若要避免 ESXi 主機遭到未經授權的入侵和不當使用,VMware 將對幾個參數、設定和活動強加限制。可以根據組態需求而放寬限制。若要放寬限制,請確定在受信任的環境中運作且採取了足夠的其他安全性措施,可以保護整個網路以及連線到主機的裝置。

內建安全性功能

開始使用時,主機的風險即降低,如下所示:

  • 依預設,ESXi Shell 和 SSH 處於停用狀態。

  • 依預設,僅有限數目的防火牆連接埠處於開啟狀態。您可以明確開啟與特定服務相關聯的其他防火牆連接埠。

  • ESXi 僅執行管理其功能所必需的服務。散佈限制為執行 ESXi 所需的功能。

  • 依預設,所有連接埠 (並非專用於對主機進行管理存取) 均處於關閉狀態。如果需要其他服務,則必須專門開啟適當的連接埠。

  • 依預設,將停用弱加密方式,並透過 SSL 保護來自用戶端的通訊。用於保護通道安全的精確演算法取決於 SSL 交握。建立於 ESXi 上的預設憑證,將具有 RSA 加密的 PKCS#1 SHA-256 用作簽章演算法。

  • ESXi 在內部曾使用 Tomcat Web 服務來支援 Web Client 進行存取。Tomcat Web 服務經過修改後,僅執行 Web Client 進行管理和監控所需的功能。因此,ESXi 不易遇到在更廣泛的應用中所報告的 Tomcat 安全性問題。

  • VMware 將監控所有可能影響 ESXi 安全的安全性警示,並核發安全性修補程式 (如果需要)。

  • 未安裝諸如 FTP 和 Telnet 之類的不安全服務,並且這些服務的連接埠預設為處於關閉狀態。由於 SSH 和 SFTP 之類較為安全的服務易於獲取,因此,請避免使用這些不安全的服務,以支援更為安全的替代方案。例如,如果 SSH 無法使用,而您必須使用 Telnet,請使用具有 SSL 的 Telnet 來存取虛擬序列埠。

    如果必須使用不安全的服務,且已為主機實作了充分的保護措施,則可以明確開啟相應連接埠以支援這些服務。

其他安全性措施

評估主機安全性和管理時,請考慮以下建議。

限制存取

如果您決定啟用對 Direct Console 使用者介面 (DCUI)、ESXi Shell 或 SSH 的存取,請強制執行嚴格的存取安全性原則。

ESXi Shell 具有對主機某些部分的存取權。只為受信任的使用者提供 ESXi Shell 登入存取權。

不直接存取受管理的主機

使用 vSphere Web Client 來管理受 vCenter Server 管理的 ESXi 主機。請勿透過 vSphere Client 直接存取受管理的主機,且不要從主機的 DCUI 變更受管理主機。

如果您使用指令碼式介面或 API 管理主機,請勿直接鎖定主機。而是鎖定管理主機的 vCenter Server 系統,然後指定主機名稱。

使用 vSphere Client 或 VMware CLI 或者 API 管理獨立 ESXi 主機

使用 vSphere Client、其中一個 VMware CLI 或 API 管理您的 ESXi 主機。僅為了疑難排解才以根使用者身分從 DCUI 或 ESXi Shell 存取主機。如果您決定使用 ESXi Shell,請限制具有存取權的帳戶並設定逾時。

僅使用 VMware 來源以升級 ESXi 元件。

主機執行各種第三方套件來支援管理介面或必須執行的工作。VMware 不支援從 VMware 來源以外的任何其他來源升級這些套件。如果使用來自另一個來源的下載內容或修補程式,可能會危及管理介面的安全性或功能。定期檢查第三方廠商網站和 VMware 知識庫,取得安全性警示。

備註︰

請遵循以下位置的 VMware 安全性建議:http://www.vmware.com/security/