Я не смог найти никаких документов о том, как включить защиту от перебора паролей для гипервизора ESXi (включая SSH).
Большинство моих серверов Linux блокируют IP-адреса, которые пытаются войти в систему более X раз с неправильным именем пользователя/паролем. Есть ли что-то подобное для ESXi?
решение1
Функциональность, о которой вы говорите, чаще всего реализуется дополнениями типа fail2ban. Это недоступно или уже не встроено в ESXi.
Однако ESXi 6.0 ввел блокировку учетной записи root после слишком большого количества неудачных попыток входа в систему. Не то же самое, но определенно лучше, чем ничего: http://pubs.vmware.com/vsphere-60/index.jsp#com.vmware.vsphere.security.doc/GUID-DC96FFDB-F5F2-43EC-8C73-05ACDAE6BE43.html
В любом случае, вам действительно не следует подключать интерфейс управления хоста ESXi напрямую к Интернету - и вам следует включать доступ SSH только временно, когда это необходимо. Использование встроенного брандмауэра ESXi - еще один вариант ограничения доступа.
решение2
Я согласен с @EEAA, никогда не следует предоставлять доступ к интерфейсу управления ESXi через Интернет или любую другую незащищенную сеть.
При этом ESXi имеет хостовый брандмауэр, который можно настроить так, чтобы ограничить доступ с IP-адресов, отличных от указанных вами.
решение3
В vsphere есть брандмауэр, который может разрешить доступ только с определенного IP-адреса, но он не так хорош, как fail2bin. Слишком много неудачных тестов на вход в систему заблокируют всех пользователей. Это совсем нехорошо, это также не позволит обычным пользователям использовать веб-управление.