在管理 vCenter 时,了解其默认的本地账户及其作用至关重要。
VCSA 通过内置多个服务账户(service accounts)实现服务隔离,每个账户都扮演着特定的角色,确保系统的稳定与安全。熟悉这些账户的配置和管理方式,有助于管理员更好地把控系统安全,并能够为安全审计和合规性检查提供可靠的支持。比如去判断哪些账号是vCenter系统自带的,哪些是用户自行创建的。
查看这些账号的方式: 进入vCenter – Menu – Administration – Users and Groups
然后domain选localos, 这个localos其实就是VCSA内部的账号。
本文将详细介绍 vCenter(VCSA) 中的默认本地账户及其管理方式,帮助您提升系统的安全性并确保符合最佳实践。
vCenter Server Appliance 中的服务账户
在 vCenter Server Appliance(VCSA)中,为了提高安全性和隔离性,采用了多个服务账户。这些账户用于不同的服务和功能模块,每个服务账户的权限和角色都经过严格设计,以确保 vCenter 的正常运行。需要注意的是,这些账户是系统要求的,无法删除。
密码管理和安全性
在这些账户中,只有 root 账户设置了密码。这个密码并不是系统的“默认密码”,而是在安装过程中由管理员指定的。其他服务账户默认情况下没有设置密码,且没有密码更改的自动机制。
尽管可以通过产品的用户界面(UI)和 API 手动或程序化地更改本地账户的密码,但 VMware 推荐将这些账户保持锁定状态。锁定账户的过程遵循 UNIX 标准,即通过在 /etc/shadow
文件中将密码替换为与 SHA512 哈希值不兼容的值(如 ‘x’、’!’ 或 ‘*’)来实现账户锁定。
vCenter默认账号列表和作用(适用vCenter Sever 7 和 8)
- analytics – 用于 vCenter 内的分析服务,负责收集和处理数据。
- apache – 与 Apache Web 服务器相关,负责提供 Web 应用程序。
- bin – 标准的系统二进制文件目录账户,通常由系统实用工具和可执行文件使用。
- certauth – 管理 vCenter 中 SSL 证书的功能,用于安全通信。
- certmgr – 处理 SSL/TLS 证书的管理和处理。
- cis-license – 负责管理 vCenter 的许可服务。
- content-library – 用于管理内容库功能(例如虚拟机模板、ISO 文件等)。
- daemon – 标准的 Unix 系统账户,用于后台进程。
- deploy – 负责虚拟机或应用的部署任务。
- dnsmasq – 提供 DNS 和 DHCP 服务,常用于网络管理。
- eam – 表示“Elastic Distributed Messaging”,用于 vCenter 中的消息传递和事件管理。
- envoy – 与 Envoy 代理服务相关,用于流量管理。
- envoy-hgw – 可能与 Envoy 网关相关,负责处理特定的代理和流量管理功能。
- envoy-sidecar – 与 Envoy Sidecar 代理相关,通常用于微服务架构中,管理服务间的通信。
- hvc – 代表 vCenter 服务器本身,通常用于高可用性配置。
- idmservice – 用于身份管理服务(Identity Management)。
- imagebuilder – 与映像构建相关的服务,用于创建和管理虚拟机映像。
- infraprofile – 用于基础设施配置文件管理。
- lighttpd – 轻量级的 Web 服务器,用于提供 vCenter 服务。
- lookupsvc – 与服务发现和目录服务相关的组件。
- messagebus – 负责处理消息传递和事件流。
- named – 与 DNS 服务相关,用于域名解析。
- netdumper – 与网络数据转储和分析相关的服务。
- nobody – 通常用于没有特定用户权限的进程或服务。
- ntp – 网络时间协议 (NTP),用于同步服务器时间。
- observability – 用于观察和监控 vCenter 服务的健康状况和性能。
- perfcharts – 处理性能图表数据和图形显示。
- pod – 可能与容器或 Kubernetes 中的 Pod 相关。
- postgres – PostgreSQL 数据库服务账户,vCenter 使用 PostgreSQL 作为后台数据库。
- pschealth – 与系统健康监控相关的服务。
- rhttpproxy – 处理 HTTP 请求的反向代理服务。
- root – 管理员账户,具有最高权限。
- rpc – 用于远程过程调用(RPC)的服务账户。
- sca – 安全性相关的服务账户,可能用于处理加密或身份验证。
- smmsp – 电子邮件处理服务,用于传递系统邮件。
- sps – 安全策略服务相关的账户。
- sshd – 与 SSH 远程登录服务相关。
- sso-user – 单点登录 (SSO) 用户,负责身份验证。
- sts – 与安全令牌服务(STS)相关,用于安全通信和授权。
- systemd-bus-proxy – 与 systemd 系统管理器相关,用于进程间通信(D-Bus)。
- systemd-journal-gateway – 用于访问和查看 systemd 日志的 Web 服务。
- systemd-journal-remote – 远程日志收集和查看功能。
- systemd-journal-upload – 上传 systemd 日志的功能。
- systemd-network – 与网络管理相关的 systemd 服务。
- systemd-resolve – 用于 DNS 解析的 systemd 服务。
- systemd-timesync – 用于时间同步的 systemd 服务。
- tftp – 用于 TFTP 协议的服务。
- topologysvc – 与网络拓扑和配置管理相关的服务。
- trustmanagement – 管理信任关系和安全策略。
- updatemgr – 用于管理更新和修补程序的服务。
- vapiEndpoint – 与 VMware API 相关的服务,处理 API 调用。
- vdtc – 可能与 VMware 的某个技术组件相关。
- vlcm – VMware Lifecycle Management 组件,用于管理产品生命周期。
- vmafdd-user – 可能与 VMware 高可用性服务(如 vSphere HA)相关的账户。
- vmcad-user – 与 vCenter 的配置管理相关的账户。
- vmcam – 监控、管理或配置服务相关
- vmdird – VMware 目录服务,处理身份验证和目录管理。
- vmonapi – vCenter 监控 API 服务,用于获取监控数据。
- vpgmonusr – 与某种监控系统或服务相关的用户账户。
- vpostgres – 用于 PostgreSQL 数据库的账户,vCenter 使用 PostgreSQL。
- vpxd – vCenter Server 核心服务账户。
- vpxd-svcs – vCenter Server 服务账户,用于后台服务的操作。
- vsan-health – 与 vSAN 健康监控相关的服务账户。
- vsm – 与 VMware vSphere Metro Storage Cluster (vMSC) 相关的服务账户。
- vsphere-ui – vSphere 用户界面服务,负责 Web 界面的呈现。
- vstatsuser – 与 vCenter 统计数据相关的账户。
- vtsdbmonusr – 与数据库监控相关的服务账户。
- vtsdbuser – 用于访问数据库的服务账户。
- wcp – 与 Kubernetes 工作负载管理相关的账户。
深入了解 vCenter(VCSA) 的默认本地账户及其管理方式,不仅有助于更好地理解系统架构和服务隔离,还能够提升系统的整体安全性。通过有效管理和锁定这些账户,可以显著减少潜在的安全风险。此外,熟悉这些账户的配置与密码管理策略,也为进行安全审计和合规性检查提供了必要的基础,确保系统符合最佳安全实践。