先日調達した2代目ThinkPad T440p、いい具合にESXiサーバとして動いてくれています。
sylve.hatenablog.jp
そんな中、何やらVMware製品で緊急の脆弱性で早急なアップデートを・・・と言うニュースが駆け巡っています。
news.mynavi.jp
Q:VMware ESXiを2代目ThinkPad T440pに入れた日は?
A:2020年6月20日(戯言日記公開日)
Q:パッチ提供日は?
A:2020年6月25日(上記のマイナビニュース掲載日)
VMware ESXiのパッチ充てなきゃ・・・
なんと驚き、インストールして数日でパッチが提供されました。しかも「ただちにアップデート」とか言われているパターンです。
割と企業内では放置されがちなモノではありますが(!?)*1私の場合は一般のご家庭でインターネット接続が可能な環境下にESXiをぶら下げていることから早急にアップデートを行わないと駄目なパターンかと思います。・・・いえ、普通にルーター噛ませてFWも然るべき設定していますが、そうは言ってもパソコンの大先生の単純思考では考えられないような手法で*2攻撃されてしまったら目も当てられませんので・・・。
とは言うものの、過去にESXiで遊んでいましたがパッチを充てたことは1回くらいしか*3無かったりするので、改めてESXiのパッチ適用方法を学習しておく必要があります・・・。
パッチの入手方法
とりあえず調べていくと、パッチ自体はMy VMwareからダウンロードが可能なようです。
https://my.vmware.com/group/vmware/patch
ESXiダウンロードのために登録したアカウントでログインし・・・
- Select a Product→ESXi(Embedded and Installable)
- (グレーアウトしている)Select Version→7.0.0(または利用中のバージョン)
- (下部に表示される)SEARCHボタン
このオペレーションでパッチが出てきます。
今回はRelease Dateが06/23/2020のパッチをダウンロードします。・・・リリース日観点でもISOファイルダウンロード日以降の日付でどのみち入れなきゃ駄目か・・・。
パッチ適用方法
適用方法については先駆者によるESXi 6.7向けの手順がそのまま使えるのでそちらを参照。
redj.hatenablog.com
ただ、個人的な手法としては以下の感じです。
- ESXiのWebコンソールに接続する。
- ESXi上の仮想マシンを一通りシャットダウンする。
- ストレージ→データストアのデータストアブラウザ経由でパッチファイル(ZIPファイル)をアップロードする。
- ホスト→アクション→メンテナンスモードへの切り替えでメンテナンスモードに移行する。
- ホスト→アクション→サービス→SSHの有効化をクリックする。(デフォルト無効)
- SSH経由でESXiサーバにログインする。*4
- コマンド叩きまくる。
- ESXiのWebコンソールに接続する。
- (再起動するとデフォルト状態に戻るので)ホスト→アクション→サービス→SSHの有効化をクリックする。
- SSH経由でESXiサーバにログインする。
- esxcli software profile get
- 先程指定したイメージプロファイル名に変更されたことを確認する。
- ホスト→アクション→メンテナンスモードへの切り替えでメンテナンスモードを解除する。
- 停止した仮想マシンを順次起動させる。
全部コマンドラインでも可能ですが、Webコンソールメインでの操作となっています。またSSHコンソールは標準だと無効化されているので毎回有効化操作が必要です。・・・まぁ、(サーバ側の)コンソールで設定すればデフォルト有効も可能ですが・・・。
あと本来であれば最後に現在の適用バージョンを確認するプロセスが入ると思いますが、面倒臭いので個人環境なのでとりあえずブチ込み、当たったねハイ終わり・・・とIT技術者らしからぬ適当さで対応しています。
こんなに・・・面倒だったっけ?
Windows/macOSを触れていると、勝手に「パッチ出たよ!充てて!」とメッセージが出たり、近年のLinuxだとSSHログイン時に「新しいパッチあるで!」と*6お知らせが出たりしますが、ESXiはそんな便利機能は無いようで、自分で情報を収集して自分でダウンロードを済ませて自分で適用させると、若干面倒です。
とは言え、充てなければ悪い意味での踏み台に使われたり、ぶっ壊されたり、ろくな事はないので早々にパッチは充ててしまいましょう。
ちなみに「ESXiとか企業ベースでしか使わねーよwww」とか思われそうですが、残念なことにESXiを導入するまでは無いけど個人ユースでも利用する機会のあるVMware Fusion(Mac向け有償の仮想マシンツール)/Workstation(Win向けPlayerは無料の仮想マシンツール)も対象になってますので、GEEKな皆様はお早めに提供パッチの適用を。
*1:えぇ、過去携わったプロジェクトでも基本的に放置してます・・・。クローズドなネットワークと言うのが理由ですが・・・。
*2:全部が全部終えてませんし、構築エンジニアでセキュリティに特化した技術者では無いのでセキュリティ的に突っ込んだコトをされると一生懸命ぐぐるくらいしか対応出来ないので・・・。
*3:確かIE以外のブラウザで接続するとエラー吐きまくる。ESXi 6.0かそれ以前のバージョンだったか・・・。
*4:TeraTermを利用する場合は、認証方式として「キーボードインタラクティブ認証」にチェックを付ける。
*5:xxxxxxxxには、先のコマンドで出てくるイメージプロファイル名。ちなみにESXi7.0の場合は7.0b=セキュリティパッチ+バグフィックス、7.0bs=セキュリティパッチのみらしい。