如何确保 ESXi 主机上的所有用户密码符合强密码策略？

为什么不考虑配置账户锁定策略以在多次失败登录尝试后自动禁用账户，从而增强整体访问安全性？

要确保ESXi主机上的所有用户密码符合强密码策略，需通过SSH登录主机后，修改/etc/pam.d/passwd配置文件，添加密码复杂度规则，例如设置最小长度、混合字符类型等。例如添加password requisite pam_passwdqc.so min=disabled,disabled,12,8,8 enforce=users要求密码至少12位且包含4种字符类型。

延伸知识点：ESXi的Lockdown Mode（锁定模式）。此模式可限制直接通过主机执行操作，强制所有管理操作必须通过vCenter Server进行。启用后，本地用户（包括root）仅能通过vCenter授权账户操作，且需在vCenter中预先配置强密码策略。启用方法：进入DCUI界面选择"Configure Lockdown Mode"，适用于防止未授权密码修改，与强密码策略形成双重保护。

1. 配置ESXi密码策略：通过vSphere Client或Host Client进入主机设置，在‘安全配置文件’中启用并定义密码复杂度规则（如最小长度8位，包含大小写、数字及特殊字符）。
2. 强制策略更新：通过ESXi Shell使用命令vim-cmd vimsvc/auth/update_password_policy设置密码历史记录、最大有效期（如90天）及失败锁定阈值。
3. 集成AD/LDAP认证：将ESXi加入域控，继承企业级密码策略，避免本地账户弱密码风险。
4. 定期审计：利用vCenter审计日志或PowerCLI脚本周期性检查用户密码状态，对不符合策略的账户执行强制重置。
5. 禁用默认账户：关闭非必要的服务账户（如root SSH登录），仅允许特权用户通过vCenter SSO管理主机。

在ESXi主机上确保强密码策略，可以通过vSphere Client进入主机设置，找到“安全配置文件”配置密码策略，比如设置最小长度、复杂度要求。另外，可以修改/etc/pam.d/passwd文件强制密码规则，比如添加类似“min=8,credit=-1”的参数。定期检查用户列表，结合域账户管理会更省事儿，还能用脚本定期扫一遍密码强度。

1. 配置本地密码策略：通过SSH登录ESXi主机，修改/etc/pam.d/passwd和/etc/pam.d/system-auth文件，添加minlen（最小长度）、ucredit（大写字母）、lcredit（小写字母）等参数。例如：password requisite pam_passwdqc.so retry=3 min=12,12,12,12,12 enforce=users。

2. 集成Active Directory：将ESXi加入AD域，利用Windows组策略强制密码复杂度要求。需注意ESXi对Kerberos票据缓存的兼容性问题，需定期同步策略。

3. 脚本化审计：编写PowerCLI脚本定期遍历所有ESXi主机，提取本地用户列表并通过正则表达式（如^(?=.*[A-Z])(?=.*[a-z])(?=.*\d)(?=.*[!@#$%]).{12,}$）校验密码是否符合规则。

4. 安全加固指南实践：启用账户锁定策略（esxcli system account lockout设置失败尝试次数和锁定时间），避免密码爆破攻击。

挑战：

• 版本兼容性：ESXi 7.0以上版本默认使用pam_passwdqc，而旧版本依赖pam_cracklib，需针对性适配规则语法。
• 配置持久化：主机升级或VIB更新可能重置/etc/pam.d/文件，需通过自定义镜像或Post-Update脚本固化策略。
• 服务账户风险：vCenter服务账户密码常被忽略，需单独纳入审计流程，并限制交互式登录权限。
• 回退机制：误配置可能导致SSH被锁定，需预先配置DCUI备用账户或IPMI带外管理通道。

1. 通过vSphere Client或SSH登录ESXi主机，执行 esxcli system security account passwordpolicy set --min-length=8 --min-uppercase=1 --min-lowercase=1 --min-digit=1 --min-special=1 --max-repeat=3 设置密码复杂度。
2. 修改 /etc/pam.d/passwd 文件，添加 password requisite pam_passwdqc.so enforce=users retry=3 min=disabled,disabled,8,7,7 强制密码策略。
3. 使用 chage -M 90 -m 1 -W 7 <user> 配置密码有效期及提醒，执行 pwsh -c 'Get-VMHostAccount | Set-VMHostAccount -Password (Read-Host -AsSecureString)' 重置弱密码用户。
4. 启用syslog审计，通过 vim-cmd vmon/service/list 确认auditd服务运行，监控密码变更事件。

为确保ESXi主机上的所有用户密码符合强密码策略，可通过以下步骤实施：

1. 配置本地密码策略：通过SSH登录ESXi主机，修改/etc/pam.d/passwd文件，添加密码复杂度规则（如minlen=12、dcredit=-1等），并重启vmacore服务生效。
2. 集成外部认证源：将ESXi加入Active Directory或LDAP，继承域控的强密码策略（如最长使用期限、历史密码记忆等）。
3. 使用PowerCLI自动化检查：编写脚本定期扫描本地用户，验证密码是否符合策略（如Get-VMHostAccount结合密码审计工具）。
4. 启用ESXi Lockdown模式：限制直接root访问，强制通过vCenter进行账户管理，结合vCenter的密码策略插件强化控制。
5. 定期审计与强制重置：通过vSphere Client或API强制用户定期更改密码，使用日志分析工具（如vRealize Log Insight）监控异常登录行为。 注意：需在变更前备份ESXi配置，并验证策略与业务兼容性。