若要避免 ESXi 主機遭到未經授權的入侵和不當使用,VMware 將對幾個參數、設定和活動強加限制。可以根據組態需求而放寬限制。若要放寬限制,請確定在受信任的環境中運作且採取了其他安全性措施。

內建安全性功能

開始使用時,主機的風險即降低,如下所示:

  • 依預設,ESXi Shell 和 SSH 處於停用狀態。

  • 依預設,僅有限數目的防火牆連接埠處於開啟狀態。您可以明確開啟與特定服務相關聯的其他防火牆連接埠。

  • ESXi 僅執行管理其功能所必需的服務。散佈限制為執行 ESXi 所需的功能。

  • 依預設,所有連接埠 (並非對主機進行管理存取所需) 均處於關閉狀態。請在需要其他服務時開啟連接埠。

  • 依預設,將停用弱加密方式,並透過 SSL 保護來自用戶端的通訊。用於保護通道安全的精確演算法取決於 SSL 交握。建立於 ESXi 上的預設憑證,將具有 RSA 加密的 PKCS#1 SHA-256 用作簽章演算法。

  • ESXi 在內部使用 Tomcat Web 服務來支援透過 Web Client 進行存取。此服務已經過修改,僅執行 Web Client 進行管理和監控所需的功能。因此,ESXi 不易遇到在更廣泛的應用中所報告的 Tomcat 安全性問題。

  • VMware 將監控所有可能影響 ESXi 安全的安全性警示,並核發安全性修補程式 (如果需要)。

  • 未安裝諸如 FTP 和 Telnet 之類的不安全服務,並且這些服務的連接埠預設為處於關閉狀態。由於 SSH 和 SFTP 之類較為安全的服務易於獲取,因此,請避免使用這些不安全的服務,並使用更為安全的替代方案。例如,如果 SSH 無法使用,而您必須使用 Telnet,請使用具有 SSL 的 Telnet 來存取虛擬序列埠。

    如果必須使用不安全的服務,且已為主機實作了充分的保護措施,則可以明確開啟相應連接埠以支援這些服務。

  • 考慮對 ESXi 系統使用 UEFI 安全開機。請參閱ESXi 主機的 UEFI 安全開機

其他安全性措施

評估主機安全性和管理時,請考慮以下建議。

限制存取

如果您啟用對 Direct Console 使用者介面 (DCUI)、ESXi Shell 或 SSH 的存取,請強制執行嚴格的存取安全性原則。

ESXi Shell 具有對主機某些部分的存取權。只為受信任的使用者提供 ESXi Shell 登入存取權。

不直接存取受管理的主機

使用 vSphere Web Client 來管理受 vCenter Server 管理的 ESXi 主機。請勿使用 VMware Host Client 直接存取受管理的主機,也不要在 DCUI 中變更受管理的主機。

如果您使用指令碼式介面或 API 管理主機,請勿直接鎖定主機。而是鎖定管理主機的 vCenter Server 系統,然後指定主機名稱。

僅將 DCUI 用於疑難排解

僅為了疑難排解才以根使用者身分從 DCUI 或 ESXi Shell 存取主機。使用其中一個 GUI 用戶端或其中一個 VMware CLI 或 API 管理您的 ESXi 主機。如果您使用 ESXi Shell 或 SSH,請限制具有存取權的帳戶並設定逾時。

僅使用 VMware 來源以升級 ESXi 元件

主機執行多個第三方套件來支援管理介面或必須執行的工作。VMware 僅支援升級至這些來自 VMware 來源的套件。如果使用來自另一個來源的下載內容或修補程式,可能會危及管理介面的安全性或功能。檢查第三方廠商網站和 VMware 知識庫,取得安全性警示。

備註︰

請遵循以下位置的 VMware 安全性建議:http://www.vmware.com/security/