
Get-AdvancedSetting -Entity $target -Name "UserVars.HostClientCEIPOptIn" | Set-AdvancedSetting -Value 2