Erweiterte Systemeinstellungen steuern Aspekte des ESXi-Verhaltens, wie z. B. Protokollierung, Systemressourcen und Sicherheit.

Die folgende Tabelle enthält einige wichtige erweiterte ESXi-Systemeinstellungen für die Sicherheit. Informationen zum Anzeigen aller erweiterten Systemeinstellungen finden Sie entweder im vSphere Client (Host > Konfigurieren > System > Erweiterte Systemeinstellungen) oder in der API für eine bestimmte Version.

Tabelle 1. Teilliste der erweiterten Systemeinstellungen für die Sicherheit
Erweiterte Systemeinstellung Beschreibung Standardwert
Annotations.WelcomeMessage Zeigt vor der Anmeldung eine Begrüßungsnachricht im Host Client oder in der DCUI auf dem Standardbildschirm an. In der DCUI ersetzt die Begrüßungsnachricht Text, wie z. B. die IP-Adresse des Hosts. (Leer)
Config.Etc.issue Zeigt während einer SSH-Anmeldesitzung ein Banner an. (Leer)
Config.Etc.motd Zeigt die Meldung des Tages bei der SSH-Anmeldung an.
Hinweis: Um neue Zeilen oder Zeilenumbrüche in die Probleme und motd-Konfigurationen einzufügen, können Sie sowohl die vSphere API als auch die CLI verwenden. Beispiele dafür finden Sie unter https://williamlam.com/2021/03/adding-a-customized-notification-banner-in-the-vsphere-ui.html und https://williamlam.com/2015/02/easily-manage-esxi-vcsa-ssh-login-banner-motd-in-vsphere-6-0.html.
(Leer)
Config.HostAgent.vmacore.soap.sessionTimeout Legt die Leerlaufzeit in Minuten fest, bevor das System eine VIM-API automatisch abmeldet. Mit dem Wert 0 (Null) wird die Leerlaufzeit deaktiviert. Diese Einstellung gilt nur für neue Sitzungen. 30 (Minuten)
Mem.MemEagerZero Aktiviert das unwiderrufliche Löschen (Page Zeroing) der Benutzer-World- und Gastarbeitsspeicherseiten in den VMkernel-Betriebssystemen (einschließlich des VMM-Prozesses) nach dem Beenden einer virtuellen Maschine. Der Standardwert (0) verwendet Lazy Zeroing. Der Wert 1 verwendet Eager Zeroing. 0 (deaktiviert)
Security.AccountLockFailures Legt die maximale Anzahl fehlgeschlagener Anmeldeversuche fest, bevor das Konto eines Benutzers vom System gesperrt wird. Beispiel: Zum Sperren des Kontos beim fünften Anmeldefehler legen Sie diesen Wert auf 4 fest. Mit dem Wert 0 (Null) wird die Kontosperrung deaktiviert.
Aus Implementierungsgründen werden einige Anmeldemechanismen falsch gewertet:
  • VIM-Anmeldungen (einschließlich des VMware Host Client) und ESXCLI geben die genaue Anzahl fehlgeschlagener Anmeldungen an.
  • SSH-Verbindungen werden bei der Anzeige einer Kennwortaufforderung als Anmeldeversuch gezählt. Diese Anzahl wird nach erfolgreicher Anmeldung verringert. Dies ist normales Verhalten bei der Challenge-Response-Kommunikation.
  • Bei CGI-Anmeldungen werden Anmeldefehler doppelt gezählt.
    Vorsicht: Aufgrund dieses Problems kann ein Benutzer bei Verwendung der CGI-Schnittstelle schneller gesperrt werden als die Anzahl fehlgeschlagener Anmeldungen steigt.
5
Security.AccountUnlockTime Legt die Anzahl der Sekunden fest, die ein Benutzer gesperrt wird. Bei jedem Anmeldeversuch innerhalb der angegebenen Sperrenzeitüberschreitung wird diese neu gestartet. 900 (15 Minuten)
Security.PasswordHistory Gibt die Anzahl der für jeden Benutzer zu speichernden Kennwörter an. Diese Einstellung verhindert doppelte oder ähnliche Kennwörter. 5
Security.PasswordMaxDays Legt die maximale Anzahl an Tagen zwischen Kennwortänderungen fest. 99999
Security.PasswordQualityControl Ändert die erforderliche Länge und die erforderliche Zeichenklasse oder erlaubt Kennwortsätze in der Pam_passwdqc-Konfiguration. Sie können Sonderzeichen in Kennwörtern verwenden. Kennwortlängen von mindestens 15 Zeichen sind möglich. Die Standardeinstellung erfordert drei Zeichenklassen und eine Mindestlänge von sieben Zeichen.
Bei der Implementierung des DoD-Anhangs können Sie die Option similar=deny mit einer Kennwortmindestlänge kombinieren und die Anforderung durchsetzen, dass Kennwörter ausreichend unterschiedlich sind. Die Einstellung für den Kennwortverlauf wird nur für Kennwörter erzwungen, die über die VIM-API LocalAccountManager.changePassword geändert wurden. Zum Ändern des Kennworts muss der Benutzer über Administratorberechtigungen verfügen. Die Einstellung „PasswordQualityControl“ mit der Einstellung „PasswordMaxDays“ erfüllt die Anforderungen des DoD-Anhangs: 
min=disabled,disabled,disabled,disabled,15 similar=deny
 retry=3 min=disabled,disabled,disabled,7,7
UserVars.DcuiTimeOut Legt die Leerlaufzeit in Sekunden fest, bevor das System die DCUI automatisch abmeldet. Mit dem Wert 0 (Null) wird die Zeitüberschreitung deaktiviert. 600 (10 Minuten)
UserVars.ESXiShellInteractiveTimeOut Legt die Leerlaufzeit in Sekunden fest, bevor das System eine interaktive Shell automatisch abmeldet. Diese Einstellung wird nur für neue Sitzungen wirksam. Mit dem Wert 0 (Null) wird die Leerlaufzeit deaktiviert. Gilt sowohl für die DCUI als auch für die SSH-Shell. 0
UserVars.ESXiShellTimeOut Legt die Zeit in Sekunden fest, die eine Anmelde-Shell auf die Anmeldung wartet. Mit dem Wert 0 (Null) wird die Zeitüberschreitung deaktiviert. Gilt sowohl für die DCUI als auch für die SSH-Shell. 0
UserVars.HostClientSessionTimeout Legt die Leerlaufzeit in Sekunden fest, bevor das System den Host Client automatisch abmeldet. Mit dem Wert 0 (Null) wird die Leerlaufzeit deaktiviert. 900 (15 Minuten)
UserVars.HostClientWelcomeMessage Zeigt bei der Anmeldung eine Begrüßungsnachricht im Host Client an. Die Nachricht wird nach der Anmeldung als „Hinweis“ angezeigt. (Leer)