我找不到任何关于如何为 ESXi 虚拟机管理程序(包括 SSH)启用暴力破解保护的文档。
我的大多数 Linux 服务器都会阻止尝试使用错误用户名/密码登录超过 X 次的 IP。ESXi 有类似的情况吗?
答案1
您所指的功能通常由 fail2ban 等附加组件实现。此功能不适用于 ESXi,或者尚未内置于 ESXi 中。
但是,ESXi 6.0 引入了 root 帐户在登录失败次数过多后锁定的功能。虽然不一样,但肯定比没有好: http://pubs.vmware.com/vsphere-60/index.jsp#com.vmware.vsphere.security.doc/GUID-DC96FFDB-F5F2-43EC-8C73-05ACDAE6BE43.html
无论如何,您确实不应该将 ESXi 主机的管理接口直接连接到 Internet - 并且您应该仅在必要时临时启用 SSH 访问。使用 ESXi 内置防火墙是限制访问的另一种选择。
答案2
我同意@EEAA,你永远不应该将你的 ESXi 管理界面暴露给互联网或任何其他同样不安全的网络。
话虽如此,ESXi 确实有一个主机防火墙,您可以配置它以限制除您指定的 IP 地址之外的 IP 地址的访问。
答案3
vsphere里面有个防火墙,只能允许指定的IP访问,但是它不像fail2bin那么好,登录失败的次数太多会把所有用户都锁在外面,这样很不好,还会阻止普通用户使用web管理。