ESXi 如何防止被暴力破解攻击？

针对ESXi主机防御暴力破解攻击的实践经验及挑战如下：

核心防护措施

1. 服务最小化原则：关闭SSH、DCUI等非必要服务，通过vSphere Client启用ESXi防火墙，仅开放443、902等管理端口，并配置IP白名单（如vSphere标准交换机ACL规则）。
2. 账户安全加固：禁用root远程登录，创建独立管理账户并赋予最小权限；启用密码复杂度策略（通过/etc/pam.d/passwd配置密码长度、混合字符），设定90天强制更换周期；配置账户锁定策略（如5次失败登录锁定300秒，通过ESXi Host Client的Advanced Settings设置Security.AccountLockFailures参数）。
3. 网络隔离：管理流量与虚拟机流量分离，使用独立vSwitch划分VLAN；通过物理防火墙限制源IP段，结合Jump Server实现零信任访问。

进阶防护方案

• 日志溯源：配置ESXi syslog定向至外部SIEM系统（如Graylog），设置实时告警规则（例如10分钟内同一IP触发5次锁定事件），结合IP信誉库自动封禁恶意IP。
• 证书替代密码：部署VMCA或第三方CA签发证书，启用ESXi主机证书认证（通过Host Profiles统一推送），减少密码爆破风险。
• API管控：限制PowerCLI/REST API调用频率，启用vCenter的API网关进行请求鉴权与流量整形。

实践挑战

1. 业务连续性冲突：生产环境无法停机修复CVE-2021-21974等漏洞时，需临时启用esxcli network firewall ruleset set -r httpClient -e 0关闭VMRC端口，同时承受短暂暴露风险。
2. 自动化运维适配：Ansible等工具因账户锁定策略导致部署失败，需在剧本中集成vSphere API解锁机制或采用证书认证。
3. 异构环境治理：混合vSphere 6.5/7.0集群中，旧版ESXi不支持TLS 1.2强制策略，需定制ESXCLI脚本批量修改/etc/vmware/ssl/config.xml配置文件。
4. 供应链攻击防御：第三方OVF模板携带弱密码账户，建立模板安全审查流程，部署前强制调用PowerCLI脚本重置密码（Set-VMHostAccount -UserAccount）。

有效性验证 通过Metasploit模块（auxiliary/scanner/vmware/esxi_login）模拟攻击，实测账户锁定策略生效时间需精确到秒级（部分ESXi 7.0 U3版本存在策略延迟漏洞），最终防御效果应达到每小时允许最大错误尝试次数≤20次/账户。

1. 改默认账号，别用root登录；2. 设复杂密码+定期改密码；3. 开防火墙，只允许固定IP访问管理端口；4. 开启账户锁定策略，输错密码就锁一会儿；5. 关掉SSH和Shell闲置访问，用完立马关；6. 升级到最新版本，补丁别拖延；7. 有条件上VPN或双因素认证，再加层保险。

1. 强化账户安全：禁用默认账户（如root），启用复杂密码策略，定期更换密码。
2. 限制访问IP：通过ESXi防火墙或外部设备仅允许可信IP访问管理端口（443）。
3. 启用账户锁定：配置锁定策略（如5次失败登录后锁定15分钟）。
4. 关闭非必要服务：停用SSH、Shell等服务，需要时临时开启。
5. 使用双因素认证：集成RADIUS或AD域实现多因素验证。
6. 日志监控：定期检查/var/log/auth.log等日志，设置异常登录告警。
7. 更新补丁：及时升级ESXi版本，修复已知漏洞。
8. 网络隔离：将管理网络与业务网络分离，通过VPN或跳板机访问。

1. 加固账户策略

   • 禁用默认账户（如root），创建独立管理员账户，分配最小权限。
   • 启用ESXI本地密码策略，设置密码复杂度（长度≥12，含大小写/数字/符号）及90天更换周期。

2. 网络访问控制

   • 配置防火墙规则仅允许可信IP段访问ESXi管理端口（默认443/TCP）。
   • 修改SSH服务默认端口，通过esxcli system ssh server set --port=新端口实现。

3. 双因素认证（2FA）

   • 集成RADIUS或Active Directory，启用TOTP认证（如Google Authenticator）。

4. 账户锁定机制

   • 通过esxcli system security accountlockoutpolicy set --maxfailures=3 --unlocktime=900限制：3次失败登录后锁定账户15分钟。

5. 日志监控与告警

   • 配置syslog转发至SIEM系统，设置实时告警规则（如5分钟内≥5次失败登录）。

6. 服务最小化

   • 日常关闭SSH/Shell服务，仅在维护时通过vSphere Client临时启用。

7. 补丁管理

   • 通过vLCM（vSphere Lifecycle Manager）每月检查安全更新，优先修补CVSS≥7.0的漏洞。

8. 证书强化

   • 替换VMware默认证书，采用企业CA签发证书，设置1年有效期并启用证书吊销检查。

为防御ESXi暴力破解攻击，建议采取以下综合措施：

1. 网络隔离：限制vSphere管理界面仅允许可信IP或VPN访问，禁用非必要服务端口（如SSH）；
2. 账户加固：启用多因素认证（MFA），配置ESXI本地账户锁定策略（如esxcli system security accountlockout set），禁用默认账户；
3. 日志监控：通过syslog集中收集/hostd日志，设置异常登录告警阈值；
4. 补丁管理：及时升级ESXi至最新版本，修复CVE漏洞；
5. 纵深防御：在物理层部署防火墙ACL策略，结合vSphere硬ening指南禁用Web Client等冗余接口。