Vmware 主机锁定模式

https://docs.vmware.com/cn/VMware-vSphere/6.5/com.vmware.vsphere.security.doc/GUID-88B24613-E8F9-40D2-B838-225F5FF480FF.html

要提高 ESXi 主机的安全性，可以将其置于锁定模式。在锁定模式下，默认情况下，操作必须通过 vCenter Server 执行。

从 vSphere 6.0 开始，您可以选择正常锁定模式或严格锁定模式，这两种模式可提供不同的锁定程度。vSphere 6.0 还引入了“例外用户”列表。主机进入锁定模式时，例外用户不会丢失其特权。使用“例外用户”列表可添加在主机处于锁定模式时需要直接访问主机的第三方解决方案和外部应用程序帐户。

正常锁定模式和严格锁定模式

从 vSphere 6.0 开始，您可以选择正常锁定模式或严格锁定模式，这两种模式可提供不同的锁定程度。

正常锁定模式

在正常锁定模式下，DCUI 服务未停止。如果与 vCenter Server 系统的连接断开且无法再通过 vSphere Web Client 进行访问，则特权帐户可以登录到 ESXi 主机的直接控制台界面并退出锁定模式。只有以下帐户可以访问直接控制台用户界面：

• 锁定模式下“例外用户”列表中对主机具有管理员特权的帐户。“例外用户”列表针对用于执行非常特殊的任务的服务帐户提供。将 ESXi 管理员添加到此列表违背了锁定模式的初衷。
• 在主机的 DCUI.Access 高级选项中定义的用户。此选项用于在与 vCenter Server 的连接断开时紧急访问直接控制台界面。这些用户不需要拥有对主机的管理特权。

严格的锁定模式

在严格锁定模式（该模式是 vSphere 6.0 中的新功能）下，DCUI 服务已停止。如果与 vCenter Server 的连接断开且 vSphere Web Client 不再可用，则 ESXi 主机将变为不可用，除非启用 ESXi Shell 和 SSH 服务并定义例外用户。如果无法恢复与 vCenter Server 系统的连接，则必须重新安装主机。

锁定模式及 ESXi Shell 和 SSH 服务

严格锁定模式会停止 DCUI 服务。但是，ESXi Shell 和 SSH 服务不受锁定模式影响。要使锁定模式成为有效的安全措施，请确保 ESXi Shell 和 SSH 服务也处于禁用状态。默认情况下，这些服务处于禁用状态。

在主机处于锁定模式下时，如果“例外用户”列表中的用户拥有对主机的管理员角色，则可以从 ESXi Shell 及通过 SSH 访问主机。即使在严格锁定模式下也可以进行此访问。保留 ESXi Shell 服务和 SSH 服务禁用状态是最安全的选项。

注： “例外用户”列表针对用于执行特定任务（例如主机备份）的服务帐户提供，而非针对管理员提供。将管理员用户添加到“例外用户”列表违背了锁定模式的初衷。

启用和禁用锁定模式

特权用户可以通过多种方式启用锁定模式：

• 使用添加主机向导将主机添加到 vCenter Server 系统时。
• 使用 vSphere Web Client。请参见使用 vSphere Web Client 启用锁定模式。您可以从 vSphere Web Client 中启用正常锁定模式和严格锁定模式。
• 使用直接控制台用户界面 (DCUI)。请参见从直接控制台用户界面启用或禁用正常锁定模式。

特权用户可从 vSphere Web Client 中禁用锁定模式。这些用户可以从直接控制台界面禁用正常锁定模式，但无法从直接控制台界面禁用严格锁定模式。

注： 如果使用直接控制台用户界面启用或禁用锁定模式，则主机上用户和组的权限都将丢失。要保留这些权限，可以使用 vSphere Web Client 启用和禁用锁定模式。

 

 

锁定模式行为

在锁定模式下，一些服务会被禁用，一些服务只允许特定用户访问。

面向不同用户的锁定模式服务

当主机正在运行时，可用服务取决于锁定模式是否启用以及锁定模式的类型。

• 在严格锁定模式和正常锁定模式下，特权用户可以通过 vCenter Server 或通过 vSphere Web Client 或使用 vSphere Web Services SDK 访问主机。
• 严格锁定模式和正常锁定模式下的直接控制台界面行为有所不同。
  • 在严格锁定模式下，直接控制台用户界面 (DCUI) 服务处于禁用状态。
  • 在正常锁定模式下，异常用户列表中具有管理员特权的帐户和 DCUI.Access 高级系统设置中指定的用户可以访问直接控制台界面。
• 如果已启用 ESXi Shell 或 SSH 且将主机置于严格锁定模式或正常锁定模式，则异常用户列表中具有管理员特权的帐户可以使用这些服务。对于所有其他用户，ESXi Shell 或 SSH 访问处于禁用状态。从 vSphere 6.0 开始，不具备管理员特权的用户的 ESXi 或 SSH 会话将终止。

严格锁定模式和正常锁定模式下的所有访问均会记入日志。

锁定模式行为

服务	正常模式	正常锁定模式	严格的锁定模式
vSphere Web Services API	所有用户，基于权限	vCenter (vpxuser) 异常用户，基于权限 vCloud Director（vslauser，如果可用）	vCenter (vpxuser) 异常用户，基于权限 vCloud Director（vslauser，如果可用）
CIM 提供程序	具有主机管理员特权的用户	vCenter (vpxuser) 异常用户，基于权限。 vCloud Director（vslauser，如果可用）	vCenter (vpxuser) 异常，基于权限。 vCloud Director（vslauser，如果可用）
直接控制台 UI (DCUI)	具有主机管理员特权的用户和 DCUI.Access 高级选项中指定的用户	DCUI.Access 高级选项中定义的用户 具有主机管理员特权的异常用户	DCUI 服务停止
ESXi Shell （如果已启用）	具有主机管理员特权的用户	DCUI.Access 高级选项中定义的用户 具有主机管理员特权的异常用户	DCUI.Access 高级选项中定义的用户 具有主机管理员特权的异常用户
SSH （如果已启用）	具有主机管理员特权的用户	DCUI.Access 高级选项中定义的用户 具有主机管理员特权的异常用户	DCUI.Access 高级选项中定义的用户 具有主机管理员特权的异常用户

启用锁定模式时登录到 ESXi Shell 的用户

在启用锁定模式之前，如果用户已登录 ESXi Shell 或通过 SSH 访问主机，则异常用户列表中具有主机管理员特权的用户仍保持登录状态。从 vSphere 6.0 开始，所有其他用户的该会话将终止。在正常锁定模式和严格锁定模式下均适用。

使用 vSphere Web Client 启用锁定模式

启用锁定模式以要求所有配置更改都通过 vCenter Server 进行。vSphere 6.0 及更高版本支持正常锁定模式和严格锁定模式。

 

要完全禁用对主机的所有直接访问，可以选择严格锁定模式。启用严格锁定模式后，如果 vCenter Server 不可用，并且 SSH 和 ESXi Shell 处于禁用状态，用户将无法访问主机。请参见锁定模式行为。

过程

1. 在 vSphere Web Client 清单中，浏览到主机。
2. 单击配置。
3. 在“系统”下，选择安全配置文件。
4. 在“锁定模式”面板中，单击编辑。
5. 单击锁定模式，然后选择其中一个锁定模式选项。
   

   选项	描述
   正常	可以通过 vCenter Server 访问主机。只有位于“异常用户”列表中且具有管理员特权的用户能够登录直接控制台用户界面。如果启用了 SSH 或 ESXi Shell，则可以访问。
   严格	只能通过 vCenter Server 访问主机。如果启用了 SSH 或 ESXi Shell，DCUI.Access 高级选项中的帐户以及具有管理员特权的“异常用户”帐户的正在运行的会话仍处于启用状态。所有其他会话将终止。

6. 单击确定。

DCUI界面如下：

ESXI Shell界面如下：（DCUI界面按alt+F1或其他）

没开启情况：

开启情况：

SSH界面如下：