ESXi の SSH セキュリティ

ESXi Shell インターフェイスと SSH インターフェイスはデフォルトで無効になっています。トラブルシューティングまたはサポートアクティビティを実行する場合以外は、これらのインターフェイスは無効のままにしてください。通常のアクティビティでは、vSphere Client を使用します。そのため、アクティビティはロールベースのアクセスコントロールおよび最新のアクセスコントロール方法の影響を受けます。

ESXi の SSH 構成

ESXi の SSH 構成では、次の設定が使用されます。

Version 1 SSH プロトコルの無効化: VMware では、Version 1 SSH プロトコルはサポートされておらず、Version 2 プロトコルだけが使用されます。Version 2 では、Version 1 での特定のセキュリティ問題が解消されており、管理インターフェイスとの安全な通信が提供されます。
暗号強度の向上: SSH は、接続に 256 ビットと 128 ビットの AES 暗号のみをサポートしています。

これらの設定は、SSH 経由で管理インターフェイスに転送されるデータの保護を目的としています。これらの設定は変更できません。

ESXi SSH キー

SSH キーは、ESXi ホストへのアクセスを制限、制御、および保護できます。SSH キーにより、信頼されたユーザーまたはスクリプトがパスワードを入力せずにホストにログインすることを許可できます。

HTTPS PUT を使用して SSH キーをホストにコピーできます。

キーを外部で生成してアップロードする代わりに、ESXi ホストでキーを作成してダウンロードできます。VMware のナレッジベースの記事 (https://kb.vmware.com/s/article/1002866) を参照してください。

SSH を有効にして SSH キーをホストに追加することには固有のリスクが存在します。ユーザー名とパスワードを公開することの潜在的なリスクと信頼されるキーを持つユーザーによる侵入のリスクとを比較してください。

HTTPS の PUT を使用した SSH 鍵のアップロード

認証済み鍵を使用して、SSH でホストにログインできます。HTTPS の PUT を使用して認証済み鍵をアップロードできます。

認証済み鍵を使用して、ホストへのリモートアクセスを認証できます。ユーザーまたはスクリプトが SSH でホストにアクセスを試みる場合、認証済み鍵を使用すればパスワードなしで認証できます。認証済み鍵を使用すれば認証を自動化でき、定型タスクを自動化するスクリプトを作成するのに役立ちます。

HTTPS の PUT を使用して、次のタイプの SSH 鍵をホストにアップロードできます。

root ユーザー用認証済み鍵
DSA 鍵
DSA 公開鍵
RSA 鍵
RSA 公開鍵

重要： /etc/ssh/sshd_config ファイルを変更しないでください。

手順

アプリケーションをアップロードする場合は、鍵ファイルを開きます。

次の場所にファイルを公開します。

鍵の種類	場所
root ユーザー用認証済み鍵ファイル	https://`hostname_or_IP_address`/host/ssh_root_authorized_keys このファイルをアップロードするには、ホストでの完全な管理者権限が必要です。
DSA 鍵	https://`hostname_or_IP_address`/host/ssh_host_dsa_key
DSA 公開鍵	https://`hostname_or_IP_address`/host/ssh_host_dsa_key_pub
RSA 鍵	https://`hostname_or_IP_address`/host/ssh_host_rsa_key
RSA 公開鍵	https://`hostname_or_IP_address`/host/ssh_host_rsa_key_pub