透過授權金鑰,您可以在無需使用者驗證的情況下,透過 SSH 啟用對 ESXi 主機的存取。若要提高主機安全性,請不要允許使用者使用授權金鑰存取主機。

執行這項作業的原因和時機

如果某個使用者的公開金鑰位於主機上的 /etc/ssh/keys-root/authorized_keys 檔案中,則會被視為受信任的使用者。允許受信任的遠端使用者在不提供密碼的情況下存取主機。

程序

  • 對於日常作業,請停用 ESXi 主機上的 SSH。
  • 即使暫時啟用了 SSH,也要監控 /etc/ssh/keys-root/authorized_keys 檔案的內容,確保未允許任何使用者在未進行適當驗證的情況下存取主機。
  • 監控 /etc/ssh/keys-root/authorized_keys 檔案,驗證其是否為空且未將任何 SSH 金鑰新增到該檔案中。
  • 如果發現 /etc/ssh/keys-root/authorized_keys 檔案不為空,請移除所有金鑰。

結果

停用透過授權金鑰的遠端存取,可能會限制您在不提供有效登入認證的情況下,在主機上遠端執行命令的能力。例如,這會使您無法執行自動的遠端指令碼。