Per impostazione predefinita, l'interfaccia di ESXi Shell e l'interfaccia SSH sono disattivate. Mantenere queste interfacce disattivate a meno che non si stiano eseguendo attività di risoluzione dei problemi o di supporto. Per le attività regolari, utilizzare vSphere Client, in cui l'attività è soggetta al controllo degli accessi in base al ruolo e ai moderni metodi di controllo degli accessi.

Configurazione di SSH in ESXi

La configurazione di SSH in ESXi utilizza le seguenti impostazioni.

Protocollo SSH versione 1 disattivato
VMware non supporta il protocollo SSH versione 1 e utilizza esclusivamente il protocollo versione 2. La versione 2 elimina determinati problemi di sicurezza presenti nella versione 1 e fornisce un modo sicuro per comunicare con l'interfaccia di gestione.
Complessità della crittografia migliorata
SSH supporta solo crittografie AES a 256 bit e a 128 bit per le connessioni.

Queste impostazioni sono progettate per fornire una protezione solida per i dati trasmessi all'interfaccia di gestione tramite SSH. Non è possibile modificare queste impostazioni.

Chiavi SSH ESXi

Le chiavi SSH possono limitare, controllare e proteggere l'accesso a un host ESXi. Una chiave SSH può consentire a un utente o uno script attendibile di accedere a un host senza immettere una password.

È inoltre possibile utilizzare HTTPS PUT per copiare la chiave SSH nell'host.

Anziché generare le chiavi esternamente e caricarle, è possibile creare le chiavi nell'host ESXi e scaricarle. Vedere l'articolo della Knowledge base di VMware all'indirizzo https://kb.vmware.com/s/article/1002866.

L'abilitazione di SSH e l'aggiunta di chiavi SSH all'host comportano rischi inerenti. Valutare il potenziale rischio di esposizione di un nome utente e una password rispetto al rischio di intrusione da parte di un utente con una chiave attendibile.

Caricare una chiave SSH utilizzando HTTPS PUT

È possibile utilizzare chiavi autorizzate per accedere a un host con SSH. È possibile caricare chiavi autorizzate con HTTPS PUT.

Le chiavi autorizzate consentono di autenticare l'accesso remoto a un host. Quando gli utenti o gli script tentano di accedere a un host con SSH, la chiave fornisce l'autenticazione senza una password. Con le chiavi autorizzate è possibile automatizzare l'autenticazione. Ciò è utile quando si scrivono script per eseguire attività di routine.
È possibile caricare i seguenti tipi di chiavi SSH in un host utilizzando HTTPS PUT:
  • File delle chiavi autorizzate per l'utente root
  • Chiave DSA
  • Chiave pubblica DSA
  • Chiave RSA
  • Chiave pubblica RSA
Importante: Non modificare il file /etc/ssh/sshd_config.

Procedura

  1. Nell'applicazione di caricamento, aprire il file della chiave.
  2. Pubblicare il file nelle seguenti posizioni.
    Tipo di chiave Indirizzo
    File di chiavi autorizzati per l'utente root https://hostname_or_IP_address/host/ssh_root_authorized_keys

    Per caricare questo file, è necessario disporre di privilegi di amministratore completi sull'host.

    Chiavi DSA https://hostname_or_IP_address/host/ssh_host_dsa_key
    Chiavi pubbliche DSA https://hostname_or_IP_address/host/ssh_host_dsa_key_pub
    Chiavi RSA https://hostname_or_IP_address/host/ssh_host_rsa_key
    Chiavi pubbliche RSA https://hostname_or_IP_address/host/ssh_host_rsa_key_pub