ESXi Shell fournit des commandes de maintenance essentielles et est désactivé par défaut sur les hôtes ESXi. Vous pouvez activer l'accès local et distant au shell si nécessaire. Pour réduire le risque d'accès non autorisé, activez ESXi Shell pour le dépannage uniquement.

ESXi Shell est indépendant du mode verrouillage. Même si l'hôte s'exécute en mode verrouillage, vous pouvez toujours vous connecter à ESXi Shell si ce service est activé.

Reportez-vous à la section Sécurité vSphere.

Les services applicables sont les suivants.

ESXi Shell
Activez ce service pour accéder localement à ESXi Shell.
SSH
Activez ce service pour accéder à ESXi Shell à distance en utilisant SSH.
Interface utilisateur de la console directe (DCUI)
Lorsque vous activez ce service en mode verrouillage, vous pouvez vous connecter localement à l'interface utilisateur de la console directe en tant qu'utilisateur racine, puis désactiver le mode verrouillage. Vous pouvez ensuite accéder à l'hôte via une connexion directe à VMware Host Client ou en activant ESXi Shell.

L'utilisateur racine et les utilisateurs disposant du rôle d'administrateur peuvent accéder à ESXi Shell. Les utilisateurs du groupe Active Directory ESX Admins reçoivent automatiquement le rôle d'Administrateur. Par défaut, seul l'utilisateur racine peut exécuter des commandes système (telles que vmware -v) en utilisant ESXi Shell.

Note : N'activez pas ESXi Shell si vous n'avez pas réellement besoin d'un accès.

Activer Secure Shell (SSH) dans VMware Host Client

Activez Secure Shell (SSH) pour accéder à ESXi Shell à distance en utilisant SSH.

Procédure

  1. Pour activer ou désactiver Secure Shell (SSH), cliquez avec le bouton droit sur Hôte dans l'inventaire VMware Host Client.
  2. Sélectionnez Services dans le menu déroulant.
  3. Pour activer Secure Shell (SSH), sélectionnez Activer Secure Shell (SSH).
  4. Pour activer ESXi Shell, sélectionnez Activer ESXi Shell.

Activer ESXi Console Shell dans VMware Host Client

Lorsque vous activez ce service en mode verrouillage, vous pouvez vous connecter localement à l'interface utilisateur de la console directe en tant qu'utilisateur racine, puis désactiver le mode verrouillage. Vous pouvez ensuite accéder à l'hôte via une connexion directe à VMware Host Client ou en activant ESXi Shell.

Procédure

  1. Pour activer ou désactiver Console Shell, cliquez avec le bouton droit sur Hôte dans l'inventaire VMware Host Client.
  2. Sélectionnez Services dans le menu déroulant et sélectionnez Console Shell.
  3. Sélectionnez la tâche à effectuer.
    • Si Console Shell est activé, cliquez sur Désactiver pour le désactiver.
    • Si Console Shell est désactivé, cliquez sur Activer pour l'activer.

Créer un délai d'expiration pour la disponibilité d'ESXi Shell dans VMware Host Client

ESXi Shell est désactivé par défaut. Pour renforcer la sécurité lorsque vous activez le shell, vous pouvez définir un délai de disponibilité pour ESXi Shell.

Le délai de disponibilité définit la durée pendant laquelle les connexions au shell local et distant sont autorisées, et au terme de laquelle la possibilité de se connecter via le shell est désactivée. Lorsque le délai de disponibilité expire, il reste des sessions shell existantes, mais les nouvelles sessions shell ne sont pas autorisées.

Procédure

  1. Cliquez sur Gérer dans l'inventaire VMware Host Client.
  2. Sous l'onglet Système, sélectionnez Paramètres avancés.
  3. Entrez UserVars.ESXiShellTimeOut dans la zone de texte Rechercher, puis cliquez sur l'icône Rechercher.
  4. Sélectionnez UserVars.ESXiShellTimeOut et cliquez sur Modifier.
    La boîte de dialogue Modifier l'option s'ouvre.
  5. Dans la zone de texte Nouvelle valeur, entrez le paramètre de délai d'expiration.
    Une valeur de zéro (0) désactive le délai d'expiration.
  6. Cliquez sur Enregistrer.
    Vous devez redémarrer le service SSH et le service ESXi Shell pour que le délai d'expiration soit appliqué.
  7. (Facultatif) Pour réinitialiser le paramètre de clé à la valeur par défaut, cliquez avec le bouton droit sur la clé appropriée dans la liste, puis sélectionnez l'option Réinitialiser sur les paramètres par défaut.

Créer un délai d'expiration pour les sessions ESXi Shell inactives dans VMware Host Client

Si vous activez le shell ESXi sur un hôte, mais que vous oubliez de vous déconnecter de la session, la session inactive demeure connectée indéfiniment. La connexion restée ouverte augmente les possibilités qu'une personne obtienne un accès privilégié à l'hôte ESXi. Vous pouvez éviter cela en paramétrant un délai d'expiration des sessions inactives.

Le délai d'inactivité correspond à la période au terme de laquelle vous êtes déconnecté d'une session interactive inactive.

Procédure

  1. Cliquez sur Gérer dans l'inventaire VMware Host Client.
  2. Dans l'onglet Système, cliquez Paramètres avancés.
  3. Entrez UserVars.ESXiShellInteractiveTimeOut dans la zone de texte Rechercher, puis cliquez sur l'icône Rechercher.
  4. Sélectionnez UserVars.ESXiShellInteractiveTimeOut et cliquez sur Modifier.
    La boîte de dialogue Modifier l'option s'ouvre.
  5. Dans la zone de texte Nouvelle valeur, entrez le paramètre de délai d'expiration.
    Une valeur de zéro (0) désactive le délai d'expiration.
  6. Cliquez sur Enregistrer.
    Le délai d'expiration prend effet uniquement pour les sessions récemment connectées.
  7. (Facultatif) Pour réinitialiser le paramètre de clé à la valeur par défaut, cliquez avec le bouton droit sur la clé appropriée dans la liste, puis sélectionnez l'option Réinitialiser sur les paramètres par défaut.

Résultats

Si la session est inactive, les utilisateurs sont déconnectés à l'expiration du délai d'attente.