Changez le password root de vos ESX tous les jours

MAJ 22/09/2010 : Modification des variables $newrootpasswd et $passwds en ${newrootpasswd} et ${passwds} pour une meilleure gestion des caractères spéciaux. Merci à Jswano pour son aide !

Si votre RSSI est parano ou si vous n’avez pas confiance en l’admin qui vient de quitter votre équipe, ce script powershell est fait pour vous : Set-RootPasswd vous permet de changer, afficher ou unifier le password du compte root de vos ESX en une seule action.

Autorisez le mode multi servers pour rester connecté au VC

Affichez le password root avec le parametre -showpasswd

Pas de changement en cas de password identique au nouveau

Confirmation de la modification

Lock de la commande sans le paramètre “-whatif 0″

Pas de bon password disponible dans la magasin…

Ce script s’utilise comme suit :

Get-VMHost|?{$_.State -match "Connected|Maintenance"}|%{.\Set-RootPasswd.ps1 -esxhost $_ -newrootpasswd "password" -whatif 0 -showpasswd 0}

-esxhost est l’esx d’input, -newrootpasswd est le nouveau password à fixer (“” pour *blank*) et -whatif (par défaut à 1) pour débloquer la commande et permettre l’exécution. Le paramètre -showpasswd (par défaut à 0) permet l’affichage du password root avec lequel le script à réussi à se connecter (issue du magasin de password $passwds du script, ligne 9), très pratique en cas de configuration hétérogène.

Le script va essayer tous les passwords du magasin jusqu’à être connecté à l’ESX et exécute le reste du script en fonction du choix des paramètres.

La communication avec le vCenter se faisant avec le compte vpxuser, cette action n’a aucune conséquence sur la connectivité des ESX.

Pour une sécurité au top, il vous est possible de planifier l’exécution de ce script tous les 30 jours (avec génération de password en fonction de votre algorithme perso) depuis le vcenter, ou de laisser le password *blank* d’origine :)

download

Tags: , ,

7 Responses to “Changez le password root de vos ESX tous les jours”

  1. [...] Ce billet était mentionné sur Twitter par Alan Renouf et VirtualTweet, Warren Olivier. Warren Olivier a dit: RT @hyperviz0r: Change all your #ESX root password at once with this #PowerCLI script http://www.hypervisor.fr/?p=2365 #Powershell powered [...]

  2. Qui a un RSSI qui n’est pas Parano ??? Qui fait confiance aux admins IT ??? :)

  3. Bonjour,

    Comment positionner dans la bibliothèque des password, un mot de passe avec des caractères particuliers comme le & ?

    Merci

  4. Trouvé ! Il faut modifier $passwds par ${passwds} dans le script Set-RootPasswd.ps1

  5. @Jswano : je viens de faire le test, aucun problème avec le &, quelle erreur as tu ?

  6. En effet je viens de voir ca : Variable names containing punctuation, can be handled with the syntax ${MyVari@ble} = SomeValue

    Mise à jour du script en conséquence, merci pour ton aide !

  7. [...] le password du compte root des ESX sans le connaitre pour peu qu’on soit admin du vcenter (alors qu’il fallait bien une connexion direct pre 6.0) [...]

Leave a Reply