高级系统设置控制 ESXi 行为的各个方面,例如日志记录、系统资源和安全性。

下表展示了安全性方面的一些重要 ESXi 高级系统设置。要查看所有高级系统设置,请查看 vSphere Client主机 > 配置 > 系统 > 高级系统设置)或适用于给定版本的 API。

表 1. 安全性高级系统设置部分列表
高级系统设置 描述 默认值
Annotations.WelcomeMessage 在 Host Client 中登录之前显示欢迎消息,或者在 DCUI 中的默认屏幕上显示欢迎消息。在 DCUI 中,欢迎消息会替换某些文本,例如主机 IP 地址。 (空)
Config.Etc.issue 在 SSH 登录会话期间显示横幅。 (空)
Config.Etc.motd 在 SSH 登录时显示当天的消息。
注: 要在问题和 motd 配置中插入换行符或回车符,可以使用 vSphere API 和 CLI。例如,请参见 https://williamlam.com/2021/03/adding-a-customized-notification-banner-in-the-vsphere-ui.htmlhttps://williamlam.com/2015/02/easily-manage-esxi-vcsa-ssh-login-banner-motd-in-vsphere-6-0.html
 (空)
Config.HostAgent.vmacore.soap.sessionTimeout 设置系统自动注销 VIM API 之前的空闲时间(以分钟为单位)。值为 0(零)表示取消激活空闲时间。此设置仅适用于新会话。 30(分钟)
Mem.MemEagerZero 在虚拟机退出后,激活 VMkernel 操作系统(包括 VMM 进程)中的用户环境和客户机内存页置零。默认值 (0) 使用延迟置零。值为 1 时使用快速置零。 0(已取消激活)
Security.AccountLockFailures 设置系统锁定用户帐户之前的最大失败登录尝试次数。例如,要在第五次登录失败时锁定帐户,请将此值设置为 4。值为 0(零)表示取消激活帐户锁定。
出于实施原因,某些登录机制会意外计数:
  • VIM 登录(包括 VMware Host Client)和 ESXCLI 反映确切的登录失败次数。
  • 在显示密码提示时,SSH 连接计为一次登录尝试,在成功登录时撤消该计数。此行为在质询和响应通信中正常。
  • CGI 登录重复计算登录失败次数。
    小心: 由于此问题,使用 CGI 界面时,用户锁定的速度可能比失败登录次数更快。
5
Security.AccountUnlockTime 设置锁定用户的秒数。指定锁定超时内的任何登录尝试将重新启动锁定超时。 900(15 分钟)
Security.PasswordHistory 设置要为每个用户记住的密码数。此设置可防止重复或类似的密码。 5
Security.PasswordMaxDays 设置两次更改密码之间的最大天数。 99999
Security.PasswordQualityControl Pam_passwdqc 配置中更改所需长度和字符类别要求,或允许使用密码短语。可以在密码中使用特殊字符。密码长度可以至少为 15 个字符。默认设置需要三类字符,且最小长度为七个字符。
如果实施 DoD Annex,可以结合使用 similar=deny 选项与最小密码长度,以强制执行密码完全不同的要求。仅对通过 VIM LocalAccountManager.changePassword API 更改的密码强制执行密码历史记录设置。要更改密码,需要用户具有管理员权限。PasswordQualityControl 设置和 PasswordMaxDays 设置满足 DoD Annex 的要求: 
min=disabled,disabled,disabled,disabled,15 similar=deny
 retry=3 min=disabled,disabled,disabled,7,7
UserVars.DcuiTimeOut 设置系统自动注销 DCUI 之前的空闲时间(以秒为单位)。值为 0(零)表示取消激活超时。 600(10 分钟)
UserVars.ESXiShellInteractiveTimeOut 设置系统自动注销交互式 shell 之前的空闲时间(以秒为单位)。此设置仅对新会话生效。值为 0(零)表示取消激活空闲时间。同时适用于 DCUI 和 SSH shell。 0
UserVars.ESXiShellTimeOut 设置登录 shell 等待登录的时间(以秒为单位)。值为 0(零)表示取消激活超时。同时适用于 DCUI 和 SSH shell。 0
UserVars.HostClientSessionTimeout 设置系统自动注销 Host Client 之前的空闲时间(以秒为单位)。值为 0(零)表示取消激活空闲时间。 900(15 分钟)
UserVars.HostClientWelcomeMessage 在 Host Client 中登录时显示欢迎消息。该消息在登录后以“提示”的方式进行显示。 (空)