ESXi Shell は重要なメンテナンス コマンドを提供し、ESXi ホストではデフォルトで無効になっています。このシェルへのローカル アクセスおよびリモート アクセスは、必要に応じて有効にすることができます。不正アクセスのリスクを低減するためには、トラブルシューティングにのみ ESXi Shell を有効にします。

ESXi Shell は、ロックダウン モードに依存しません。ホストがロックダウン モードで実行されている場合でも、有効な場合は ESXi Shell にログインできます。

vSphere のセキュリティを参照してください。

適用可能なサービスは次のとおりです。

ESXi Shell
ローカルで ESXi Shell にアクセスする場合は、このサービスを有効にします。
SSH
SSH を使用して ESXi Shell にリモート アクセスするには、このサービスを有効にします。
ダイレクト コンソール UI (DCUI)
ロックダウン モードで動作しているときにこのサービスを有効にすると、root ユーザーでダイレクト コンソール ユーザー インターフェイスにローカルでログインし、ロックダウン モードを無効にできます。その後、 VMware Host Client への直接接続を使用する、または ESXi Shell を有効にすることで、ホストにアクセスできます。

root ユーザーおよび管理者ロールを持つユーザーは、ESXi Shell にアクセスできます。Active Directory グループ ESX Admins 内のユーザーには、管理者ロールが自動的に割り当てられます。デフォルトでは、root ユーザーのみが、ESXi Shell を使用してシステム コマンド(vmware -v など)を実行できます。

注: ESXi Shell は、実際にアクセスが必要にならない限り有効にしないでください。

VMware Host Client でのセキュア シェル (SSH) の有効化

セキュア シェル (SSH) を使用して ESXi Shell にリモート アクセスするには、SSH を有効化します。

手順

  1. セキュア シェル (SSH) を有効化または無効化するには、VMware Host Client インベントリ内で [ホスト] を右クリックします。
  2. ドロップダウン メニューから [サービス] を選択します。
  3. セキュア シェル (SSH) を有効化するには、[SSH の有効化] を選択します。
  4. ESXi Shell を有効化するには、[ESXi Shell の有効化] を選択します。

VMware Host Client での ESXi コンソール シェルの有効化

ロックダウン モードで動作しているときにこのサービスを有効にすると、root ユーザーでダイレクト コンソール ユーザー インターフェイスにローカルでログインし、ロックダウン モードを無効にできます。その後、VMware Host Clientへの直接接続を使用する、または ESXi Shell を有効にすることで、ホストにアクセスできます。

手順

  1. コンソール シェルを有効化または無効化するには、VMware Host Client インベントリ内で [ホスト] を右クリックします。
  2. ドロップダウン メニューから [サービス] を選択し、[Console Shell(コンソール シェル)] を選択します。
  3. 実行するタスクを選択します。
    • コンソール シェルが有効化されている場合は、[無効化] をクリックして無効化します。
    • コンソール シェルが無効化されている場合は、[有効化] をクリックして有効化します。

VMware Host Client での ESXi Shell 可用性のタイムアウトの作成

ESXi Shell はデフォルトでは無効になっています。ESXi Shell を有効にする際にセキュリティを強化するため、可用性タイムアウトを設定できます。

可用性タイムアウトは、ローカルおよびリモートの両方のシェル ログインが許可される時間を定義します。この時間が経過すると、シェルを介したログインが無効になります。可用性タイムアウトの期限が切れると、既存のシェル セッションは残りますが、新しいシェル セッションは許可されません。

手順

  1. VMware Host Client インベントリの [管理] をクリックします。
  2. [システム] タブで [詳細設定] を選択します。
  3. [検索] テキスト ボックスに「UserVars.ESXiShellTimeOut」と入力し、[検索] アイコンをクリックします。
  4. UserVars.ESXiShellTimeOut を選択し、[オプションの編集] をクリックします。
    [オプションの編集] ダイアログ ボックスが開きます。
  5. [新しい値] テキスト ボックスに、タイムアウト設定を入力します。
    ゼロ (0) の値を指定すると、タイムアウトが無効になります。
  6. [保存] をクリックします。
    タイムアウトを有効にするには、SSH サービスと ESXi Shell サービスの再起動が必要です。
  7. (オプション) キー設定をデフォルトにリセットするには、リスト内の該当するキーを右クリックし、[デフォルトにリセット] を選択します。

VMware Host Client でのアイドル ESXi Shell セッションのタイムアウトの作成

ホストで ESXi Shell を有効にしていてセッションからログアウトし忘れた場合、アイドル セッションは無期限に接続されたままになります。接続を開いたままにすると、他のユーザーが ESXi ホストに対するアクセス権を取得する可能性が高くなります。アイドル セッションのタイムアウトを設定することによって、これを防止できます。

アイドル タイムアウト設定は、対話形式のアイドル セッションからログアウトされるまでの許容経過時間を示します。

手順

  1. VMware Host Client インベントリの [管理] をクリックします。
  2. [システム] タブで [詳細設定] をクリックします。
  3. [検索] テキスト ボックスに「UserVars.ESXiShellInteractiveTimeOut」と入力し、[検索] アイコンをクリックします。
  4. UserVars.ESXiShellInteractiveTimeOut を選択し、[オプションの編集] をクリックします。
    [オプションの編集] ダイアログ ボックスが開きます。
  5. [新しい値] テキスト ボックスに、タイムアウト設定を入力します。
    ゼロ (0) の値を指定すると、タイムアウトが無効になります。
  6. [保存] をクリックします。
    タイムアウトは、新しくログインされたセッションに対してのみ有効です。
  7. (オプション) キー設定をデフォルトにリセットするには、リスト内の該当するキーを右クリックし、[デフォルトにリセット] を選択します。

結果

セッションがアイドル状態の場合、タイムアウト期間が経過した後、ユーザーがログアウトされます。