As configurações avançadas do sistema controlam aspectos do comportamento do ESXi, como log, recursos do sistema e segurança.

A tabela a seguir apresenta algumas das ESXi configurações avançadas do sistema importantes para segurança. Para visualizar todas as configurações avançadas do sistema, consulte o vSphere Client (Host > Configure > System > Advanced System Settings) ou a API para uma determinada versão.

Tabela 1. Lista parcial de configurações avançadas do sistema de segurança
Configuração avançada do sistema Descrição Valor padrão
Anotações.WelcomeMessage Exibe uma mensagem de boas-vindas no Cliente Host antes do login ou na DCUI na tela padrão. Na DCUI, a mensagem de boas-vindas substitui algum texto, como o endereço IP do host. (Vazio)
Config.Etc.issue Exibe um banner durante uma sessão de logon do SSH. Use uma nova linha à direita para obter melhores resultados. (Vazio)
Config.Etc.motd Exibe a mensagem do dia no logon do SSH. (Vazio)
Config.HostAgent.vmacore.soap.sessionTimeout Define o tempo de inatividade em minutos antes que o sistema faça logout automaticamente de uma API do VIM. Um valor de 0 (zero) desativa o tempo ocioso. Essa configuração se aplica apenas a novas sessões. 30 (minutos)
Mem.MemEagerZero Ativa a zeragem do mundo do usuário e das páginas de memória guest nos sistemas operacionais VMkernel (incluindo o processo do VMM) após a saída de uma máquina virtual. O valor padrão (0) usa a zeragem lenta. Um valor de 1 usa a zeragem antecipada. 0 (desativado)
Security.AccountLockFailures Define o número máximo de tentativas de logon com falha antes que o sistema bloqueie a conta de um usuário. Por exemplo, para bloquear a conta na quinta falha de logon, defina esse valor como 4. Um valor de 0 (zero) desativa o bloqueio de conta.
Por motivos de implementação, alguns mecanismos de login contam inesperadamente:
  • Os logins do VIM (incluindo o VMware Host Client) e o ESXCLI refletem o número exato de logins com falha.
  • As conexões SSH contam como uma tentativa de logon ao exibir um prompt de senha e desfazem essa contagem no logon bem-sucedido. Esse comportamento é normal para comunicações de desafio e resposta.
  • Falhas de login de contagem dupla de logins CGI.
    Cuidado: Devido a esse problema, um usuário pode ser bloqueado mais rapidamente do que o número de logons com falha ao usar a interface CGI.
5
Security.AccountUnlockTime Define o número de segundos que um usuário está bloqueado. Qualquer tentativa de login dentro do tempo limite de bloqueio especificado reinicia o tempo limite de bloqueio. 900 (15 minutos)
Security.PasswordHistory Define o número de senhas a serem lembradas para cada usuário. Essa configuração evita senhas duplicadas ou semelhantes. 5
Security.PasswordMaxDays Define o número máximo de dias entre as alterações de senha. 99999
Security.PasswordQualityControl Altera o comprimento necessário e o requisito de classe de caractere ou permite frases secretas na configuração Pam_passwdqc. Você pode usar caracteres especiais em senhas. Você pode ter comprimentos de senha de pelo menos 15 caracteres. A configuração padrão requer três classes de caracteres e um comprimento mínimo de sete caracteres.
Se estiver implementando o Anexo DoD, você poderá combinar a opção similar=deny mais um comprimento mínimo de senha para impor um requisito de que as senhas sejam suficientemente diferentes. A configuração do histórico de senhas só é aplicada para senhas alteradas por meio da API do VIM LocalAccountManager.changePassword. Para alterar a senha, é preciso que o usuário tenha permissão de administrador. A configuração PasswordQualityControl, com uma configuração PasswordMaxDays, atende aos requisitos do Anexo DoD: 
min=disabled,disabled,disabled,disabled,15 similar=deny
 retry=3 min=disabled,disabled,disabled,7,7
UserVars.DcuiTimeOut Define o tempo ocioso em segundos antes que o sistema desconecte automaticamente a DCUI. Um valor de 0 (zero) desativa o tempo limite. 600 (10 minutos)
UserVars.ESXiShellInteractiveTimeOut Define o tempo ocioso em segundos antes que o sistema desconecte automaticamente um shell interativo. Essa configuração tem efeito apenas para novas sessões. Um valor de 0 (zero) desativa o tempo ocioso. Aplica-se ao shell DCUI e ao SSH. 0
UserVars.ESXiShellTimeOut Define o tempo em segundos que um shell de logon aguarda pelo logon. Um valor de 0 (zero) desativa o tempo limite. Aplica-se ao shell DCUI e ao SSH. 0
UserVars.HostClientSessionTimeout Define o tempo ocioso em segundos antes que o sistema desconecte automaticamente o Host Client. Um valor de 0 (zero) desativa o tempo ocioso. 900 (15 minutos)
UserVars.HostClientWelcomeMessage Exibe uma mensagem de boas-vindas no Cliente Host após o login. A mensagem é exibida após o login como uma "dica". (Vazio)