为了避免 ESXi 主机遭到未经授权的入侵和误用,VMware 对几个参数、设置和活动施加了一些限制。可以根据配置需求而放宽这些限制。如果放宽限制,确保在可信任的环境中使用并采取其他安全措施。
内置的安全功能
主机风险的缓解措施如下:
- 默认情况下,ESXi Shell 和 SSH 接口处于禁用状态。除非要执行故障排除或支持活动,否则这些接口应保持禁用状态。对于日常活动,请使用 vSphere Client,使活动受制于基于角色的访问控制和现代访问控制方法。
- 默认情况下,只会打开有限的防火墙端口数目。您可以明确打开与特定服务关联的额外防火墙端口。
- ESXi 仅运行管理其功能所不可或缺的服务。分发仅限于运行 ESXi 所需的功能。
- 默认情况下,对主机进行管理访问时无需使用的所有端口均处于关闭状态。需要其他服务时,可以打开端口。
- 默认情况下,弱密码被禁用,来自客户端的通信将通过 SSL 进行保护。用于保护通道安全的确切算法取决于 SSL 握手。在 ESXi 上创建的默认证书会使用带有 RSA 加密的 PKCS#1 SHA-256 作为签名算法。
- ESXi 使用内部 Web 服务支持通过 Web Client 进行访问。该服务已修改为只运行 Web Client 进行系统管理和监控所需的功能。因此,ESXi 不易遇到在更广泛的应用中所发现的 Web 服务安全问题。
- VMware 监控可能影响 ESXi 安全的所有安全警示,并根据需要发布安全修补程序。您可以订阅 VMware 安全公告和安全警示邮件列表以接收安全警示。请访问以下网页:http://lists.vmware.com/mailman/listinfo/security-announce。
- 未安装诸如 FTP 和 Telnet 之类的不安全服务,且这些服务的端口在默认情况下是关闭的。
- 为了防止主机加载未加密签名的驱动程序和应用程序,请使用 UEFI 安全引导。在系统 BIOS 中启用安全引导。不需要在 ESXi 主机上进行其他配置更改,例如,不需要对磁盘分区进行更改。请参见ESXi 主机的 UEFI 安全引导。
- 如果 ESXi 主机具有 TPM 2.0 芯片,请在系统 BIOS 中启用并配置该芯片。通过与安全引导协同工作,TPM 2.0 提供增强的安全性和植根于硬件的信任保证。请参见使用可信平台模块保护 ESXi 主机。
其他安全措施
评估主机安全和管理时请考虑以下建议。
- 限制访问
- 如果启用对直接控制台用户界面 (DCUI)、 ESXi Shell 或 SSH 的访问,请实施严格的访问安全策略。
- 请勿直接访问受管主机
- 使用 vSphere Client 来管理受 vCenter Server 管理的 ESXi 主机。切勿使用 VMware Host Client 直接访问受管主机,且不要从 DCUI 更改受管主机。
- 仅将 DCUI 用于进行故障排除
- 以 root 用户身份从 DCUI 或 ESXi Shell 访问主机仅能进行故障排除。要管理 ESXi 主机,请使用一个 GUI 客户端,或者一个 VMware CLI 或 API。请参见 《ESXCLI 概念和示例》,网址为 https://code.vmware.com/。如果使用 ESXi Shell 或 SSH,则限制具有访问权限的帐户并设置超时。
- 仅使用 VMware 源来升级 ESXi 组件
- 主机运行多个第三方软件包来支持管理界面或必须执行的任务。VMware 仅支持升级到这些来自 VMware 源的软件包。如果使用来自另一个源的下载文件或修补程序,就可能危及管理界面的安全或功能。查看第三方供应商站点和 VMware 知识库以了解安全警示。
注: 请遵循以下位置的 VMware 安全建议:
http://www.vmware.com/security/。