VMware ESXi 7.0 – Comment installer les mises à jour de sécurité ?
Sommaire
I. Présentation
Dans ce tutoriel, nous allons voir comment installer un patch de sécurité sur un serveur VMware ESXi 7.0 (même si cette procédure s'applique aux autres versions). Une action importante compte tenu des campagnes d'attaques à répétition qui ciblent les serveurs VMware ESXi, notamment ceux exposés sur Internet. Ces serveurs ne sont pas rares car de nombreux serveurs dédiés hébergés dans le Cloud utilisent ce système.
En complément de cet article, vous pouvez lire également :
Et j'en profite pour rappeler que VMware ESXi 6.5 et 6.7 ne bénéficient plus de mises à jour de sécurité depuis le 15 octobre 2022. C'est une mauvaise nouvelle car ces deux versions sont ciblées par les attaques qui se déroulent en ce moment. D'ailleurs, pour les victimes de ces nouvelles attaques, regardez ce lien pour tenter de récupérer vos données.
Pour cet exemple, c'est un hôte VMware ESXi 7.0 autonome (non managé par un vCenter) qui est mis à jour. Il tourne en version 7.0 mais ne bénéficie pas du dernier correctif de sécurité : l'occasion de le mettre à jour.
Note : avant de commencer, assurez-vous d'avoir un accès SSH sur le serveur VMware. Cet accès peut être activé temporairement si vous ne l'utilisez pas par ailleurs.
II. Télécharger les correctifs de sécurité VMware ESXi
Pour télécharger les correctifs de sécurité (mises à jour) de VMware ESXi, vous pouvez utiliser ce portail officiel accessible au travers d'un compte VMware (gratuit) :
Une fois authentifié sur ce site, sélectionnez "ESXi (Embedded and Installable)", ainsi que la version et filtrez.
Ici, vous pouvez télécharger le package correspondant à la dernière version disponible à date, ici la version ESXi-7.0U3j.
Une fois le fichier ZIP téléchargé, vous devez le transférer sur le serveur VMware au sein d'une banque de données. Vous pouvez créer un dossier MAJ dans lequel vous uploadez le fichier au travers de la console Web d'ESXi.
III. Mettre à jour VMware ESXi 7.0
Avant de pouvoir mettre à jour un hôte VMware ESXi, il faut éteindre les machines virtuelles qu'il héberge, ou les migrer vers un autre noeud si vous disposez d'un cluster. C'est une condition indispensable pour basculer l'hyperviseur en mode maintenance et procéder à la mise à jour.
Pour mettre l'hôte VMware ESXi en mode maintenance, utilisez l'interface Web ou la ligne de commande suivante :
esxcli system maintenanceMode set --enable=true
Le serveur est toujours en ligne, mais son état a changé :
Ensuite, il ne reste plus qu'à installer le patch correspondant à la mise à jour en précisant le chemin vers le ZIP. Le chemin ci-dessous est à adapter selon votre configuration (/vmfs/volumes/<nom du datastore>).
esxcli software vib update --depot /vmfs/volumes/datastore/ISO/VMware-ESXi-7.0U3j-21053776-depot.zip
Si tout se passe bien, ce sera indiqué et il y aura une longue liste de VIBs à l'écran. Toutefois, il peut y avoir une erreur s'il y a un problème de pilotes ou si vous avez installé un package VIB communautaire sur l'hôte. Dans ce cas, c'est possible de forcer l'installation avec l'option "--force" mais c'est à vos risques et périls !
Puis, redémarrez l'hôte VMware ESXi pour finaliser l'installation :
reboot -f
Une fois que c'est fait, désactivez le mode maintenance en mode Web ou SSH :
esxcli system maintenanceMode set --enable=false
Puis, vérifiez la version de votre ESXi :
vmware –v
Sans oublier de démarrer les machines virtuelles car elles n'ont pas pu être démarrée à cause de l'état de l'hôte (mode maintenance actif).
IV. Conclusion
Cette manipulation simple mais qui implique une interruption de service sur les hôtes autonomes permet de maintenir son serveur VMware ESXi à jour, et d'être protégé contre les vulnérabilités patchées par VMware au fil du temps.
Bonjour, Merci pour cet article.
Cette mise à jour nécessite que la licence Vmware soit active chez eux ?
Mon cher Burnel Ingénieur système et réseau, cofondateur d’IT-Connect je vous salu
Je demande aussi est-il disponible chez IT-connect des cours pratique avec certification pour nous qui désir devenir Administrateur reseau et systéme en tous cas c’est une fiérter de travail avec l’equipe de IT-connect
meme si ca demande de quitter un continent pour vous rejoindre on le feras
Bonjour Florian,
Merci pour ce super article.
J’ignore si cela change quelque chose dans le processus de mise à jour mais je préfère mettre à jour l’ESX en mode profile update.
En mode profile update, la build se met à jour sur le Dashboard d’accueil juste au dessus de la date d’installation.
Bonne journee a toi 🙂
Bonjour Madame , Monsieur
Je suis en Master 2 Ingénierie Réseaux , je rédige mon mémoire sous le thème Sécurisation des infrastructures réseaux virtualisés , étude des technologies de virtualisation . Sauf que mon entreprise est une PME qui n’utilise pas de technologie de virtualisation propre à l’entreprise.
Mes préoccupations sont les suivantes : Quelle technologie puis-je proposé pour virtualisé et sécurisé l’infrastructure ? comment commencé , les étapes de virtualisation vue que la PME dans laquelle je fais mon stage n’a jamais été virtualisé ? S’il vous plait aider moi.