ESXi’de root parolasının kaybedilmesi, özellikle bağımsız çalışan sunucularda ciddi bir sorun hâline gelir. vCenter veya Active Directory kullanılıyorsa parola hızlıca sıfırlanabilir; fakat bu imkânlar yoksa, ESXi’nin şifreli yapılandırması sebebiyle parolayı doğrudan değiştirmek mümkün değildir.
Bu nedenle kurtarma yöntemi, yapılandırma paketinin doğru şekilde açılması ve tekrar oluşturulması üzerine kuruludur. Eğer bu yapıya hâkim değilsen, VMware ESXi Kurulumu ve Yapılandırması rehberini incelemek temel mantığı daha iyi kavramanı sağlar.
Bu yazıda yeniden kurulum olmadan root parolasının nasıl kurtarılabileceğini anlatıyoruz.
Gereksinimler
- Root erişimi kaybolmuş fiziksel ESXi host
- Gerekli işlemler için bir Linux makinesi
- Fiziksel hostla uyumlu sürümde kurulmuş Nested ESXi VM
- Fiziksel ESXi’nin yüklü olduğu medyaya erişim
ESXi Root Parola Kurtarma
Çözümün çalışabilmesi, fiziksel ESXi’den alınan state.tgz dosyasının aynı sürümde yapılandırılmış bir nested ESXi üzerinde açılabilmesine bağlıdır. Bunun için fiziksel makinenin encryption.info dosyası sanal ortama aktarılır. Böylelikle nested ESXi, fiziksel hostun şifreleme anahtarlarına erişebilir hâle gelir.
Nested ESXi Ortamını Hazırlama
Hazırlığa başlamak için, fiziksel ESXi host ile aynı versiyonla çalışan bir nested ESXi kurmamız gerekir. Yeni bir VM oluşturalım ve misafir işletim sistemi olarak fiziksel sunucu ile aynı ESXi sürümünü seçelim.
Ardından ISO dosyasını sanal CD sürücüsüne ekleyerek kurulumu standart ESXi yükleme aşamalarıyla tamamlayalım. Nested ortamda yapılacak işlemler çoğunlukla CLI tabanlı olacağı için, dilerseniz En Çok Kullanılan ESXCLI Komutları rehberini inceleyebilirsiniz.
Fiziksel Hosttan state.tgz Dosyasını Alma
ESXi’in kalıcı yapılandırması state.tgz dosyasında tutulur, bu nedenle işlemlere başlamadan önce bu dosyayı mutlaka dışarı almamız gerekir.
BOOTBANK benzeri bölümü bağlayalım ve içindeki state.tgz dosyasını kopyalayalım, fdisk -l komutuyla bölümleri inceleyelim ve bootbank olan 5. ya da 6. bölümü bağlayalım.
mount /dev/sdb6 /mnt
cp /mnt/bootbank/state.tgz /root/state.tgz
state.tgz Dosyasını Nested ESXi’ye Aktarma
Fiziksel hosttan aldığımız state.tgz dosyasını nested ESXi üzerinde işlemek için önce dosyayı sisteme aktaralım
scp /path/state.tgz root@NESTED_ESXI:/tmp/state.tgzNested ESXi’ye bağlandıktan sonra /tmp dizinine geçip paketi açalım
cd /tmp
tar -zxvf state.tgz
rm -f state.tgzBu işlemlerden sonra fiziksel hosta ait local.tgz ve ilgili meta veriler nested ESXi üzerinde görünür hâle gelir.
Nested ESXi’i Fiziksel Host Anahtarıyla Çalıştırma
Nested ESXi’in, fiziksel hosttaki şifreli yapılandırmayı çözebilmesi için kendi state.tgz paketini fiziksel hostun encryption.info dosyasıyla yeniden oluşturmamız gerekir.
mkdir /tmp/a
cd /tmp/a
tar xzf /bootbank/state.tgz
crypto-util envelope extract --aad ESXConfiguration local.tgz.ve local.tgz
rm -f local.tgz.ve encryption.info
cp /tmp/encryption.info /tmp/a/encryption.info
tar -cvf /tmp/state-mod.tgz encryption.info local.tgz
Bu işlemle nested ESXi’in mevcut state paketini açmış, şifreli yapıdan local.tgz dosyasını çıkarmış, kendi encryption.info dosyasını silip fiziksel hosttaki anahtarla değiştirmiş ve yeni bir state-mod.tgz oluşturmuş oluruz.
Nested ESXi’in Bootbank Alanını Güncelleme
Nested ESXi’in VMDK diskini bir Linux makineye bağlayalım ve bootbank bölümlerini güncelleyelim:
fdisk -l
mkdir -p /bootbank1 /bootbank2
mount /dev/sdc5 /bootbank1
mount /dev/sdc6 /bootbank2
cp /path/state-mod.tgz /bootbank1/state.tgz
cp /path/state-mod.tgz /bootbank2/state.tgz
umount /bootbank1
umount /bootbank2
Sonrasında nested ESXi VM’yi yeniden başlatalım. Bu işlemden sonra nested ortam, fiziksel host ile aynı encryption.info dosyasını kullanır hâle gelir ve artık fiziksel hostun state.tgz paketini sorunsuz bir şekilde çözebilir.
state.tgz İçeriğini Nested ESXi’de Açma
Artık fiziksel hosttan aldığımız orijinal state.tgz dosyasını nested ESXi üzerinde çözelim. Önce dosyayı geçici dizine kopyalayalım ve açalım.
cd /tmp
cp /bootbank/state.tgz ./
tar -zxvf state.tgz
rm -f state.tgzArdından şifreli yapıdan gerçek local.tgz dosyasını çıkaralım.
crypto-util envelope extract --aad ESXConfiguration local.tgz.ve local.tgz
rm -f local.tgz.veBu işlemlerden sonra fiziksel ESXi’e ait gerçek local.tgz paketi elimizde olur. Root parolasının hash değerine ulaşmak için bu paketi de açmamız gerekir.
ConfigStore İçindeki Root Parolasını Güncelleme
Önce local.tgz dosyasını açalım
tar -zxvf local.tgzBu işlemden sonra /tmp altında .ssh, etc/ ve var/ dizinleri oluşur. Root parolasının bulunduğu ConfigStore veritabanı şu dizindedir.
/tmp/var/lib/vmware/configstore/backup/current-store-1Kayıtları görmek için aşağıdaki sorguyu çalıştıralım:
/usr/lib/vmware/sqlite/bin/sqlite3 \
/tmp/var/lib/vmware/configstore/backup/current-store-1 \
"SELECT * FROM config WHERE Component='esx' AND ConfigGroup='authentication' AND Name='user_accounts' AND Identifier='root'"
Şimdi yeni bir SHA512 hash oluşturalım
openssl passwd -6Üretilen hash’i alıp veritabanındaki password_hash alanını güncelleyelim.
/usr/lib/vmware/sqlite/bin/sqlite3 \
/tmp/var/lib/vmware/configstore/backup/current-store-1 \
"UPDATE config SET UserValue='{\"name\":\"root\",\"password_hash\":\"YENI_HASH\",\"description\":\"Administrator\"}' WHERE Component='esx' AND ConfigGroup='authentication' AND Name='user_accounts' AND Identifier='root'"Son olarak ilk SELECT sorgusunu yeniden çalıştırarak yeni hash’in doğru şekilde kaydedildiğini kontrol edelim.
Yeni state Paketini Oluşturup Fiziksel Hosta Yazma
Hash değişikliğinden sonra yapılandırmayı yeniden paketleyelim:
rm -f local.tgz
tar -cvf /tmp/local.tgz .ssh/ etc/ var/
tar -cvf /tmp/state-recover.tgz encryption.info local.tgzArdından dosyayı Linux makineye aktaralım ve fiziksel ESXi’i Live ISO ile açıp bootbank bölümüne yazalım:
mount /dev/sdb5 /mnt
cp ~/state-recover.tgz /mnt/state.tgz
chmod 755 /mnt/state.tgz
umount /mntİkinci bootbank varsa aynı işlemi tekrar edelim. Fiziksel hostu yeniden başlattığımızda:
Yeni root parolasıyla giriş yapabiliriz ve tüm ayarlar ile sanal makineler olduğu gibi korunur.
Sık Sorulan Sorular
local.tgz.ve dosyasını nasıl şifresiz açarım?
local.tgz.ve ancak fiziksel ESXi’ye ait encryption.info dosyası nested ESXi’ye entegre edildikten sonra crypto-util komutuyla çözülebilir. Bu anahtar olmadan dosya tamamen şifreli kaldığı için açılması mümkün değildir.
Doğru anahtar eklendiğinde crypto-util içeriği local.tgz formatına dönüştürür.
ConfigStore sqlite veritabanı neden kilit hatası veriyor?
ConfigStore, ESXi çalışırken sistem tarafından kilitli tutulduğu için canlı ortamda düzenleme yapılamaz. Bu yüzden sqlite3 komutu root parolasını değiştirmeye çalıştığınızda hata verir. İşlem ancak nested ESXi üzerinde çıkarılmış offline ConfigStore kopyasında yapılabilir.
ESXi root şifresini unutunca nested ESXi şart mı?
ESXi 7.x ve 8.x sürümlerinde yapılandırma dosyaları tamamen şifreli olduğu için eski Linux üzerinden shadow düzenleme yöntemi artık çalışmaz. local.tgz.ve dosyasını çözebilmek için aynı sürümde çalışan nested bir ESXi’nin encryption motoruna ihtiyaç vardır. Bu nedenle nested ESXi, şifre kurtarma sürecinin zorunlu bir parçasıdır.
Root kurtarma işleminde neden SSH erişimi önemli?
SSH, recovery sırasında dosya aktarımı ve komut yürütme adımlarını hızlandırdığı için kritik bir bileşendir ve erişim kapalıysa VMware ESXi’de SSH Nasıl Etkinleştirilir? rehberi üzerinden kolayca etkinleştirilebilir.