对于 ESXi 主机,必须使用符合预定义要求的密码。可以使用 Security.PasswordQualityControl 高级系统设置更改所需长度和字符类别要求或允许密码短语。还可以使用 Security.PasswordHistory 高级系统设置来设置要为每个用户记住的密码数。
注:
ESXi 密码的默认要求因版本而异。可以使用
Security.PasswordQualityControl 高级系统设置检查并更改默认密码限制。
ESXi 密码
ESXi 对从直接控制台用户界面、ESXi Shell、SSH 或 VMware Host Client 进行的访问强制执行密码要求。
- 默认情况下,在创建密码时,必须至少包括以下四类字符中三类字符的组合:小写字母、大写字母、数字和特殊字符(如下划线或短划线)。
- 默认情况下,密码长度至少为 7 个字符,且小于 40 个字符。
- 密码不得包含字典单词或部分字典单词。
- 密码不得包含用户名或部分用户名。
注: 密码开头的大写字母不算入使用的字符类别数。密码结尾的数字不算入使用的字符类别数。密码内使用的字典词可降低整体密码强度。
ESXi 密码示例
以下候选密码说明选项设置如下时可以使用的密码。
retry=3 min=disabled,disabled,disabled,7,7使用此设置时,如果新密码不够强或者两次未正确输入密码,则系统最多会提示用户输入三次 (retry=3)。不允许使用包含一种或两种类别字符的密码,也不允许使用密码短语,因为前三项已停用。使用三种和四种类别字符的密码需要 7 个字符。有关其他选项(例如, max、 passphrase 等)的详细信息,请参见 pam_passwdqc 手册页。
使用这些设置时,允许使用以下密码。
- xQaTEhb! :包含由三类字符组成的八个字符。
- xQaT3#A:包含由四类字符组成的七个字符。
下列候选密码不符合要求。
- Xqat3hi:以大写字符开头,将有效字符类别数减少为两种。需要的最少字符类别数为三种。
- xQaTEh2:以数字结尾,将有效字符种类数减少到两种。需要的最少字符类别数为三种。
ESXi 密码短语
您还可以使用密码短语代替密码。但是,密码短语默认处于停用状态。可以在 vSphere Client 中使用 Security.PasswordQualityControl 高级系统设置更改默认设置和其他设置。
例如,您可以将该选项更改为以下值。
retry=3 min=disabled,disabled,16,7,7
此示例允许密码短语的长度至少为 16 个字符,且至少包含 3 个单词。
更改默认密码限制
可以使用 ESXi 主机的Security.PasswordQualityControl 高级系统设置更改密码或密码短语的默认限制。有关更改 《vCenter Server 和主机管理》 高级系统设置的信息,请参见 ESXi 文档。
例如,您可以更改默认设置,要求包含最少 15 个字符和最少 4 个词 (
passphrase=4),如下所示:
retry=3 min=disabled,disabled,15,7,7 passphrase=4有关详细信息,请参见 pam_passwdqc 的手册页。
注: 并非所有可能的密码组合选项都已经过测试。更改默认密码设置后执行测试。
以下示例设置了密码复杂性要求,要求使用四类字符中的 8 个字符并实现显著的密码差异、记住五个密码的历史记录以及 90 天轮换策略:
min=disabled,disabled,disabled,disabled,8 similar=deny
ESXi 帐户锁定行为
对于通过 SSH 和通过 vSphere Web Services SDK 进行的访问,支持帐户锁定。直接控制台界面 (DCUI) 和 ESXi Shell 不支持帐户锁定。默认情况下,最多允许 5 次尝试,当这些尝试均失败后,便会锁定帐户。默认情况下,帐户将在 15 分钟后解锁。
配置登录行为
可以使用以下高级系统设置配置
ESXi 主机的登录行为:
- Security.AccountLockFailures。在锁定用户帐户之前允许的最多失败登录尝试次数。零表示取消激活帐户锁定。
- Security.AccountUnlockTime.用户被锁定的秒数。
- Security.PasswordHistory.要为每个用户记住的密码数。从 vSphere 8.0 Update 1 开始,默认值为 5。零表示取消激活密码历史记录。
有关设置 ESXi 高级选项的信息,请参见《vCenter Server 和主机管理》文档。