ESXi預設本地使用者介紹

2021-07-25 04:24:56 字數 2480 閱讀 2957

nfsnobody使用者

該使用者可以在需要的時候**nfs儲存的驗證賬戶,在老版本的esx和esxi上,該賬戶被命名為vimuser

目前的esxi平台比之前版本的esx和esxi程式都小很多,root group包括root user ,daemon組織包括daemon使用者,users和nfsnobody使用者組預設為空

除了nfsnobody賬戶,其它的預設賬戶都esxi必須的賬戶,新使用者非必要情況都不用新增。

daemon使用者

daemon賬戶是esxi服務守護賬戶,它是非互動的。

root 使用者

root 使用者是系統最高許可權的使用者,只能在其登入的特定主機上執行操作。

為安全起見,您可能不想以管理員角色使用 root 使用者。在這種情況下,您可以在安裝後更改許可權,以使 root使用者不再具有管理特權。或者,您也可以移除 root 使用者的訪問許可權。(不要移除 root 使用者本身。)

重要事項

如果您要移除 root 使用者的訪問許可權,則必須首先在 root 級別建立另乙個許可權,以便向另一使用者分配管理員角色。

在 vsphere 5.1 中,僅允許 root 使用者向 vcenter server 中新增主機,其他具有管理員許可權的使用者均無此許可權。向另乙個使用者分配管理員角色有助於通過可跟蹤性維護安全。vsphere client 將管理員角色使用者啟動的所有操作記錄為事件,並為您提供審核記錄。如果所有管理員均以 root 使用者身份登入主機,則不能分辨某項操作是哪個管理員執行的。如果在 root 級別建立了多個許可權,而且每個許可權均與不同的使用者相關聯,則可對每個管理員的操作進行跟蹤。

vpxuser使用者

當 vcenter server 管理主機活動時,它使用 vpxuser 許可權。

當esxi主機連線vcenter時,esxi主機會建立乙個非常重要的vpxuser使用者。 vcenter server 對其管理的主機擁有管理員特權。例如,vcenter server 可將虛擬機器移至和移離主機,並執行支援虛擬機器所必需的配置更改。

vcenter server 管理員可在主機上執行可以由 root 使用者執行的大多數任務,並排程任務和處理模板等。但是,vcenter server 管理員不能為主機直接建立、刪除或編輯使用者和組。這些任務只能由具有管理員許可權的使用者直接在每個主機上執行。

要提高 esxi 主機的安全性,可以將其置於鎖定模式。

啟用鎖定模式時,除 vpxuser 以外的任何使用者都沒有身份驗證許可權,也無法直接對主機執行操作。鎖定模式將強制所有操作都通過 vcenter server 執行。當主機處於鎖定模式時,您無法從管理伺服器、指令碼或 vma 針對主機執行 vsphere cli 命令。外部軟體或管理工具可能無法從 esxi 主機檢索或修改資訊。

密碼策略

將某個主機新增到 vcenter server 清單中時,vcenter server 會在該主機上建立稱為 vpxuser 的特殊使用者帳戶。vpxuser 是特權帳戶,用作通過 vcenter server 啟動的所有操作的**。確保 vpxuser 密碼的預設設定符合您組織密碼策略的要求。

預設情況下,vcenter server 使用 openssl 密碼庫作為隨機**,每 30 天生成乙個新的 vpxuser 密碼。密碼長度為 32 個字元,且必須至少包含乙個屬於以下四個字元類別的符號:符號 (-./:=@^_{}~)、數字 (1-9)、大寫字母和小寫字母。確保密碼定期過期可限制 vpxuser 密碼受到影響時可由攻擊者使用的時間長度。

為了防止出現 vcenter server 被鎖在 esxi 主機外的可能性,密碼時效策略限定的時間不得短於設定為自動更改 vpxuser 密碼的時間間隔。

步驟1 要更改密碼長度策略,請編輯執行 vcenter server 的系統上 vcenter server 配置檔案中的

vpxd.hostpasswordlength 引數。

作業系統 預設位置

virtualcentervpxd.cfg

linux /etc/vmware-vpx/vpxd.cfg

2 要更改密碼時效要求,請使用 vsphere web client 中的「高階設定」對話方塊。

a 在 vsphere web client 清單中,瀏覽到 vcenter server 系統。

b 依次單擊管理選項卡和設定。

c 選擇高階設定,然後找到 virtualcenter.vimpasswordexpirationindays 引數。

3 重新啟動 vcenter server。

注意不能使用 active directory 管理 vpxuser。

不要以任何方式更改 vpxuser。不要更改其密碼。不要更改其許可權。如果進行了更改,在通過 vcenter server處理主機時可能會出現問題。

dcui 使用者

直接控制台使用者介面 (dcui) direct console user inte***ce。

dcui 使用者以管理員許可權在主機上操作。此使用者的主要目的是從直接控制台使用者介面 (dcui) 配置鎖定模式的主機。

此使用者將充當直接控制台的**,無法由互動式使用者來修改或使用。

備註:

ESXi預設本地使用者介紹

nfsnobody使用者 該使用者可以在需要的時候 nfs儲存的驗證賬戶,在老版本的esx和esxi上,該賬戶被命名為vimuser 目前的esxi平台比之前版本的esx和esxi程式都小很多,root group包括root user daemon組織包括daemon使用者,users和nfsno...

WMI技術介紹和應用 查詢本地使用者和組

本文使用了 wmi技術介紹和應用 使用vc編寫乙個半同步查詢wmi服務的類 中 做為基礎。本節只是列出了wql語句,具體使用參看前面的例子。本文主要介紹win32 group和win32 useraccount類。如何使用wmi列舉所有的組內賬戶資訊?select from win32 group這...

WMI技術介紹和應用 查詢本地使用者和組

本文使用了 wmi技術介紹和應用 使用vc編寫乙個半同步查詢wmi服務的類 中 做為基礎。本節只是列出了wql語句,具體使用參看前面的例子。本文主要介紹win32 group和win32 useraccount類。如何使用wmi列舉所有的組內賬戶資訊?select from win32 group這...