为了避免 ESXi 主机遭到未经授权的入侵和误用,VMware 对几个参数、设置和活动施加了一些限制。要满足配置需求,您可以放宽限制。如果放宽限制,确保在可信任的环境中使用并采取其他安全措施。

什么是 ESXi 内置安全功能

如下所示,ESXi 可降低主机的风险:

  • 默认情况下,ESXi Shell 接口和 SSH 接口处于停用状态。除非要执行故障排除或支持活动,否则这些接口应保持停用状态。对于日常活动,请使用 vSphere Client,使活动受制于基于角色的访问控制和现代访问控制方法。
  • 默认情况下,只有部分防火墙端口处于打开状态。您可以明确打开与特定服务关联的防火墙端口。
  • 默认情况下,对主机进行管理访问时无需使用的所有端口均处于关闭状态。需要其他服务时,可以打开端口。
  • ESXi 仅运行管理其功能所不可或缺的服务。分发仅限于运行 ESXi 所需的功能。
  • 默认情况下,弱密码被停用,来自客户端的通信将通过 SSL 进行保护。用于保护通道安全的确切算法取决于 SSL 握手。在 ESXi 上创建的默认证书会使用带有 RSA 加密的 PKCS#1 SHA-256 作为签名算法。
  • ESXi 使用内部 Web 服务支持通过 Web Client 进行访问。该服务已修改为只运行 Web Client 进行系统管理和监控所需的功能。因此,ESXi 不易遇到在更广泛的应用中所发现的 Web 服务安全问题。
  • VMware 监控可能影响 ESXi 安全的所有安全警示,并根据需要发布安全修补程序。要接收安全警示,您可以订阅 VMware 安全建议和安全警示 邮件列表。请参见网页,网址为 http://lists.vmware.com/mailman/listinfo/security-announce
  • 未安装诸如 FTP 和 Telnet 之类的不安全服务,且这些服务的端口在默认情况下是关闭的。
  • 为了防止主机加载未加密签名的驱动程序和应用程序,请使用 UEFI 安全引导。在系统 BIOS 中启用安全引导。不需要在 ESXi 主机上进行其他配置更改,例如,不需要对磁盘分区进行更改。请参见ESXi 主机的 UEFI 安全引导
  • 如果 ESXi 主机具有 TPM 2.0 芯片,请在系统 BIOS 中启用并配置该芯片。通过与安全引导协同工作,TPM 2.0 提供增强的安全性和植根于硬件的信任保证。请参见使用可信平台模块保护 ESXi 主机
  • ESXi 8.0 及更高版本中,您可以在沙箱域下运行 SSH 进程。然后,Shell 会减少特权,仅允许访问有限的命令子集。有关详细信息,请参见相应的 VMware 知识库文章,网址为 https://kb.vmware.com/s/article/87386

采取更多 ESXi 安全措施

评估主机安全和管理时请考虑以下建议。

ESXi 主机进行访问限制
如果激活对直接控制台用户界面 (DCUI)、 ESXi Shell 或 SSH 的访问,请实施严格的访问安全策略。
ESXi Shell 具有访问主机的某些部分的特权。只向信任的用户提供 ESXi Shell 登录访问权限。
请勿直接访问受管 ESXi 主机
使用 vSphere Client 来管理受 vCenter Server 管理的 ESXi 主机。切勿使用 VMware Host Client 直接访问受管主机,且不要从 DCUI 更改受管主机。
如果使用脚本界面或 API 管理主机,请不要直接将主机作为目标。而是将管理主机的 vCenter Server 系统作为目标,并指定主机名称。
仅将 DCUI 用于进行故障排除
以 root 用户身份从 DCUI 或 ESXi Shell 访问主机仅能进行故障排除。要管理 ESXi 主机,请使用 vSphere Client(或 VMware Host Client)或一个 VMware CLI 或 API。请参见 《ESXCLI 概念和示例》。如果使用 ESXi Shell 或 SSH,则限制具有访问权限的帐户并设置超时。
仅使用 VMware 源来升级 ESXi 组件
主机运行多个第三方软件包来支持管理界面或必须执行的任务。VMware 仅支持升级到这些来自 VMware 源的软件包。如果使用来自另一个源的下载文件或修补程序,就可能危及管理界面的安全或功能。查看第三方供应商站点和 VMware 知识库以了解安全警示。
注: 请遵循 http://www.vmware.com/security/ 上的 VMware 安全建议。