ESXi 的 SSH 访问如何管理，以防止未经授权的远程访问？

1. 禁用SSH服务（默认状态）：

   • 通过vSphere Client登录ESXi主机，进入"主机"→"管理"→"服务"，确认"TSM-SSH"服务状态为"已停止"。
   • 若需临时使用，执行vim-cmd hostsvc/enable_ssh启用，完成后立即执行vim-cmd hostsvc/disable_ssh关闭。

2. 限制访问IP（防火墙规则）：

   • 在ESXi控制台或SSH中执行esxcli network firewall ruleset set --ruleset-id=sshServer --allowed-all false关闭全局访问。
   • 添加允许IP：esxcli network firewall ruleset allowedip add -i <IP地址> -r sshServer。

3. 强化认证机制：

   • 编辑/etc/ssh/sshd_config，设置PermitRootLogin no并启用PubkeyAuthentication yes。
   • 将公钥上传至/etc/ssh/keys-root/authorized_keys，重启SSH服务（systemctl restart sshd）。

4. 审计与日志监控：

   • 定期检查/var/log/secure日志，使用cat /var/log/secure | grep sshd过滤SSH登录记录。
   • 配置syslog转发至中央日志服务器集中分析。

5. ESXi版本更新：

   • 通过vLCM（vSphere Lifecycle Manager）定期安装ESXi补丁，修复SSH相关漏洞。

注：生产环境建议通过vCenter集中管理策略，避免直接暴露ESXi SSH接口。

作为客户技术经理，我建议通过以下方式管理ESXi的SSH访问：

1. 最小化开启时间：仅在维护时通过vSphere Client启用SSH，完成后立即关闭。
2. 强化认证机制：禁用root直接登录，强制使用SSH密钥+密码的双因素认证，并限制sudo权限。
3. 网络层隔离：配置防火墙仅允许跳板机或运维VPN的IP段访问ESXi管理端口，建议与管理网络划分独立VLAN。
4. 日志溯源：启用ESXi syslog并集中存储，设置实时告警策略（如10分钟内5次失败登录触发邮件通知）。
5. 版本合规性：定期验证ESXi版本是否在VMware兼容性列表内，禁用TLSv1.0等过时协议。 补充建议：通过vCenter统一管理ESXi主机，优先使用PowerCLI或REST API替代SSH操作，同时每季度进行ACL策略复审。

作为IT经理，管理ESXi的SSH访问需遵循以下原则：1. 默认关闭SSH服务：仅在必要时（如维护、排错）通过vSphere Client启用，完成后立即禁用。2. 访问限制：通过ESXi主机防火墙配置仅允许特定管理IP访问TCP 22端口，结合VLAN隔离管理网络。3. 权限控制：使用RBAC（基于角色的访问控制），仅授权必要管理员账号SSH访问权限，禁用root直接登录。4. 密钥认证替代密码：强制使用SSH密钥对认证，禁用密码登录以降低暴力破解风险。5. 日志监控：集中收集/var/log/auth.log日志，配置实时告警机制检测异常登录行为。6. 定期加固：通过Host Profiles或Auto Deploy固化安全配置，确保SSH参数（如Protocol 2、LoginGraceTime 60s）符合安全基线。7. 网络层防护：在物理网络设备设置ACL，阻止非授权网段访问ESXi管理接口，结合IPsec VPN实现远程访问加密。