Changez le password root de vos ESX tous les jours
Posted by NiTRo | Filed under Tips & Tricks, VMware
MAJ 22/09/2010 : Modification des variables $newrootpasswd et $passwds en ${newrootpasswd} et ${passwds} pour une meilleure gestion des caractères spéciaux. Merci à Jswano pour son aide !
Si votre RSSI est parano ou si vous n’avez pas confiance en l’admin qui vient de quitter votre équipe, ce script powershell est fait pour vous : Set-RootPasswd vous permet de changer, afficher ou unifier le password du compte root de vos ESX en une seule action.
Autorisez le mode multi servers pour rester connecté au VC
Affichez le password root avec le parametre -showpasswd
Pas de changement en cas de password identique au nouveau
Confirmation de la modification
Lock de la commande sans le paramètre “-whatif 0″
Pas de bon password disponible dans la magasin…
Ce script s’utilise comme suit :
Get-VMHost|?{$_.State -match "Connected|Maintenance"}|%{.\Set-RootPasswd.ps1 -esxhost $_ -newrootpasswd "password" -whatif 0 -showpasswd 0}
Où -esxhost est l’esx d’input, -newrootpasswd est le nouveau password à fixer (“” pour *blank*) et -whatif (par défaut à 1) pour débloquer la commande et permettre l’exécution. Le paramètre -showpasswd (par défaut à 0) permet l’affichage du password root avec lequel le script à réussi à se connecter (issue du magasin de password $passwds du script, ligne 9), très pratique en cas de configuration hétérogène.
Le script va essayer tous les passwords du magasin jusqu’à être connecté à l’ESX et exécute le reste du script en fonction du choix des paramètres.
La communication avec le vCenter se faisant avec le compte vpxuser, cette action n’a aucune conséquence sur la connectivité des ESX.
Pour une sécurité au top, il vous est possible de planifier l’exécution de ce script tous les 30 jours (avec génération de password en fonction de votre algorithme perso) depuis le vcenter, ou de laisser le password *blank* d’origine
Tags: PowerCLI, powershell, scripting
September 20th, 2010 at 9:56
[...] Ce billet était mentionné sur Twitter par Alan Renouf et VirtualTweet, Warren Olivier. Warren Olivier a dit: RT @hyperviz0r: Change all your #ESX root password at once with this #PowerCLI script http://www.hypervisor.fr/?p=2365 #Powershell powered [...]
September 20th, 2010 at 22:16
Qui a un RSSI qui n’est pas Parano ??? Qui fait confiance aux admins IT ???
September 22nd, 2010 at 10:05
Bonjour,
Comment positionner dans la bibliothèque des password, un mot de passe avec des caractères particuliers comme le & ?
Merci
September 22nd, 2010 at 10:28
Trouvé ! Il faut modifier $passwds par ${passwds} dans le script Set-RootPasswd.ps1
September 22nd, 2010 at 10:43
@Jswano : je viens de faire le test, aucun problème avec le &, quelle erreur as tu ?
September 22nd, 2010 at 10:51
En effet je viens de voir ca : Variable names containing punctuation, can be handled with the syntax ${MyVari@ble} = SomeValue
Mise à jour du script en conséquence, merci pour ton aide !
January 12th, 2016 at 11:50
[...] le password du compte root des ESX sans le connaitre pour peu qu’on soit admin du vcenter (alors qu’il fallait bien une connexion direct pre 6.0) [...]