ESXi 9作为企业级虚拟化平台,安全加固是上线前必须完成的工作。从root密码策略到防火墙规则,从Lockdown Mode到证书管理,每一步都关乎生产环境的安全底线。本文介绍ESXi 9安全加固的标准流程。
资源下载:点击下载
一、账户与密码策略
ESXi默认的root账户密码策略相当宽松。建议立即修改root密码为强密码(建议12位以上,包含大小写字母、数字和特殊字符),并创建专用的管理员账户而非共用root账户。
ESXi支持双因素认证(2FA),强烈建议在管理账户上启用。vSphere可以通过第三方Identity Provider配置2FA。
二、Lockdown Mode
Lockdown Mode启用后,DCUI和SSH将无法直接登录root账户,所有操作必须通过vSphere Client进行。Lockdown Mode是防止物理接触攻击的有效手段。
但注意:启用Lockdown Mode之前,必须确保vCenter已正确配置并能连接ESXi主机,否则可能导致主机脱管。
三、防火墙配置
ESXi内置防火墙默认规则较为宽松。建议禁用所有不必要的服务:ESXi Shell、SSH、vSphere Web Client(如果不通过Web访问)。通过主机图形界面配置每台ESXi的防火墙入站规则。
仅开放必要端口:vSphere Client(443)、vSphere HA心跳(8204/8301)等。
四、证书管理
ESXi 9支持自动证书续期(这是9.x的重大改进),但仍建议使用VMCA签发的证书替代默认证书,并定期轮换。vSphere Certificate Manager可以简化证书管理流程。
五、日志与审计
ESXi日志默认存储在/var/log/,建议配置syslog将日志发送到集中日志服务器(vRealize Log Insight或rsyslog)。日志保留策略建议设置为30天以上,以便安全审计时溯源。
用户评论