防火墙 – 如何保护ESXi免受root帐户锁定

我有一个VMWare ESXi实例,运行版本6.0.0.我们的员工今天在大量时间内被锁定在ESXi胖客户端(“vSphere Client” Windows应用程序)之外.尝试登录时,我们收到了“错误的用户名或密码”错误消息.经过一些研究,我们确定我们被锁定在自己的ESXi主机之外,因为v6.0的root锁定功能会锁定帐户连续3次密码尝试失败后,设置时间(默认值：2分钟).似乎攻击者持续了几个小时,直到最后放松.那时我们可以使用root帐户登录.

我们对为什么会发生这种情况感到有些困惑.服务器托管在一个相当大且信誉良好的数据中心,是一个真正的专用实例.然而,该设施希望收取相当高的费率以将此VM服务器置于硬件防火墙之后.所以我们一直依赖ESXi的内置防火墙.

在配置 – >安全配置文件 – >防火墙部分,我们有以下服务(默认定义)是IP限制的,只允许我们的办公室IP：

> SSH服务器
> vSphere Web Access
> vSphere Web Client
> vsanvp
> vMotion

尽管如此,似乎攻击者仍然能够至少通过并以某种方式触发“错误的密码”错误,因为服务器的ESXi事件日志显示了许多这样的行：

ESXi本地用户帐户“root”的远程访问
在563失败后被锁定了120秒
登录尝试.

尽管事实上只有我们的办公室IP被授权,但我们知道这里没有人启动这个.

我们做错了什么？