ESXi 的 SSH 访问如何管理，以防止未经授权的远程访问？

作为客户技术经理，我建议通过以下方式管理ESXi的SSH访问：

1. 最小化开启时间：仅在维护时通过vSphere Client启用SSH，完成后立即关闭。
2. 强化认证机制：禁用root直接登录，强制使用SSH密钥+密码的双因素认证，并限制sudo权限。
3. 网络层隔离：配置防火墙仅允许跳板机或运维VPN的IP段访问ESXi管理端口，建议与管理网络划分独立VLAN。
4. 日志溯源：启用ESXi syslog并集中存储，设置实时告警策略（如10分钟内5次失败登录触发邮件通知）。
5. 版本合规性：定期验证ESXi版本是否在VMware兼容性列表内，禁用TLSv1.0等过时协议。 补充建议：通过vCenter统一管理ESXi主机，优先使用PowerCLI或REST API替代SSH操作，同时每季度进行ACL策略复审。

1. 禁用SSH服务（默认状态）：

   • 通过vSphere Client登录ESXi主机，进入"主机"→"管理"→"服务"，确认"TSM-SSH"服务状态为"已停止"。
   • 若需临时使用，执行vim-cmd hostsvc/enable_ssh启用，完成后立即执行vim-cmd hostsvc/disable_ssh关闭。

2. 限制访问IP（防火墙规则）：

   • 在ESXi控制台或SSH中执行esxcli network firewall ruleset set --ruleset-id=sshServer --allowed-all false关闭全局访问。
   • 添加允许IP：esxcli network firewall ruleset allowedip add -i <IP地址> -r sshServer。

3. 强化认证机制：

   • 编辑/etc/ssh/sshd_config，设置PermitRootLogin no并启用PubkeyAuthentication yes。
   • 将公钥上传至/etc/ssh/keys-root/authorized_keys，重启SSH服务（systemctl restart sshd）。

4. 审计与日志监控：

   • 定期检查/var/log/secure日志，使用cat /var/log/secure | grep sshd过滤SSH登录记录。
   • 配置syslog转发至中央日志服务器集中分析。

5. ESXi版本更新：

   • 通过vLCM（vSphere Lifecycle Manager）定期安装ESXi补丁，修复SSH相关漏洞。

注：生产环境建议通过vCenter集中管理策略，避免直接暴露ESXi SSH接口。

在ESXi的SSH访问管理中，我通过以下实践确保安全性：

1. 服务状态控制：默认关闭SSH服务，仅在维护时通过vSphere CLI或Host Client临时启用，并通过定时任务脚本（如PowerCLI）自动关闭闲置超时连接。
2. 网络层隔离：在虚拟分布式交换机配置防火墙规则，仅允许管理网络段（如/28子网）访问TCP 22端口，并与vCenter事件驱动型告警联动，实时阻断非常规IP尝试。
3. 证书认证替代密码：强制部署Ed25519密钥对认证，移除PasswordAuthentication配置项，并通过自定义ESXi镜像预置运维人员公钥至/etc/ssh/keys-root/authorized_keys。
4. 特权隔离：创建仅具有HostShellAccess权限的专用服务账号，配合RBAC角色限制文件系统写入权限，避免直接使用root账户。

实际挑战包括：

• ESXi 7.0 U3后Trusted Platform Module(TPM)集成导致的密钥轮换冲突，需通过Host Profile模板动态注入加密密钥
• NSX分布式防火墙与原生ESXi防火墙策略优先级冲突，需在VDS端口组设置覆盖规则
• 自动化运维流程中Ansible等工具因StrictHostKeyChecking策略中断，通过预置known_hosts哈希值到ESXi的/etc/ssh/ssh_known_hosts解决

ESXi的SSH管理分几步：1.默认关掉SSH服务，用的时候再开；2.进vSphere Client把SSH超时设短点，比如5分钟自动关；3.改默认22端口，防火墙限制只允许特定IP访问；4.用ESXi主机防火墙加白名单，只放行管理员IP；5.定期查日志，看有没有陌生IP乱连。平时别偷懒开SSH，用完了随手关最稳。