Die ESXi Shell-Schnittstelle und die SSH-Schnittstelle sind standardmäßig deaktiviert. Aktivieren Sie diese Schnittstellen erst, wenn Fehlerbehebungs- oder Supportaktivitäten durchgeführt werden müssen. Verwenden Sie für regelmäßige Aktivitäten den vSphere Client, wobei die Aktivitäten den Methoden der rollenbasierten und modernen Zugriffssteuerung unterliegen.

SSH-Konfiguration in ESXi

Die SSH-Konfiguration in ESXi verwendet die folgenden Einstellungen:

Version 1 SSH-Protokoll deaktiviert
VMware bietet keine Unterstützung für das SSH-Protokoll Version 1, sondern verwendet ausschließlich das Protokoll der Version 2. In Version 2 wurden einige in Version 1 enthaltenen Sicherheitsprobleme behoben, wodurch Sie die Möglichkeit haben, sicher mit der Verwaltungsschnittstelle zu kommunizieren.
Verbesserte Schlüsselqualität
SSH unterstützt lediglich 256-Bit- und 128-Bit-AES-Verschlüsselungen für Ihre Verbindungen.

Diese Einstellungen wurden so entworfen, dass die Daten, die Sie über SSH an die Verwaltungsschnittstelle übertragen, gut geschützt werden. Sie können diese Einstellungen nicht ändern.

ESXi-SSH-Schlüssel

SSH-Schlüssel können den Zugang zu einem ESXi-Host beschränken, steuern und sichern. Mithilfe eines SSH-Schlüssels kann sich ein vertrauenswürdiger Benutzer oder ein Skript bei einem Host anmelden, ohne ein Kennwort einzugeben.

Sie können den SSH-Schlüssel mithilfe des Befehls vifs auf den Host kopieren. Sie können auch HTTPS PUT verwenden, um den SSH-Schlüssel auf den Host zu kopieren.

Anstatt die Schlüssel extern zu generieren und hochzuladen, können Sie diese auf dem ESXi-Host erstellen und herunterladen. Weitere Informationen finden Sie im VMware-Knowledgebase-Artikel unter http://kb.vmware.com/kb/1002866.

Das Aktivieren von SSH und das Hinzufügen von SSH-Schlüsseln zum Host birgt gewisse Risiken. Wägen Sie das potenzielle Risiko, einen Benutzernamen und ein Kennwort verfügbar zu machen, gegen das Risiko eines Eindringlings mit einem vertrauenswürdigen Schlüssel ab.

Hochladen eines SSH-Schlüssels mithilfe eines vifs-Befehls

Wenn Sie autorisierte Schlüssel zum Anmelden bei einem Host mit SSH verwenden möchten, können Sie mithilfe des vifs-Befehls autorisierte Schlüssel hochladen.

Hinweis: Da autorisierte Schlüssel den SSH-Zugriff ohne Benutzerauthentifizierung ermöglichen, muss sorgfältig geprüft werden, ob Sie SSH-Schlüssel in Ihrer Umgebung verwenden möchten.
Autorisierte Schlüssel ermöglichen Ihnen die Authentifizierung des Remotezugriffs auf einen Host. Wenn Benutzer oder Skripts versuchen, mit SSH auf einen Host zuzugreifen, bietet der Schlüssel eine Authentifizierung ohne Kennwort. Mit autorisierten Schlüsseln können Sie die Authentifizierung automatisieren, was nützlich ist, wenn Sie Skripte zum Ausführen von Routinetätigkeiten schreiben.
Sie können die folgenden Typen von SSH-Schlüsseln auf einen Host hochladen.
  • Autorisierte Schlüsseldatei für den Root-Benutzer
  • RSA-Schlüssel
  • Öffentlicher RSA-Schlüssel

Ab vSphere 6.0 Update 2 werden DSS-/DSA-Schlüssel nicht mehr unterstützt.

Wichtig: Ändern Sie die Datei /etc/ssh/sshd_config nicht. Falls Sie dies doch tun, nehmen Sie eine Änderung vor, von der der Host-Daemon ( hostd) nichts weiß.

Prozedur

  • Verwenden Sie in der Befehlszeile oder auf einem Verwaltungsserver den vifs-Befehl, um den SSH-Schlüssel auf einen entsprechenden Speicherort auf dem ESXi-Host hochzuladen.
    vifs --server hostname --username username --put filename /host/ssh_host_dsa_key_pub
    Schlüsseltyp Speicherort
    Autorisierte Schlüsseldateien für den Root-Benutzer /host/ssh_root_authorized_keys

    Sie benötigen zum Hochladen dieser Datei vollständige Administratorrechte.

    RSA-Schlüssel /host/ssh_host_rsa_key
    Öffentliche RSA-Schlüssel /host/ssh_host_rsa_key

Hochladen eines SSH-Schlüssels anhand von HTTPS PUT

Sie können autorisierte Schlüssel zum Anmelden bei einem Host mit SSH verwenden. Sie können autorisierte Schlüssel mit HTTPS PUT hochladen.

Autorisierte Schlüssel ermöglichen Ihnen die Authentifizierung des Remotezugriffs auf einen Host. Wenn Benutzer oder Skripts versuchen, mit SSH auf einen Host zuzugreifen, bietet der Schlüssel eine Authentifizierung ohne Kennwort. Mit autorisierten Schlüsseln können Sie die Authentifizierung automatisieren, was nützlich ist, wenn Sie Skripts zum Ausführen von Routinetätigkeiten schreiben.
Sie können unter Verwendung von HTTPS PUT die folgenden Typen von SSH-Schlüsseln auf einen Host hochladen:
  • Autorisierte Schlüsseldatei für Root-Benutzer
  • DSA-Schlüssel
  • Öffentlicher DSA-Schlüssel
  • RSA-Schlüssel
  • Öffentlicher RSA-Schlüssel
Wichtig: Ändern Sie die Datei /etc/ssh/sshd_config nicht.

Prozedur

  1. Öffnen Sie die Schlüsseldatei in der Anwendung, die Sie für das Hochladen verwenden.
  2. Veröffentlichen Sie die Datei an den folgenden Speicherorten.
    Schlüsseltyp Speicherort
    Autorisierte Schlüsseldateien für den Root-Benutzer https://Hostname_oder_IP-Adresse/host/ssh_root_authorized_keys

    Sie benötigen zum Hochladen dieser Datei vollständige Administratorrechte auf dem Host.

    DSA-Schlüssel https://Hostname_oder_IP-Adresse/host/ssh_host_dsa_key
    Öffentliche DSA-Schlüssel https://Hostname_oder_IP-Adresse/host/ssh_host_dsa_key_pub
    RSA-Schlüssel https://Hostname_oder_IP-Adresse/host/ssh_host_rsa_key
    Öffentliche RSA-Schlüssel https://Hostname_oder_IP-Adresse/host/ssh_host_rsa_key_pub