本節書摘來自華章出版社《虛拟化安全解決方案》一書中的第2章,第2.2節,作者[美]戴夫·沙克爾福(dave shackleford),更多章節内容可以通路雲栖社群“華章計算機”公衆号檢視
今天,vmware有兩種廣泛使用的主要管理程式平台。舊版平台esx大部分被新的esxi(表示嵌入式/可安裝的esx)替代。esx比esxi有更大的占有率,在被認為恰當地加強之前,它需要大量的配置。多數企業組織已經遷移到esxi,或正在遷移的過程中,是以,我們這裡将關注更新的平台。鎖定esxi的多數配置控制都能應用于esxi的第4版和第5版,我将盡力在合适的地方指出它們的不同。
經常給你的管理程式平台打更新檔應該被認為是最關鍵的安全操作之一。在vmware平台上發現了許多重大的漏洞,經常給你的系統打更新檔是讓它們不受傷害的最好方法。
有一些常用的系統打更新檔的方法,但管理者應該意識到vmware僅為它自己的平台提供真正的更新檔程式。換句話說,如果你已經有一個更新檔管理基礎設施,那麼它可能對esxi打更新檔不管用。vmware提供了管理更新檔的許多産品。但是,如果你在一個非常小的環境中工作,你可以在指令行使用腳本工具打更新檔,這些内容我将在本章後面的“通過指令行打更新檔”部分講解。但是,多數組織希望有一個更具擴充性的解決方案。
vmware go
在2011年,vmware收購了更新檔管理提供商shavlik,從此獲得了它的技術,提供vcenter protect和vmware go産品。兩者都是獨立的産品,主要服務于中小型企業(smb)市場。
vmware go是基于雲的服務,它使小型組織能夠通過建立一個中央管理系統(例如管理者的工作站)削減他們的營運費用,中央管理系統通過與vmware雲通信給主機和虛拟機掃描和打更新檔。一旦登入,管理者可以通過ip範圍、主機名、域名或組掃描他們的本地環境,向這些系統推送更新檔。從那裡,一個簡單的内置服務台票務系統可被用于指定更新檔,并給各種組或人更新任務。在go庫中一個完整的更新檔管理程式看起來就像這樣。
多數組織使用vmware更新管理器(vmware update manager,vum)給esxi系統打更新檔。vum可以使打更新檔和更新過程自動化、簡單化。使用vum,你可以僅控制打更新檔的操作周期的各個方面。
例如,vum已經可以支援叢集;所有叢集成員均可以評估資源可用性,把主機轉入維護模式打更新檔(這表示所有虛拟機需要遷移到其他叢集成員)。一旦完成資源評估,想打更新檔的叢集成員将處于維護模式,虛拟機将遷移到其他成員,你就可以開始打更新檔。你可以給所有叢集成員打更新檔,或是僅用vum給特定管理程式打更新檔。在叢集主機上,某些服務可以關閉或扔在一邊。如果由于某些原因第一次打更新檔失敗,可以有計劃地
重試。
在esxi5版,vum也可以從多個源下載下傳更新檔,過濾出特定的更新,使得隻有與你環境相關的更新檔被下載下傳。vum可以從esx/esxi 4.x更新到5.x,更新vmware虛拟裝置(virtual appliance,va)和一些第三方産品,虛拟機vmware産品的更新可以預先設定。
安裝vum和它的vcenter插件超出了本書的範圍。斯科特勞所著的《精通vmware vsphere 5》(sybex,2011)是個很好的資源。
1.?配置vum
配置vum是非常簡單的,有許多明确的打更新檔的最佳實踐。第一步是定義更新檔如何下載下傳和使用。這裡,你有兩個選擇:
通過網際網路直連下載下傳。
添加本地(内部)更新檔存儲庫。從存儲庫,你可以提供更新檔,将鏡像更新到主機。應該以這種方式分發這些更新檔和鏡像庫,以輕松地與主機通信,而不用跨廣域網或較慢的網絡連接配接,因為需要發送大量的資料。
選擇共享庫對大型、更加分布式的環境是最好的。一旦你制定了合理成熟的vmware平台的更新檔過程,使用共享庫是最安全的選擇,因為它給你提供了更多更新檔如何存儲和分發的控制。另一個主要優點是你的vcenter系統不會持續地查詢網上的vmware更新檔庫,當你有許多系統或一些系統根本不能通路網際網路的時候,這特别有用。
為了建立共享庫,你首先需要從vsphere安裝媒體中運作vmware-umds.exe檔案,安裝更新管理器下載下傳服務(umds)。然後你可以使用這個簡單指令行工具下載下傳所有更新檔和更新到中央庫,任何vcenter系統都可以通路它。
為了建立更新檔下載下傳或定義存儲庫、定義下載下傳和使用更新檔的任務計劃,可按照以下步驟:
1)通路vcenter控制台。選擇“解決方案和應用程式”,選擇“更新管理器”,選擇你的vcenter位置。
2)選擇配置标簽頁(在面闆的上面)。在左邊的列上單擊下載下傳設定。結果如圖2.2所示。
3)指定從哪裡下載下傳,這裡你有兩個選項:
單擊“direct connection to internet”單選按鈕,然後在右邊單擊添加下載下傳源,添加你想要的新的外部下載下傳源(確定它是你信任的源)。
對于大型的更加分布的選項,單擊“use a shared repository”單選按鈕,它允許你指定内部存儲庫。指定和驗證你的共享庫位置。
4)單擊“apply”按鈕,或單擊“download now”按鈕,立刻得到更新檔。
5)下一步是定期的任務計劃下載下傳。在左側的列中單擊下載下傳任務計劃。在任務計劃更新下載下傳視窗(見圖2.3),你可以指定一個任務名和描述、更新的頻率和時間,及電子郵件通知設定。
2.?定義基線配置檔案
配置更新的下一步是定義細粒度的基線配置檔案,包括關鍵和非關鍵的主機更新檔(這些是預定義的)以及共用的虛拟裝置的特定配置檔案。維護一套esxi鏡像來完成更新也是非常明智的。它們中的每個也應該有一個定義的基線配置檔案。
為了了解你得到的基線選項是什麼,讓我們看一個預定義的基線:
1)在螢幕上面更新管理器管理區選擇“基線群組”标簽頁。你将在視窗中看到兩個面闆。左邊的面闆是基線清單,右邊的面闆是基線組的清單。在左側面闆中,你也注意到了上面的兩個按鈕,一個用于主機,另一個用于虛拟機/虛拟裝置。預設情況下,你應該有兩個預設的定義的主機基線:關鍵主機更新檔和非關鍵主機更新檔。
2)輕按兩下關鍵主機更新檔基線,打開編輯基線視窗,第一屏提供了一些你能定義的選項:
因為是預定義的,是以基線名稱和描述已經填充了資料。
因為是預定義的,是以基線類型也是不能修改的,但是如果需要的話你可以建立你自己的。有一些主機基線類型供選擇:
主機更新檔:這個基線用于給管理程式主機打更新檔。
主機擴充:這個基線将安裝或更新主機上的附加軟體元件。
主機更新:這些基線包含一個鏡像檔案,它用于你想更新的從一個esx或esxi到另外一個版本的主機。
而且,你有另外一個稱為單選va基線的分類,即va更新。這個類别把更新應用于虛拟裝置,這些裝置可以是vmware和vmware認可的特定第三方提供商。
3)在這個例子中,主機更新檔基線類型已經被選中。請單擊“下一步”。
4)下一個界面允許你選擇更新檔選項。你有兩個選擇項可選擇:
固定的:這是一個嚴格定義的類型,它指定某些系列的更新檔,僅當管理者從清單中添加或删除的時候才變更。這個選項需要更多的管理介入,但保證永遠不會推送一個你不想要的更新檔。建議大多數環境使用它,因為這樣不會有任何不必要的風險。
動态的:動态更新檔允許你指定某種更新檔标準,vum遵守這些标準,符合标準的新更新檔被動态地添加到清單中。在某些環境中這可以加速打更新檔,但你首先必須小心地測試。我建議這種設定僅用在這樣的環境中,即速度更重要,且虛拟機管理程式配置是非常好了解的。而且,需要稍微高的風險容忍度,因為使用動态更新檔多數可能出錯。
關鍵更新檔預設設定是動态的。使用這種更新檔類型,你需要指定包含的标準,是以單擊“下一步”。
5)動态基線标準截屏(圖2.4)允許你指定更新檔的标準,包括供應商、産品、及更新檔嚴重程度和類型,及釋出日期資訊。完成後,單擊“下一步”。
6)下一個界面允許你明确地排除某些更新檔,為管理者提供了另一級别的粒度,控制推出什麼更新檔。單擊“下一步”。
7)最後的配置頁允許你在基線中包含額外的更新檔,可能是一個或若幹不滿足之前指定的标準的。再次,這就是在動态更新檔中允許更多的粒度。單擊“下一步”,出現總結頁,然後單擊“完成”。
相當直覺,不是嗎?建立你自己的基線是簡單的。右擊左側面闆的任何地方,選擇新基線。然後,你将看到我們剛才用過的相同的向導頁面。但你将注意到對于每個不同的基線類型是有些不同點的。
對于主機固定更新檔基線,你将僅從庫中選擇一個靜态的更新檔清單。
對于主機擴充基線,你将選擇一個擴充清單更新。
對于主機更新基線,你将選擇你想要用于更新的esx或esxi鏡像檔案。
這同樣也适用于va更新,僅你建立的供應商和特定産品的規則适用。對于虛拟機和虛拟裝置,有三種預定義的基線(它們不能被編輯):
vmware工具更新以比對主機。
虛拟機硬體更新以比對主機。
虛拟裝置(va)更新到最新。
是以,你怎麼樣決定使用哪個選項?下面是一些建議:
對于多數關鍵的主機,需要嚴格控制配置的一緻性,最好定義固定的主機更新檔基線,每個更新檔必須手動添加。
動态配置對于自動添加滿足規則的新更新檔到基線是有益的,但是如果沒有足夠的測試就部署,它們可以造成嚴重的破壞。動态基線的新過濾規則使控制包含哪個更新檔變得容易,是以可以極大地簡化較不重要主機的自動打更新檔。
另一個合理的實踐是定義多個更新檔庫,對特定鏡像和更新檔包的外部(例如vmware的網站)及本地庫。
3.?定義基線組
下一個重要的實踐是定義基線組。基線組到底是什麼呢?簡單!它們僅僅是你定義的可以同時應用的基線的組。例如,你可能有一個經常使用的定期動态打更新檔的基線,但是你每月一次從固定的組中使用特定的更新檔。這兩個過程可以被結合到一個能夠給你更多靈活性的基線組中。另一個選擇是将主機更新與更新檔相結合,還可以定義包含虛拟機或虛拟裝置更新的混合組。你僅需要決定什麼對你自己環境的各種主機組和虛拟機有意義。
為了定義基線組,遵從下面這些步驟:
1)登入到vcenter,轉到“更新管理器管理”頁面,單擊上面的“基線群組”标簽頁。
2)在右側的面闆中,要麼右擊任何位置,選擇“新基線組”,要麼單擊右上角的“建立”按鈕。
3)新基線組向導打開後,你需要選擇你想要的組類型——主機基線組或虛拟機和虛拟裝置基線組。填寫組名,單擊“下一步”。
4)對于主機組,下一步是選擇任何更新基線、更新檔基線,最後是擴充基線。對于虛拟機/虛拟裝置組,你将僅選擇定義的更新基線選項。
5)當你選擇這些(通過選擇複選框或選擇任何你想包含的基線旁邊的單選按鈕),你将在“準備完成”頁面結束定義操作,在這裡你可以單擊“完成”按鈕。最後的頁面例子如圖2.5所示,你可以看到它包含一個簡單的主機基線組、關鍵和非關鍵更新檔以及預設的安裝基線更新。
4.?其他vum設定
在vum的配置頁面,有許多你應該密切注意的設定:
網絡連接配接 這裡,你可以為客戶設定vum使用的連接配接端口,以及esx和esxi主機更新檔庫連接配接。你也可以設定更新檔庫的ip位址和主機名。
下載下傳設定 包括本章之前“配置vum”部分,這是你指定vmware url的地方,從這裡下載下傳更新檔和選擇内部更新檔庫。你也可以配置代理設定或不需要驗證通路的url。
下載下傳計劃 這是你設定按照任務計劃定期下載下傳的地方。
通知檢查計劃 vum将定期檢查更新檔更新和報警,你可定義這些任務計劃以及任何你想收到的郵件通知。
虛拟機設定 為了保險起見,你可以在打更新檔前對任何虛拟機生成快照以防你需要将它們回退。你也可以指定這些快照要保持多久。
es主機/叢集設定 在這部分,有許多需要考慮的選項。
首先,你可以選擇在主機進入維護模式進行更新前是否關閉電源或休眠。你也可以選擇什麼都不做的選項,這表示虛拟機将必須在維護期間遷移到其他主機。
首先你可以禁止可移動媒體裝置,它可能阻止主機進入維護模式。
對于叢集設定,你可以選擇暫時禁止某些特性,如分布式電源管理(distributed power management,dpm)和容錯功能,同時更新所有叢集主機(如果你能這樣做的話,建議這麼做)。
主機和叢集的可用選項如圖2.6所示。
vapp設定 vapp是虛拟機組,它們由于特定目的連接配接在一起。一些虛拟應用組需要重新開機,以保持與主機或互相間的同步,vmware的智能重新開機能力使你能夠在需要的時候,有選擇地重新開機vapp虛拟機。
5.?附加基線群組
一旦配置了vum,建立了基線和基線組,需要将基線群組應用于主機和虛拟機。這是通過将它們應用到vcenter内特定對象來完成的。有兩個你通路的地方可以應用vum基線:
“主機和叢集”視圖用于添加基線到主機。你可以添加一個基線到資料中心、叢集或單個主機。
“虛拟機和模闆”視圖用于添加基線到虛拟機。你可以添加基線到一個資料中心、檔案夾或單個虛拟機。
對于任何一個視圖,最簡單的添加基線、獲得更新檔和開始更新的方法是使用更新管理器。遵循下面的步驟:
1)在上面選擇“更新管理器”标簽頁。
2)一旦你進入“更新管理器”标簽頁,你将看到幾個面闆,包括添加基線、基線組和使用這些基線的任何對象具有的相容狀态的簡單視圖。為了添加基線或基線組,右擊任何地方,選擇附加或單擊右上角的附加
連結。
3)附加基線或組向導出現(見圖2.7)。在這裡,選擇任何定義的基線或組甚至是建立新基線都很簡單。
選擇基線和/或組,單擊“附加”。你應該看到更新管理器界面反映了這些變更,如圖2.8所示。
4)為了手動初始化一個合規性評估,你可以為任何vcenter對象傳回主界面,單擊右上角的“掃描連結”。
6.?分階段和修複
現在,已經有了另外兩個可用于給主機和其他系統打更新檔的選項。第一個稱為分階段(staging),能夠在打更新檔之前,将更新檔推送給虛拟機管理程式主機,這可能在真正安裝更新檔的時候節省時間。當主機在遠端辦公室或位于網絡較慢的地方的時候,這是很友善的。
設定分階段,遵循下面的步驟:
1)在視窗的右下方部分,單擊“分階段”。
2)當分階段向導打開的時候,選擇基線和主機,選擇任何用于擴充和更新檔的不适用情況,然後單擊“完成”。
第二個選擇是修複或立刻應用更新檔。與分階段很像,它可以這樣完成,單擊視窗右下方的“修複”按鈕,然後選擇基線和/或基線組、主機、除外情況、你想遵從的時間表。實際上,這個過程不能再簡單了!
7.?通過指令行打更新檔
對于那些僅有小型環境想通過指令行手動推送更新檔的人,也有辦法。下面是可以遵循的步驟:
1)在進行任何形式的更新之前,備份esxi配置将是明智的!在esxi直接控制台或通過ssh使用vicfg-cfg備份指令,或使用同樣名稱的vsphere cli指令。下面的步驟顯示的是vspere cli版本:
2)現在,列出與vmware提供的更新相關的鏡像概要:
3)讓主機處于維護模式:
4)現在,可以用演習選項運作更新,它将告訴使用者可能遇到的任何潛在錯誤或問題:
5)假設沒有問題,繼續運作更新:
6)你可能需要重新開機主機:
7)最後,将主機脫離維護模式:
就這樣!在這個操作上有差異;例如,舊版的esx和esxi可能使用esxupdate和vihostupdate工具。
總之,所有與esxi伺服器的通信均使用安全套接字層(ssl)或有數字證書的傳輸層安全(transport layer security,tls)加密。在安裝期間,esxi産生自簽名vmware證書;換句話說,它不是可信的第三方認證授權(certif?icate authority,ca)或你自己的内部認證授權,而是vmware發行的用于進行基于ssl加密必需的機制。在安裝以後,預設的證書和私鑰位于下面的位置:
預設ssl證書:/etc/vmware/ssl/rui.crt
預設ssl私鑰:/etc/vmware/ssl/rui.key
原則上,這些應該被更加可信的證書和私鑰替換。建立可信的證書超出了本書的範圍,但下面的連結描述如何使用openssl建立它們:
使用vsphere cli替換預設的私鑰和證書是非常簡單的:
1)在将虛拟機管理程式設為維護模式之前,記得将所有運作的虛拟機遷移到另一個esxi主機上。在vcenter控制台或vsphere客戶接口中右擊esxi伺服器将系統設為維護模式,選擇進入維護模式(見圖2.9)。
2)接着,打開一個vsphere cli控制台。
3)在指令提示符中,輸入下面的指令,替換單個esxi主機上的私鑰和證書:
ssl_cert和ssl_key實際是這些檔案将放置位置的“指針”,是以你需要使用完全準确的文法,太奇怪了。
在多數情況下,另一種方法完成這個操作甚至更容易些。用你新生成的rui.crt和rui.key簡單地替換/etc/vmware/ssl目錄中的檔案。為此,執行下面的指令:
4)當做完這些的時候,将主機退出維護模式。
就是這樣!還有其他方式完成它,包括使用http put指令,但這是最簡單和最合理的。
備份你的設定
記住esxi本質上是一個臨時的作業系統,意味着它僅運作在記憶體中。當系統突然重新開機(由于電源故障或其他問題),你不小的話就将失去這個配置。在每小時的第一分鐘,esxi運作/sbin/auto-backup.sh腳本,然後寫目前配置到/bootbank/state.tgz,當它啟動重新配置系統時,esxi使用後者。為了完全确定你保持了這些設定,可以手動通過ssh登入運作腳本或使用指令行,執行下面的指令:
確定可信的證書在恰當的位置是幫助你防止中間人(man-in-the-middle mimt)攻擊的簡單方法。這可以在vcenter管理控制台開啟。一旦你有了正确的證書,登入vcenter,完成下面的步驟:
1)在視窗上面單擊管理菜單,然後選擇vcenter設定。
2)在左邊的菜單中單擊“ssl設定”。確定右邊标簽為“vcenter需要驗證主機ssl證書”的複選框被選中。ssl設定界面如圖2.10所示。
3)為了驗證主機證書的esxi指紋(vmware稱它們為拇指指紋),登入到主機的直接控制台。按f2鍵通路系統自定義菜單。
4)選擇“視圖支援資訊”,在右側查找唯一指紋,如圖2.11所示。
5)確定這些主機指紋與你的主機比對,然後選擇vcenter中主機旁邊的“驗證”複選框。
為了ssl更加安全,你應該考慮添加逾時值。在esxi上有兩種類型的逾時:
讀逾時應用于在tcp 443端口ssl握手程序已經完成的連接配接。
握手逾時應用于沒有完成ssl握手的系統。
兩種逾時都應該設定。為了改變這些設定,請完成下面的步驟:
1)登入到直接控制台或使用ssh通路esxi指令解釋程式,轉到/etc/vmware/hostd目錄,使用vi文本編輯器打開conf?ig.xml檔案。
2)查找段頭标簽,将看到段頭下面的幾行有各種配置參數,在下面輸入如下兩個新行:
檔案資訊基本如圖2.12所示,這些設定的機關是毫秒,是以,上面的行将逾時都設定為15秒,在多數環境中,這都是合理的值。如果你有網絡延時或其他可能導緻更長的握手時間的問題,你可能想增大這些值。
3)儲存檔案(按下escape,然後輸入“wq”)。
4)運作下面的指令,重新開機主機服務:
另一種與esx/esxi進行安全通信的方法是使用ipsec。這僅适用于主機運作在4.1及以上版本的情況,為了使用ipsec,你需要啟動ipv6。為了啟動ipv6,并通過vcenter添加一個位址,按下面步驟做:
1)選擇一台esx/esxi主機,然後單擊“配置”标簽頁,在左邊選擇網絡連接配接。
2)然後在右側單擊“屬性”。你将得到一個簡單的彈出視窗。單擊标簽為“在這個系統上開啟ipv6支援”的複選框,單擊“ok”。
3)現在,需要重新開機主機,這表示需要首先将虛拟主機遷移。一旦完成,就可以為主機上各種網絡連接配接擴充卡設定ipv6位址。傳回配置頁的網絡部分。
4)對于每個vswitch,單擊“屬性”。選擇端口組,可以單擊或輕按兩下“編輯”按鈕,然後單擊第二個标簽頁(ip設定)。現在應該能夠配置一個或多個ipv6位址。
一旦設定了ipv6位址,就已經準備好配置ipsec了。ipsec可以通過vsphere cli vicfg-ipsec指令配置。下面是你需要設定的參數:
看起來很多,當然它的确如此!下面是一個筆者為主機esx.abc.com配置簡單傳輸模式sa的例子,使用aes128-cbc(aes 128位加密,使用密碼塊連結)sa加密、hmac-sha2驗證加密和testsa的sa名:
接下來,在建立了安全關聯之後,應該為加密vsphere客戶從管理伺服器到主機通信建立安全政策。這也需要一個帶有多個參數的vicfg-ipsec複雜指令行:
下面是上述指令的一個例子,筆者對主機esx.abc.com應用這一安全政策,使用相同的ipv6位址(需要在結束位置為單個ipv6主機添加/128子網路遮罩),對于tcp通信,設定進入端口是443,sp名是testsp:
配置ipsec還有許多其他選項,包括允許ipsec像真正的通信過濾機制類似的配置選項(更像一個防火牆)。你應該找出在你的組織中運作得最好的選項;記住,如果錯誤配置了任何東西,它可以導緻嚴重的問題,這是一個複雜的協定。
而且,需要在主機通信的vcenter伺服器上建立ipsec。本章後面講解hyper-v的時候,将介紹一個windows 2008 ipsec的例子。
預設情況下,在esxi平台許多服務随主服務背景程序hostd運作,主服務作為它們的代理。在某些情況下,可以關閉一些服務。
許多人選擇關閉下面三個服務:
網絡通路登入頁
受管理對象浏覽器
主機歡迎登入頁
這些多少都是通過網絡浏覽器通路esxi資訊,它們預設是通過在浏覽器中輸入esxi系統的管理接口的ip位址開啟的。受管理的對象浏覽器主要由vsphere軟體開發工具箱(sdk)用來預讀取主機的管理對象模型。登入頁幾乎總是可以被禁止而沒什麼影響。但是,受管理對象浏覽器可能被各種程式所用,在禁止它之前應仔細地測試。
适用于任何列出的hostd服務的其他措施是強迫使用https而不是http。這應該基于平台所在環境和你擁有的用例而被認真地考慮,因為https确實對性能有更大的影響,盡管在企業環境中通常不是重大影響。
使用v center或vsphere用戶端禁用這些服務以對受管理的企業環境産生最小的影響。確定首先測試通過!vmware建議在esxi 5.x版本上不禁止網絡通路登入頁面,因為這可能使高可用性(ha)服務崩潰。
遵循下面的步驟關閉不需要的服務:
1)為了确定什麼服務正在運作,通過ssh或在直接esxi控制台執行下面的指令:
2)使用下面的指令禁止不需要的服務(對于esx平台,使用vmware-vim-cmd替換vim-cmd)
網頁通路登入頁:vim-cmdproxysvc/remove_service"/ui" "httpswithredirect"
受管理對象浏覽器:vim-cmdproxysvc/remove_service "/mob" "httpswithredirect"
主機歡迎登入頁:vim-cmdproxysvc/remove_service"/" "httpswithredirect"
3)對于每個列出的服務,注意變量。基于服務,有幾個已經配置了的選項。為了使用https,配置下面其中一項:
httpsonly——強迫使用https,使用http連接配接将不會得到響應。
httpswithredirect——重定向http連接配接到适當的端口/資源。
4)設定将立刻有效;需運作/etc/init.d/hostd restart,然後運作/sbin/autobackup.sh腳本以確定它有效。
有一些支援服務可配置用于優化虛拟化營運。其中一些将在後面章節單獨講解(例如,syslog将在第7章講解),但有兩個在這裡特别值得提到:
網絡時間協定(network time protocol,ntp) ntp是安全的關鍵支援服務,因為它在不同系統的事件間關聯時間戳時提供了一種非常合理的方式。沒有ntp,多個系統的登入資料(包括虛拟機、虛拟機管理程式、管理平台)就不能準确地連接配接在一起,重建事件和意外。
簡單網絡管理協定(simple network management protocol,snmp) snmp允許管理者監控環境中的系統配置和事件細節。對于snmp,需要配置社群字元串(community strings),它辨別環境中的查詢和響應snmp服務。許多人将snmp社群字元串看作snmp服務的共享密碼,這是一個合理的近似。許多snmp實作和産品使用的預設社群字元串是公鑰和私鑰。因為它們如此普遍,多數試圖通過snmp枚舉或改變配置項的攻擊者都會嘗試它們。你應該有非常确定的計劃修改它們!
ntp和snmp都是安全的營運支援服務,但至關重要。ntp的配置總是心需的,而snmp的配置取決于環境。
1.?配置ntp
在vmware平台上開啟和配置ntp和snmp實際上是相當簡單的。為了在esx或esxi主機上啟用ntp,最簡單的方法是使用有vcenter的vsphere用戶端:
1)登入到vcenter,通路“詳細資訊”→“主機和叢集區”。
2)選擇一台主機,然後在上面單擊“配置”頁。單擊左側的“安全概要”連結,顯示“服務和防火牆”設定。
3)單擊“服務”清單旁邊的“屬性”連結。你應該看到一個ntp背景程式的入口。高亮這個入口,然後單擊右下角的“選項”按鈕。
将看到ntp背景程式的選項界面。有兩種可用的選項類型可供選擇,預設界面為通用(見圖2.14),允許啟動背景程式和選擇将來如何啟動它(自動或僅當特定端口提前開啟時)。
對于多數企業,ntp背景程式應該與主機一起啟動和停止,但如果主機處在dmz中或面向公衆的子網中,可以選擇随打開和關閉端口啟動和停止。
4)單擊“開始”按鈕現在就啟動背景程式,或可以在添加ntp伺服器之後啟動它。
5)選擇ntp背景程式設定的第二個類型,對應标題“ntp設定”。這裡其實隻有一個選項,也就是添加ntp伺服器,從這個伺服器獲得esx/esxi主機時間。單擊“添加”按鈕,輸入一個ntp伺服器的ip位址或主機名,單擊ok完成。你将看到與圖2.15類似的界面。
一個好的做法是添加至少三個ntp伺服器。有許多的外部時間伺服器可選,但一個好的可靠時間服務清單(對在美國的人适用)可在nist上找到:
6)如果ntp背景程式已經啟動了,可以單擊“重新開機ntp服務以應用更改”按鈕,然後單擊“ok”。
如果你在添加ntp伺服器之前沒有在第4步啟動服務,再次單擊左側的“通用”類型,然後在單擊“ok”之前單擊“開始”。
7)當回到“安全概要配置”界面的時候,注意也可以在标準服務選項下方配置防火牆端口和認可的服務。當單擊防火牆屬性的時候,也可以通過在右下角選擇ntp背景程式和單擊“選項”按鈕啟用ntp背景程式。
通過指令行啟用ntp也是很簡單的,即使用vicfg-ntp指令!下面是操作步驟:
1)首先,通路vsphere cli,添加伺服器:
2)為想要添加的每個ntp伺服器重複上面的步驟。
3)然後,在主機上啟動ntp服務,如下:
這就是esxi主機上遠端指令行控制ntp服務的步驟。對于esx主機,文法相似,除了用指令esxcfg-ntp替換。
2.?配置sn mp
為了在esx和esxi主機上配置snmp,最可靠和簡單的方法是在vsphere指令行使用vicfg-snmp腳本。你也需要確定snmp端口(udp161)在esx/esxi主機上打開。
1)運作下面的指令确定主機上snmp是否啟用:
将得到snmp代理是否啟用(0或1)和snmp使用的端口的資訊。
2)為了檢查snmp端口是否啟用,需要檢查主機上防火牆的配置。這可以使用vsphere用戶端或esxi5主機的esxcli指令來完成。
為了使用vsphere用戶端,連接配接到主機或vcenter,導航到“主機和叢集”區并選擇主機。在右側面闆單擊“配置”頁,然後選擇左邊清單中的“安全概要”連結,檢視防火牆部分。如果端口是打開的,你應該看到snmp伺服器或主機上進來(dup端口161)和潛在的流出(udp端口162)的snmpd清單。如果它們沒有列出,單擊“屬性”連結,在“防火牆屬性”視窗找到同樣名字的入口,單擊旁邊的選擇框,然後單擊“ok”(見圖2.16)。
從指令行檢查防火牆狀态,可以在vsphere cli中使用esxcli指令如下:
3)在提示輸入密碼之後,能得到一個防火牆識别的服務和它們的狀态(啟用/禁止)。為了使用esxcli指令啟用防火牆服務,運作下面的指令(當然有點複雜):
這個指令将在esxi防火牆中啟用已知的snmp規則(通過選項“-e 1”)。
4)一旦打開了防火牆端口,服務已經啟用,可以使用vicfg-snmp指令啟用和配置snmp服務。使用下面的指令啟動snmp服務(如果沒有運作的話):
這個指令将在esxi上運作,但對于esx系統你需要添加與snmp服務相關的社群字元串:
5)你可以選擇性地指向snmp陷阱目标:
如圖2.17所示。
當沒有虛拟機管理程式安全控制的時候,另一個在vsphere基礎設施中配置snmp的地方就是vcenter自身。在這裡你能控制用于外部snmp接收器和vcenter間通信的社群字元串,還能控制用于發送snmp報警的端口和url。為了配置這些設定,應登入到vcenter,在上面選擇“管理”菜單,然後選擇“vcenter伺服器設定”菜單項。在新出現的視窗中單擊snmp選項,将看到一個snmp接收器清單,可以配置它們的url、端口和共享字元串,如圖2.18所示。
确認已從vmware下載下傳中心下載下傳與vcenter和esx/esxi相關的任何管理資訊基礎(management information base,mib)檔案。
其他需要跟蹤的重要檔案包括在/etc目錄中與安全相關的配置檔案,如下所示:
還有許多檔案被認為是esxi的/host清單非常重要的一部分,但是會經常更新,這導緻修改日期改變。但這些檔案的大小不應該經常變化。它們是:
最後,在/host中列出了一些檔案,它們經常改變,按照通常的規則監控非常困難。因為它們是重要的日志檔案,你應該認識它們,但是日志檔案幾乎不會一直保持不變:
是以,既然已經定義了可能想監控完整性的檔案,但是如何獲得并且監控它們呢?在esxi系統上最簡單的方式是使用vsphere cli下載下傳這些檔案到一個可信的存儲位置,然後使用windows或其他系統工具對它們進行散列操作(hashing)。
下載下傳檔案的指令是簡單的:
一旦這些檔案被儲存在中心位置,可以使用常用的md5sum或sha1sum工具進行快速的完整性檢查。後者實際上是esxi系統預設的可運作指令,但通常先下載下傳這些檔案,然後用其他方法運作散列指令。
僅僅像下面一樣運作可執行指令:
windows版的散列工具有許多,但一個已被驗證可行的windows sha1sum庫可以從gnupg (ftp://ftp.gnupg.org/gcrypt/binary/sha1sum.exe)下載下傳。
這不是最有效的方法,整個過程腳本化更有意義,建立批處理腳本是很簡單的。
esx和esxi平台有本地使用者,它們可以從本地指令行通路(使用esx控制台或esxi直接控制台使用者接口,或dcui)或通過使用遠端工具(ssh是一個最常用的工具)。這些使用者列在系統的/etc/passwd檔案中。與這些使用者相關的檔案的密碼列在檔案/etc/shadow中,正如你在任何現代unix/linux平台上期望的那樣。在esx和esxi管理程式系統上,有四條你應該遵守的與本地使用者相關的安全指南:
1)盡可能限制系統上本地使用者的數量。
2)隻要可能限制全能根賬戶的使用。
3)實作本地密碼的複雜和重複政策。
4)如果可能,實作活動目錄認證。
1.?限制本地使用者
對于vsphere 4.x和5.x系統,系統上有一小部分本地使用者。下面的使用者在多數環境中是預設存在的:
root:根使用者是系統中最強大的管理者賬戶。
vpxuser:vpxuser賬戶是當連接配接到(然後被管理)vmware vcenter管理平台的時候,每個esxi主機上建立的非常重要的使用者。
dcui:直接控制台使用者接口(direct console user interface,dcui)賬戶是資料中心内系統本地控制台的一個特權賬戶。
daemon:背景程式賬戶是一個“捕獲所有”esxi服務的賬戶,是非互動賬戶。
nfsnobody:如果需要,nfsnobody賬戶可被配置為nfs存儲的代理使用者。在舊版的esx和esxi上,這個賬戶名為vimuser。
現代esxi平台的組數量也比之前esx和esxi版本的數量少很多。根使用者組僅包括根使用者,背景程式組僅包括背景程式使用者。users和nfsnobody組預設是空的。
除了nfsnobody賬戶之外,所有esxi的預設賬戶都是必需的。關鍵在于不要添加任何新的賬号,直到它們真正需要!esx平台的服務控制台提供了控制特權使用的标準linux指令(例如su和sudo),但是esxi僅提供了su。總之,在系統上,互動使用者賬号越少越好。
在esxi系統上,添加、删除、修改本地使用者有許多方法。首先,你可以檢檢視看有什麼使用者。這可以用下面的步驟完成:
1)從本地dcui或通過ssh,僅僅輸入cat /etc/passwd,所有本地使用者就都列在這裡了,如圖2.19所示。
2)用下面的一種方法擷取使用者群組的資訊:
應用vsphere cli,可以列出所有本地組,以及每個組中的使用者,使用下面的指令:
另一種僅列出本地使用者和它們的全名、使用者id(user id,uid)數量,以及判斷它們是否具有腳本通路(0或1)的方法如下:
最後一種選擇,可以使用vsphere用戶端直接連接配接esxi主機。一旦連接配接後,在右側選擇“本地使用者群組”。在這個面闆中你有兩個視圖頁籤,一個是使用者,另一個是組。輕按兩下使用者或組的任何一個将進入編輯界面,這裡你可以修改屬性、設定、密碼群組關系。使用者編輯界面如圖2.20所示。
也可以通過vsphere cli管理使用者(記住:--username參數指的是esxi主機的admin使用者,不是正編輯的本地使用者)。
添加一個新的本地使用者,運作下面的指令:
用類似的指令可以建立組:
删除使用者群組,vicfg-user文法類似。為了删除一個使用者,運作下面的指令:
删除組也很簡單,首先必須删除組中的所有使用者(接下來講述):
修改使用者也可以使用vicfg-user指令實作,像下面這樣添加新參數,将操作參數改為modify:
給組添加使用者和删除使用者可以用相同的指令完成:
2.?限制本地根賬号
在esxi主機上保護本地使用者的第二個主要的步驟是盡可能地限制本地根賬号。對于esx來說,使用sudo指令和/etc/sudoers檔案完成非常容易,在檔案/etc/sudoers中明确定義要限制的使用者賬戶群組。遺憾的是,在最近版本的esxi上并沒有sudo,但有兩個可用的
選擇:
開啟lockdown模式,它限制了除vcenter之外的所有遠端通路,也可用本地通路禁止lockdown模式;
在/etc/ssh/sshd_conf?ig檔案中限制ssh根登入。
我們将講解這兩個過程。
使用者可以很容易地在添加一個主機到vcenter中的過程中,啟用lockdown模式,如
圖2.21所示。
也可以使用vcenter以下面的方式啟用lockdown模式:
1)選擇庫區域,然後選擇主機和叢集,最後選擇一個特定的esxi主機。
2)在右側面闆中單擊“配置”頁,然後在左側選擇“安全概要”連結。
3)在這裡,向下滾動到lockdown模式類别,單擊“編輯”連結。一個小視窗将彈出,裡面有一個啟用lockdown模式的複選框。
最後一個選項是在主機上使用本地dcui控制台,在控制台中選擇“配置lockdown模式”,然後當視窗出現的時候,選擇“啟用lockdown模式”,如圖2.22所示。
盡管這樣并不會真正撤銷所有根使用者對主機的通路,但是它完成了同樣的目标——限制管理者通路權限。
另一個方式,對多數linux使用者來說更熟悉,是在配置檔案/etc/ssh/sshd_conf?ig中限制ssh根使用者登入。用vi編輯器打開這個檔案,然後滾動到讀取permitrootlogin的行,確定設為no,如圖2.23底下一行所示。
最後一步是建立和增強一個政策,必須使用定期登入,然後使用su變更到根使用者。這會在檔案/scratch/log/auth.log和/scratch/log/shell.log中産生一條日志資訊。這些相同的日志也會鏡像在/var/log/auth.log和/var/log/shell.log中,日志将在第7章中更深入講解。
3.?實作和增強密碼政策
本地使用者控制的第三個關鍵方面是增強密碼政策。對于esxi,建立和修改密碼政策是相當簡單的。esxi使用linux可插拔驗證子產品(pluggable authentication module,pam)系統的修改版本,它允許細粒度地對最常見的配置選項進行控制。下面的内容可以很容易地設定:
密碼輸入重試:一個使用者在esxi控制台被禁止通路之前,輸入錯誤密碼的次數。
複雜度:有四種字元類型用于在pam中定義密碼,它們是大寫字母、小寫字母、數字和特殊字元、感歎号和其他标點符号。你可以根據使用的字元類型的數量定義密碼需要多少字元。
為了修改這些配置,修改檔案/etc/pam.d/system-auth-generic (esxi 4.x)或/etc/pam.d/passwd (esxi 5.x)。一旦檔案打開,查找下面行:
下面講述如何分解這一行,“retry = 值”表示在使用者被禁止通路之前,容忍的密碼輸入錯誤的嘗試次數。預設值是3,這對于多數組織來說都是合理的。下一部分,“min=a, b, c, d, e”需要花點時間了解。下面是這些位每個代表的意思:
a:僅使用一種字元類型的密碼需要的最小字元數量(預設是8)。
b:使用兩種字元類型的密碼需要的最小字元數量(預設是8)。
c:密碼需要的最小字元數(預設是8)。
d:使用三種字元類型的密碼需要的最小字元數量(預設是7)。
e:使用所有四種字元類型的密碼需要的最小字元數量(預設是6)。
需要注意的一個關鍵點是,對字元類型計數來說(這樣有意義,因為人們可能會嘗試使用像password這樣糟糕的密碼)密碼的第一個和最後一個字元不計數。
是以,設定最優安全密碼政策的最佳方法是什麼呢?下面是筆者推薦的,這通常也是經得起推敲的:
一些人可能會想這看起來有點嚴酷。遺憾的是,當使用較寬松的标準時,密碼相當容易猜測和破解。正如前面提到的,首先應該限制本地賬号,僅留下根賬号和每個管理者用的一個“定期”使用者賬号。這些所有賬号都應該被認為是非常重要的賬号,那麼更加嚴格的密碼政策将有助于防止未授權的通路。
4.?實作活動目錄認證
控制使用者通路和與esxi主機互動需要考慮的第四個方面是實作活動目錄認證和授權。啟用活動目錄認證應該是強制實行的,多數審計和安全團隊将要求看到這一項。這可以極大地簡化esxi主機的管理,尤其是在大型、複雜環境下有多個管理的情況。ad的好處是能從中心ad組中添加和删除管理使用者,這比登入到每個esxi平台,進行使用者相關的修改要簡單很多。在某些情況下,最簡單的解決方案也是最安全的,這非常有效!
在啟用活動目錄之前,确認完成下面的預備步驟:
一個特殊的命名組esx admins,必須在活動目錄中被建立。它必須包含所有你想用于通路主機的使用者賬号;
ntp應該開啟,時間應該同步到活動目錄域控制器相同的伺服器時間;
一般來說,每個虛拟機管理程式主機的dns應該能夠解析域控制器和域;
esxi平台應該有與它們要認證的域控制器相同的域字首。
一旦完成了這些步驟,可以通過vsphere用戶端配置活動目錄認證,使用用戶端直接連接配接到vcenter或主機。在vcenter中,使用者需要導航到庫部分,選擇“主機和叢集”,然後選擇一個特定的主機。一旦選擇了主機,在右側面闆中選擇“配置”頁,然後從左側的清單中選擇“認證服務”,能看到在這個部分有兩個列出的選項,即目錄服務配置和域設定。這兩個都可以通過在右上角單擊“屬性”連結進行編輯。然後按照下面的步驟進行:
1)從第一個下拉菜單中選擇“活動目錄”。
2)在域設定部分,輸入主機将要加入的域,還可以選擇複選框,使用vsphere認證代理。然後輸入代理伺服器的ip位址。
輸入代理伺服器是可選的,但是這是一個非常好的功能,因為它允許主機連接配接域,而不在它們的配置中使用或存儲認證資訊。代理可以與vcenter認證資訊相關聯,然後用域服務處理所有認證。
3)最後,單擊“加入域”。如果輸入了vsphere認證代理詳細配置資訊,那麼主機将嘗試連接配接它,并且通過現有的認證資訊。否則,按提示輸入認證資訊,添加主機到域中。這些配置選項如圖2.24所示。
另外一個與vsphere認證代理通信的安全方式是導入一個數字認證到esxi主機。這使得esxi主機和代理之間的通信管理起來更加簡單,而不用輸入令人頭疼的認證資訊。按照下面的步驟:
1)在主認證服務配置界面右上角單擊“導入認證”。
2)按要求輸入代理的ip位址和認證檔案的路徑。
另一個方式是使用vicfg-authconf?ig vsphere cli指令在一個特定的esxi主機上配置活動目錄成員。
1)運作下面的指令:
2)按提示輸入esxi主機密碼。輸入密碼,然後你将看到“成功加入<域>”的消息。
3)為了驗證現在主機已經是ad域的一部分,可使用下面的指令:
除了執行lockdown模式(在之前“限制本地根賬戶”章節中講述的),通常有兩種方式限制對esxi控制台的通路
配置esxi内建防火牆的規則;
使用在檔案/etc/security/access.conf中修改tcp包裝器的功能。
已經講解的dcui指令行通路(通過主機接口開啟或關閉)和遠端指令行連接配接的ssh通路也是要考慮的非常重要的事情。
1.?配置esxi防火牆
通常防火牆規則和服務的關鍵是相當簡單的——僅允許需要的那些服務,沒有更多了。esxi防火牆預設設定是安全的配置。要確定僅在需要的時候,添加新的服務,随着時間推移定期評估防火牆設定,確定一切都井然有序。
在esxi版本5中,表2.1中列出的端口預設都是打開的。
有兩種方式有效管理esxi主機的防火牆規則。第一個是直接通過vsphere用戶端或通過vcenter,這是最簡單的控制esxi主機上已知服務的方法。但是,這種方法有個重大缺陷:沒辦法定義使用者服務!你可以在本地真正的控制台指令行或通過ssh定義。
為了通過gui配置防火牆,使用vsphere用戶端登入主機或vcenter。導航到主機的配置頁面(在vcenter中,首先到庫部分的主機和叢集)。按照下面的步驟做:
1)在左邊菜單清單中單擊“安全概要”連結,在可用的選項中向下查找直到找到防火牆部分,單擊這個部分的右側屬性連結。防火牆屬性界面打開,如圖2.25所示。
到許多定義的服務列在這裡。可以看到域服務相關的tcp和udp端口,以及是否開啟流入和或流出。如果服務名左邊的框被選中,那麼服務是開啟的。
可以選中一些服務,然後單擊右下角的“選項”按鈕。通常單擊它使你能夠配置與服務相關的附加選項和操作,例如在主機上它如何啟動和停止。
2)選中任何你想啟用的服務的複選框,或禁止你不想啟用的(但是要小心)。
也可以單擊任何一個服務的防火牆按鈕。這允許指定與服務通信的ip位址或子網,提供了更細粒度的控制對主機和服務通路的控制(參考圖2.26)。
3)當完成啟用和禁止服務和端口的時候,單擊“ok”完成配置本地主機防火牆。
4)可以自動為一些服務打開端口,在安全概要配置區的服務部分中啟用它們。
使用本地主機或ssh,配置自定義服務或設定防火牆通路,可以按照下面的步驟進行:
1)登入到本地dcui或使用ssh通路主機控制台指令行。轉換到/etc/vmware/f?irewall目錄中,使用文本編輯器打開service.xml檔案。你應該看到許多xml标簽段,看起來像圖2.27所示。
2)為了添加新服務定義,先退出service.xml檔案,再在同一目錄中添加一個新的xml檔案。下面是檔案看起來的樣子的例子:
服務id号和名稱應該反映你自己的服務,如同規則id、方向、協定、端口類型(源或目的)一樣相當簡單。和标簽是可選的,如果你想選擇一個端口範圍而不是單一端口。
3)一旦你完成添加你想要的這些端口和服務組合,確定檔案的最後一行是?igroot>,然後儲存和退出。
4)現在,需要通知esxi系統變更,輸入下面的指令重新整理防火牆規則:
這麼做的關鍵在于現在可以在vsphere用戶端中看見防火牆規則了。可以看到這樣的一個例子如圖2.28所示,一個新服務标記為sybextest。
2.?使用/etc/security/access.conf檔案控制ssh通路
第二種控制對esxi平台通路的方法是建立正常使用者賬戶,用/etc/security/access.conf檔案控制這個賬戶對平台的通路。esxi将預設拒絕這個檔案中明明确定義的任何人的通路。
第一步是建立一個新使用者,這之前已經講過,確定這個使用者授予指令行通路權限。接着,你可以以兩種方式之一授權使用者通路權限。第一種方式是簡單的,編輯/etc/security/access.conf檔案,添加下面的行:
對于使用者戴夫,添加+:dave:all,儲存檔案。現在你可以通過ssh使用正常賬戶而不是根使用者通路系統。
為了通過遠端指令行完成相同的功能,在vsphere cli中使用vicfg-user指令,輸入下面的指令: