如何确保 ESXi 主机上的所有用户密码符合强密码策略？

为确保ESXi主机上的所有用户密码符合强密码策略，建议通过以下步骤实现：

1. 配置本地密码策略：通过vSphere Client或命令行修改/etc/pam.d/passwd文件，设置最小长度（如12字符）、复杂度要求（包含大小写、数字、符号）及密码有效期（如90天）。
2. 集成AD域控：将ESXi加入Active Directory，继承域级别的密码策略（如锁定阈值、历史密码不可重复），确保集中化管理。
3. 定期审计：使用PowerCLI脚本或工具（如vCheck）扫描用户账户，检测弱密码或过期账户，强制重置异常账户。
4. 加固安全基线：参照VMware安全指南启用账户锁定（Account Lockout）、禁用默认账户（如root的SSH直接访问），限制非必要权限。
5. 自动化合规检查：通过vRealize Automation或第三方工具（如Ansible）定期验证密码策略的生效状态，确保配置无漂移。 注：需提前测试策略变更对运维的影响，避免因复杂度规则过严导致服务中断。

要确保ESXi主机上的所有用户密码符合强密码策略，需通过SSH登录主机后，修改/etc/pam.d/passwd配置文件，添加密码复杂度规则，例如设置最小长度、混合字符类型等。例如添加password requisite pam_passwdqc.so min=disabled,disabled,12,8,8 enforce=users要求密码至少12位且包含4种字符类型。

延伸知识点：ESXi的Lockdown Mode（锁定模式）。此模式可限制直接通过主机执行操作，强制所有管理操作必须通过vCenter Server进行。启用后，本地用户（包括root）仅能通过vCenter授权账户操作，且需在vCenter中预先配置强密码策略。启用方法：进入DCUI界面选择"Configure Lockdown Mode"，适用于防止未授权密码修改，与强密码策略形成双重保护。

1. 配置ESXi密码策略：通过vSphere Client或Host Client进入主机设置，在‘安全配置文件’中启用并定义密码复杂度规则（如最小长度8位，包含大小写、数字及特殊字符）。
2. 强制策略更新：通过ESXi Shell使用命令vim-cmd vimsvc/auth/update_password_policy设置密码历史记录、最大有效期（如90天）及失败锁定阈值。
3. 集成AD/LDAP认证：将ESXi加入域控，继承企业级密码策略，避免本地账户弱密码风险。
4. 定期审计：利用vCenter审计日志或PowerCLI脚本周期性检查用户密码状态，对不符合策略的账户执行强制重置。
5. 禁用默认账户：关闭非必要的服务账户（如root SSH登录），仅允许特权用户通过vCenter SSO管理主机。

在ESXi主机上确保强密码策略，可以通过vSphere Client进入主机设置，找到“安全配置文件”配置密码策略，比如设置最小长度、复杂度要求。另外，可以修改/etc/pam.d/passwd文件强制密码规则，比如添加类似“min=8,credit=-1”的参数。定期检查用户列表，结合域账户管理会更省事儿，还能用脚本定期扫一遍密码强度。

1. 配置本地密码策略：通过SSH登录ESXi主机，修改/etc/pam.d/passwd和/etc/pam.d/system-auth文件，添加minlen（最小长度）、ucredit（大写字母）、lcredit（小写字母）等参数。例如：password requisite pam_passwdqc.so retry=3 min=12,12,12,12,12 enforce=users。

2. 集成Active Directory：将ESXi加入AD域，利用Windows组策略强制密码复杂度要求。需注意ESXi对Kerberos票据缓存的兼容性问题，需定期同步策略。

3. 脚本化审计：编写PowerCLI脚本定期遍历所有ESXi主机，提取本地用户列表并通过正则表达式（如^(?=.*[A-Z])(?=.*[a-z])(?=.*\d)(?=.*[!@#$%]).{12,}$）校验密码是否符合规则。

4. 安全加固指南实践：启用账户锁定策略（esxcli system account lockout设置失败尝试次数和锁定时间），避免密码爆破攻击。

挑战：

• 版本兼容性：ESXi 7.0以上版本默认使用pam_passwdqc，而旧版本依赖pam_cracklib，需针对性适配规则语法。
• 配置持久化：主机升级或VIB更新可能重置/etc/pam.d/文件，需通过自定义镜像或Post-Update脚本固化策略。
• 服务账户风险：vCenter服务账户密码常被忽略，需单独纳入审计流程，并限制交互式登录权限。
• 回退机制：误配置可能导致SSH被锁定，需预先配置DCUI备用账户或IPMI带外管理通道。

1. 通过vSphere Client或SSH登录ESXi主机，执行 esxcli system security account passwordpolicy set --min-length=8 --min-uppercase=1 --min-lowercase=1 --min-digit=1 --min-special=1 --max-repeat=3 设置密码复杂度。
2. 修改 /etc/pam.d/passwd 文件，添加 password requisite pam_passwdqc.so enforce=users retry=3 min=disabled,disabled,8,7,7 强制密码策略。
3. 使用 chage -M 90 -m 1 -W 7 <user> 配置密码有效期及提醒，执行 pwsh -c 'Get-VMHostAccount | Set-VMHostAccount -Password (Read-Host -AsSecureString)' 重置弱密码用户。
4. 启用syslog审计，通过 vim-cmd vmon/service/list 确认auditd服务运行，监控密码变更事件。

为确保ESXi主机上的所有用户密码符合强密码策略，可通过以下步骤实施：

1. 配置本地密码策略：通过SSH登录ESXi主机，修改/etc/pam.d/passwd文件，添加密码复杂度规则（如minlen=12、dcredit=-1等），并重启vmacore服务生效。
2. 集成外部认证源：将ESXi加入Active Directory或LDAP，继承域控的强密码策略（如最长使用期限、历史密码记忆等）。
3. 使用PowerCLI自动化检查：编写脚本定期扫描本地用户，验证密码是否符合策略（如Get-VMHostAccount结合密码审计工具）。
4. 启用ESXi Lockdown模式：限制直接root访问，强制通过vCenter进行账户管理，结合vCenter的密码策略插件强化控制。
5. 定期审计与强制重置：通过vSphere Client或API强制用户定期更改密码，使用日志分析工具（如vRealize Log Insight）监控异常登录行为。 注意：需在变更前备份ESXi配置，并验证策略与业务兼容性。