https://docs.vmware.com/cn/VMware-vSphere/6.5/com.vmware.vsphere.security.doc/GUID-88B24613-E8F9-40D2-B838-225F5FF480FF.html
要提高 ESXi 主機的安全性,可以將其置於鎖定模式。在鎖定模式下,默認情況下,操作必須通過 vCenter Server 執行。
從 vSphere 6.0 開始,您可以選擇正常鎖定模式或嚴格鎖定模式,這兩種模式可提供不同的鎖定程度。vSphere 6.0 還引入了“例外用戶”列表。主機進入鎖定模式時,例外用戶不會丟失其特權。使用“例外用戶”列表可添加在主機處於鎖定模式時需要直接訪問主機的第三方解決方案和外部應用程序帳戶。
正常鎖定模式和嚴格鎖定模式
- 正常鎖定模式
-
在正常鎖定模式下,DCUI 服務未停止。如果與
vCenter Server 系統的連接斷開且無法再通過 vSphere Web Client 進行訪問,則特權帳戶可以登錄到 ESXi 主機的直接控制台界面並退出鎖定模式。只有以下帳戶可以訪問直接控制台用戶界面:
- 鎖定模式下“例外用戶”列表中對主機具有管理員特權的帳戶。“例外用戶”列表針對用於執行非常特殊的任務的服務帳戶提供。將 ESXi 管理員添加到此列表違背了鎖定模式的初衷。
- 在主機的 DCUI.Access 高級選項中定義的用戶。此選項用於在與 vCenter Server 的連接斷開時緊急訪問直接控制台界面。這些用戶不需要擁有對主機的管理特權。
- 嚴格的鎖定模式
-
在嚴格鎖定模式(該模式是 vSphere 6.0 中的新功能)下,DCUI 服務已停止。如果與 vCenter Server 的連接斷開且 vSphere Web Client 不再可用,則 ESXi 主機將變為不可用,除非啟用 ESXi Shell 和 SSH 服務並定義例外用戶。如果無法恢復與 vCenter Server 系統的連接,則必須重新安裝主機。
鎖定模式及 ESXi Shell 和 SSH 服務
嚴格鎖定模式會停止 DCUI 服務。但是,ESXi Shell 和 SSH 服務不受鎖定模式影響。要使鎖定模式成為有效的安全措施,請確保 ESXi Shell 和 SSH 服務也處於禁用狀態。默認情況下,這些服務處於禁用狀態。
在主機處於鎖定模式下時,如果“例外用戶”列表中的用戶擁有對主機的管理員角色,則可以從 ESXi Shell 及通過 SSH 訪問主機。即使在嚴格鎖定模式下也可以進行此訪問。保留 ESXi Shell 服務和 SSH 服務禁用狀態是最安全的選項。
啟用和禁用鎖定模式
- 使用添加主機向導將主機添加到 vCenter Server 系統時。
- 使用 vSphere Web Client。請參見使用 vSphere Web Client 啟用鎖定模式。您可以從 vSphere Web Client 中啟用正常鎖定模式和嚴格鎖定模式。
- 使用直接控制台用戶界面 (DCUI)。請參見從直接控制台用戶界面啟用或禁用正常鎖定模式。
特權用戶可從 vSphere Web Client 中禁用鎖定模式。這些用戶可以從直接控制台界面禁用正常鎖定模式,但無法從直接控制台界面禁用嚴格鎖定模式。
鎖定模式行為
在鎖定模式下,一些服務會被禁用,一些服務只允許特定用戶訪問。
面向不同用戶的鎖定模式服務
當主機正在運行時,可用服務取決於鎖定模式是否啟用以及鎖定模式的類型。
- 在嚴格鎖定模式和正常鎖定模式下,特權用戶可以通過 vCenter Server 或通過 vSphere Web Client 或使用 vSphere Web Services SDK 訪問主機。
- 嚴格鎖定模式和正常鎖定模式下的直接控制台界面行為有所不同。
- 在嚴格鎖定模式下,直接控制台用戶界面 (DCUI) 服務處於禁用狀態。
- 在正常鎖定模式下,異常用戶列表中具有管理員特權的帳戶和 DCUI.Access 高級系統設置中指定的用戶可以訪問直接控制台界面。
- 如果已啟用 ESXi Shell 或 SSH 且將主機置於嚴格鎖定模式或正常鎖定模式,則異常用戶列表中具有管理員特權的帳戶可以使用這些服務。對於所有其他用戶,ESXi Shell 或 SSH 訪問處於禁用狀態。從 vSphere 6.0 開始,不具備管理員特權的用戶的 ESXi 或 SSH 會話將終止。
嚴格鎖定模式和正常鎖定模式下的所有訪問均會記入日志。
| 服務 | 正常模式 | 正常鎖定模式 | 嚴格的鎖定模式 |
|---|---|---|---|
| vSphere Web Services API | 所有用戶,基於權限 | vCenter (vpxuser) 異常用戶,基於權限 vCloud Director(vslauser,如果可用) |
vCenter (vpxuser) 異常用戶,基於權限 vCloud Director(vslauser,如果可用) |
| CIM 提供程序 | 具有主機管理員特權的用戶 | vCenter (vpxuser) 異常用戶,基於權限。 vCloud Director(vslauser,如果可用) |
vCenter (vpxuser) 異常,基於權限。 vCloud Director(vslauser,如果可用) |
| 直接控制台 UI (DCUI) | 具有主機管理員特權的用戶和 DCUI.Access 高級選項中指定的用戶 | DCUI.Access 高級選項中定義的用戶 具有主機管理員特權的異常用戶 |
DCUI 服務停止 |
| ESXi Shell (如果已啟用) |
具有主機管理員特權的用戶 | DCUI.Access 高級選項中定義的用戶 具有主機管理員特權的異常用戶 |
DCUI.Access 高級選項中定義的用戶 具有主機管理員特權的異常用戶 |
| SSH (如果已啟用) |
具有主機管理員特權的用戶 | DCUI.Access 高級選項中定義的用戶 具有主機管理員特權的異常用戶 |
DCUI.Access 高級選項中定義的用戶 具有主機管理員特權的異常用戶 |
啟用鎖定模式時登錄到 ESXi Shell 的用戶
在啟用鎖定模式之前,如果用戶已登錄 ESXi Shell 或通過 SSH 訪問主機,則異常用戶列表中具有主機管理員特權的用戶仍保持登錄狀態。從 vSphere 6.0 開始,所有其他用戶的該會話將終止。在正常鎖定模式和嚴格鎖定模式下均適用。
使用 vSphere Web Client 啟用鎖定模式
啟用鎖定模式以要求所有配置更改都通過 vCenter Server 進行。vSphere 6.0 及更高版本支持正常鎖定模式和嚴格鎖定模式。
要完全禁用對主機的所有直接訪問,可以選擇嚴格鎖定模式。啟用嚴格鎖定模式后,如果 vCenter Server 不可用,並且 SSH 和 ESXi Shell 處於禁用狀態,用戶將無法訪問主機。請參見鎖定模式行為。
過程
- 在 vSphere Web Client 清單中,瀏覽到主機。
- 單擊配置。
- 在“系統”下,選擇安全配置文件。
- 在“鎖定模式”面板中,單擊編輯。
- 單擊鎖定模式,然后選擇其中一個鎖定模式選項。
選項 描述 正常 可以通過 vCenter Server 訪問主機。只有位於“異常用戶”列表中且具有管理員特權的用戶能夠登錄直接控制台用戶界面。如果啟用了 SSH 或 ESXi Shell,則可以訪問。 嚴格 只能通過 vCenter Server 訪問主機。如果啟用了 SSH 或 ESXi Shell,DCUI.Access 高級選項中的帳戶以及具有管理員特權的“異常用戶”帳戶的正在運行的會話仍處於啟用狀態。所有其他會話將終止。 - 單擊確定。
DCUI界面如下:
ESXI Shell界面如下:(DCUI界面按alt+F1或其他)
沒開啟情況:
開啟情況:
SSH界面如下:
