進階系統設定控制 ESXi 行為的各個方面,例如記錄、系統資源和安全性。
下表展示了安全性方面的一些重要 ESXi 進階系統設定。若要檢視所有進階系統設定,請查看 vSphere Client ( 或適用於指定版本的 API。
進階系統設定 | 說明 | 預設值 |
---|---|---|
Annotations.WelcomeMessage | 在 Host Client 中登入之前顯示歡迎訊息,或者在 DCUI 中的預設螢幕上顯示歡迎訊息。在 DCUI 中,歡迎訊息會取代某些文字,例如主機 IP 位址。 | (空白) |
Config.Etc.issue | 在 SSH 登入工作階段期間顯示橫幅。可使用後置換行符號以實現最佳效果。 | (空白) |
Config.Etc.motd | 在 SSH 登入時顯示當天的訊息。 | (空白) |
Config.HostAgent.vmacore.soap.sessionTimeout | 設定系統自動登出 VIM API 之前的閒置時間 (以分鐘為單位)。值為 0 (零) 表示停用閒置時間。此設定僅適用於新工作階段。 | 30 (分鐘) |
Mem.MemEagerZero | 在虛擬機器結束後,啟用 VMkernel 作業系統 (包括 VMM 程序) 中的使用者環境和客體記憶體頁面歸零。預設值 (0) 表示使用消極式歸零。值為 1 表示使用積極式歸零。 | 0 (已停用) |
Security.AccountLockFailures | 設定系統鎖定使用者帳戶之前的失敗登入嘗試次數上限。例如,若要在第五次登入失敗時鎖定帳戶,請將此值設定為 4。值為 0 (零) 表示停用帳戶鎖定。
出於實作原因,某些登入機制會意外計數:
|
5 |
Security.AccountUnlockTime | 設定使用者被鎖定的秒數。指定鎖定逾時內的任何登入嘗試將重新啟動鎖定逾時。 | 900 (15 分鐘) |
Security.PasswordHistory | 設定需記住用於每個使用者的密碼數目。此設定可防止重複或類似的密碼。 | 0 |
Security.PasswordMaxDays | 設定兩次變更密碼之間的天數上限。 | 99999 |
Security.PasswordQualityControl | 在 Pam_passwdqc 組態中變更所需長度和字元類別需求,或允許使用複雜密碼。可以在密碼中使用特殊字元。密碼長度可以至少為 15 個字元。預設設定需要三類字元,且最小長度為七個字元。
如果實作 DoD Annex,可以結合使用
similar=deny 選項與最小密碼長度,以強制執行密碼完全不同的需求。僅對透過 VIM
LocalAccountManager.changePassword API 變更的密碼強制執行密碼歷程記錄設定。若要變更密碼,則要求使用者具有管理員權限。PasswordQualityControl 設定和 PasswordMaxDays 設定滿足 DoD Annex 的需求:
min=disabled,disabled,disabled,disabled,15 similar=deny |
retry=3 min=disabled,disabled,disabled,7,7 |
UserVars.DcuiTimeOut | 設定系統自動登出 DCUI 之前的閒置時間 (以秒為單位)。值為 0 (零) 表示停用逾時。 | 600 (10 分鐘) |
UserVars.ESXiShellInteractiveTimeOut | 設定系統自動登出互動式 shell 之前的閒置時間 (以秒為單位)。此設定僅對新工作階段生效。值為 0 (零) 表示停用閒置時間。同時適用於 DCUI 和 SSH shell。 | 0 |
UserVars.ESXiShellTimeOut | 設定登入 shell 等待登入的時間 (以秒為單位)。值為 0 (零) 表示停用逾時。同時適用於 DCUI 和 SSH shell。 | 0 |
UserVars.HostClientSessionTimeout | 設定系統自動登出 Host Client 之前的閒置時間 (以秒為單位)。值為 0 (零) 表示停用閒置時間。 | 900 (15 分鐘) |
UserVars.HostClientWelcomeMessage | 在 Host Client 中登入時顯示歡迎訊息。該訊息在登入後以「提示」形式加以顯示。 | (空白) |