ESXi Shell は重要なメンテナンス コマンドを提供し、ESXi ホストではデフォルトで無効になっています。このシェルへのローカル アクセスおよびリモート アクセスは、必要に応じて有効にすることができます。不正アクセスのリスクを低減するためには、トラブルシューティングにのみ ESXi Shell を有効にします。
ESXi Shell は、ロックダウン モードに依存しません。ホストがロックダウン モードで実行されている場合でも、有効な場合は ESXi Shell にログインできます。
適用可能なサービスは次のとおりです。
- ESXi Shell
- ローカルで ESXi Shell にアクセスする場合は、このサービスを有効にします。
- SSH
- SSH を使用して ESXi Shell にリモート アクセスするには、このサービスを有効にします。
root ユーザーおよび管理者ロールを持つユーザーは、ESXi Shell にアクセスできます。Active Directory グループ ESX Admins 内のユーザーには、管理者ロールが自動的に割り当てられます。デフォルトでは、root ユーザーのみが、ESXi Shell を使用してシステム コマンド(vmware -v など)を実行できます。
vSphere Client を使用した ESXi Shell のアイドル タイムアウトの設定
ホストで ESXi Shell を有効にしていてセッションからログアウトし忘れた場合、アイドル セッションは無期限に接続されたままになります。接続を開いたままにすると、他のユーザーがホストに対するアクセス権を取得する可能性が高くなります。アイドル セッションのタイムアウトを設定することによって、これを防止できます。
手順
結果
セッションがアイドル状態の場合、タイムアウト期間が経過した後、ユーザーがログアウトされます。
vSphere Client を使用した ESXi Shell の可用性タイムアウトの設定
ESXi Shell はデフォルトでは無効になっています。ESXi Shell の可用性タイムアウトを設定し、シェルを有効にした場合のセキュリティを強化できます。
可用性タイムアウト設定は、ESXi Shell を有効にしてからログインするまでの許容経過時間を示します。タイムアウト期間が過ぎると、サービスは無効になり、ユーザーはログインできなくなります。
手順
- vSphere Clientインベントリで、ホストに移動して参照します。
- [構成] をクリックします。
- [システム] の下で [システムの詳細設定] を選択します。
- [編集] をクリックし、UserVars.ESXiShellTimeOut を選択します。
- アイドル タイムアウト設定を入力します。
- [OK] をクリックします。
- SSH サービスと ESXi Shell サービスを再起動して、タイムアウトを反映させます。
- の順に移動します。
- ESXi Shell と SSH を 1 つずつ選択し、[再起動] をクリックします。
結果
タイムアウト期間が経過したときにログイン済みの場合は、セッションが維持されます。ただし、ログアウト後、またはセッション終了後は、ユーザーはログインできません。
DCUI を使用した ESXi Shell での可用性タイムアウトまたはアイドル タイムアウトの設定
ESXi Shell はデフォルトでは無効になっています。シェルを有効にする際にセキュリティを強化するため、可用性タイムアウトとアイドルのタイムアウトのどちらか一方、または両方を設定できます。
- ESXi Shell のアイドル タイムアウト
- ユーザーがホストで ESXi Shell を有効にしていてセッションからログアウトし忘れた場合、アイドル セッションは無期限に接続されたままになります。接続を開いたままにすると、誰かがホストに対するアクセス権を取得する潜在性が高くなります。アイドル セッションのタイムアウトを設定することによって、この状況を防止できます。
- ESXi Shell の可用性タイムアウト
- 可用性タイムアウトは、最初にこのシェルを有効にした後、ログインするまでの許容される時間を決定します。この時間を超えると、サービスは無効になり、 ESXi Shell にログインすることはできません。
前提条件
ESXi Shell を有効にします。DCUI を使用した ESXi Shell へのアクセスの有効化を参照してください。
手順
- ESXi Shellにログインします。
- トラブルシューティング モード オプション メニューから、[ESXi Shell および SSH のタイムアウトの変更] を選択し、Enter を押します。
- アイドル タイムアウト(秒単位)、または可用性タイムアウトを入力します。
- ダイレクト コンソール ユーザー インターフェイスのメイン メニューに戻るまで、Enter を押し、Esc を押します。
- [OK] をクリックします。
- SSH サービスと ESXi Shell サービスを再起動して、タイムアウトを反映させます。
- vSphere Client でホストを選択し、 に移動します。
- ESXi Shell と SSH を 1 つずつ選択し、[再起動] をクリックします。
結果
- アイドル タイムアウトを設定した場合、指定された時間アイドル状態が続くとユーザーはログアウトされます。
- 可用性タイムアウトを設定した場合、このタイムアウト時間が経過する前にログインしないと、ログインできなくなります。
vSphere Client を使用した ESXi Shell へのアクセスの有効化
ESXi Shell および SSH インターフェイスはデフォルトで無効になっています。トラブルシューティングまたはサポート アクティビティを実行する場合以外は、これらのインターフェイスは無効のままにしてください。日常のアクティビティでは、vSphere Client を使用します。そのため、アクティビティはロールベースのアクセス コントロールおよび最新のアクセス コントロール方法の影響を受けます。
前提条件
認証済みの SSH キーを使用する必要がある場合は、それをアップロードできます。ESXi SSH キーを参照してください。
手順
次のタスク
ESXi Shell の可用性とアイドルのタイムアウトを設定します。vSphere Client を使用した ESXi Shell の可用性タイムアウトの設定およびvSphere Client を使用した ESXi Shell のアイドル タイムアウトの設定を参照してください。
DCUI を使用した ESXi Shell へのアクセスの有効化
ダイレクト コンソール ユーザー インターフェイス (DCUI) を使用すると、テキストベースのメニューを使用して、ローカルでホストとの対話を行うことができます。お使いの環境のセキュリティ要件の下で、ダイレクト コンソール ユーザー インターフェイスの有効化がサポートされるかどうかを評価します。
手順
- ダイレクト コンソール ユーザー インターフェイスで、F2 を押してシステムのカスタマイズ メニューにアクセスします。
- [トラブルシューティング オプション] を選択し、Enter キーを押します。
- [トラブルシューティング モード オプション] メニューから、有効にするサービスを選択します。
- ESXi Shell の有効化
- SSH の有効化
- Enter キーを押してサービスを有効にします。
- ダイレクト コンソール ユーザー インターフェイスのメイン メニューに戻るまで、Esc を押します。
次のタスク
ESXi Shell の可用性とアイドルのタイムアウトを設定します。DCUI を使用した ESXi Shell での可用性タイムアウトまたはアイドル タイムアウトの設定を参照してください。
トラブルシューティングのために ESXi Shell にログイン
vSphere Client、ESXCLI、または VMware PowerCLI を使用してESXi 設定タスクを実行します。ESXi Shell(以前の Tech Support モード (TSM)) には、トラブルシューティングの目的でのみログインしてください。
手順
- 次のいずれかの方法で ESXi Shellにログインします。
- ホストに直接アクセス可能な場合は、マシンの物理コンソールで Alt + F2 を押してログイン ページを開きます。
- ホストにリモート接続する場合は、SSH などのリモート コンソール接続を使用して、ホスト上でセッションを開始します。
- ホストで認識されるユーザー名とパスワードを入力します。