默认情况下,客户端组件与 vCenter Server 系统或 ESXi 主机之间的通信由基于 SSL 的加密进行保护。这些组件的 Linux 版本不会执行证书验证。考虑限制 Linux 客户端的使用。

即使您已将 vCenter Server 系统和 ESXi 主机上的 VMCA 签名证书替换为由第三方 CA 签名的证书,但与 Linux 客户端的某些通信仍然容易受到中间人的攻击。以下组件在 Linux 操作系统上运行时易受攻击。

  • vCLI 命令

  • vSphere SDK for Perl 脚本

  • 使用 vSphere Web Services SDK 编写的程序

如果强制执行适当的控制,则可放宽对使用 Linux 客户端的限制。

  • 仅限授权系统访问管理网络。

  • 使用防火墙确保只允许授权主机访问 vCenter Server

  • 使用跳转盒系统确保 Linux 客户端受跳转限制。