为了避免主机遭到未经授权的入侵和误用,VMware 对几个参数、设置和活动施加了一些限制。可以根据配置需求而放宽这些限制。但这样做之前,要确保在受信任的环境中工作且已经采取了足够的其他安全措施,以便保护整个网络和连接到主机的设备。

评估主机安全和管理时请考虑以下建议。

  • 限制用户访问。

    为了提高安全性,可限制用户访问直接控制台用户界面 (DCUI) 和 ESXi Shell,并实施访问安全策略(例如,通过设置密码限制)。

    ESXi Shell 具有访问主机的某些部分的特权。只向信任的用户提供 ESXi Shell 登录访问权限。

  • 使用 vSphere Client 管理独立 ESXi 主机。

    尽可能使用 vSphere Client 或第三方网络管理工具来管理 ESXi 主机,而不是以根用户身份通过命令行界面工作。通过 vSphere Client,可以限制具有 ESXi Shell 访问权限的帐户,安全地委派职责,并设置角色以防止管理员和用户使用不必要的功能。

  • 使用 vSphere Web Client 来管理受 vCenter Server 管理的 ESXi 主机。请勿通过 vSphere Client 直接访问受管主机,且不要从主机的 DUCI 对受管主机执行更改。

  • 仅使用 VMware 源来升级 ESXi 组件。

    主机运行各种第三方软件包来支持管理界面或必须执行的任务。VMware 不支持从 VMware 源以外的任何其他源升级这些软件包。如果使用来自另一个源的下载文件或修补程序,就可能危及管理界面的安全或功能。定期查看第三方供应商站点和 VMware 知识库,以获知安全警示。

除了实施防火墙外,还使用其他方法降低主机的风险。

  • ESXi 仅运行管理其功能所不可或缺的服务,而且分发仅限于运行 ESXi 所需的功能。

  • 默认情况下,并非专用于对主机进行管理访问的所有端口均处于关闭状态。如果需要其他服务,则必须专门打开相应的端口。

  • 默认情况下,弱密码被禁用,来自客户端的所有通信都通过 SSL 进行保护。用于保护通道安全的确切算法取决于 SSL 握手。在 ESXi 上创建的默认证书会使用带有 RSA 加密的 PKCS#1 SHA-256 作为签名算法。

  • ESXi 在内部曾使用 Tomcat Web 服务来支持 Web 客户端进行的访问。Tomcat Web 服务经过修改后,仅运行 Web 客户端进行管理和监控所需的功能。因此,ESXi 不易遇到在更广泛的应用中所发现的 Tomcat 安全问题。

  • VMware 监控可能影响 ESXi 安全的所有安全警示,并发布安全修补程序(如果需要)。

  • 未安装诸如 FTP 和 Telnet 之类的不安全服务,且这些服务的端口在默认情况下是关闭的。由于 SSH 和 SFTP 之类较为安全的服务易于获取,因此,请始终避免使用这些不安全的服务来支持更为安全的替代方案。例如,使用带有 SSL 的 Telnet 而不是 Telnet 来访问虚拟串行端口。如果必须使用不安全的服务,且已为主机实施了充分的保护措施,则必须显式打开相应端口才能支持这些服务。

注:

请遵循以下位置的 VMware 安全建议:http://www.vmware.com/security/