ESXi Shell proporciona comandos de mantenimiento esenciales y está desactivado de forma predeterminada en los hosts ESXi. Es posible activar el acceso local y remoto al shell, si es necesario. Para reducir el riesgo de accesos no autorizados, active ESXi Shell solo para solucionar problemas.

ESXi Shell es independiente del modo de bloqueo. Incluso si el host se ejecuta en modo de bloqueo, todavía puede iniciar sesión en ESXi Shell si está activado.

Los servicios aplicables son los siguientes.

ESXi Shell
Active este servicio para acceder a ESXi Shell de forma local.
SSH
Active este servicio para acceder a ESXi Shell de forma remota mediante SSH.

El usuario raíz y los usuarios con la función de administrador pueden acceder a ESXi Shell. Los usuarios que se encuentran en el grupo de Administradores de ESX reciben automáticamente la función de administrador. De forma predeterminada, solamente el usuario raíz puede ejecutar comandos del sistema (como vmware -v) mediante ESXi Shell.

Nota: No active ESXi Shell a menos que necesite acceder.

Establecer el tiempo de espera de inactividad para ESXi Shell mediante vSphere Client

Si habilita ESXi Shell en un host, pero olvida cerrar la sesión, la sesión inactiva permanece conectada de forma indefinida. La conexión abierta aumenta las posibilidades de que alguien obtenga acceso privilegiado al host. Para impedir esta situación, configure un tiempo de espera para las sesiones inactivas.

El tiempo de espera de inactividad corresponde a la cantidad de tiempo que puede transcurrir antes de que se cierre la sesión interactiva inactiva de un usuario. Es posible controlar la cantidad de tiempo que duran una sesión local y una sesión remota (SSH) desde la interfaz de usuario de la consola directa (DCUI) o desde vSphere Client.

Procedimiento

  1. Desplácese hasta el host en el inventario de vSphere Client.
  2. Haga clic en Configurar.
  3. En Sistema, seleccione Configuración avanzada del sistema.
  4. Haga clic en Editar, seleccione UserVars.ESXiShellInteractiveTimeOut e introduzca la configuración de tiempo de espera.
    Un valor de cero (0) desactiva el tiempo de inactividad.
  5. Reinicie el servicio de ESXi Shell y el servicio SSH para que se aplique el tiempo de espera.
    1. Vaya a Sistema > Servicios.
    2. Uno a uno, seleccione ESXi Shell y SSH, y haga clic en Reiniciar.

Resultados

Si la sesión está inactiva, se cerrará la sesión de los usuarios una vez transcurrido el período de tiempo de espera.

Establecer el tiempo de espera de disponibilidad de ESXi Shell mediante vSphere Client

ESXi Shell está desactivado de forma predeterminada. Puede establecer un tiempo de espera de disponibilidad para ESXi Shell a fin de aumentar la seguridad cuando se activa el shell.

La configuración de tiempo de espera de disponibilidad corresponde a la cantidad de tiempo que puede transcurrir antes de que pueda iniciar sesión tras la activación de ESXi Shell. Una vez que transcurre el período de espera, el servicio se desactiva y los usuarios no pueden iniciar sesión.

Procedimiento

  1. Desplácese hasta el host en el inventario de vSphere Client.
  2. Haga clic en Configurar.
  3. En Sistema, seleccione Configuración avanzada del sistema.
  4. Haga clic en Editar y seleccione UserVars.ESXiShellTimeOut.
  5. Introduzca la configuración de tiempo de espera de inactividad.
  6. Haga clic en Aceptar.
  7. Reinicie el servicio de ESXi Shell y el servicio SSH para que se aplique el tiempo de espera.
    1. Vaya a Sistema > Servicios.
    2. Uno a uno, seleccione ESXi Shell y SSH, y haga clic en Reiniciar.

Resultados

Si inicia sesión y se agota el tiempo de espera, la sesión se mantiene activa. No obstante, una vez que se cierra o se interrumpe la sesión, los usuarios no pueden iniciar sesión.

Establecer el tiempo de espera de disponibilidad o el tiempo de espera de inactividad para ESXi Shellmediante la DCUI

ESXi Shell está desactivado de forma predeterminada. Para aumentar la seguridad cuando se activa el shell, puede establecer un tiempo de espera de disponibilidad, un tiempo de espera de inactividad o ambos.

Los dos tipos de tiempo de espera se aplican en situaciones diferentes.
Tiempo de espera de inactividad de ESXi Shell
Si un usuario activa ESXi Shell en un host, pero olvida cerrar la sesión, la sesión inactiva permanece conectada de forma indefinida. La conexión abierta puede aumentar la posibilidad de que alguien obtenga acceso privilegiado al host. Para evitar que esta situación se produzca, configure un tiempo de espera de las sesiones inactivas.
Tiempo de espera de disponibilidad de ESXi Shell
El tiempo de espera de disponibilidad determina cuánto tiempo puede transcurrir antes de iniciar sesión después de activar el shell inicialmente. Si espera más tiempo, el servicio se desactiva y ya no se puede iniciar sesión en ESXi Shell.

Requisitos previos

Active ESXi Shell. Consulte Activar el acceso a ESXi Shell mediante la DCUI.

Procedimiento

  1. Inicie sesión en ESXi Shell.
  2. En el menú Opciones del modo de solución de problemas, seleccione Modificar tiempos de espera de SSH y ESXi Shell y presione Intro.
  3. Introduzca el tiempo de espera de inactividad (en segundos) o el tiempo de espera de disponibilidad.
  4. Presione Entrar y Esc hasta regresar al menú principal de la interfaz de usuario de la consola directa.
  5. Haga clic en Aceptar.
  6. Reinicie el servicio de ESXi Shell y el servicio SSH para que se aplique el tiempo de espera.
    1. En vSphere Client, seleccione el host y vaya a Configurar > Sistema > Servicios.
    2. Uno a uno, seleccione ESXi Shell y SSH, y haga clic en Reiniciar.

Resultados

  • Si establece el tiempo de espera de inactividad, se desconecta a los usuarios una vez que la sesión está inactiva durante el tiempo especificado.
  • Si establece el tiempo de espera de disponibilidad y no inicia sesión antes de que transcurra ese tiempo de espera, los inicios de sesión se vuelven a desactivar.

Activar el acceso a ESXi Shell mediante vSphere Client

ESXi Shell y las interfaces SSH están desactivados de forma predeterminada. Mantenga estas interfaces desactivadas a menos que esté realizando actividades de solución de problemas o de soporte. Para las actividades cotidianas, utilice vSphere Client, donde la actividad está sujeta al control de acceso basado en roles y a métodos de control de acceso modernos.

Nota: Acceda al host con vSphere Client, con herramientas de línea de comandos remotas (ESXCLI y PowerCLI) y con las API publicadas. No active el acceso remoto al host mediante SSH a menos que circunstancias especiales lo requieran.

Requisitos previos

Si desea utilizar una clave de SSH autorizada, puede cargarla. Consulte Claves SSH de ESXi.

Procedimiento

  1. Desplácese hasta el host en el inventario.
  2. En Sistema, haga clic en Configurar y, a continuación, en Servicios.
  3. Administre los servicios de ESXi, SSH o interfaz de usuario de consola directa.
    1. En el panel Servicios, seleccione el servicio.
    2. Haga clic en Editar directiva de inicio y seleccione la directiva de inicio Iniciar y detener manualmente.
    3. Para activar el servicio, haga clic en Iniciar.
    Cuando se selecciona Iniciar y detener manualmente, el servicio no se inicia al reiniciar el host. Si desea que el servicio se inicie al reiniciar el host, seleccione Iniciar y detener con el host.

Qué hacer a continuación

Establezca los tiempos de espera de disponibilidad e inactividad para ESXi Shell. Consulte Establecer el tiempo de espera de disponibilidad de ESXi Shell mediante vSphere Client y Establecer el tiempo de espera de inactividad para ESXi Shell mediante vSphere Client.

Activar el acceso a ESXi Shell mediante la DCUI

La interfaz de usuario de la consola directa (DCUI) permite interactuar con el host de forma local mediante los menús basados en texto. Determine si los requisitos de seguridad de su entorno admiten la activación de la interfaz de usuario de la consola directa.

Se puede utilizar la interfaz de usuario de la consola directa (DCUI) para activar el acceso local y remoto a ESXi Shell. A la interfaz de usuario de la consola directa se accede desde la consola física asociada al host. Después de que el host se reinicie y cargue ESXi, pulse F2 para iniciar sesión en la DCUI. Introduzca las credenciales que creó cuando instaló ESXi.
Nota: Los cambios que se realizan en el host desde la interfaz de usuario de la consola directa, vSphere Client, ESXCLI u otras herramientas administrativas se envían al almacenamiento permanente cada una hora o después de un apagado correcto. Si se produce un error en el host antes de que los cambios se confirmen, estos podrían perderse.

Procedimiento

  1. En la interfaz de usuario de la consola directa, presione F2 para acceder al menú Personalización del sistema.
  2. Seleccione Opciones de solución de problemas y presione Intro.
  3. En el menú Opciones del modo de solución de problemas, seleccione un servicio para activar.
    • Habilitar ESXi Shell
    • Habilitar SSH
  4. Presione Intro para activar el servicio.
  5. Presione Esc hasta que vuelva al menú principal de la interfaz de usuario de la consola directa.

Qué hacer a continuación

Establezca los tiempos de espera de disponibilidad e inactividad para ESXi Shell. Consulte Establecer el tiempo de espera de disponibilidad o el tiempo de espera de inactividad para ESXi Shellmediante la DCUI.

Iniciar sesión en ESXi Shell para solucionar problemas

Realice tareas de configuración de ESXi con vSphere Client, ESXCLI o VMware PowerCLI. Inicie sesión en ESXi Shell (anteriormente Tech Support Mode o TSM) solo para fines de solución de problemas.

Procedimiento

  1. Inicie sesión en ESXi Shell con uno de los siguientes métodos.
    • Si tiene acceso directo al host, presione Alt + F1 para abrir la página de inicio de sesión en la consola física de la máquina.
    • Si se conecta al host de forma remota, utilice SSH u otra conexión de consola remota para iniciar una sesión en el host.
  2. Escriba un nombre de usuario y una contraseña que reconozca el host.