https://docs.vmware.com/cn/VMware-vSphere/6.5/com.vmware.vsphere.security.doc/GUID-88B24613-E8F9-40D2-B838-225F5FF480FF.html

要提高 ESXi 主机的安全性,可以将其置于锁定模式。在锁定模式下,默认情况下,操作必须通过 vCenter Server 执行。

从 vSphere 6.0 开始,您可以选择正常锁定模式或严格锁定模式,这两种模式可提供不同的锁定程度。vSphere 6.0 还引入了“例外用户”列表。主机进入锁定模式时,例外用户不会丢失其特权。使用“例外用户”列表可添加在主机处于锁定模式时需要直接访问主机的第三方解决方案和外部应用程序帐户。

正常锁定模式和严格锁定模式

从 vSphere 6.0 开始,您可以选择正常锁定模式或严格锁定模式,这两种模式可提供不同的锁定程度。
正常锁定模式
在正常锁定模式下,DCUI 服务未停止。如果与 vCenter Server 系统的连接断开且无法再通过 vSphere Web Client 进行访问,则特权帐户可以登录到 ESXi 主机的直接控制台界面并退出锁定模式。只有以下帐户可以访问直接控制台用户界面:

  • 锁定模式下“例外用户”列表中对主机具有管理员特权的帐户。“例外用户”列表针对用于执行非常特殊的任务的服务帐户提供。将 ESXi 管理员添加到此列表违背了锁定模式的初衷。
  • 在主机的 DCUI.Access 高级选项中定义的用户。此选项用于在与 vCenter Server 的连接断开时紧急访问直接控制台界面。这些用户不需要拥有对主机的管理特权。
严格的锁定模式

在严格锁定模式(该模式是 vSphere 6.0 中的新功能)下,DCUI 服务已停止。如果与 vCenter Server 的连接断开且 vSphere Web Client 不再可用,则 ESXi 主机将变为不可用,除非启用 ESXi Shell 和 SSH 服务并定义例外用户。如果无法恢复与 vCenter Server 系统的连接,则必须重新安装主机。

锁定模式及 ESXi Shell 和 SSH 服务

严格锁定模式会停止 DCUI 服务。但是,ESXi Shell 和 SSH 服务不受锁定模式影响。要使锁定模式成为有效的安全措施,请确保 ESXi Shell 和 SSH 服务也处于禁用状态。默认情况下,这些服务处于禁用状态。

在主机处于锁定模式下时,如果“例外用户”列表中的用户拥有对主机的管理员角色,则可以从 ESXi Shell 及通过 SSH 访问主机。即使在严格锁定模式下也可以进行此访问。保留 ESXi Shell 服务和 SSH 服务禁用状态是最安全的选项。

注: “例外用户”列表针对用于执行特定任务(例如主机备份)的服务帐户提供,而非针对管理员提供。将管理员用户添加到“例外用户”列表违背了锁定模式的初衷。

启用和禁用锁定模式

特权用户可以通过多种方式启用锁定模式:

特权用户可从 vSphere Web Client 中禁用锁定模式。这些用户可以从直接控制台界面禁用正常锁定模式,但无法从直接控制台界面禁用严格锁定模式。

注: 如果使用直接控制台用户界面启用或禁用锁定模式,则主机上用户和组的权限都将丢失。要保留这些权限,可以使用 vSphere Web Client 启用和禁用锁定模式。
 
 

锁定模式行为

在锁定模式下,一些服务会被禁用,一些服务只允许特定用户访问。

面向不同用户的锁定模式服务

当主机正在运行时,可用服务取决于锁定模式是否启用以及锁定模式的类型。

  • 在严格锁定模式和正常锁定模式下,特权用户可以通过 vCenter Server 或通过 vSphere Web Client 或使用 vSphere Web Services SDK 访问主机。
  • 严格锁定模式和正常锁定模式下的直接控制台界面行为有所不同。
    • 在严格锁定模式下,直接控制台用户界面 (DCUI) 服务处于禁用状态。
    • 在正常锁定模式下,异常用户列表中具有管理员特权的帐户和 DCUI.Access 高级系统设置中指定的用户可以访问直接控制台界面。
  • 如果已启用 ESXi Shell 或 SSH 且将主机置于严格锁定模式或正常锁定模式,则异常用户列表中具有管理员特权的帐户可以使用这些服务。对于所有其他用户,ESXi Shell 或 SSH 访问处于禁用状态。从 vSphere 6.0 开始,不具备管理员特权的用户的 ESXi 或 SSH 会话将终止。

严格锁定模式和正常锁定模式下的所有访问均会记入日志。

锁定模式行为
服务 正常模式 正常锁定模式 严格的锁定模式
vSphere Web Services API 所有用户,基于权限 vCenter (vpxuser)

异常用户,基于权限

vCloud Director(vslauser,如果可用)

vCenter (vpxuser)

异常用户,基于权限

vCloud Director(vslauser,如果可用)

CIM 提供程序 具有主机管理员特权的用户 vCenter (vpxuser)

异常用户,基于权限。

vCloud Director(vslauser,如果可用)

vCenter (vpxuser)

异常,基于权限。

vCloud Director(vslauser,如果可用)

直接控制台 UI (DCUI) 具有主机管理员特权的用户和 DCUI.Access 高级选项中指定的用户

DCUI.Access 高级选项中定义的用户

具有主机管理员特权的异常用户

DCUI 服务停止
ESXi Shell

(如果已启用)

具有主机管理员特权的用户

DCUI.Access 高级选项中定义的用户

具有主机管理员特权的异常用户

DCUI.Access 高级选项中定义的用户

具有主机管理员特权的异常用户

SSH

(如果已启用)

具有主机管理员特权的用户

DCUI.Access 高级选项中定义的用户

具有主机管理员特权的异常用户

DCUI.Access 高级选项中定义的用户

具有主机管理员特权的异常用户

启用锁定模式时登录到 ESXi Shell 的用户

在启用锁定模式之前,如果用户已登录 ESXi Shell 或通过 SSH 访问主机,则异常用户列表中具有主机管理员特权的用户仍保持登录状态。从 vSphere 6.0 开始,所有其他用户的该会话将终止。在正常锁定模式和严格锁定模式下均适用。

使用 vSphere Web Client 启用锁定模式

启用锁定模式以要求所有配置更改都通过 vCenter Server 进行。vSphere 6.0 及更高版本支持正常锁定模式和严格锁定模式。

 

要完全禁用对主机的所有直接访问,可以选择严格锁定模式。启用严格锁定模式后,如果 vCenter Server 不可用,并且 SSH 和 ESXi Shell 处于禁用状态,用户将无法访问主机。请参见锁定模式行为

过程

  1. 在 vSphere Web Client 清单中,浏览到主机。
  2. 单击配置。
  3. 在“系统”下,选择安全配置文件。
  4. 在“锁定模式”面板中,单击编辑。
  5. 单击锁定模式,然后选择其中一个锁定模式选项。
    选项 描述
    正常 可以通过 vCenter Server 访问主机。只有位于“异常用户”列表中且具有管理员特权的用户能够登录直接控制台用户界面。如果启用了 SSH 或 ESXi Shell,则可以访问。
    严格 只能通过 vCenter Server 访问主机。如果启用了 SSH 或 ESXi Shell,DCUI.Access 高级选项中的帐户以及具有管理员特权的“异常用户”帐户的正在运行的会话仍处于启用状态。所有其他会话将终止。
  6. 单击确定。

DCUI界面如下:

ESXI Shell界面如下:(DCUI界面按alt+F1或其他)

没开启情况:

开启情况:

SSH界面如下:

Vmware 主机锁定模式的更多相关文章

  1. vmware三种网络模式:桥接模式|仅主机|NAT模式

    VMware 网络模式 1. Bridged(桥接)桥接模式下,宿主机物理网卡(主机网卡)和虚拟网卡通过 VMnet0 虚拟交换机进行桥接,物理网卡和虚拟网卡在拓扑图上处于同等地位,物理网卡和虚拟网卡 ...

  2. 【转】VMware网络连接模式—桥接、NAT以及仅主机模式的详细介绍和区别

    ☞ 本文主要介绍软件『VMware Workstation(虚拟机)』的相关内容:VMware网络连接模式—桥接.NAT以及仅主机模式的详细介绍和区别. 其下列版本/分支可以参考本文: 全部版本/分支 ...

  3. Vmware虚拟机网络模式及虚拟机与物理机通信方法

    [转]http://www.cqeis.com/news_detail/newsId=1477.html Vmware虚拟机软件是一个“虚拟PC”软件,它使你可以在一台机器上同时运行二个或更多Wind ...

  4. VMWare 网络连接模式(bridged、NAT、host-only)详解

    转自VMWare 网络连接模式(bridged.NAT.host-only)详解 host-only 在某些特殊的网络调试环境中,如何要求将真实环境和虚拟环境隔离开,这时你就可采用host-only模 ...

  5. VMware虚拟机 NAT模式 配置静态ip

    前言:Ubuntu 16.04 VMware虚拟机 NAT模式 配置静态ip,这个问题困扰我好长时间,桥接的静态ip我会了,然而用NAT 的方式配置集群会更好.(NAT 方式客户机之间的通讯不经过路由 ...

  6. Vmware在NAT模式下网络配置详解

    Vmware在NAT模式下网络配置详解 Linux中的网络配置对于接触Linux不久的小白菜来说,还是小有难度的,可能是不熟悉这种与windows系列迥然不同的命令行操作,也可能是由于对Linux的结 ...

  7. 校园网 虚拟机VMware Linux桥接模式 无法上网 问题

    只是解决常见虚拟机桥接模式 无法上网问题,基本的百度都有 基本知识 虚拟机有三种网络连接模式:桥接模式,net模式,仅主机 桥接模式:同一网段允许的话,相当于一个独立的物理主机,独立ip net模式: ...

  8. VMware主机使用无线上网

    VMware主机使用无线上网,默认的NAT连接在ubuntu下上不了网,需要把网络适配器改成桥接模式.

  9. 软件工程通用软件体系结构主机终端模式、B/S 、C/S 结构和多层分布式结构

    软件系统的体系结构经历了主机终端模式.客户机/服务器(C/S)模式.浏览器/服务器(B/S)和多层分布式结构. 主机/终端结构: 早期计算机系统多是单机系统,多个用户是通过联网终端来访问的,没有网络的 ...

随机推荐

  1. DevOps - 为什么

    章节 DevOps – 为什么 DevOps – 与传统方式区别 DevOps – 优势 DevOps – 不适用 DevOps – 生命周期 DevOps – 与敏捷方法区别 DevOps – 实施 ...

  2. JS - 获取任意一天的0点和23:59:59时间

    转载自 https://www.cnblogs.com/sk-3/archive/2019/07/23/11232750.html 使用了setHours() 方法 setHours() 方法用于设置 ...

  3. C++实现单链表的12种基本操作

    C++单链表的操作2017-12-25 1 // 单链表.cpp: 定义控制台应用程序的入口点. //Author:kgvito //Date: 2017.12.25 #include "s ...

  4. NAT的三种方式

    NAT的三种方式: 一.端口NAT acces-list 1 permit IP/Mask ip nat inside source list “number” interface fastether ...

  5. Django 模板渲染

    模板语言 {{ 变量 }} {% 逻辑 %} {{ 变量 }} {{ 变量 }}中的点号 用于取出字典/列表等类型数据的值 {{ list.2 }} 获取列表list中索引为2的值 {{ dict.n ...

  6. 八十八、SAP中ALV事件之二,事件的定义和事件子例程

    一.我们来到SE37,找到REUSE_ALV_EVENTS_GET相关的定义 二.我们需要用到下面这3个事件 三.我们添加一个第五步,并把显示ALV座位第六步.在第五步中定义三个事件 四.在末尾,添加 ...

  7. vue学习(九)对象变更检测注意事项

    Vue不能检测对象属性的添加和删除,要是必须这么做的话 需要使用 vue.$set() <body> <div id="app"> <h3> { ...

  8. vue学习(十)mixin 偷懒

    一 mixin混入偷懒技术 架子 <div id="app"> {{msg}} </div> <script> let app = new Vu ...

  9. 第一部分 JavaScript语言核心(三)

    第六章 对象 P123 在ES3中,点运算符后的标识符不能是保留字.如果一个对象的属性名是保留字,name必须使用方括号的形式访问它们,如o["for"]和o["clas ...

  10. 使用BurpSuite和Hydra爆破相关的服务(9.25 第十一天)

    使用BP和Hydra爆破相关的服务 Hydra:九头蛇,开源的功能强大的爆破工具,支持的服务有很多,使用Hydra爆破C/S架构的服务. 使用BurpSuite爆破web服务 DVWA:web应用程序 ...