La configuración avanzada del sistema controla aspectos del comportamiento ESXi, como el registro, los recursos del sistema y la seguridad.

En la siguiente tabla, se presentan algunas de las opciones avanzadas importantes para seguridad del sistema ESXi. Para ver toda la configuración avanzada del sistema, consulte vSphere Client (Host > Configurar > Sistema > Configuración avanzada del sistema) o la API para una versión determinada.

Tabla 1. Lista parcial de la configuración avanzada del sistema de seguridad
Configuración avanzada del sistema Descripción Valor predeterminado
Annotations.WelcomeMessage Muestra un mensaje de bienvenida en Host Client antes de iniciar sesión o en la interfaz de usuario de la consola directa (Direct Console User Interface, DCUI) en la pantalla predeterminada. En la DCUI, el mensaje de bienvenida reemplaza a algún texto, como la dirección IP del host. (Vacío)
Config.Etc.issue Muestra un banner durante una sesión de inicio de sesión SSH. (Vacío)
Config.Etc.motd Muestra el mensaje del día al iniciar sesión en SSH.
Nota: Para insertar nuevas líneas o retornos en los problemas y las configuraciones de motd, puede utilizar tanto vSphere API como la CLI. Por ejemplo, consulte https://williamlam.com/2021/03/adding-a-customized-notification-banner-in-the-vsphere-ui.html y https://williamlam.com/2015/02/easily-manage-esxi-vcsa-ssh-login-banner-motd-in-vsphere-6-0.html.
(Vacío)
Config.HostAgent.vmacore.soap.sessionTimeout Establece el tiempo de inactividad en minutos antes de que el sistema cierre sesión automáticamente en una API de VIM. El valor 0 (cero) desactiva el tiempo de inactividad. Esta opción solo se aplica a las nuevas sesiones. 30 (minutos)
Mem.MemEagerZero Activa la aplicación a cero del ámbito del usuario y las páginas de memoria del invitado en los sistemas operativos VMkernel (incluido el proceso VMM) después de que se cierra una máquina virtual. El valor predeterminado (0) utiliza la puesta a cero lenta. El valor 1 utiliza la puesta a cero rápida. 0 (desactivado)
Security.AccountLockFailures Establece el número máximo de intentos de inicio de sesión fallidos antes de que el sistema bloquee la cuenta de un usuario. Por ejemplo, para bloquear la cuenta en el quinto error de inicio de sesión, establezca este valor en 4. El valor 0 (cero) desactiva el bloqueo de cuentas.
Por motivos de implementación, algunos mecanismos de inicio de sesión cuentan de forma inesperada:
  • Los inicios de sesión de VIM (incluido lVMware Host Client) y ESXCLI reflejan el número exacto de inicios de sesión fallidos.
  • Las conexiones SSH cuentan como intentos de inicio de sesión cuando se muestra una solicitud de contraseña y anulan dicho recuento al iniciar sesión correctamente. Este comportamiento es normal para las comunicaciones de desafío y respuesta.
  • Los inicios de sesión de CGI cuentan con un recuento doble los errores de inicio de sesión.
    Precaución: Debido a este problema, un usuario puede bloquearse más rápido que el número de inicios de sesión fallidos cuando se utiliza la interfaz de CGI.
5
Security.AccountUnlockTime Establece la cantidad de segundos en los que un usuario queda bloqueado. Cualquier intento de inicio de sesión dentro del tiempo de espera de bloqueo especificado reinicia el tiempo de espera de bloqueo. 900 (15 minutos)
Security.PasswordHistory Establece el número de contraseñas que se deben recordar para cada usuario. Esta opción evita contraseñas duplicadas o similares. 5
Security.PasswordMaxDays Establece el número máximo de días entre cambios de contraseña. 99999
Security.PasswordQualityControl Cambia la longitud requerida y el requisito de clase de caracteres, o permite frases de contraseña en la configuración de Pam_passwdqc. Puede utilizar caracteres especiales en las contraseñas. Puede tener una longitud de contraseña de al menos 15 caracteres. La configuración predeterminada requiere tres clases de caracteres y una longitud mínima de siete caracteres.
Si implementa el anexo de DoD, puede combinar la opción de similar=deny más una longitud mínima de contraseña para exigir que las contraseñas sean lo suficientemente diferentes. La configuración del historial de contraseñas solo se aplica para las contraseñas cambiadas a través de la API de LocalAccountManager.changePassword de VIM. Para cambiar la contraseña, es necesario que el usuario tenga permiso de administrador. La opción PasswordQualityControl, con una opción PasswordMaxDays, satisface los requisitos del anexo de DoD:
min=disabled,disabled,disabled,disabled,15 similar=deny
retry=3 min=disabled,disabled,disabled,7,7
UserVars.DcuiTimeOut Establece el tiempo de inactividad en los segundos antes de que el sistema cierre automáticamente la sesión de la DCUI. El valor 0 (cero) desactiva el tiempo de espera. 600 (10 minutos)
UserVars.ESXiShellInteractiveTimeOut Establece el tiempo de inactividad en los segundos antes de que el sistema cierre automáticamente la sesión en un shell interactivo. Esta opción solo se aplica a las nuevas sesiones. El valor 0 (cero) desactiva el tiempo de inactividad. Se aplica tanto al shell SSH como a la DCUI. 0
UserVars.ESXiShellTimeOut Establece el tiempo en los segundos que un shell de inicio de sesión espera para iniciar sesión. El valor 0 (cero) desactiva el tiempo de espera. Se aplica tanto al shell SSH como a la DCUI. 0
UserVars.HostClientSessionTimeout Establece el tiempo de inactividad en los segundos antes de que el sistema cierre automáticamente la sesión de Host Client. El valor 0 (cero) desactiva el tiempo de inactividad. 900 (15 minutos)
UserVars.HostClientClientClientcomeMessage Muestra un mensaje de bienvenida en Host Client al iniciar sesión. El mensaje se muestra después del inicio de sesión como una "sugerencia". (Vacío)