ESXi 管理界面的安全性对避免遭到未经授权的入侵和误用十分重要。如果主机已通过某种方式受到影响,则与其进行交互的虚拟机可能也会受到影响。为了最大限度降低通过管理界面遭到攻击的风险,使用内置防火墙对 ESXi 进行保护。

为了避免主机遭到未经授权的入侵和误用,VMware 对几个参数、设置和活动施加了一些限制。可以根据配置需求来放宽这些限制,但这样做之前,必须采取措施保护整个网络和连接到主机的设备。

评估主机安全和管理时,请考虑以下建议。

  • 为了提高安全性,可限制用户对管理界面的访问权限,实施设置密码限制等访问安全策略。
  • 仅向信任的用户提供 ESXi Shell 登录访问权限。ESXi Shell 具有访问主机的某些部分的特权。
  • 如果可以,只运行必需的进程、服务和代理,例如病毒检查器、虚拟机备份等。
  • 如果可以,使用 vSphere Web Client 或第三方网络管理工具来管理 ESXi 主机,而不是以 root 用户身份通过命令行界面工作。使用 vSphere Web Client 时,始终通过 vCenter Server 系统连接到 ESXi 主机。

主机运行多种第三方软件包来支持管理界面或操作员必须执行的任务。VMware 不支持从 VMware 源以外的任何其他源升级这些软件包。如果使用来自其他源 的下载文件或修补程序,就可能影响管理界面的安全或功能。定期查看第三方供应商站点和 VMware 知识库,以获知安全警示。

除了实施防火墙外,还可以使用其他方法降低 ESXi 主机的风险。

  • 确保并非专用于对主机进行管理访问的所有防火墙端口均处于关闭状态。如果需要其他服务,则必须专门打开相应的端口。
  • 替换默认证书,不启用弱密码。 默认情况下,弱密码被禁用,来自客户端的所有通信都通过 TLS 进行保护。用于保护通道安全的确切算法取决于 TLS 握手。在 ESXi 上创建的默认证书使用带有 RSA 加密的 SHA-1 作为签名算法。
  • 安装安全修补程序。VMware 会监控可能影响 ESXi 安全的所有安全警示,并在需要时发布安全修补程序。
  • 不安装诸如 FTP 和 Telnet 之类不安全的服务,并关闭这些服务的端口。 由于可方便地获得 SSH 和 SFTP 等较为安全的服务,因此,请始终避免使用这些不安全的服务,而使用更为安全的替代服务。 如果必须使用不安全的服务,则为 ESXi 主机实施充分的保护措施并打开相应端口。

您可以将 ESXi 主机置于锁定模式。启用锁定模式时,只能从 vCenter Server 管理主机。除 vpxuser 以外的任何用户都没有身份验证权限,并且与主机的直接连接会被拒绝。