默认情况下,ESXi Shell 接口和 SSH 接口处于停用状态。除非要执行故障排除或支持活动,否则这些接口应保持停用状态。对于日常活动,请使用 vSphere Client,使活动受制于基于角色的访问控制和现代访问控制方法。

ESXi 中的 SSH 配置

ESXi 中的 SSH 配置使用以下设置。

停用第 1 版 SSH 协议
VMware 不再支持第 1 版 SSH 协议,而是以独占方式使用第 2 版协议。第 2 版消除了第 1 版中存在的某些安全问题,且提供了一个安全的方式与管理接口进行通信。
提高了密码强度
SSH 对连接仅支持 256 位和 128 位 AES 密码。

这些设置旨在为通过 SSH 传输到管理接口的数据提供可靠保护。不能更改这些设置。

ESXi SSH 密钥

SSH 密钥可以限制、控制以及保护对 ESXi 主机的访问。可以利用 SSH 密钥允许受信任的用户或脚本在不指定密码的情况下即可登录主机。

您可以使用 HTTPS PUT 将 SSH 密钥复制到主机。

您无需在外部生成密钥并进行上载,而是可以在 ESXi 主机上创建密钥,然后进行下载。请参见 VMware 知识库文章,网址为 https://kb.vmware.com/s/article/1002866

启用 SSH 并将 SSH 密钥添加到主机具有内在的风险。请权衡暴露用户名和密码的潜在风险与具有可信密钥的用户实施入侵的风险。

使用 HTTPS PUT 上载 SSH 密钥

可以使用授权密钥通过 SSH 登录主机。可以使用 HTTPS PUT 上载授权密钥。

授权密钥允许您对主机的远程访问进行身份验证。当用户或脚本尝试通过 SSH 访问主机时,密钥提供身份验证,并且不需要密码。使用授权密钥,可以自动进行身份验证,这在编写脚本以执行例程任务时非常有用。
可以使用 HTTPS PUT 将以下类型的 SSH 密钥上载到主机:
  • root 用户的授权密钥
  • DSA 密钥
  • DSA 公用密钥
  • RSA 密钥
  • RSA 公用密钥
重要说明: 请不要修改 /etc/ssh/sshd_config 文件。

过程

  1. 在上载应用程序中,打开密钥文件。
  2. 将文件发布到以下位置。
    密钥类型 位置
    root 用户的授权密钥文件 https://hostname_or_IP_address/host/ssh_root_authorized_keys

    您必须对主机具有完全管理员特权才可上载此文件。

    DSA 密钥 https://hostname_or_IP_address/host/ssh_host_dsa_key
    DSA 公用密钥 https://hostname_or_IP_address/host/ssh_host_dsa_key_pub
    RSA 密钥 https://hostname_or_IP_address/host/ssh_host_rsa_key
    RSA 公用密钥 https://hostname_or_IP_address/host/ssh_host_rsa_key_pub