Skip to main content

SNMP Aktivieren

```html

VMware ESXi: SSH aktivieren und SNMPv3 einrichten

Ziel

Diese Anleitung beschreibt, wie auf einem VMware ESXi-Host der SSH-Zugriff aktiviert und SNMPv3 sicher konfiguriert wird.

Beispielhost:

ESXi_3ESXi_1

Die Befehle werden direkt auf dem ESXi-Host als root ausgeführt.


Voraussetzungen

  • Zugriff auf den ESXi Host Client oder direkten Konsolenzugriff
  • Root-Zugang oder administrativer ESXi-Benutzer
  • Netzwerkzugriff auf die Management-IP des ESXi-Hosts
  • SSH-Client auf dem Administrationsrechner
  • Geplante SNMPv3-Zugangsdaten

Beispielwerte in dieser Anleitung:

SNMP-Benutzer: max
Authentifizierung: SHA1
Verschlüsselung: AES128

Die Hashes in den Beispielen sind Platzhalter und müssen durch echte Werte ersetzt werden.


SSH-Dienst auf ESXi aktivieren

Variante 1: Über den ESXi Host Client

Im Browser den ESXi Host Client öffnen:

https://<ESXI-IP>/ui

Danach anmelden und den SSH-Dienst aktivieren.

Je nach ESXi-Version befindet sich der Dienst unter:

Host > Verwalten > Dienste

Dort den folgenden Dienst auswählen:

TSM-SSH

Anschließend den Dienst starten.

Falls SSH dauerhaft aktiv bleiben soll, die Startregel auf folgenden Wert setzen:

Mit Host starten und stoppen

Aus Sicherheitsgründen sollte SSH nur dauerhaft aktiv bleiben, wenn es wirklich benötigt wird.


Variante 2: Über die ESXi Shell

SSH-Dienst aktivieren:

vim-cmd hostsvc/enable_ssh

SSH-Dienst starten:

vim-cmd hostsvc/start_ssh

Firewall-Regel für eingehende SSH-Verbindungen aktivieren:

esxcli network firewall ruleset set -e true -r sshServer

Status prüfen:

/etc/init.d/SSH status

SSH-Login testen

Vom Administrationsrechner aus per SSH verbinden:

ssh root@<ESXI-IP>

Beispiel:

ssh root@192.168.1.50

Bei der ersten Verbindung muss der Host-Key bestätigt werden.

Nach erfolgreichem Login sollte die ESXi-Shell erscheinen, zum Beispiel:

[root@ESXi_3:root@esxi_1:~]

SNMPv3 auf ESXi konfigurieren

SNMP aktivieren

SNMP auf dem ESXi-Host aktivieren:

esxcli system snmp set --enable true

Authentifizierung auf SHA1 setzen:

esxcli system snmp set --authentication SHA1

Verschlüsselung auf AES128 setzen:

esxcli system snmp set --privacy AES128

SNMPv3 Hashes erzeugen

Die SNMPv3-Hashes werden aus den geheimen Authentifizierungs- und Privacy-Passwörtern erzeugt.

Hash-Erzeugung starten:

esxcli system snmp hash --priv-hash --raw-secret -A

Danach fragt ESXi interaktiv nach den Werten:

Enter value for 'priv-hash':
Enter value for 'auth-hash':

Nach Eingabe der geheimen Werte gibt ESXi die erzeugten Hashes aus:

Authhash: FFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFF
Privhash: AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA

Die ausgegebenen Werte müssen für die Benutzerkonfiguration verwendet werden.

Wichtig: Die hier gezeigten Hashes sind nur Platzhalter.


SNMPv3-Benutzer setzen

SNMPv3-Benutzer mit Auth-Hash und Priv-Hash konfigurieren:

esxcli system snmp set --users max/FFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFF/AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA/priv

Aufbau des Befehls:

BENUTZERNAME/AUTH-HASH/PRIV-HASH/SICHERHEITSLEVEL

Beispiel:

max/FFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFF/AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA/priv

Der Sicherheitslevel priv bedeutet:

  • Authentifizierung ist aktiv
  • Verschlüsselung ist aktiv

SNMP-Konfiguration prüfen

Aktuelle SNMP-Konfiguration anzeigen:

esxcli system snmp get

SNMP-Test ausführen:

esxcli system snmp test

Dienste und Status prüfen

SSH-Status prüfen:

/etc/init.d/SSH status

Firewall-Regeln prüfen:

esxcli network firewall ruleset list

SNMP-Konfiguration prüfen:

esxcli system snmp get

SSH wieder deaktivieren

Wenn SSH nicht dauerhaft benötigt wird, sollte der Dienst nach der Einrichtung wieder deaktiviert werden.

SSH stoppen:

vim-cmd hostsvc/stop_ssh

SSH deaktivieren:

vim-cmd hostsvc/disable_ssh

Firewall-Regel für SSH deaktivieren:

esxcli network firewall ruleset set -e false -r sshServer

Sicherheitshinweise

  • SSH nur aktivieren, wenn es wirklich benötigt wird.
  • Direkte Root-Logins nur für administrative Arbeiten verwenden.
  • SNMPv3 statt SNMPv1 oder SNMPv2c verwenden.
  • Keine Klartext-Passwörter in BookStack speichern.
  • Auth-Hash und Priv-Hash nicht öffentlich dokumentieren.
  • Zugriff auf die ESXi-Management-IP per Firewall oder Management-VLAN einschränken.
  • Nach Abschluss der Arbeiten prüfen, ob SSH wieder deaktiviert werden kann.

Beispiel: Komplette SNMPv3-Konfiguration

esxcli system snmp set --enable true
esxcli system snmp set --authentication SHA1
esxcli system snmp set --privacy AES128
esxcli system snmp hash --priv-hash --raw-secret -A

Nach der Hash-Erzeugung:

esxcli system snmp set --users max/FFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFF/AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA/priv

Konfiguration prüfen:

esxcli system snmp get

Test ausführen:

esxcli system snmp test

```