L'interface ESXi Shell et l'interface SSH sont désactivées par défaut. Maintenez ces interfaces désactivées, sauf si vous effectuez des activités de dépannage ou d'assistance. Pour les activités régulières, utilisez vSphere Client, dans lequel l'activité est soumise à des méthodes de contrôle d'accès basé sur les rôles et modernes.

Configuration de SSH dans ESXi

La configuration de SSH dans ESXi utilise les paramètres suivants.

Version 1 du protocole SSH désactivée
VMware ne prend pas en charge la version 1 du protocole SSH . Il utilise désormais exclusivement la version 2. La version 2 permet d'éliminer certains problèmes de sécurité qui se produisaient dans la version 1 et offre une communication plus sûre grâce à l'interface de gestion.
Chiffrement renforcé
Pour les connexions, SSH ne prend en charge que les chiffrements AES 256 bits et 128 bits.

Ces paramètres sont destinés à assurer une protection renforcée des données transmises à l'interface de gestion via SSH. Vous ne pouvez pas modifier ces paramètres.

Clés SSH ESXi

Les clés SSH peuvent restreindre, contrôler et sécuriser l'accès à un hôte ESXi. Une clé SSH peut autoriser un utilisateur approuvé ou un script à se connecter à un hôte sans entrer un mot de passe.

Vous pouvez utiliser HTTPS PUT pour copier la clé SSH sur l'hôte.

Au lieu de générer les clés en externe et de les télécharger, vous pouvez les créer sur l'hôte ESXi et les télécharger. Consultez l'article de la base de connaissances de VMware à l'adresse https://kb.vmware.com/s/article/1002866.

Activer SSH et ajouter des clés SSH à l'hôte présente des risques inhérents. Évaluez le risque potentiel d'exposer un nom d'utilisateur et un mot de passe par rapport au risque d'intrusion par un utilisateur qui dispose d'une clé approuvée.

Charger une clé SSH à l'aide de HTTPS PUT

Vous pouvez utiliser des clés autorisées pour ouvrir une session sur un hôte avec SSH. Vous pouvez charger les clés autorisées à l'aide de HTTPS PUT.

Les clés autorisées vous permettent d'authentifier un accès distant à un hôte. Lorsque des utilisateurs ou des scripts essaient d'accéder à un hôte avec SSH, la clé fournit l'authentification sans mot de passe. Les clés autorisées vous permettent d'automatiser l'authentification, ce qui est utile lorsque vous écrivez des scripts pour réaliser des tâches routinières.
Vous pouvez télécharger les types de clés SSH suivants sur un hôte à l'aide de HTTPS PUT :
  • Fichier de clés autorisées pour un utilisateur racine
  • Clé DSA
  • Clé DSA publique
  • Clé RSA
  • Clé RSA publique
Important : Ne modifiez pas le fichier /etc/ssh/sshd_config.

Procédure

  1. Dans votre application de chargement, ouvrez le fichier de clé.
  2. Publiez le fichier aux emplacements suivants.
    Type de clés : Emplacement
    Fichiers de clés autorisées pour un utilisateur racine https://hostname_or_IP_address/host/ssh_root_authorized_keys

    Vous devez disposer de tous les privilèges Administrateur sur l'hôte pour télécharger ce fichier.

    Clés DSA https://hostname_or_IP_address/host/ssh_host_dsa_key
    Clés DSA publiques https://hostname_or_IP_address/host/ssh_host_dsa_key_pub
    Clés RSA https://hostname_or_IP_address/host/ssh_host_rsa_key
    Clés RSA publiques https://hostname_or_IP_address/host/ssh_host_rsa_key_pub