進階系統設定控制 ESXi 行為的各個方面,例如記錄、系統資源和安全性。

下表展示了安全性方面的一些重要 ESXi 進階系統設定。若要檢視所有進階系統設定,請查看 vSphere Client (主機 > 設定 > 系統 > 進階系統設定) 或適用於指定版本的 API。

表 1. 安全性進階系統設定部分清單
進階系統設定 說明 預設值
Annotations.WelcomeMessage 在 Host Client 中登入之前顯示歡迎訊息,或者在 DCUI 中的預設螢幕上顯示歡迎訊息。在 DCUI 中,歡迎訊息會取代某些文字,例如主機 IP 位址。 (空白)
Config.Etc.issue 在 SSH 登入工作階段期間顯示橫幅。可使用後置換行符號以實現最佳效果。 (空白)
Config.Etc.motd 在 SSH 登入時顯示當天的訊息。 (空白)
Config.HostAgent.vmacore.soap.sessionTimeout 設定系統自動登出 VIM API 之前的閒置時間 (以分鐘為單位)。值為 0 (零) 表示停用閒置時間。此設定僅適用於新工作階段。 30 (分鐘)
Mem.MemEagerZero 在虛擬機器結束後,啟用 VMkernel 作業系統 (包括 VMM 程序) 中的使用者環境和客體記憶體頁面歸零。預設值 (0) 表示使用消極式歸零。值為 1 表示使用積極式歸零。 0 (已停用)
Security.AccountLockFailures 設定系統鎖定使用者帳戶之前的失敗登入嘗試次數上限。例如,若要在第五次登入失敗時鎖定帳戶,請將此值設定為 4。值為 0 (零) 表示停用帳戶鎖定。
出於實作原因,某些登入機制會意外計數:
  • VIM 登入 (包括 VMware Host Client) 和 ESXCLI 反映確切的失敗登入次數。
  • 在顯示密碼提示時,SSH 連線計為一次登入嘗試,在成功登入時復原該計數。此行為在查問和回應通訊中正常。
  • CGI 登入重複計算登入失敗次數。
    注意: 由於此問題,使用 CGI 介面時,使用者鎖定的速度可能比失敗登入次數更快。
5
Security.AccountUnlockTime 設定使用者被鎖定的秒數。指定鎖定逾時內的任何登入嘗試將重新啟動鎖定逾時。 900 (15 分鐘)
Security.PasswordHistory 設定需記住用於每個使用者的密碼數目。此設定可防止重複或類似的密碼。 0
Security.PasswordMaxDays 設定兩次變更密碼之間的天數上限。 99999
Security.PasswordQualityControl Pam_passwdqc 組態中變更所需長度和字元類別需求,或允許使用複雜密碼。可以在密碼中使用特殊字元。密碼長度可以至少為 15 個字元。預設設定需要三類字元,且最小長度為七個字元。
如果實作 DoD Annex,可以結合使用 similar=deny 選項與最小密碼長度,以強制執行密碼完全不同的需求。僅對透過 VIM LocalAccountManager.changePassword API 變更的密碼強制執行密碼歷程記錄設定。若要變更密碼,則要求使用者具有管理員權限。PasswordQualityControl 設定和 PasswordMaxDays 設定滿足 DoD Annex 的需求:
min=disabled,disabled,disabled,disabled,15 similar=deny
retry=3 min=disabled,disabled,disabled,7,7
UserVars.DcuiTimeOut 設定系統自動登出 DCUI 之前的閒置時間 (以秒為單位)。值為 0 (零) 表示停用逾時。 600 (10 分鐘)
UserVars.ESXiShellInteractiveTimeOut 設定系統自動登出互動式 shell 之前的閒置時間 (以秒為單位)。此設定僅對新工作階段生效。值為 0 (零) 表示停用閒置時間。同時適用於 DCUI 和 SSH shell。 0
UserVars.ESXiShellTimeOut 設定登入 shell 等待登入的時間 (以秒為單位)。值為 0 (零) 表示停用逾時。同時適用於 DCUI 和 SSH shell。 0
UserVars.HostClientSessionTimeout 設定系統自動登出 Host Client 之前的閒置時間 (以秒為單位)。值為 0 (零) 表示停用閒置時間。 900 (15 分鐘)
UserVars.HostClientWelcomeMessage 在 Host Client 中登入時顯示歡迎訊息。該訊息在登入後以「提示」形式加以顯示。 (空白)