ESXi ortamında root şifresinin unutulması, özellikle bağımsız çalışan hostlarda ciddi bir problem hâline gelir. vCenter veya Active Directory bağlantısı varsa parola hızlı biçimde sıfırlanabilir; fakat bu seçenekler yoksa ESXi’nin şifreli yapılandırma sistemi nedeniyle parolayı doğrudan değiştirmek mümkün olmaz.
Bu yüzden kurtarma süreci, yapılandırma paketinin doğru biçimde çıkarılması ve yeniden oluşturulması üzerine kuruludur. Bu yapıya aşina değilsen, önce Fiziksel Sunucularda VMware ESXi Kurulumu rehberine göz atarak temel mantığı anlamak faydalı olacaktır.
Bu içerikte, yeniden kurulum yapmadan root parolasını nasıl geri alabileceğimizi ele alacağız.
Ön Hazırlık
- Parolasına ulaşılamayan fiziksel ESXi sunucusu
- Ek işlemler için bir Linux sistemi
- Fiziksel hostla eş sürümde hazırlanmış Nested ESXi sanal sunucusu
- Fiziksel kurulum medyasına erişim
ESXi Root Parola Kurtarma
Bu kurtarma yönteminin özü, fiziksel ESXi hosttan alınan state.tgz paketinin, aynı versiyona sahip bir sanal ESXi üzerinde okunabilir hâle getirilmesidir. Bu işlem için fiziksel sunucudaki encryption.info dosyası nested ESXi’ye eklenir. Böylece sanal host, fiziksel ESXi’in kullandığı şifreleme anahtarlarını tanıyabilir hâle gelir.
Nested ESXi Ortamını Hazırlama
İlk adım olarak, fiziksel ESXi hostla aynı versiyonda çalışacak bir nested ESXi kurmamız gerekir. Bu nedenle yeni bir sanal makine oluşturalım ve misafir işletim sistemi seçiminde aynı ESXi sürümünü belirleyelim.
ISO dosyasını sanal CD aygıtına bağlayıp kurulumu klasik ESXi yükleme ekranını takip ederek tamamlayalım. Nested ortamda gerçekleştirilecek adımlar çoğunlukla CLI üzerinden yürütüleceği için, isterseniz ESXCLI Komutları Listesi ve Kullanımı rehberine göz atabilirsiniz.
Fiziksel Hosttan state.tgz Dosyasını Alma
Kalıcı ESXi ayarları state.tgz içinde saklandığından, işlemlere başlamadan önce bu dosyanın mutlaka dışarı alınması gereklidir.
BOOTBANK alanını mount ederek içindeki state.tgz dosyasını kopyalayalım. Bölümleri kontrol etmek için fdisk -l komutunu çalıştıralım ve bootbank olarak görünen 5. ya da 6. bölümü bağlayalım.
mount /dev/sdb6 /mnt
cp /mnt/bootbank/state.tgz /root/state.tgz
state.tgz Dosyasını Nested ESXi’ye Aktarma
Fiziksel hosttan aldığımız state.tgz dosyasını nested ESXi üzerinde işlemek için önce dosyayı sisteme aktaralım
scp /path/state.tgz root@NESTED_ESXI:/tmp/state.tgzNested ESXi’ye bağlandıktan sonra /tmp dizinine geçip paketi açalım
cd /tmp
tar -zxvf state.tgz
rm -f state.tgzBu işlemlerden sonra fiziksel hosta ait local.tgz ve ilgili meta veriler nested ESXi üzerinde görünür hâle gelir.
Nested ESXi’i Fiziksel Host Anahtarıyla Çalıştırma
Nested ESXi’in, fiziksel hosttaki şifreli yapılandırmayı çözebilmesi için kendi state.tgz paketini fiziksel hostun encryption.info dosyasıyla yeniden oluşturmamız gerekir.
mkdir /tmp/a
cd /tmp/a
tar xzf /bootbank/state.tgz
crypto-util envelope extract --aad ESXConfiguration local.tgz.ve local.tgz
rm -f local.tgz.ve encryption.info
cp /tmp/encryption.info /tmp/a/encryption.info
tar -cvf /tmp/state-mod.tgz encryption.info local.tgz
Bu işlemle nested ESXi’in mevcut state paketini açmış, şifreli yapıdan local.tgz dosyasını çıkarmış, kendi encryption.info dosyasını silip fiziksel hosttaki anahtarla değiştirmiş ve yeni bir state-mod.tgz oluşturmuş oluruz.
Nested ESXi’in Bootbank Alanını Güncelleme
Nested ESXi’in VMDK diskini bir Linux makineye bağlayalım ve bootbank bölümlerini güncelleyelim:
fdisk -l
mkdir -p /bootbank1 /bootbank2
mount /dev/sdc5 /bootbank1
mount /dev/sdc6 /bootbank2
cp /path/state-mod.tgz /bootbank1/state.tgz
cp /path/state-mod.tgz /bootbank2/state.tgz
umount /bootbank1
umount /bootbank2
Sonrasında nested ESXi VM’yi yeniden başlatalım. Bu işlemden sonra nested ortam, fiziksel host ile aynı encryption.info dosyasını kullanır hâle gelir ve artık fiziksel hostun state.tgz paketini sorunsuz bir şekilde çözebilir.
state.tgz İçeriğini Nested ESXi’de Açma
Artık fiziksel hosttan aldığımız orijinal state.tgz dosyasını nested ESXi üzerinde çözelim. Önce dosyayı geçici dizine kopyalayalım ve açalım.
cd /tmp
cp /bootbank/state.tgz ./
tar -zxvf state.tgz
rm -f state.tgzArdından şifreli yapıdan gerçek local.tgz dosyasını çıkaralım.
crypto-util envelope extract --aad ESXConfiguration local.tgz.ve local.tgz
rm -f local.tgz.veBu işlemlerden sonra fiziksel ESXi’e ait gerçek local.tgz paketi elimizde olur. Root parolasının hash değerine ulaşmak için bu paketi de açmamız gerekir.
ConfigStore İçindeki Root Parolasını Güncelleme
Önce local.tgz dosyasını açalım
tar -zxvf local.tgzBu işlemden sonra /tmp altında .ssh, etc/ ve var/ dizinleri oluşur. Root parolasının bulunduğu ConfigStore veritabanı şu dizindedir.
/tmp/var/lib/vmware/configstore/backup/current-store-1Kayıtları görmek için aşağıdaki sorguyu çalıştıralım:
/usr/lib/vmware/sqlite/bin/sqlite3 \
/tmp/var/lib/vmware/configstore/backup/current-store-1 \
"SELECT * FROM config WHERE Component='esx' AND ConfigGroup='authentication' AND Name='user_accounts' AND Identifier='root'"
Şimdi yeni bir SHA512 hash oluşturalım
openssl passwd -6Üretilen hash’i alıp veritabanındaki password_hash alanını güncelleyelim.
/usr/lib/vmware/sqlite/bin/sqlite3 \
/tmp/var/lib/vmware/configstore/backup/current-store-1 \
"UPDATE config SET UserValue='{\"name\":\"root\",\"password_hash\":\"YENI_HASH\",\"description\":\"Administrator\"}' WHERE Component='esx' AND ConfigGroup='authentication' AND Name='user_accounts' AND Identifier='root'"Son olarak ilk SELECT sorgusunu yeniden çalıştırarak yeni hash’in doğru şekilde kaydedildiğini kontrol edelim.
Yeni state Paketini Oluşturup Fiziksel Hosta Yazma
Hash değişikliğinden sonra yapılandırmayı yeniden paketleyelim:
rm -f local.tgz
tar -cvf /tmp/local.tgz .ssh/ etc/ var/
tar -cvf /tmp/state-recover.tgz encryption.info local.tgzArdından dosyayı Linux makineye aktaralım ve fiziksel ESXi’i Live ISO ile açıp bootbank bölümüne yazalım:
mount /dev/sdb5 /mnt
cp ~/state-recover.tgz /mnt/state.tgz
chmod 755 /mnt/state.tgz
umount /mntİkinci bootbank varsa aynı işlemi tekrar edelim. Fiziksel hostu yeniden başlattığımızda:
Yeni root parolasıyla giriş yapabiliriz ve tüm ayarlar ile sanal makineler olduğu gibi korunur.
Sık Sorulan Sorular
local.tgz.ve dosyasını nasıl şifresiz açarım?
local.tgz.ve ancak fiziksel ESXi’ye ait encryption.info dosyası nested ESXi’ye entegre edildikten sonra crypto-util komutuyla çözülebilir. Bu anahtar olmadan dosya tamamen şifreli kaldığı için açılması mümkün değildir.
Doğru anahtar eklendiğinde crypto-util içeriği local.tgz formatına dönüştürür.
ConfigStore sqlite veritabanı neden kilit hatası veriyor?
ConfigStore, ESXi çalışırken sistem tarafından kilitli tutulduğu için canlı ortamda düzenleme yapılamaz. Bu yüzden sqlite3 komutu root parolasını değiştirmeye çalıştığınızda hata verir. İşlem ancak nested ESXi üzerinde çıkarılmış offline ConfigStore kopyasında yapılabilir.
ESXi root şifresini unutunca nested ESXi şart mı?
ESXi 7.x ve 8.x sürümlerinde yapılandırma dosyaları tamamen şifreli olduğu için eski Linux üzerinden shadow düzenleme yöntemi artık çalışmaz. local.tgz.ve dosyasını çözebilmek için aynı sürümde çalışan nested bir ESXi’nin encryption motoruna ihtiyaç vardır. Bu nedenle nested ESXi, şifre kurtarma sürecinin zorunlu bir parçasıdır.
Root kurtarma işleminde neden SSH erişimi önemli?
SSH, recovery sırasında dosya aktarımı ve komut yürütme adımlarını hızlandırdığı için kritik bir bileşendir ve erişim kapalıysa ESXi Üzerinde SSH Servisini Açma Yöntemleri rehberi üzerinden kolayca etkinleştirilebilir.