文档章节

VMware ESXi系统安全配置规范

ali安东尼
 ali安东尼
发布于 2017/08/17 16:19
字数 1574
阅读 12
收藏 0

1.1.1适用范围 本规范适用于VMWare vSphere云计算操作系统,涵盖了虚拟主机、ESX/ESXi主机、虚拟网络、vCenter等组件。本规范明确了VMware vSphere安全配置方面的基本要求,适用于所有安全等级。 由于版本不同,配置操作有所不同,本规范以VMware ESXi6为例,给出参考配置操作。 本文从《VMware ESXi系统安全配置规范—虚拟主机》开讲 1.1.2关键词 下列缩略语适用于本标准: AD Active directory 活动目录 API Application Program Interface 应用程序编程接口 CHAP Challenge Handshake Authentication Protocol 质询握手认证协议 DCUI Direct Control User Interface 直接控制台用户接口 MAC Media Access Control 物理介质访问地址 NFC Network File Copy 网络文件复制 NTP Network Time Protocol 网络时间协议 PowerCLI Powershell Command Line Interface Powershell命令行接口 SNMP Simple Network Management Protocol 简单网络管理协议 SSH Secure Shell 安全外壳 SSL Security Sock layer 安全套接层 vCLI vSphere Command Line Interface vSphere命令行接口 VLAN Virtual Local Area Network 虚拟局域网 VM Virtual Machine 虚拟机 VMCI Virtual Machine Communication Interface 虚拟机通信接口 VMM Virtual Machine Monitor 虚拟机监视器 VMX Virtual Machine eXecutable 虚拟机执行文件 1.1.3安全配置要求 1.1.3.1虚拟主机 1.1.3.1.1删除软盘、USB、串口等不必要的设备

名称 删除软盘、USB、串口等不必要的设备 实施内容 通过禁用不必要的系统组件并不需要支持系统上运行的应用程序或服务,可以减少被攻击途径。虚拟机通常不要求尽可能多的服务或功能,作为普通的物理服务器在虚拟化时,应该评估特定服务或功能是否真正需要。在一个虚拟机上运行的任何服务,提供了更多潜在的攻击途径。 问题影响 在一个虚拟机上运行的任何服务,提供了更多潜在的攻击途径 操作指南 参考配置操作:

Remove all Floppy drives attached to VMs (must poweroff)

Get-VM * | Get-FloppyDrive | Remove-FloppyDrive

Remove all CD/DVD Drives attached to VMs

Get-VM * | Get-CDDrive | Remove-CDDriver

Remove all USB Devices attached to VMs

Get-VM * | Get-USBDevice | Remove-USBDevice

回退方案: 恢复相关设置

补充操作说明: 若需要删除特定虚机,则*填写该虚机名 检测方法 检测操作: 虚机VMX配置文件中: floppyX.present=not present or FALSE usb.present=not present or FALSE ideX:Y.present=not present or FALSE 删除软盘、USB、串口等不必要的设备后,在虚机内部无法发现相关设备信息信息

补充说明:

Check for Floppy Devices attached to VMs

Get-VM | Get-FloppyDrive | Select Parent, Name, ConnectionState

Check for CD/DVD Drives attached to VMs

Get-VM | Get-CDDrive | Select Parent, Name, ConnectionState

Check for USB Devices attached to VMs

Get-VM | Get-USBDevice | Select Parent, Name, ConnectionState

1.1.3.1.2禁止VM-to-VM间VMCI通信

名称 禁止VM-to-VM间VMCI通信 实施内容 如果不限制接口,一个虚拟机可以检测或被检测到在同一台主机内启用其他所有其他虚拟机。这可能是预期的行为,但能有意想不到的定制软件的漏洞可能潜在导致漏洞。此外,它可能导致VM可检测多少其他虚拟机在注册同一ESXi系统。此信息可能也有用于潜在恶意的目标。默认情况下,设置为FALSE。 问题影响 此信息可能也有用于潜在恶意的目标 操作指南 参考配置操作:

Add the setting to all VMs

Get-VM * | Set-VMAdvancedConfiguration -key "vmci0.unrestricted" -value $false

回退方案: 无

补充操作说明: 若需要删除特定虚机,则*填写该虚机名 检测方法 检测操作:

List the VMs and their current settings

Get-VM | Select Name, @{N="Setting";E={($_ | Get-VMAdvancedConfiguration -key "vmci0.unrestricted").Value }}

补充说明: 虚机VMX配置文件中vmci0.unrestricted=FALSE

1.1.3.1.3通过VMsafe APIs控制对虚拟机的访问

名称 通过VMsafe APIs控制对虚拟机的访问 实施内容 VMsafe CPU /内存API允许安全监控虚机对其他被保护的虚机进行内存和CPU的安全检查和内容修改,目的用于检测和阻止恶意软件攻击。但是,攻击者可能通过使用这种通道危及业务虚拟机。因此,你应该监视未经授权的使用这个API。必须配置一个虚拟机,明确接受VMsafe的CPU /内存API的访问。这涉及到三个参数:一个启用的API,还有vSwitch上使用的安全性虚拟设备设置的IP地址和一个端口号。如果虚拟机会被保护,那么确保后两个参数设置是否正确。 问题影响 安全隐患 操作指南 参考配置操作: 第三方防火墙和防病毒设备根据虚拟机安全保护策略,通过VMsafe API自动配置相关信息。

回退方案: 无

补充操作说明: 只有当使用了第三方防火墙和防病毒设备,vmsafe.enable=TRUE 检测方法 检测操作:

List the VMs and their current settings

Get-VM | Select Name, @{N="Setting";E={($_ | Get-VMAdvancedConfiguration -key "vmsafe.agentAddress").Value }}

List the VMs and their current settings

Get-VM | Select Name, @{N="Setting";E={($_ | Get-VMAdvancedConfiguration -key "vmsafe.agentPort").Value }}

List the VMs and their current settings

Get-VM | Select Name, @{N="Setting";E={($_ | Get-VMAdvancedConfiguration -key "vmsafe.enable").Value }}

补充说明: 虚机VMX配置文件中 vmsafe.enable=FALSE or not present vmsafe.agentAddress=not present, or site-specific vmsafe.agentPort=not present, or site-specific

1.1.3.1.4限制发送宿主机信息到虚拟机 名称 限制发送宿主机信息到虚拟机 实施内容 如果启用,虚拟机可以得到的物理主机的详细信息。参数的默认值是FALSE。此设置不应该是TRUE,除非一个特定的虚拟机需要该信息用于性能监控。攻击者可能使用此信息,对主机进行进一步攻击上。 问题影响 攻击者可能使用此信息,对主机进行进一步攻击上。 操作指南 参考配置操作:

Add the setting to all VMs

Get-VM * | Set-VMAdvancedConfiguration -key "tools.guestlib.enableHostInfo" -value $false

回退方案: 无

补充操作说明: 若需要删除特定虚机,则*填写该虚机名 检测方法 检测操作:

List the VMs and their current settings

Get-VM | Select Name, @{N="Setting";E={($_ | Get-VMAdvancedConfiguration -key "tools.guestlib.enableHostInfo").Value }}

补充说明: 虚机VMX配置文件中tools.guestlib.enableHostInfo=FALSE

由睿江云运维人员提供,想了解更多,请登陆www.eflycloud.com

© 著作权归作者所有

ali安东尼
粉丝 3
博文 192
码字总数 173101
作品 0
广州
私信 提问
ESXi 安全实验室

*本文由IDF实验室志愿者成敬伯翻译,原文来自美国一位信息安全研究员及顾问的博客Proactive Defense。 去年(2011年)年底,我着手搭建一个新的虚拟化平台作为个人安全实验室。自从微软公司的...

首席安全砖家
2013/06/18
6.3K
5
VMware vSphere API开发(一)---vSphere 体系核心概念

1、VMware SDDC VMware 软件定义数据中心(software defined dataCenter,SDDC),包括了从最底层的VMware vSphere、软件定义存储、软件定义网络、云计算平台等多个组件。VMware vSphere是业界...

ys-fullStack
08/10
0
0
Vmware vSphere 5.0系列教程之二 Vmware vSphere 5.0安装

前面我们简单介绍了vmware vSphere 5.0,接下来,我们开始下载安装ESXi 5,下载地址为http://downloads.vmware.com/d/info/datacentercloudinfrastructure/vmwarevsphere/50,您可能需要注册...

问天123
2012/06/20
206
0
利用ESXI-Customizer制作定制化的ESXI

在笔者的上篇博客中(如何为ESXI安装网卡驱动 )谈到了如何为ESXI安装ESXI镜像不包含的网卡镜像,虽然操作起来很简单;但是也有其弊端,必须打开ESXI主机的Shell,而且这也不利于大批量,如果在...

青枫口
2018/06/26
0
0
如何在 VMware ESXi 虚拟机上运行 KVM

记得以前就有人问过 “能不能在一个虚拟机上运行虚拟机”,答案当然是可以的,Xen HVM, KVM, VMware, Qemu 等 Hypervisor 都可以这样嵌套虚拟,不过由于性能低下实际用处不大。在 VMware ESX...

鉴客
2012/03/10
973
0

没有更多内容

加载失败,请刷新页面

加载更多

代理模式之JDK动态代理 — “JDK Dynamic Proxy“

动态代理的原理是什么? 所谓的动态代理,他是一个代理机制,代理机制可以看作是对调用目标的一个包装,这样我们对目标代码的调用不是直接发生的,而是通过代理完成,通过代理可以有效的让调...

code-ortaerc
今天
5
0
学习记录(day05-标签操作、属性绑定、语句控制、数据绑定、事件绑定、案例用户登录)

[TOC] 1.1.1标签操作v-text&v-html v-text:会把data中绑定的数据值原样输出。 v-html:会把data中值输出,且会自动解析html代码 <!--可以将指定的内容显示到标签体中--><标签 v-text=""></......

庭前云落
今天
8
0
VMware vSphere的两种RDM磁盘

在VMware vSphere vCenter中创建虚拟机时,可以添加一种叫RDM的磁盘。 RDM - Raw Device Mapping,原始设备映射,那么,RDM磁盘是不是就可以称作为“原始设备映射磁盘”呢?这也是一种可以热...

大别阿郎
今天
12
0
【AngularJS学习笔记】02 小杂烩及学习总结

本文转载于:专业的前端网站☞【AngularJS学习笔记】02 小杂烩及学习总结 表格示例 <div ng-app="myApp" ng-controller="customersCtrl"> <table> <tr ng-repeat="x in names | orderBy ......

前端老手
昨天
16
0
Linux 内核的五大创新

在科技行业,创新这个词几乎和革命一样到处泛滥,所以很难将那些夸张的东西与真正令人振奋的东西区分开来。Linux内核被称为创新,但它又被称为现代计算中最大的奇迹,一个微观世界中的庞然大...

阮鹏
昨天
20
0

没有更多内容

加载失败,请刷新页面

加载更多

返回顶部
顶部