依預設,ESXi Shell 介面和 SSH 介面處於停用狀態。除非執行疑難排解或支援活動,否則,請將這些介面保持停用狀態。對於定期活動,請使用 vSphere Client,其中活動受到角色型存取控制和現代存取控制方法的約束。
ESXi 中的 SSH 組態
ESXi 中的 SSH 組態使用下列設定。
- 第 1 版 SSH 通訊協定已停用
- VMware 不再支援第 1 版 SSH 通訊協定,而是以獨佔方式使用第 2 版通訊協定。第 2 版消除了第 1 版中存在的某些安全性問題,且提供了安全的方式來與管理介面進行通訊。
- 提高了加密強度
- SSH 對連線僅支援 256 位元和 128 位元 AES 加密。
這些設定旨在為透過 SSH 傳輸到管理介面的資料提供可靠保護。您不能變更這些設定。
ESXi SSH 金鑰
SSH 金鑰可限制、控制以及保護 ESXi 主機的存取權。SSH 金鑰可以讓受信任的使用者或指令碼在未輸入密碼的情況下登入主機。
您可以使用 HTTPS PUT 將 SSH 金鑰複製到主機。
您可以在 ESXi 主機上建立金輪並將其下載,而不是在外部產生金鑰然後將其上傳。請參閱 VMware 知識庫文章,網址為 https://kb.vmware.com/s/article/1002866。
啟用 SSH 並將 SSH 金鑰新增到主機具有固有風險。根據擁有受信任金鑰的使用者受到入侵的風險,來衡量公開使用者名稱和密碼的潛在風險。
使用 HTTPS PUT 上傳 SSH 金鑰
您可以使用授權金鑰登入具有 SSH 的主機。您可以使用 HTTPS PUT 上傳授權金鑰。
您可以使用 HTTPS PUT 將以下類型的 SSH 金鑰上傳到主機:
- 根使用者的授權金鑰檔案
- DSA 金鑰
- DSA 公開金鑰
- RSA 金鑰
- RSA 公開金鑰
重要: 請勿修改
/etc/ssh/sshd_config 檔案。
程序
- 在上傳應用程式中,請開啟金鑰檔案。
- 將檔案發佈到下列位置。
金鑰類型 位置 根使用者的授權金鑰檔案 https://hostname_or_IP_address/host/ssh_root_authorized_keys 您必須對主機具有完整的管理員權限才可上傳此檔案。
DSA 金鑰 https://hostname_or_IP_address/host/ssh_host_dsa_key DSA 公開金鑰 https://hostname_or_IP_address/host/ssh_host_dsa_key_pub RSA 金鑰 https://hostname_or_IP_address/host/ssh_host_rsa_key RSA 公開金鑰 https://hostname_or_IP_address/host/ssh_host_rsa_key_pub