为了避免 ESXi 主机遭到未经授权的入侵和误用,VMware 对几个参数、设置和活动施加了一些限制。可以根据配置需求而放宽这些限制。但这样做之前,要确保在受信任的环境中工作且已经采取了足够的其他安全措施,以便保护整个网络和连接到主机的设备。

内置的安全功能

可如下降低主机的风险:

  • 默认情况下,ESXi Shell 和 SSH 处于禁用状态。

  • 默认情况下,只会打开有限的防火墙端口数目。您可以明确打开与特定服务关联的额外防火墙端口。

  • ESXi 仅运行管理其功能所不可或缺的服务。分发仅限于运行 ESXi 所需的功能。

  • 默认情况下,并非专用于对主机进行管理访问的所有端口均处于关闭状态。如果需要其他服务,则必须专门打开相应的端口。

  • 默认情况下,弱密码被禁用,来自客户端的通信将通过 SSL 进行保护。用于保护通道安全的确切算法取决于 SSL 握手。在 ESXi 上创建的默认证书会使用带有 RSA 加密的 PKCS#1 SHA-256 作为签名算法。

  • ESXi 在内部曾使用 Tomcat Web 服务来支持 Web 客户端进行的访问。Tomcat Web 服务经过修改后,仅运行 Web 客户端进行管理和监控所需的功能。因此,ESXi 不易遇到在更广泛的应用中所发现的 Tomcat 安全问题。

  • VMware 监控可能影响 ESXi 安全的所有安全警示,并发布安全修补程序(如果需要)。

  • 未安装诸如 FTP 和 Telnet 之类的不安全服务,且这些服务的端口在默认情况下是关闭的。由于 SSH 和 SFTP 等更为安全的服务易于获取,因此,请避免使用这些不安全的服务来支持更为安全的替代方案。例如,如果 SSH 不可用,请避免使用带有 SSL 的 Telnet 访问虚拟串行端口,而必须使用 Telnet。

    如果必须使用不安全的服务,且已为主机实施了充分的保护措施,则可以明确打开相应端口以支持这些服务。

其他安全措施

评估主机安全和管理时请考虑以下建议。

限制访问

如果决定启用对直接控制台用户界面 (DCUI)、ESXi Shell 或 SSH 的访问,请实施严格的访问安全策略。

ESXi Shell 具有访问主机的某些部分的特权。只向信任的用户提供 ESXi Shell 登录访问权限。

请勿直接访问受管主机

使用 vSphere Web Client 来管理受 vCenter Server 管理的 ESXi 主机。请勿通过 vSphere Client 直接访问受管主机,且不要从主机的 DUCI 对受管主机执行更改。

如果使用脚本界面或 API 管理主机,请不要直接将主机作为目标。而是将管理主机的 vCenter Server 系统作为目标,并指定主机名称。

使用 vSphere Client 或 VMware CLI 或 API 管理独立 ESXi 主机

使用 vSphere Client、其中一个 VMware CLI 或 API 管理 ESXi 主机。以 root 用户身份从 DCUI 或 ESXi Shell 访问主机仅能进行故障排除。如果决定使用 ESXi Shell,请限制具有访问权限的帐户并设置超时。

仅使用 VMware 源来升级 ESXi 组件。

主机运行各种第三方软件包来支持管理界面或必须执行的任务。VMware 不支持从 VMware 源以外的任何其他源升级这些软件包。如果使用来自另一个源的下载文件或修补程序,就可能危及管理界面的安全或功能。定期查看第三方供应商站点和 VMware 知识库,以获知安全警示。

注:

请遵循以下位置的 VMware 安全建议:http://www.vmware.com/security/