若要避免 ESXi 主機遭到未經授權的入侵和不當使用,VMware 將對幾個參數、設定和活動強加限制。可以根據組態需求而放寬限制。若要放寬限制,請確定在受信任的環境中運作且採取了其他安全性措施。
內建安全性功能
開始使用時,主機的風險即降低,如下所示:
- 依預設,ESXi Shell 和 SSH 處於停用狀態。
- 依預設,僅有限數目的防火牆連接埠處於開啟狀態。您可以明確開啟與特定服務相關聯的其他防火牆連接埠。
- ESXi 僅執行管理其功能所必需的服務。散佈限制為執行 ESXi 所需的功能。
- 依預設,所有連接埠 (並非對主機進行管理存取所需) 均處於關閉狀態。請在需要其他服務時開啟連接埠。
- 依預設,將停用弱加密方式,並透過 SSL 保護來自用戶端的通訊。用於保護通道安全的精確演算法取決於 SSL 交握。建立於 ESXi 上的預設憑證,將具有 RSA 加密的 PKCS#1 SHA-256 用作簽章演算法。
- ESXi 在內部使用 Tomcat Web 服務來支援透過 Web Client 進行存取。此服務已經過修改,僅執行 Web Client 進行管理和監控所需的功能。因此,ESXi 不易遇到在更廣泛的應用中所報告的 Tomcat 安全性問題。
- VMware 將監控所有可能影響 ESXi 安全的安全性警示,並核發安全性修補程式 (如果需要)。
- 未安裝諸如 FTP 和 Telnet 之類的不安全服務,並且這些服務的連接埠預設為處於關閉狀態。由於 SSH 和 SFTP 之類較為安全的服務易於獲取,因此,請避免使用這些不安全的服務,並使用更為安全的替代方案。例如,如果 SSH 無法使用,而您必須使用 Telnet,請使用具有 SSL 的 Telnet 來存取虛擬序列埠。
如果必須使用不安全的服務,且已為主機實作了充分的保護措施,則可以明確開啟相應連接埠以支援這些服務。
- 考慮對 ESXi 系統使用 UEFI 安全開機。請參閱ESXi 主機的 UEFI 安全開機。
其他安全性措施
評估主機安全性和管理時,請考慮以下建議。
- 限制存取
- 如果您啟用對 Direct Console 使用者介面 (DCUI)、 ESXi Shell 或 SSH 的存取,請強制執行嚴格的存取安全性原則。
- 不直接存取受管理的主機
- 使用 vSphere Client 來管理受 vCenter Server 管理的 ESXi 主機。請勿使用 VMware Host Client 直接存取受管理的主機,也不要在 DCUI 中變更受管理的主機。
- 僅將 DCUI 用於疑難排解
- 僅為了疑難排解才以根使用者身分從 DCUI 或 ESXi Shell 存取主機。使用其中一個 GUI 用戶端或其中一個 VMware CLI 或 API 管理您的 ESXi 主機。如果您使用 ESXi Shell 或 SSH,請限制具有存取權的帳戶並設定逾時。
- 僅使用 VMware 來源以升級 ESXi 元件
- 主機執行多個第三方套件來支援管理介面或必須執行的工作。VMware 僅支援升級至這些來自 VMware 來源的套件。如果使用來自另一個來源的下載內容或修補程式,可能會危及管理介面的安全性或功能。檢查第三方廠商網站和 VMware 知識庫,取得安全性警示。
備註: 請遵循以下位置的 VMware 安全性建議:
http://www.vmware.com/security/。