Les paramètres système avancés contrôlent des aspects du comportement d'ESXi, tels que la journalisation, les ressources système et la sécurité.

Le tableau suivant présente certains des paramètres système avancés importants d'ESXi pour la sécurité. Pour afficher tous les paramètres systèmes avancés, consultez vSphere Client (Hôte > Configurer > Système > Paramètres système avancés) ou l'API d'une version donnée.

Tableau 1. Liste partielle des paramètres système avancés de sécurité
Paramètre système avancé Description Valeur par défaut
Annotations.WelcomeMessage Affiche un message de bienvenue dans le client hôte avant la connexion ou dans l'interface DCUI sur l'écran par défaut. Dans l'interface DCUI, le message de bienvenue remplace du texte, tel que l'adresse IP de l'hôte. (Vide)
Config.Etc.issue Affiche une bannière lors d'une session de connexion SSH. (Vide)
Config.Etc.motd Affiche le message du jour lors de la connexion SSH.
Note : Pour insérer de nouvelles lignes ou de nouveaux retours dans les problèmes et les configurations motd, vous pouvez utiliser vSphere API et l'interface de ligne de commande. Par exemple, reportez-vous à la section https://williamlam.com/2021/03/adding-a-customized-notification-banner-in-the-vsphere-ui.html et https://williamlam.com/2015/02/easily-manage-esxi-vcsa-ssh-login-banner-motd-in-vsphere-6-0.html.
(Vide)
Config.HostAgent.vmacore.soap.sessionTimeout Définit la durée d'inactivité en minutes au terme de laquelle le système déconnecte automatiquement une API VIM. Une valeur de 0 (zéro) désactive la durée d'inactivité. Ce paramètre s'applique uniquement aux nouvelles sessions. 30 (minutes)
Mem.MemEagerZero Active la mise à zéro des pages du monde utilisateur et de la mémoire d'invité dans les systèmes d'exploitation VMkernel (y compris le processus VMM) après la sortie d'une machine virtuelle. La valeur par défaut (0) utilise la mise à zéro en différé. La valeur 1 utilise la mise à zéro immédiate. 0 (désactivé)
Security.AccountLockFailures Définit le nombre maximal de tentatives de connexion infructueuses au-delà duquel le système verrouille le compte d'un utilisateur. Par exemple, pour verrouiller le compte lors du cinquième échec de connexion, définissez cette valeur sur 4. Une valeur de 0 (zéro) désactive le verrouillage du compte.
Pour des raisons de mise en œuvre, certains mécanismes de connexion sont comptabilisés de manière inattendue :
  • Les connexions VIM (y compris VMware Host Client) et ESXCLI reflètent le nombre exact d'échecs de connexion.
  • Les connexions SSH sont comptabilisées comme des tentatives de connexion lors de l'affichage d'une invite de mot de passe et annulent cette comptabilisation lorsque la connexion est réussie. Ce comportement est normal pour les communications de stimulation et de réponse.
  • Les connexions CGI doublent le nombre d'échecs de connexion.
    Attention : En raison de ce problème, un utilisateur peut être verrouillé plus rapidement lors de l'utilisation de l'interface CGI.
5
Security.AccountUnlockTime Définit le nombre de secondes pendant lesquelles un utilisateur est verrouillé. Toute tentative de connexion avant expiration du délai de verrouillage spécifié redémarre ce délai d'expiration. 900 (15 minutes)
Security.PasswordHistory Définit le nombre de mots de passe à mémoriser pour chaque utilisateur. Ce paramètre permet d'éviter les mots de passe dupliqués ou semblables. 5
Security.PasswordMaxDays Définit le nombre maximal de jours entre les modifications du mot de passe. 99999
Security.PasswordQualityControl Modifie la longueur requise et l'exigence de classe de caractère ou autorise les phrases secrètes dans la configuration Pam_passwdqc. Vous pouvez utiliser des caractères spéciaux dans les mots de passe. Vous pouvez configurer une longueur de mot de passe minimale de 15 caractères. Le paramètre par défaut requiert trois classes de caractères et une longueur minimale de sept caractères.
Si vous implémentez DoD Annex, vous pouvez combiner l'option similar=deny ainsi qu'une longueur minimale de mot de passe pour imposer une différence suffisante entre mots de passe. Le paramètre d'historique des mots de passe est uniquement appliqué pour les mots de passe modifiés via l'API LocalAccountManager.changePassword VIM. Pour modifier le mot de passe, l'utilisateur doit disposer d'une autorisation d'administrateur. Le paramètre PasswordQualityControl, avec un paramètre PasswordMaxDays, répond aux exigences de DoD Annex :
min=disabled,disabled,disabled,disabled,15 similar=deny
retry=3 min=disabled,disabled,disabled,7,7
UserVars.DcuiTimeOut Définit la durée d'inactivité en secondes au terme de laquelle le système déconnecte automatiquement l'interface DCUI. La valeur 0 (zéro) désactive le délai d'expiration. 600 (10 minutes)
UserVars.ESXiShellInteractiveTimeOut Définit la durée d'inactivité en secondes au terme de laquelle le système déconnecte automatiquement un shell interactif. Ce paramètre n'est appliqué que pour les nouvelles sessions. Une valeur de 0 (zéro) désactive la durée d'inactivité. S'applique à la fois à l'interface DCUI et au shell SSH. 0
UserVars.ESXiShellTimeOut Définit la durée d'attente en secondes d'une connexion par le shell de connexion. La valeur 0 (zéro) désactive le délai d'expiration. S'applique à la fois à l'interface DCUI et au shell SSH. 0
UserVars.HostClientSessionTimeout Définit la durée d'inactivité en secondes au terme de laquelle le système déconnecte automatiquement Host Client. Une valeur de 0 (zéro) désactive la durée d'inactivité. 900 (15 minutes)
UserVars.HostClientWelcomeMessage Affiche un message de bienvenue dans Host Client lors de la connexion. Le message s'affiche après la connexion sous la forme d'un « conseil ». (Vide)