ESXi 的 SSH 访问如何管理，以防止未经授权的远程访问？

作为IT经理，管理ESXi的SSH访问需遵循以下原则：1. 默认关闭SSH服务：仅在必要时（如维护、排错）通过vSphere Client启用，完成后立即禁用。2. 访问限制：通过ESXi主机防火墙配置仅允许特定管理IP访问TCP 22端口，结合VLAN隔离管理网络。3. 权限控制：使用RBAC（基于角色的访问控制），仅授权必要管理员账号SSH访问权限，禁用root直接登录。4. 密钥认证替代密码：强制使用SSH密钥对认证，禁用密码登录以降低暴力破解风险。5. 日志监控：集中收集/var/log/auth.log日志，配置实时告警机制检测异常登录行为。6. 定期加固：通过Host Profiles或Auto Deploy固化安全配置，确保SSH参数（如Protocol 2、LoginGraceTime 60s）符合安全基线。7. 网络层防护：在物理网络设备设置ACL，阻止非授权网段访问ESXi管理接口，结合IPsec VPN实现远程访问加密。

1. 禁用SSH服务（默认状态）：

   • 通过vSphere Client登录ESXi主机，进入"主机"→"管理"→"服务"，确认"TSM-SSH"服务状态为"已停止"。
   • 若需临时使用，执行vim-cmd hostsvc/enable_ssh启用，完成后立即执行vim-cmd hostsvc/disable_ssh关闭。

2. 限制访问IP（防火墙规则）：

   • 在ESXi控制台或SSH中执行esxcli network firewall ruleset set --ruleset-id=sshServer --allowed-all false关闭全局访问。
   • 添加允许IP：esxcli network firewall ruleset allowedip add -i <IP地址> -r sshServer。

3. 强化认证机制：

   • 编辑/etc/ssh/sshd_config，设置PermitRootLogin no并启用PubkeyAuthentication yes。
   • 将公钥上传至/etc/ssh/keys-root/authorized_keys，重启SSH服务（systemctl restart sshd）。

4. 审计与日志监控：

   • 定期检查/var/log/secure日志，使用cat /var/log/secure | grep sshd过滤SSH登录记录。
   • 配置syslog转发至中央日志服务器集中分析。

5. ESXi版本更新：

   • 通过vLCM（vSphere Lifecycle Manager）定期安装ESXi补丁，修复SSH相关漏洞。

注：生产环境建议通过vCenter集中管理策略，避免直接暴露ESXi SSH接口。