要提高 ESXi 主机的安全性,可以将其置于锁定模式。在锁定模式下,默认情况下,操作必须通过 vCenter Server 执行。
ESXi 6.x:
从 vSphere 6.0 开始,您可以选择正常锁定模式或严格锁定模式,这两种模式的锁定程度有所不同。
正常锁定模式:
正常锁定模式下不会停止 DCUI服务。可以通过vCenter Server、本地控制台(特权用户和异常用户列表)、ESXI shell、SSH shell可以登录,禁用ESXI web登录。 如果失去与 vCenter Server 的连接并且无法通过 vSphere Web Client 进行访问,特权帐户可以登录到 ESXi 主机的直接控制台界面(正常开机后页面)并退出锁定模式。 仅以下帐户可以访问直接控制台用户界面:
· 锁定模式的例外用户列表中具有主机管理特权的帐户。 例外用户列表专用于执行非常特定的任务的服务帐户。 将 ESXi 管理员添加到此列表即可摆脱锁定模式的约束。
· 在主机的 DCUI.Access 高级选项中定义的用户。 如果失去与 vCenter Server 的连接,此选项可供紧急访问直接控制台界面。 这些用户不需要具备主机管理特权。
严格锁定模式:
严格锁定模式下会停止 DCUI 服务。 如果失去与 vCenter Server 的连接并且 vSphere Web Client 不再可用,除非启用 ESXi Shell 和 SSH 服务并且定义例外用户,否则 ESXi 主机将变得不可用。 如果无法还原与 vCenter Server 系统的连接,则必须重新安装主机。
要从 DCUI 启用或禁用锁定模式,请执行以下操作:
-
直接登录到 ESXi 主机。
-
从主机上打开 DCUI。
-
按 F2 进行初始设置。
-
按 Enter 切换配置锁定模式设置。
要从 vSphere Web Client 启用或禁用锁定模式,请执行以下操作:
-
在 vSphere Web Client 清单中浏览到主机。
-
单击管理选项卡,然后单击设置。(对于 6.7,则是在配置选项卡下。)
-
在“系统”下,选择安全配置文件。
-
在“锁定模式”面板中,单击编辑。
-
单击锁定模式并选择其中一个锁定模式选项。
开启和关闭shell
默认root 用户是不允许使用密码登录的,还需要修改 ssh 服务的配置
登录到 ESXi Shell 终端,修改 /etc/ssh/sshd_config 文件将PasswordAuthentication no 改为 PasswordAuthentication yes
保存文件,重启sshd服务
开启 ESXi Shell 后,在主界面按下 Alt + F1 即可进入 Shell 终端,Alt + F2退出
原创文章,作者:254126420,如若转载,请注明出处:https://blog.ytso.com/267631.html