O ESXi Shell fornece comandos de manutenção essenciais e é desativado por padrão em hosts ESXi. Você pode ativar o acesso local e remoto ao shell, se necessário. Para reduzir o risco de acesso não autorizado, ative o ESXi Shell somente para solução de problemas.

O ESXi Shell é independente do modo de bloqueio. Mesmo que o host esteja em execução no modo de bloqueio, você ainda poderá fazer login no ESXi Shell se estiver ativado.

Os serviços aplicáveis são os seguintes.

ESXi Shell
Ative este serviço para acessar o ESXi Shell localmente.
SSH
Ative este serviço para acessar o ESXi Shell remotamente usando o SSH.

O usuário raiz e os usuários com a função de Administrador podem acessar o ESXi Shell. Os usuários que estão no grupo Active Directory Administradores ESX recebem automaticamente a função de Administrador. Por padrão, somente o usuário root pode executar comandos do sistema (como vmware -v) usando o ESXi Shell.

Observação: Não ative o ESXi Shell a menos que você realmente precise de acesso.

Definir o tempo limite de ociosidade para o ESXi Shell usando o vSphere Client

Se você habilitar o ESXi Shell em um host, mas esquecer de fazer logout da sessão, a sessão ociosa permanecerá conectada indefinidamente. A conexão aberta aumenta o potencial de alguém obter acesso privilegiado ao host. Evite isso definindo um tempo limite para sessões ociosas.

O tempo limite ocioso é a quantidade de tempo que pode decorrer antes que um usuário seja desconectado de uma sessão interativa ociosa. Você pode controlar a quantidade de tempo para sessões locais e remotas (SSH) da Interface do Console Direto (DCUI) ou do vSphere Client.

Procedimento

  1. Procure o host no inventário vSphere Client.
  2. Clique em Configurar (Configure).
  3. Em Sistema, selecione Configurações avançadas do sistema (Advanced System Settings).
  4. Clique em Editar (Edit), selecione UserVars.ESXiShellInteractiveTimeOut e digite a configuração de tempo limite.
    Um valor de zero (0) desativa o tempo ocioso.
  5. Reinicie o serviço ESXi Shell e o serviço SSH para que o tempo limite entre em vigor.
    1. Vá para Sistema (System) > Serviços (Services).
    2. Um por um, selecione ESXi Shell e SSH e clique em Reiniciar (Restart).

Resultados

Se a sessão estiver ociosa, os usuários serão desconectados após o término do período de tempo limite.

Definir o tempo limite de disponibilidade para o ESXi Shell usando o vSphere Client

O ESXi Shell é desativado por padrão. Você pode definir um tempo limite de disponibilidade para o ESXi Shell para aumentar a segurança ao ativar o shell.

A configuração de tempo limite de disponibilidade é a quantidade de tempo que pode decorrer antes que você precise fazer login depois que o ESXi Shell for ativado. Após o período de tempo limite, o serviço é desativado e os usuários não têm permissão para fazer login.

Procedimento

  1. Procure o host no inventário vSphere Client.
  2. Clique em Configurar (Configure).
  3. Em Sistema, selecione Configurações avançadas do sistema (Advanced System Settings).
  4. Clique em Editar (Edit) e selecione UserVars.ESXiShellTimeOut.
  5. Insira a configuração de tempo limite de inatividade.
  6. Clique em OK.
  7. Reinicie o serviço ESXi Shell e o serviço SSH para que o tempo limite entre em vigor.
    1. Vá para Sistema (System) > Serviços (Services).
    2. Um por um, selecione ESXi Shell e SSH e clique em Reiniciar (Restart).

Resultados

Se você estiver conectado quando o tempo limite expirar, sua sessão persistirá. No entanto, depois que você fizer logout ou sua sessão for encerrada, os usuários não terão permissão para fazer login.

Definir o tempo limite de disponibilidade ou o tempo limite de inatividade para o ESXi Shell usando o DCUI

O ESXi Shell é desativado por padrão. Para aumentar a segurança ao ativar o shell, você pode definir um tempo limite de disponibilidade, um tempo limite de inatividade ou ambos.

Os dois tipos de tempo limite se aplicam em situações diferentes.
ESXi Shell Tempo limite de inatividade
Se um usuário ativar o ESXi Shell em um host, mas esquecer de fazer logout da sessão, a sessão ociosa permanecerá conectada indefinidamente. A conexão aberta pode aumentar o potencial de alguém obter acesso privilegiado ao host. Você pode evitar essa situação definindo um tempo limite para sessões ociosas.
ESXi Shell Tempo limite de disponibilidade
O tempo limite de disponibilidade determina quanto tempo pode decorrer antes de você fazer login depois de ativar o shell pela primeira vez. Se você esperar mais, o serviço será desativado e você não poderá fazer login no ESXi Shell.

Pré-requisitos

Ative o ESXi Shell. Consulte Ativar o acesso ao ESXi Shell usando o DCUI.

Procedimento

  1. Faça login no ESXi Shell.
  2. No menu Opções do modo de solução de problemas, selecione Modificar tempos limite ESXi Shell e SSH e pressione Enter.
  3. Insira o tempo limite de inatividade (em segundos) ou o tempo limite de disponibilidade.
  4. Pressione Enter e pressione Esc até retornar ao menu principal da Interface do usuário do Direct Console.
  5. Clique em OK.
  6. Reinicie o serviço ESXi Shell e o serviço SSH para que o tempo limite entre em vigor.
    1. No vSphere Client, selecione o host e vá para Configurar (Configure) > Sistema (System) > Serviços (Services).
    2. Um por um, selecione ESXi Shell e SSH e clique em Reiniciar (Restart).

Resultados

  • Se você definir o tempo limite de inatividade, os usuários serão desconectados após a sessão ficar inativa pelo tempo especificado.
  • Se você definir o tempo limite de disponibilidade e não fizer login antes que esse tempo limite termine, os logins serão desativados novamente.

Ativar o acesso ao ESXi Shell usando o vSphere Client

As interfaces ESXi Shell e SSH são desativadas por padrão. Mantenha essas interfaces desativadas, a menos que você esteja realizando atividades de solução de problemas ou suporte. Para atividades diárias, use o vSphere Client, em que a atividade está sujeita ao controle de acesso baseado em função e a métodos modernos de controle de acesso.

Observação: Acesse o host usando o vSphere Client, ferramentas de linha de comando remotas (ESXCLI e PowerCLI) e APIs publicadas. Não ative o acesso remoto ao host usando o SSH, a menos que circunstâncias especiais o exijam.

Pré-requisitos

Se você quiser usar uma chave SSH autorizada, poderá carregá-la. Consulte ESXi Chaves SSH.

Procedimento

  1. Procure o host no inventário.
  2. Clique em Configurar (Configure) e, em seguida, clique em Serviços (Services) em Sistema.
  3. Gerencie os serviços de interface do usuário do ESXi, SSH ou Direct Console.
    1. No painel Serviços, selecione o serviço.
    2. Clique em Editar política de inicialização (Edit Startup Policy) e selecione a política de inicialização Iniciar e parar manualmente (Start and stop manually).
    3. Para ativar o serviço, clique em Iniciar (Start).
    Quando você seleciona Iniciar e parar manualmente (Start and stop manually), o serviço não é iniciado quando você reinicializa o host. Se quiser que o serviço seja iniciado quando você reinicializar o host, selecione Iniciar e parar com o host (Start and stop with host).

O que Fazer Depois

Defina a disponibilidade e os tempos limite de inatividade para o ESXi Shell. Consulte Definir o tempo limite de disponibilidade para o ESXi Shell usando o vSphere Client e Definir o tempo limite de ociosidade para o ESXi Shell usando o vSphere Client.

Ativar o acesso ao ESXi Shell usando o DCUI

A Interface do Usuário do Console Direto (DCUI) permite que você interaja com o host localmente usando menus baseados em texto. Avalie se os requisitos de segurança do seu ambiente oferecem suporte à ativação da interface do usuário do Direct Console.

Você pode usar a Interface do Usuário do Console Direto (DCUI) para ativar o acesso local e remoto ao ESXi Shell. Você acessa a Interface do Usuário do Console Direto a partir do console físico conectado ao host. Depois que o host reinicializar e carregar ESXi, pressione F2 para fazer login na DCUI. Insira as credenciais que você criou quando instalou o ESXi.
Observação: As alterações feitas no host usando a interface do usuário do console direto, o vSphere Client, o ESXCLI ou outras ferramentas administrativas são confirmadas para armazenamento permanente a cada hora ou após o desligamento normal. Se o host falhar antes que as alterações sejam confirmadas, elas poderão ser perdidas.

Procedimento

  1. Na interface do usuário do console direto, pressione F2 para acessar o menu Personalização do sistema.
  2. Selecione Opções de solução de problemas (Troubleshooting Options) e pressione Enter.
  3. No menu Opções do modo de solução de problemas, selecione um serviço para ativar.
    • Ativar ESXi Shell
    • Ativar SSH
  4. Pressione Enter para ativar o serviço.
  5. Pressione Esc até retornar ao menu principal da Interface do usuário do Direct Console.

O que Fazer Depois

Defina a disponibilidade e os tempos limite de inatividade para o ESXi Shell. Consulte Definir o tempo limite de disponibilidade ou o tempo limite de inatividade para o ESXi Shell usando o DCUI.

Faça login no ESXi Shell para solução de problemas

Execute ESXi tarefas de configuração com o vSphere Client, o ESXCLI ou o VMware PowerCLI. Faça login no ESXi Shell (anteriormente Tech Support Mode ou TSM) apenas para fins de solução de problemas.

Procedimento

  1. Faça login no ESXi Shell usando um dos seguintes métodos.
    • Se você tiver acesso direto ao host, pressione Alt+F1 para abrir a página de login no console físico da máquina.
    • Se você estiver se conectando ao host remotamente, use o SSH ou outra conexão de console remoto para iniciar uma sessão no host.
  2. Digite um nome de usuário e uma senha reconhecidos pelo host.