Le impostazioni di sistema avanzate controllano gli aspetti del comportamento di ESXi come la registrazione, le risorse di sistema e la sicurezza.

La tabella seguente include alcune delle impostazioni di sistema avanzate di ESXi importanti per la sicurezza. Per visualizzare tutte le impostazioni di sistema avanzate, consultare vSphere Client (Host > Configura > Sistema > Impostazioni di sistema avanzate) oppure l'API di una determinata versione.

Tabella 1. Elenco parziale delle impostazioni di sistema avanzate di sicurezza
Impostazioni di sistema avanzate Descrizione Valore predefinito
Annotations.WelcomeMessage Visualizza un messaggio di benvenuto nell'host client prima dell'accesso oppure nella schermata predefinita di DCUI. In DCUI, il messaggio di benvenuto sostituisce una parte di testo, come l'indirizzo IP dell'host. (Vuoto)
Config.Etc.issue Visualizza un banner durante una sessione di accesso tramite SSH. (Vuoto)
Config.Etc.motd Visualizza il messaggio del giorno all'accesso tramite SSH.
Nota: Per inserire nuove righe o ritorni nei problemi e nelle configurazioni motd, è possibile utilizzare sia l'API sia la CLI di vSphere. Ad esempio, vedere https://williamlam.com/2021/03/adding-a-customized-notification-banner-in-the-vsphere-ui.html e https://williamlam.com/2015/02/easily-manage-esxi-vcsa-ssh-login-banner-motd-in-vsphere-6-0.html.
(Vuoto)
Config.HostAgent.vmacore.soap.sessionTimeout Imposta il tempo di inattività in minuti prima che il sistema venga automaticamente disconnesso da un'API VIM. Il valore 0 (zero) disattiva il tempo di inattività. Questa impostazione si applica solo alle nuove sessioni. 30 (minuti)
Mem.MemEagerZero Attiva l'azzeramento dell'ambiente degli utenti e delle pagine della memoria guest nei sistemi operativi VMkernel (incluso il processo VMM) dopo l'uscita di una macchina virtuale. Il valore predefinito (0) utilizza l'azzeramento lazy. Il valore 1 utilizza l'azzeramento eager. 0 (disattivato)
Security.AccountLockFailures Imposta il numero massimo di tentativi di accesso non riusciti prima che il sistema blocchi un account utente. Ad esempio, per bloccare l'account al quinto tentativo di accesso non riuscito, impostare questo valore su 4. Il valore 0 (zero) disattiva il blocco dell'account.
Per motivi di implementazione, il conteggio di alcuni meccanismi di accesso è imprevisto:
  • Gli accessi VIM (incluso VMware Host Client) ed ESXCLI riflettono il numero esatto di accessi non riusciti.
  • Le connessioni SSH vengono conteggiate come tentativo di accesso quando viene visualizzato un prompt per l'immissione della password. Tale conteggio viene annullato nel caso in cui l'accesso venga eseguito correttamente. Si tratta di un comportamento normale per le comunicazioni di verifica e risposta.
  • Gli accessi CGI contano due volte gli accessi non riusciti.
    Attenzione: A causa di questo problema, un utente che usa l'interfaccia CGI può essere bloccato prima di aver eseguito il numero specificato di accessi non riusciti.
5
Security.AccountUnlockTime Imposta il numero di secondi per cui un utente viene bloccato. Qualsiasi tentativo di accesso entro il timeout di blocco specificato riavvia il timeout di blocco. 900 (15 minuti)
Security.PasswordHistory Imposta il numero di password da ricordare per ogni utente. Questa impostazione impedisce password duplicate o simili. 5
Security.PasswordMaxDays Imposta il numero massimo di giorni che possono trascorrere tra una modifica della password e l'altra. 99999
Security.PasswordQualityControl Modifica la lunghezza richiesta e il requisito delle classi di caratteri oppure consente le passphrase nella configurazione di Pam_passwdqc. Nelle password è possibile utilizzare caratteri speciali. La password deve includere almeno 15 caratteri. L'impostazione predefinita richiede tre classi di caratteri e una lunghezza minima di sette caratteri.
Se si implementano i requisiti del Dipartimento della Difesa degli Stati Uniti, è possibile combinare l'opzione similar=deny e la lunghezza minima della password per imporre un requisito per cui le password devono essere sufficientemente diverse. L'impostazione della cronologia delle password viene applicata solo per le password modificate tramite l'API LocalAccountManager.changePassword VIM. Per modificare la password, è necessario che l'utente disponga delle autorizzazioni di amministratore. L'impostazione PasswordQualityControl con un'impostazione PasswordMaxDays soddisfa i requisiti del Dipartimento della Difesa degli Stati Uniti: 
min=disabled,disabled,disabled,disabled,15 similar=deny
 retry=3 min=disabled,disabled,disabled,7,7
UserVars.DcuiTimeOut Imposta il tempo di inattività in secondi prima che il sistema venga disconnesso automaticamente da DCUI. Il valore 0 (zero) disattiva il timeout. 600 (10 minuti)
UserVars.ESXiShellInteractiveTimeOut Imposta il tempo di inattività in secondi prima che una shell interattiva venga disconnessa automaticamente dal sistema. Questa impostazione viene applicata solo per le nuove sessioni. Il valore 0 (zero) disattiva il tempo di inattività. Si applica sia a DCUI sia alla shell SSH. 0
UserVars.ESXiShellTimeOut Imposta il tempo di attesa in secondi per una shell di accesso. Il valore 0 (zero) disattiva il timeout. Si applica sia a DCUI sia alla shell SSH. 0
UserVars.HostClientSessionTimeout Imposta il tempo di inattività in secondi prima che il sistema esegua la disconnessione automatica del client dell'host. Il valore 0 (zero) disattiva il tempo di inattività. 900 (15 minuti)
UserVars.HostClientWelcomeMessage Visualizza un messaggio di benvenuto nell'host client all'accesso. Il messaggio viene visualizzato come suggerimento dopo l'accesso. (Vuoto)