dark_st3alth's questions

在升级了一些硬件之后，我决定使用 ESXI 7 而不是 6.5 可能是明智的。事实证明，此举是一场可怕的噩梦，但我会省略（大部分）细节。

对于 ESXI DCUI（或“本地黄色控制台”），我可以安装 ESXI 并以 root 身份进行基本操作。

但是，当涉及到 Web 界面时，我得到一个 Cannot complete login due to an incorrect user name or password. The host is freshly installed，我在更改 IP 信息后尝试立即登录。

现在基于我看过的其他 3 个问题，他们似乎都在讨论lockouts、locking或两者的某种组合。

这些似乎都不适合我的问题，但答案似乎确实提到删除通过 cron 作业运行的供应商脚本。我正在使用戴尔的ESXI 7 Build 15843807.

为了进一步增加问题，当我启用 SSH 并尝试登录时，我得到一个Access deniedroot 用户和密码。

我已经尝试重新安装两次，完全干净安装并覆盖，但我没有运气。

DCUI 中的“锁定模式”选项也显示为灰色，但未启用。

我希望能够走上面提到的答案的路线，但看起来这个魔法似乎是用 SSH 完成的。

我想看的另一件事（在别处讨论）是使用命令pam_tally2 --user root，但我不知道在哪里运行它。

此设置是一个简单的 1 ESXI 主机，没有 vCenter。

编辑：

所以我发现你首先需要启用 ESXI shell，然后按alt f1。因此，pam_tally2 --user root我可以看到我在 Web 客户端中所做的尝试失败了。这是没有意义的，因为我使用的是相同的密码。我试过复制粘贴，在虚拟键盘上输入，等等。

作为测试，我重置了失败计数，发现自己在同一个地方......

作为一个有趣的说明，我尝试从 ESXI shell 更改 root 密码，使用来自 Keepass 的强随机 13 个字符密码以及命令给出的任何推荐密码。除非您满足控制台中未列出的其他条件，否则两者都会失败。同样的事情发生在 ESXI 6.7 更新 3 上。

在过去的几天里，这被证明是一种烦恼，我还没有找出根本原因。

在实验室中，我设置了两个虚拟机，一个 OSSEC Server Appliance 和一个 Windows 7 x64 Enterprise SP1 客户端。

当他们做自己的事情时，两者似乎都工作得很好。如果我在 Windows 客户端上有一个扩展的配置文件，代理会读取它并执行所需的操作。

当我尝试将配置集中到“管理器”或 OSSEC 服务器设备时，问题就出现了。

[root@ossec etc]# md5sum /var/ossec/etc/shared/agent.conf
9cc4c937f4eae011ecbccf4468973133  /var/ossec/etc/shared/agent.conf
[root@ossec etc]# /var/ossec/bin/agent_control -i 004

OSSEC HIDS agent_control. Agent information:
   Agent ID:   004
   Agent Name: ABC
   IP address: 192.168.0.93
   Status:     Active

   Operating system:    Microsoft Windows 7 Enterprise Edition Professional ..
   Client version:      OSSEC HIDS v2.9.0 / cd66e10fca4cc1dc4c459a1f05f9b2d1
   Last keep alive:     Sat Oct  7 22:52:09 2017

   Syscheck last started  at: Sat Oct  7 21:35:12 2017
   Rootcheck last started at: Sat Oct  7 22:27:19 2017
[root@ossec etc]# 

毫不奇怪，配置不是同一版本。

什么应该是重新启动设备和 Windows 代理（并等待几分钟）的简单解决方法，但事实并非如此。

通过阅读文档，我了解到代理将尝试合并集中配置：

<agent_config name="ABC">
    <localfile>
        <location>/var/log/my.log2</location>
        <log_format>syslog2</log_format>
    </localfile>
</agent_config>


<agent_config os="Linux">
    <localfile>
        <location>/var/log/my.log2</location>
        <log_format>syslog</log_format>
    </localfile>
</agent_config>


<agent_config os="Windows">
 <!-- This is a test config -->

  <!-- One entry for each file/Event log to monitor. -->
  <localfile>
    <location>Application</location>
    <log_format>eventlog</log_format>
  </localfile>

  <!-- Additional contents are in here. -->

  <active-response>
    <disabled>no</disabled>
  </active-response>

</agent_config>

用一个在本地。这是代理的配置（ossec.conf）：

<ossec_config>
  <active-response>
    <disabled>no</disabled>
  </active-response>
  <client>
        <server-ip>192.168.0.21</server-ip>
        <notify_time>120</notify_time>
        <time-reconnect>240</time-reconnect>
  </client>
</ossec_config>

以及代理上共享文件夹中的 agent.conf 文件：

<agent_config>
    <localfile>
        <location>/var/log/my.log</location>
        <log_format>syslog</log_format>
    </localfile>
</agent_config>

我可以从日志中看到，合并没有发生，它正在运行本地副本：

2017/10/08 00:06:52 ossec-agentd: INFO: Trying to connect to server 192.168.0.21, port 1514.
2017/10/08 00:06:52 INFO: Connected to 192.168.0.21 at address 192.168.0.21:1514, port 1514
2017/10/08 00:06:52 ossec-agent: Starting syscheckd thread.
2017/10/08 00:06:52 ossec-syscheckd(1702): INFO: No directory provided for syscheck to monitor.
2017/10/08 00:06:52 ossec-syscheckd: WARN: Syscheck disabled.
2017/10/08 00:06:52 ossec-rootcheck: INFO: Started (pid: 2512).
2017/10/08 00:06:52 ossec-syscheckd: INFO: Started (pid: 2512).
2017/10/08 00:06:53 ossec-agentd(4102): INFO: Connected to server 192.168.0.21, port 1514.
2017/10/08 00:06:53 ossec-agent: INFO: System is Vista or newer (Microsoft Windows 7 Enterprise Edition Professional Service Pack 1 (Build 7601) - OSSEC HIDS v2.9.0).
2017/10/08 00:06:53 ossec-logcollector(1103): ERROR: Could not open file '/var/log/my.log' due to [(9)-(Bad file descriptor)].
2017/10/08 00:06:53 ossec-logcollector(1950): INFO: Analyzing file: '/var/log/my.log'.

最后，似乎不是代理/经理无法：

• 相互连接。
• 解析配置文件。
• 来回发送数据（触发规则）。
• 验证它使用的是哪个版本的配置文件。
• 合并配置（我在代理上定期看到一个 0KB 的 merge.mg 文件）。

我是否未能在设备/管理器上设置选项，还是其他地方的问题？