システムの詳細設定は、ログ作成、システム リソース、セキュリティなど、ESXi 動作の特性を制御します。

次の表に、セキュリティにとって重要な ESXi システムの詳細設定の一部を示します。システムの詳細設定をすべて表示するには、vSphere Client[ホスト] > [設定] > [システム] > [システムの詳細設定])または特定のリリースの API を参照してください。

表 1. セキュリティに関するシステム詳細設定のリストの一部
システムの詳細設定 説明 デフォルト値
Annotations.WelcomeMessage ログイン前の Host Client またはデフォルト画面の DCUI に、ようこそメッセージを表示します。DCUI では、ようこそメッセージが一部のテキスト(ホスト IP アドレスなど)を置き換えます。 (空)
Config.Etc.issue SSH ログイン セッション中にバナーを表示します。 (空)
Config.Etc.motd SSH ログイン時に今日のメッセージを表示します。
注: 問題や motd 構成に新しい行や改行を挿入するには、vSphere API と CLI のどちらも利用できます。例については、 https://williamlam.com/2021/03/adding-a-customized-notification-banner-in-the-vsphere-ui.html および https://williamlam.com/2015/02/easily-manage-esxi-vcsa-ssh-login-banner-motd-in-vsphere-6-0.html を参照してください。
(空)
Config.HostAgent.vmacore.soap.sessionTimeout システムが VIM API を自動的にログアウトさせるまでのアイドル時間を分単位で設定します。ゼロ (0) の値を指定すると、アイドル時間は無効になります。この設定は、新しいセッションにのみ適用されます。 30(分)
Mem.MemEagerZero 仮想マシンの終了後に、VMkernel オペレーティング システム(VMM プロセスを含む)のユーザー ワールド ページおよびゲスト メモリ ページのゼロクリアを有効にします。デフォルト値 (0) を指定すると、Lazy Zero が使用されます。値 1 を指定すると、Eager Zero が使用されます。 0(無効)
Security.AccountLockFailures システムがユーザーのアカウントをロックするまでのログイン試行の最大失敗回数を設定します。たとえば、5 回目のログインに失敗したときにアカウントをロックするには、この値を 4 に設定します。ゼロ (0) の値を指定すると、アカウントのロックは無効になります。
実装上の理由から、一部のログイン メカニズムでは予期せずにカウントされることがあります。
  • VIM ログイン(VMware Host Client を含む)と ESXCLI には、正確なログイン失敗回数が反映されます。
  • SSH 接続では、1 回のパスワード プロンプトの表示が 1 回のログイン試行としてカウントされ、ログインに成功するとカウントは取り消されます。この動作は、チャレンジ/レスポンス通信では通常の動作です。
  • CGI ログインではログイン失敗の数が二重にカウントされます。
    注意: この問題により、CGI インターフェイスを使用している場合は、ログイン失敗回数よりも早くユーザーがロックアウトされることがあります。
5
Security.AccountUnlockTime ユーザーがロックアウトされる秒数を設定します。指定したロック タイムアウト内にログインを試行すると、ロック タイムアウトが再開されます。 900(15 分)
Security.PasswordHistory ユーザーごとに記憶するパスワードの数を設定します。この設定により、重複するパスワードや類似するパスワードの使用を防止できます。 5
Security.PasswordMaxDays パスワード変更までの最大日数を設定します。 99999
Security.PasswordQualityControl Pam_passwdqc 構成で必要な長さと文字クラスの要件を変更するか、パスフレーズを許可します。パスワード内で特殊文字を使用できます。パスワードの長さは 15 文字以上にすることができます。デフォルト設定では、3 種類の文字と 7 文字以上が必要です。
DoD Annex を実装する場合は、 similar=deny オプションと最小パスワード長を組み合わせて、パスワードが十分に異なるという要件を満たすことができます。パスワードの履歴設定は、VIM LocalAccountManager.changePassword API を介して変更されたパスワードにのみ適用されます。パスワードを変更するには、ユーザーに管理者権限が必要です。PasswordQualityControl 設定と PasswordMaxDays 設定の組み合わせは、DoD Annex の要件を満たします。
min=disabled,disabled,disabled,disabled,15 similar=deny
retry=3 min=disabled,disabled,disabled,7,7
UserVars.DcuiTimeOut システムが DCUI を自動的にログアウトさせるまでのアイドル時間を秒単位で設定します。ゼロ (0) の値を指定すると、タイムアウトは無効になります。 600(10 分)
UserVars.ESXiShellInteractiveTimeOut システムが対話型シェルを自動的にログアウトさせるまでのアイドル時間を秒単位で設定します。この設定は、新しいセッションでのみ有効になります。ゼロ (0) の値を指定すると、アイドル時間は無効になります。DCUI と SSH シェルの両方に適用されます。 0
UserVars.ESXiShellTimeOut ログイン シェルがログインを待機する時間を秒単位で設定します。ゼロ (0) の値を指定すると、タイムアウトは無効になります。DCUI と SSH シェルの両方に適用されます。 0
UserVars.HostClientSessionTimeout システムが Host Client を自動的にログアウトさせるまでのアイドル時間を秒単位で設定します。ゼロ (0) の値を指定すると、アイドル時間は無効になります。 900(15 分)
UserVars.HostClientWelcomeMessage ログイン時に Host Client にようこそメッセージを表示します。このメッセージは、以降のログイン時に「ヒント」として表示されます。 (空)