SNMP Aktivieren
```html
VMware ESXi: SSH aktivieren und SNMPv3 einrichten
Ziel
Diese Anleitung beschreibt, wie auf einem VMware ESXi-Host der SSH-Zugriff aktiviert und SNMPv3 sicher konfiguriert wird.
Beispielhost:
ESXi_3
Die Befehle werden direkt auf dem ESXi-Host als root ausgeführt.
Voraussetzungen
- Zugriff auf den ESXi Host Client oder direkten Konsolenzugriff
- Root-Zugang oder administrativer ESXi-Benutzer
- Netzwerkzugriff auf die Management-IP des ESXi-Hosts
- SSH-Client auf dem Administrationsrechner
- Geplante SNMPv3-Zugangsdaten
Beispielwerte in dieser Anleitung:
SNMP-Benutzer: max
Authentifizierung: SHA1
Verschlüsselung: AES128
Die Hashes in den Beispielen sind Platzhalter und müssen durch echte Werte ersetzt werden.
SSH-Dienst auf ESXi aktivieren
Variante 1: Über den ESXi Host Client
Im Browser den ESXi Host Client öffnen:
https://<ESXI-IP>/ui
Danach anmelden und den SSH-Dienst aktivieren.
Je nach ESXi-Version befindet sich der Dienst unter:
Host > Verwalten > Dienste
Dort den folgenden Dienst auswählen:
TSM-SSH
Anschließend den Dienst starten.
Falls SSH dauerhaft aktiv bleiben soll, die Startregel auf folgenden Wert setzen:
Mit Host starten und stoppen
Aus Sicherheitsgründen sollte SSH nur dauerhaft aktiv bleiben, wenn es wirklich benötigt wird.
Variante 2: Über die ESXi Shell
SSH-Dienst aktivieren:
vim-cmd hostsvc/enable_ssh
SSH-Dienst starten:
vim-cmd hostsvc/start_ssh
Firewall-Regel für eingehende SSH-Verbindungen aktivieren:
esxcli network firewall ruleset set -e true -r sshServer
Status prüfen:
/etc/init.d/SSH status
SSH-Login testen
Vom Administrationsrechner aus per SSH verbinden:
ssh root@<ESXI-IP>
Beispiel:
ssh root@192.168.1.50
Bei der ersten Verbindung muss der Host-Key bestätigt werden.
Nach erfolgreichem Login sollte die ESXi-Shell erscheinen, zum Beispiel:
[root@ESXi_3:~]
SNMPv3 auf ESXi konfigurieren
SNMP aktivieren
SNMP auf dem ESXi-Host aktivieren:
esxcli system snmp set --enable true
Authentifizierung auf SHA1 setzen:
esxcli system snmp set --authentication SHA1
Verschlüsselung auf AES128 setzen:
esxcli system snmp set --privacy AES128
SNMPv3 Hashes erzeugen
Die SNMPv3-Hashes werden aus den geheimen Authentifizierungs- und Privacy-Passwörtern erzeugt.
Hash-Erzeugung starten:
esxcli system snmp hash --priv-hash --raw-secret -A
Danach fragt ESXi interaktiv nach den Werten:
Enter value for 'priv-hash':
Enter value for 'auth-hash':
Nach Eingabe der geheimen Werte gibt ESXi die erzeugten Hashes aus:
Authhash: FFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFF
Privhash: AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
Die ausgegebenen Werte müssen für die Benutzerkonfiguration verwendet werden.
Wichtig: Die hier gezeigten Hashes sind nur Platzhalter.
SNMPv3-Benutzer setzen
SNMPv3-Benutzer mit Auth-Hash und Priv-Hash konfigurieren:
esxcli system snmp set --users max/FFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFF/AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA/priv
Aufbau des Befehls:
BENUTZERNAME/AUTH-HASH/PRIV-HASH/SICHERHEITSLEVEL
Beispiel:
max/FFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFF/AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA/priv
Der Sicherheitslevel priv bedeutet:
- Authentifizierung ist aktiv
- Verschlüsselung ist aktiv
SNMP-Konfiguration prüfen
Aktuelle SNMP-Konfiguration anzeigen:
esxcli system snmp get
SNMP-Test ausführen:
esxcli system snmp test
Dienste und Status prüfen
SSH-Status prüfen:
/etc/init.d/SSH status
Firewall-Regeln prüfen:
esxcli network firewall ruleset list
SNMP-Konfiguration prüfen:
esxcli system snmp get
SSH wieder deaktivieren
Wenn SSH nicht dauerhaft benötigt wird, sollte der Dienst nach der Einrichtung wieder deaktiviert werden.
SSH stoppen:
vim-cmd hostsvc/stop_ssh
SSH deaktivieren:
vim-cmd hostsvc/disable_ssh
Firewall-Regel für SSH deaktivieren:
esxcli network firewall ruleset set -e false -r sshServer
Sicherheitshinweise
- SSH nur aktivieren, wenn es wirklich benötigt wird.
- Direkte Root-Logins nur für administrative Arbeiten verwenden.
- SNMPv3 statt SNMPv1 oder SNMPv2c verwenden.
- Keine Klartext-Passwörter in BookStack speichern.
- Auth-Hash und Priv-Hash nicht öffentlich dokumentieren.
- Zugriff auf die ESXi-Management-IP per Firewall oder Management-VLAN einschränken.
- Nach Abschluss der Arbeiten prüfen, ob SSH wieder deaktiviert werden kann.
Beispiel: Komplette SNMPv3-Konfiguration
esxcli system snmp set --enable true
esxcli system snmp set --authentication SHA1
esxcli system snmp set --privacy AES128
esxcli system snmp hash --priv-hash --raw-secret -A
Nach der Hash-Erzeugung:
esxcli system snmp set --users max/FFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFF/AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA/priv
Konfiguration prüfen:
esxcli system snmp get
Test ausführen:
esxcli system snmp test
```