Die ESXi Shell stellt wichtige Wartungsbefehle bereit und ist auf ESXi-Hosts standardmäßig deaktiviert. Sie können bei Bedarf lokalen Zugriff und Remotezugriff auf die Shell aktivieren. Um das Risiko eines nicht autorisierten Zugriffs zu reduzieren, aktivieren Sie die ESXi Shell nur zur Fehlerbehebung.

Die ESXi Shell ist unabhängig vom Sperrmodus. Selbst wenn der Host im Sperrmodus ausgeführt wird, können Sie sich weiterhin bei der ESXi Shell anmelden, soweit sie aktiviert ist.

Weitere Informationen hierzu finden Sie unter vSphere-Sicherheit.

Dies sind die Anwendungsdienste:

ESXi Shell
Aktivieren Sie diesen Dienst, um lokal auf die ESXi Shell zuzugreifen.
SSH
Aktivieren Sie diesen Dienst, um die ESXi Shell remote über SSH aufzurufen.
Die Benutzerschnittstelle der direkten Konsole (Direct Console User Interface, DCUI)
Wenn Sie diesen Dienst während der Ausführung im Sperrmodus aktivieren, können Sie sich bei der Benutzerschnittstelle der direkten Konsole lokal als Root-Benutzer anmelden und den Sperrmodus deaktivieren. Sie können dann über eine direkte Verbindung zum VMware Host Client oder durch die Aktivierung der ESXi Shell auf den Host zugreifen.

Der Root-Benutzer und Benutzer mit der Rolle „Administrator“ können auf die ESXi Shell zugreifen. Benutzern, die zur Active Directory-Gruppe „ESX Admins“ gehören, wird automatisch die Rolle „Administrator“ zugewiesen. Standardmäßig kann nur der Root-Benutzer Systembefehle (z. B. vmware -v) über die ESXi Shell ausführen.

Hinweis: Aktivieren Sie die ESXi Shell nur, wenn dies wirklich erforderlich ist.

Aktivieren von Secure Shell (SSH) im VMware Host Client

Aktivieren Sie Secure Shell (SSH), um mittels SSH remote auf die ESXi Shell zuzugreifen.

Prozedur

  1. Klicken Sie zum Aktivieren und Deaktivieren von Secure Shell (SSH) in der VMware Host Client-Bestandsliste mit der rechten Maustaste auf Host.
  2. Wählen Sie Dienste im Dropdown-Menü aus.
  3. Um Secure Shell (SSH) zu aktivieren, wählen Sie Secure Shell (SSH) aktivieren aus.
  4. Um ESXi Shell zu aktivieren, wählen Sie ESXi Shell aktivieren aus.

Aktivieren der ESXi-Konsolen-Shell im VMware Host Client

Wenn Sie diesen Dienst während der Ausführung im Sperrmodus aktivieren, können Sie sich bei der Benutzerschnittstelle der direkten Konsole lokal als Root-Benutzer anmelden und den Sperrmodus deaktivieren. Sie können dann über eine direkte Verbindung zum VMware Host Client oder durch die Aktivierung der ESXi Shell auf den Host zugreifen.

Prozedur

  1. Klicken Sie zum Aktivieren und Deaktivieren der Konsolen-Shell in der VMware Host Client-Bestandsliste mit der rechten Maustaste auf Host.
  2. Wählen Sie Dienste aus dem Dropdown-Menü aus und wählen Sie anschließend Konsolen-Shell.
  3. Wählen Sie eine durchzuführende Aufgabe aus.
    • Wenn die Konsolen-Shell aktiviert ist, können Sie sie durch Klicken auf Deaktivieren deaktivieren.
    • Wenn die Konsolen-Shell deaktiviert ist, können Sie sie durch Klicken auf Aktivieren aktivieren.

Erstellen einer Zeitüberschreitung für die Verfügbarkeit der ESXi Shell im VMware Host Client

Die ESXi Shell ist standardmäßig deaktiviert. Zur Erhöhung der Sicherheit beim Aktivieren der Shell können Sie einen Zeitüberschreitungswert für die Verfügbarkeit der ESXi Shell festlegen.

Mit dem Zeitüberschreitungswert für die Verfügbarkeit wird festgelegt, wie lange sowohl lokale als auch Remote-Shell-Anmeldungen zulässig sind, bevor die Möglichkeit zur Anmeldung über die Shell deaktiviert wird. Bei Ablauf der Zeitüberschreitung für die Verfügbarkeit bleiben alle vorhandenen Shell-Sitzungen bestehen, neue Shell-Sitzungen sind jedoch nicht zulässig.

Prozedur

  1. Klicken Sie in der VMware Host Client-Bestandsliste auf Verwalten.
  2. Wählen Sie auf der Registerkarte System die Option Erweiterte Einstellungen aus.
  3. Geben Sie UserVars.ESXiShellTimeOut im Textfeld Suchen ein und klicken Sie auf das Symbol Suchen.
  4. Wählen Sie UserVars.ESXiShellTimeOut aus und klicken Sie auf Option bearbeiten.
    Das Dialogfeld Option bearbeiten wird geöffnet.
  5. Geben Sie im Textfeld Neuer Wert die Zeitüberschreitungseinstellung ein.
    Mit dem Wert „0“ wird die Zeitüberschreitung deaktiviert.
  6. Klicken Sie auf Speichern.
    Sie müssen den SSH-Dienst und den ESXi Shell-Dienst neu starten, damit die Zeitüberschreitung wirksam wird.
  7. (Optional) Um die Schlüsseleinstellung auf den Standardwert zurückzusetzen, klicken Sie mit der rechten Maustaste auf den entsprechenden Schlüssel in der Liste und wählen Sie Auf Standardeinstellung zurücksetzen aus.

Erstellen einer Zeitüberschreitung für ESXi Shell-Leerlaufsitzungen im VMware Host Client

Wenn Sie die ESXi Shell auf einem Host aktivieren, sich aber nicht von der Sitzung abmelden, wird die Leerlaufsitzung auf unbestimmte Zeit ausgeführt. Die offene Verbindung erhöht die Möglichkeit für einen privilegierten Zugriff auf den ESXi-Host. Verhindern Sie dies, indem Sie eine Zeitüberschreitung für Sitzungen im Leerlauf festlegen.

Der Zeitüberschreitungswert für die Leerlaufzeit gibt die Zeitspanne an, die verstreichen darf, bis Sie bei einer interaktiven Leerlaufsitzung abgemeldet werden.

Prozedur

  1. Klicken Sie in der VMware Host Client-Bestandsliste auf Verwalten.
  2. Klicken Sie auf der Registerkarte System auf die Option Erweiterte Einstellungen.
  3. Geben Sie UserVars.ESXiShellInteractiveTimeOut im Textfeld Suchen ein und klicken Sie auf das Symbol Suchen.
  4. Wählen Sie UserVars.ESXiShellInteractiveTimeOut aus und klicken Sie auf Option bearbeiten.
    Das Dialogfeld Option bearbeiten wird geöffnet.
  5. Geben Sie im Textfeld Neuer Wert die Zeitüberschreitungseinstellung ein.
    Mit dem Wert „0“ wird die Zeitüberschreitung deaktiviert.
  6. Klicken Sie auf Speichern.
    Die Zeitüberschreitung wird nur für neu angemeldete Sitzungen wirksam.
  7. (Optional) Um die Schlüsseleinstellung auf den Standardwert zurückzusetzen, klicken Sie mit der rechten Maustaste auf den entsprechenden Schlüssel in der Liste und wählen Sie Auf Standardeinstellung zurücksetzen aus.

Ergebnisse

Wenn die Sitzung sich im Leerlauf befindet, werden die Benutzer nach Ablauf der Zeitüberschreitungszeitspanne abgemeldet.