如何限制 ESXi 中的远程控制访问权限？

为限制ESXi中的远程控制访问权限，建议采用以下方法：1. 用户权限管理：通过vSphere Client/Host Client分配最小权限角色，仅允许必要用户访问。禁用或限制root账户远程登录，改用普通账户并配置sudo权限。2. 网络隔离：在ESXI防火墙中仅允许vSphere管理网络（TCP 443）的特定IP段访问，关闭SSH、ESXi Shell等非必需服务。通过物理防火墙/VLAN划分隔离管理网络。3. 服务管控：通过vim-cmd hostsvc/autostartmanager/update_autostartentry命令禁用非关键服务，启用SSH登录超时（/etc/ssh/sshd_config添加ClientAliveInterval）。4. 启用锁定模式：通过vCenter启用Lockdown Mode，强制所有操作需通过vCenter完成。5. 审计日志：配置syslog转发并监控/var/log/hostd.log中的远程连接记录。补充措施建议配置双向证书认证，并通过vCenter增强的vSphere Authentication Proxy集成AD/LDAP进行集中认证。

1. 登录ESXi主机vSphere Client，进入"主机" > "管理" > "服务"，禁用SSH（TSM-SSH）和ESXi Shell（TSM）服务。
2. 通过控制台运行vim-cmd hostsvc/enable_ssh false和vim-cmd hostsvc/enable_esx_shell false命令强制关闭远程服务。
3. 在"安全配置文件"中配置防火墙规则，仅允许vCenter或指定IP通过443/902端口访问。
4. 启用AD/LDAP集成，在"权限"选项卡限制root账户远程登录，仅授权必要运维组。
5. 启用ESXi lockdown mode：esxcli system settings advanced set -o /UserVars/UserVars.HostClientCEIPOptIn -i 2，禁止直接SSH管理操作。