DE proof

tcpdumpfbacke · web-flow · commit 76779308fa15 · 2023-03-23T16:51:39.000+01:00
diff --git a/pages/cloud/dedicated/esxi-hardening/guide.de-de.md b/pages/cloud/dedicated/esxi-hardening/guide.de-de.md
@@ -1,156 +1,161 @@
 ---
-title: 'Beherrschen und sichern Sie Ihren dedizierten ESXi Server ab dem ersten Start'
+title: 'Sichere Verwaltung eines ESXi Dedicated Server'
 slug: esxi-hardening
-excerpt: 'Entdecken Sie die verschiedenen Möglichkeiten, um Ihren dedizierten ESXi-Server wirksam zu schützen'
+excerpt: 'Erfahren Sie hier, wie Sie Ihren ESXi Server wirksam absichern'
 section: 'Sicherheit'
 order: 5
 updated: 2023-03-22
 ---
 
+> [!primary]
+> Diese Übersetzung wurde durch unseren Partner SYSTRAN automatisch erstellt. In manchen Fällen können ungenaue Formulierungen verwendet worden sein, z.B. bei der Beschriftung von Schaltflächen oder technischen Details. Bitte ziehen Sie beim geringsten Zweifel die englische oder französische Fassung der Anleitung zu Rate. Möchten Sie mithelfen, diese Übersetzung zu verbessern? Dann nutzen Sie dazu bitte den Button “Mitmachen” auf dieser Seite.
+>
+
+
 **Letzte Aktualisierung am 22.03.2023**
 
 ## Ziel
 
-In dieser Anleitung erfahren Sie, wie Sie die Sicherheit Ihres ESXi-Systems optimieren.
+In dieser Anleitung erfahren Sie, wie Sie die Sicherheit Ihres ESXi Systems optimieren.
 
-Insbesondere zeigt dieser Leitfaden, wie: 
+Insbesondere wird erklärt, wie Sie: 
 
-- Den Zugang zu Ihrem ESXi auf eine bestimmte IP-Adresse oder einen bestimmten Netzwerkbereich beschränken
-- Dienste deaktivieren, die die Angriffsfläche Ihres Servers erhöhen.
+- Den Zugang zu ESXi auf eine bestimmte IP-Adresse oder einen bestimmten Netzwerkbereich beschränken.
+- Dienste deaktivieren, um die Angriffsmöglichkeiten Ihres Servers zu verringern.
 
-Wir werden uns dabei auf die bordeigenen Funktionen von VMware, aber auch die von OVHcloud, stützen.
+Wir behelfen uns dabei der nativen Funktionen von VMware, als auch der Optionen bei OVHcloud.
 
 > [!warning]
 > 
-> In jüngster Zeit wurden die ESXi-Systeme Opfer einer Sicherheitslücke, die von böswilligen Gruppen sehr schnell über öffentliche Netzwerke ausgenutzt wurde.
+> Kürzlich wurden ESXi Systeme Opfer von Angriffen über eine Sicherheitslücke, die über öffentliche Netzwerke ausgenutzt wurde.
 >
-> Weitere Informationen zu diesem Angriff finden Sie in einer zusätzlichen [FAQ (EN)](https://docs.ovh.com/gb/en/dedicated/esxi-faq/).
+> Weitere Informationen zu diesem Angriff finden Sie in dieser [zusätzlichen FAQ (EN)](https://docs.ovh.com/gb/en/dedicated/esxi-faq/).
 >
 
 ### Bewährte Sicherheitspraktiken:
 
-- Aktualisieren Sie Ihre ESXi-Systeme regelmäßig.
+- Aktualisieren Sie Ihre ESXi Systeme regelmäßig.
 - Beschränken Sie den Zugriff auf vertrauenswürdige IP-Adressen.
-- Deaktivieren Sie die Ports und die nicht genutzten Dienstleistungen.
-- Stellen Sie sicher, dass der Zugang zu Ihren Servern oder Netzwerkgeräten durch robuste Passwörter eingeschränkt, kontrolliert und geschützt ist.
-- Sichern Sie Ihre kritischen Daten auf externen Festplatten und Backup-Servern, die geschützt und vom Internet isoliert sind.
+- Deaktivieren Sie Ports und nicht genutzte Dienste.
+- Stellen Sie sicher, dass der Zugang zu Ihren Servern und Netzwerkgeräten mit sicheren Passwörtern eingeschränkt, kontrolliert und geschützt ist.
+- Sichern Sie Ihre kritischen Daten auf externen Medien und Backup-Servern, die abgesichert und vom Internet isoliert sind.
 
 **Optional**:
 
-- Installieren Sie die notwendigen Protokollierungslösungen, um die Ereignisse auf Ihren kritischen Servern und Netzwerkgeräten zu überwachen.
-- Erstellen Sie Sicherheitspakete für die Erkennung böswilliger Aktionen, Einbrüche (IPS / NDS) und die Überwachung der Netzwerktraffic-Bandbreite.
+- Installieren Sie Protokollierungslösungen, um Ereignisse auf Ihren kritischen Servern und Netzwerkgeräten zu überwachen.
+- Konfigurieren Sie Sicherheitspakete für die Erkennung unbefugter Zugriffe und Angriffe (IPS / NIDS) und die Überwachung der Netzwerktraffic-Bandbreite.
 
 ## Voraussetzungen
 
-- Sie sind in Ihrem [OVHcloud Kundencenter](https://www.ovh.com/auth/?action=gotomanager&from=https://www.ovh.de/&ovhSubsidiary=de){.external} angemeldet.
-- Sie verfügen über einen dedizierten Server mit der deployten ESXi-Lösung.
-- Sie haben ein Angebot abonniert, das mit unserer [Network Firewall-Funktion](https://docs.ovh.com/de/dedicated/firewall-network/) kompatibel ist, wenn Sie dieses für die Filterung verwenden möchten.
+- Sie haben Zugriff auf Ihr [OVHcloud Kundencenter](https://www.ovh.com/auth/?action=gotomanager&from=https://www.ovh.de/&ovhSubsidiary=de).
+- Sie verfügen über einen dedizierten Server mit ESXi installiert.
+- Sie haben einen separaten Dienst, der mit unserer [Network Firewall](https://docs.ovh.com/de/dedicated/firewall-network/) kompatibel ist, sofern Sie diese Option zur Filterung verwenden möchten.
 
 ## In der praktischen Anwendung
 
 ### Nativer Einbruchsschutz
 
-Hinweis auf seine Definition und sein Funktionsprinzip:
+Hinweis zu Definition und Funktionsprinzip:
 
 > [!primary]
 > 
-> Das ESXi-System verfügt über einen Sicherheitsmechanismus, der mit dem Administratorkonto verbunden ist.
-> Bei mehreren irreführenden Zugriffsversuchen wird der Administratoraccount temporär gesperrt.
-> Dieser Mechanismus schützt Ihr System und verhindert so böswillige Verbindungen.
+> Das ESXi System verfügt über einen Sicherheitsmechanismus, der mit dem Administratorkonto verbunden ist.
+> Bei mehreren fehlgeschlagenen Zugriffsversuchen wird das Administratorkonto temporär gesperrt.
+> Dieser Mechanismus schützt Ihr System und verhindert so unbefugte Verbindungen.
 
 > [!warning]
 > 
-> Wenn dieses System aktiviert wird und Sie sich sofort mit Ihrem ESXi verbinden möchten, müssen Sie den Administratoraccount manuell entsperren.
+> Wenn dieser Schutz ausgelöst wurde und Sie sich sofort mit Ihrem ESXi verbinden möchten, müssen Sie das Administratorkonto manuell entsperren.
 >
-> Dazu müssen Sie Ihren ESXi-Server über das OVHcloud Kundencenter [neu starten](https://docs.ovh.com/de/dedicated/erste-schritte-dedicated-server/#neustart-ihres-dedicated-servers_1).
+> Dazu muss der ESXi Server über das OVHcloud Kundencenter [neu gestartet werden](https://docs.ovh.com/de/dedicated/erste-schritte-dedicated-server/#neustart-ihres-dedicated-servers_1).
 > 
 
-Sie können die Zugriffs-Logs über einen SSH-Shell in folgenden Dateien einsehen:
+Sie können die Zugrifflogs über eine SSH-Verbindung in folgenden Dateien einsehen:
 
-- `/var/run/log/vobd.log` enthält die Logs, die für die Überwachung und Problemlösung verwendet werden können:
+- `/var/run/log/vobd.log` enthält die Logs, die für Überwachung und Problemlösung verwendet werden können:
 
 ```
 2023-02-13T16:22:22.897Z: [UserLevelCorrelator] 410535559us: [vob.user.account.locked] Remote access for ESXi local user account 'root' has been locked for 900 seconds after 6 failed login attempts.
 2023-02-13T16:22:22.897Z: [GenericCorrelator] 410535559us: [vob.user.account.locked] Remote access for ESXi local user account 'root' has been locked for 900 seconds after 6 failed login attempts.
 2023-02-13T16:22:22.897Z: [UserLevelCorrelator] 410535867us: [esx.audit.account.locked] Remote access for ESXi local user account 'root' has been locked for 900 seconds after 6 failed login attempts.
 ```
 
-- `/var/run/log/hostd.log` enthält die Logs des ESXi-Hosts (Tasks, Zugang zum WEB-Interface etc.):
+- `/var/run/log/hostd.log` enthält die Logs des ESXi Hosts (Tasks, Zugang zum WEB-Interface, etc.):
 
-```
+```output
 2023-02-21T08:44:19.711Z error hostd[2101004] [Originator@6876 sub=Default opID=esxui-d48c-26a4] [module:pam_lsass]pam_do_authenticate: error [login:root][error code:2]
 2023-02-21T08:44:19.711Z error hostd[2101004] [Originator@6876 sub=Default opID=esxui-d48c-26a4] [module:pam_lsass]pam_sm_authenticate: failed [error code:2]
 2023-02-21T08:44:19.712Z warning hostd[2101004] [Originator@6876 sub=Default opID=esxui-d48c-26a4] Rejected password for user root from xxx.xxx.xxx.xxx
 2023-02-21T08:44:19.712Z info hostd[2101004] [Originator@6876 sub=Vimsvc.ha-eventmgr opID=esxui-d48c-26a4] Event 175 : Cannot login root@xxx.xxx.xxx.xxx
 ```
 
-Alle Informationen sind auch über das Web-Administrations-Interface verfügbar. Klicken Sie auf das `Host`{.action} -Menü und gehen Sie in den Bereich `Monitor`{.action} und klicken Sie dann auf `Logs`{.action}.
+Alle Informationen sind auch über das Web-Interface verfügbar. Klicken Sie auf `Host`{.action} und gehen Sie in den Bereich `Monitor`{.action} Klicken Sie dann auf `Logs`{.action}.
 
 ![interface](images/gui_logs_.png){.thumbnail}
 
-### Die Network Firewall Lösung
+### Die Network Firewall
 
 > [!primary]
 >
-> Zur Erinnerung: Network Firewall wird innerhalb des OVHcloud Netzwerks nicht berücksichtigt. Die konfigurierten Regeln haben daher keine Auswirkungen auf die Verbindungen aus diesem internen Netzwerk.
+> Zur Erinnerung: Regeln der Network Firewall werden innerhalb des OVHcloud Netzwerks nicht berücksichtigt. Die konfigurierten Regeln haben daher keine Auswirkungen auf die Verbindungen aus dem internen Netzwerk.
 >
 
-Wir schlagen Ihnen vor, unsere Network Firewall Filterlösung zu [aktivieren und zu verwenden](https://docs.ovh.com/de/dedicated/firewall-network/).
-Mit dieser Lösung können Sie die legitimen Zugänge, die Sie über Ihr ESXi-System eingerichtet haben, problemlos verwalten.
+Wir empfehlen, unsere Network Firewall Filterlösung zu [aktivieren und zu verwenden](https://docs.ovh.com/de/dedicated/firewall-network/).
+Mit dieser Lösung können Sie die legitimen Zugänge, die Sie über Ihr ESXi System eingerichtet haben, problemlos verwalten.
 
 Sie vermeiden es auch, Ihren Administrator-Account im Falle eines Angriffs unbeabsichtigt zu sperren.
 
 Es wird daher empfohlen, die legitimen Zugänge wie folgt zu filtern:
 
-- Die Regel 1 (Priority 0) erlaubt es externen vertrauenswürdigen Netzwerken, Zugang zu Ihrem ESXi-System zu erhalten.
-- Die Regel 2 (Priority 1) blockiert alles andere.
+- Regel 1 (Priority 0) erlaubt es externen vertrauenswürdigen Netzwerken, Zugang zu Ihrem ESXi System zu erhalten.
+- Regel 2 (Priority 1) blockiert alles weitere.
 
 ![Network_Firewall](images/firewall_network_.png){.thumbnail}
 
 ### Filterung unter ESXi
 
 > [!primary]
 >
-> Sie haben auch die Möglichkeit, die Zugriffe auf Ihr ESXi-System über die integrierte Firewall zu filtern.
-> Sie können auch unnötige Dienstleistungen entsprechend Ihrer Nutzung deaktivieren.
+> Sie haben auch die Möglichkeit, die Zugriffe auf Ihr ESXi System über die integrierte Firewall zu filtern.
+> Sie können zusätzlich ungenutzte Dienste deaktivieren.
 >
 
 > [!warning]
 > 
-> Die Deaktivierung der **SSH** und **SLP**-Dienste wird dringend empfohlen.
-> Wenn Sie den SSH-Dienst trotzdem weiterhin verwenden, minimieren Sie dessen Verwendung und Zugriff.
-> Das gilt auch für den Zugang zum **Shell**.
-> Predigen Sie nur das Notwendige für jeden Ihrer Bedürfnisse.
+> Die Deaktivierung von **SSH** und **SLP** wird dringend empfohlen.
+> Wenn Sie den SSH-Dienst weiterhin verwenden, minimieren Sie dessen Verwendung und die Zugriffe.
+> Das gilt auch für den **Shell**-Zugang.
+> Lassen Sie nur das absolut Notwendige aktiviert.
 
 #### Manipulation über das grafische Interface
 
 **Dienste**
 
-Klicken Sie auf das `Host`-Menü{.action} und gehen Sie in den Bereich `Manage`{.action} und klicken Sie dann auf `Services`{.action}.
+Klicken Sie auf `Host`{.action} und gehen Sie in den Bereich `Manage`{.action}. Klicken Sie dann auf `Services`{.action}.
 
-Finden Sie in der Liste den `TSM-SSH`-Dienst und klicken Sie mit der rechten Maustaste auf die zugeordnete Leitung.
+Finden Sie in der Liste den `TSM-SSH`-Dienst und klicken Sie mit der rechten Maustaste auf die Zeile.
 
-Beenden Sie die Dienstleistung, indem Sie auf `Stop`{.action} klicken:
+Beenden Sie den Dienst, indem Sie auf `Stop`{.action} klicken:
 
 ![services_ssh](images/stop_service.png){.thumbnail}
 
 Wählen Sie die `Policy` aus und ändern Sie sie entsprechend dem angezeigten Beispiel.
 
-Wählen Sie die Option `Start and stop manually`{.action} , um zu vermeiden, dass der Dienst beim Start des Servers aktiv ist.
+Wählen Sie die Option `Start and stop manually`{.action} , um zu vermeiden, dass der Dienst beim Start des Servers aktiv wird.
 
 ![services_ssh](images/ssh_disabled_.png){.thumbnail} 
 
-Verwenden Sie die gleichen Einstellungen für den `slpd` Dienst:
+Verwenden Sie die gleichen Einstellungen für den Dienst `slpd`:
 
 ![services_slp](images/slpd_.png){.thumbnail}
 
 **Firewall-Regeln**
 
-Klicken Sie auf das Menü `Networking`{.action} und dann auf `Firewall`{.action} rules und wählen Sie `Edit settings`{.action} für jeden der zu schützenden Dienste aus:
+Klicken Sie auf das Menü `Networking`{.action} und dann auf `Firewall rules`{.action}. Wählen Sie `Edit settings`{.action} für jeden der zu schützenden Dienste aus.
 
 ![rules](images/firewall_web_.png){.thumbnail}
 
-Bearbeiten Sie die Regel, um nur die IP-Adressen oder Netzwerke hinzuzufügen, die Zugriff auf Ihr ESXi-System haben müssen.
+Bearbeiten Sie die Regel, um nur die IP-Adressen oder Netzwerke hinzuzufügen, die Zugriff auf Ihr ESXi System haben müssen.
 
 Beispiel, das ausschließlich Verbindungen über IP 192.168.1.10 erlaubt:
 
@@ -160,17 +165,17 @@ Beispiel, das ausschließlich Verbindungen über IP 192.168.1.10 erlaubt:
 
 **Dienste**
 
-Deaktivieren Sie unnötige Dienstleistungen:
+Deaktivieren Sie unnötige Dienste:
 
-- Service SLP
+- SLP
 
 ```bash
 /etc/init.d/slpd stop
 esxcli network firewall ruleset set -r CIMSLP -e 0
 chkconfig slpd off
 ```
 
-- SSH-Dienst
+- SSH
 
 ```bash
 /etc/init.d/SSH stop
@@ -197,10 +202,10 @@ esxcli system account list
 
 > Erläuterungen zu den Änderungen/Anpassungen der Zugangsregeln: 
 > 
-> - `vSphereClient` Dienst: Diese Dienstleistung entspricht dem WEB-Administrations-Interface auf Port 443 (HTTPS).
-> - Der `SSHserver` Dienst: Diese Dienstleistung entspricht dem SSH-Zugang auf Port 22.
+> - `vSphereClient`: Dieser Dienst entspricht dem WEB-Administrationsbereich über Port 443 (HTTPS).
+> - `SSHserver`: Dieser Dienst entspricht dem SSH-Zugang über Port 22.
 
-Beispiel mit dem vSphereClient-Dienst:
+Beispiel mit dem Dienst `vSphereClient`:
 
 ```bash
 esxcli network firewall ruleset list --ruleset-id vSphereClient
@@ -254,13 +259,13 @@ vSphereClient  192.168.1.10
 <br/>
 <br/>
 
-Wenn Sie den SSH-Dienst trotzdem verwenden möchten, erklären wir Ihnen hier, wie Sie einen SSH-Schlüssel-Zugang einrichten.
+Wenn Sie den SSH-Dienst trotzdem verwenden möchten, erklären wir Ihnen hier, wie Sie einen Zugang über SSH-Schlüssel einrichten.
 
-Erzeugen Sie die Schlüssel auf dem Rechner, der sich mit dem ESXi-Server verbinden soll. Der Algorithmus **ECDSA** mit 521 Bit ist für maximale Sicherheit zu bevorzugen:
+Erzeugen Sie die Schlüssel auf dem Gerät, das sich mit dem ESXi Server verbinden soll. Der Algorithmus **ECDSA** mit 521 Bit ist für maximale Sicherheit zu bevorzugen:
 
 > [!warning]
 > Die Authentifizierung funktioniert mit einem Schlüsselpaar: einem öffentlichen und einem privaten Schlüssel.
-> Geben Sie Ihren **privaten** Schlüssel unter keinen Umständen weiter, er muss auf dem Rechner bleiben, auf dem er generiert wurde.
+> Geben Sie Ihren **privaten** Schlüssel unter keinen Umständen weiter. Er verbleibt auf dem System, auf dem er generiert wurde.
 
 Führen Sie folgenden Befehl aus:
 
@@ -273,14 +278,14 @@ Generating public/private ecdsa key pair.
 Enter file in which to save the key (/path-to-my-key/key-ecdsa_rsa):
 ```
 
-Geben Sie ein robustes Passwort ein:
+Geben Sie ein starkes Passwort ein:
 
 ```
 Enter passphrase (empty for no passphrase):
 Enter same passphrase again:
 ```
 
-Nur der öffentliche Schlüssel (key-ecdsa.pub) muss auf den Maschinen, mit denen Sie sich verbinden möchten, mitgeteilt oder hinterlegt werden.
+Nur der öffentliche Schlüssel (key-ecdsa.pub) muss auf den Servern, mit denen Sie sich verbinden möchten, vorhanden sein.
 
 ```
 Your identification has been saved in /path-to-my-key/key-ecdsa.
@@ -289,14 +294,14 @@ The key fingerprint is:
 SHA256:******************************************* key-ecdsa-esxi-host
 ```
 
-Übertragen Sie den öffentlichen Schlüssel auf Ihren ESXi-Host, damit dieser als vertrauenswürdig deklariert werden kann:
+Übertragen Sie den öffentlichen Schlüssel auf Ihren ESXi Host, damit dieser als vertrauenswürdig deklariert werden kann:
 
 ```bash
 cat /path-to-my-key/key-ecdsa.pub | ssh root@esxi-host-ip 'cat >> /etc/ssh/keys-root/authorized_keys'
 ```
 
 ## Weiterführende Informationen
 
-Weitere Informationen zu bewährten Sicherheitsverfahren finden Sie in dieser [Anleitung](https://core.vmware.com/security-configuration-guide) von VMware.
+Weitere Informationen zu bewährten Sicherheitsverfahren finden Sie in [dieser Anleitung von VMware](https://core.vmware.com/security-configuration-guide).
 
-Für den Austausch mit unserer User Community gehen Sie auf <https://community.ovh.com/en/>.
+Für den Austausch mit unserer User Community gehen Sie auf <https://community.ovh.com/en/>.
