ESXi 호스트에 대해 미리 정의된 요구 사항이 있는 암호를 사용해야 합니다. Security.PasswordQualityControl 고급 시스템 설정을 사용하여 암호 문구를 허용하거나 필수 길이 및 문자 클래스 요구 사항을 변경할 수 있습니다. Security.PasswordHistory 고급 시스템 설정을 사용하여 각 사용자에 대해 기억할 암호 개수도 설정할 수 있습니다.
ESXi 암호
ESXi에서는 DCUI(Direct Console User Interface), ESXi Shell, SSH 또는 VMware Host Client로부터의 액세스에 대해 암호 요구 사항을 적용합니다.
- 기본적으로 암호를 생성할 때는 소문자, 대문자, 숫자, 특수 문자(예: 밑줄 또는 대시)의 네 가지 문자 클래스 중 세 가지 이상을 혼합하여 포함해야 합니다.
- 기본적으로 암호 길이는 7자 이상 40자 미만입니다.
- 암호에는 사전에 나오는 단어 또는 사전에 나오는 단어의 일부를 포함하면 안 됩니다.
- 암호에는 사용자 이름이나 사용자 이름의 일부가 포함되어서는 안 됩니다.
ESXi 암호 예
retry=3 min=disabled,disabled,disabled,7,7이 설정을 사용하면 암호가 충분히 강력하지 않거나 암호가 올바르게 두 번 입력되지 않은 경우 새 암호를 입력하라는 메시지가 사용자에게 최대 세 번(retry=3) 표시됩니다. 처음 3개 항목이 비활성화되기 때문에 1개 또는 2개의 문자 클래스 및 암호 문구가 있는 암호는 허용되지 않습니다. 3개 및 4개의 문자 클래스의 암호에는 7개의 문자가 필요합니다. 다른 옵션(예: max, passphrase 등)에 대한 자세한 내용은 pam_passwdqc man 페이지를 참조하십시오.
- xQaTEhb!: 세 가지 문자 클래스의 문자 8개를 포함합니다.
- xQaT3#A: 네 가지 문자 클래스의 문자 7개를 포함합니다.
- Xqat3hi: 대문자로 시작되기 때문에 유효한 문자 클래스 수가 2개로 줄어듭니다. 필수 문자 클래스의 수는 최소 3개입니다.
- xQaTEh2: 숫자로 끝나기 때문에 유효한 문자 클래스가 2개로 줄어듭니다. 필수 문자 클래스의 수는 최소 3개입니다.
ESXi 암호 문구
암호 대신 암호 문구를 사용할 수도 있습니다. 단, 암호 문구는 기본적으로 비활성화되어 있습니다. vSphere Client에서 Security.PasswordQualityControl 고급 시스템 설정을 사용하여 기본 설정 및 기타 설정을 변경할 수 있습니다.
예를 들어 옵션을 다음으로 변경할 수 있습니다.
retry=3 min=disabled,disabled,16,7,7
이 예에서는 최소 16자 및 최소 3개 단어의 암호 문구를 허용합니다.
기본 암호 제한 변경
ESXi 호스트에 대해 Security.PasswordQualityControl 고급 시스템 설정을 사용하여 암호 또는 암호 문구에 대한 기본 제한을 변경할 수 있습니다. ESXi 고급 시스템 설정 변경에 대한 자세한 내용은 "vCenter Server 및 호스트 관리" 설명서를 참조하십시오.
retry=3 min=disabled,disabled,15,7,7 passphrase=4자세한 내용은 pam_passwdqc의 매뉴얼 페이지를 참조하십시오.
이 예에서는 암호 복잡성 요구 사항에 상당한 암호 차이를 적용하는 네 가지 문자 클래스의 8개 문자, 5개 암호 기록 기억, 90일 순환 정책을 요구하도록 설정합니다.
min=disabled,disabled,disabled,disabled,8 similar=deny
ESXi 계정 잠금 동작
SSH 및 vSphere Web Services SDK를 통한 액세스에 대해 계정 잠금이 지원됩니다. DCUI(Direct Console Interface) 및 ESXi Shell은 계정 잠금을 지원하지 않습니다. 기본적으로, 계정이 잠기기 전에 최대 5번의 시도 실패가 허용되고 15분 후에는 계정에 대한 잠금이 해제됩니다.
로그인 동작 구성
- Security.AccountLockFailures. 사용자 계정이 잠길 때까지 허용되는 최대 로그인 시도 실패 횟수입니다. 0은 계정 잠금을 비활성화합니다.
- Security.AccountUnlockTime. 사용자가 잠기게 되는 시간(초)입니다.
- Security.PasswordHistory. 각 사용자에 대해 기억할 암호 수입니다. vSphere 8.0 업데이트 1부터 기본값은 5입니다. 0은 암호 기록을 비활성화합니다.
ESXi 고급 옵션 설정에 대한 자세한 내용은 "vCenter Server 및 호스트 관리" 설명서를 참조하십시오.