VMware ESXI主机锁定模式

要提高 ESXi 主机的安全性，可以将其置于锁定模式。在锁定模式下，默认情况下，操作必须通过 vCenter Server 执行。

ESXi 6.x：

从 vSphere 6.0 开始，您可以选择正常锁定模式或严格锁定模式，这两种模式的锁定程度有所不同。

正常锁定模式：

正常锁定模式下不会停止 DCUI服务。可以通过vCenter Server、本地控制台(特权用户和异常用户列表)、ESXI shell、SSH shell可以登录，禁用ESXI web登录。 如果失去与 vCenter Server 的连接并且无法通过 vSphere Web Client 进行访问，特权帐户可以登录到 ESXi 主机的直接控制台界面(正常开机后页面)并退出锁定模式。 仅以下帐户可以访问直接控制台用户界面：

· 锁定模式的例外用户列表中具有主机管理特权的帐户。 例外用户列表专用于执行非常特定的任务的服务帐户。 将 ESXi 管理员添加到此列表即可摆脱锁定模式的约束。

· 在主机的 DCUI.Access 高级选项中定义的用户。 如果失去与 vCenter Server 的连接，此选项可供紧急访问直接控制台界面。 这些用户不需要具备主机管理特权。

严格锁定模式：

严格锁定模式下会停止 DCUI 服务。 如果失去与 vCenter Server 的连接并且 vSphere Web Client 不再可用，除非启用 ESXi Shell 和 SSH 服务并且定义例外用户，否则 ESXi 主机将变得不可用。 如果无法还原与 vCenter Server 系统的连接，则必须重新安装主机。

要从 DCUI 启用或禁用锁定模式，请执行以下操作：

1. 直接登录到 ESXi 主机。

2. 从主机上打开 DCUI。

3. 按 F2 进行初始设置。

4. 按 Enter 切换配置锁定模式设置。

要从 vSphere Web Client 启用或禁用锁定模式，请执行以下操作：

1. 在 vSphere Web Client 清单中浏览到主机。

2. 单击管理选项卡，然后单击设置。（对于 6.7，则是在配置选项卡下。）

3. 在“系统”下，选择安全配置文件。

4. 在“锁定模式”面板中，单击编辑。

5. 单击锁定模式并选择其中一个锁定模式选项。

开启和关闭shell

默认root 用户是不允许使用密码登录的，还需要修改 ssh 服务的配置

登录到 ESXi Shell 终端，修改 /etc/ssh/sshd_config 文件将PasswordAuthentication no 改为 PasswordAuthentication yes

保存文件，重启sshd服务

开启 ESXi Shell 后，在主界面按下 Alt + F1 即可进入 Shell 终端，Alt + F2退出