默认情况下,客户端组件与 vCenter Server 系统或 ESXi 主机之间的通信由基于 SSL 的加密进行保护。这些组件的 Linux 版本不会执行证书验证。考虑限制 Linux 客户端的使用。
为了提高安全性,您可以将
vCenter Server 系统和
ESXi 主机上的 VMCA 签名证书替换为由企业或第三方 CA 签名的证书。但是,与 Linux 客户端的某些通信仍然容易受到中间机器的攻击。以下组件在 Linux 操作系统上运行时易受攻击。
- ESXCLI 命令
- vSphere SDK for Perl 脚本
- 使用 vSphere Web Services SDK 编写的程序
如果强制执行适当的控制,则可放宽对使用 Linux 客户端的限制。
- 仅限授权系统访问管理网络。
- 使用防火墙确保只允许授权主机访问 vCenter Server。
- 使用堡垒主机(跳转盒系统)确保 Linux 客户端受“跳转”限制。