esxi4.1知识总结之三：安全

1. esxi的安全架构

简单地说就是三层三组件，至上而下分别是：虚拟机，虚拟化层（VMKernel）和虚拟网络连接层

1) 虚拟机之间通过隔离层包含，可以达到互不干涉

2）VMkerel的安全：内存强化安全，内存模块完整性（第三方软件）和可信平台模块TPM（第三方硬件）

3）虚拟网络层通过VLAN及独立虚拟交换机来实现DMZ等功能

 

2. 安全的网络

1）esxi本身是不含防火墙的，所以需要通过部署防火墙来控制进出主机的流量。

常用的端口

 

 

2) VLAN

 

3) 虚拟交换机的端口安全

4）启用ipsec

vicfg-ipsec –add –sa

5) iSCSI的存储安全

VLAN， CHAP

 

3. 用户管理和验证

esxi使用用户，密码和权限的组合控制

1）用户的类型

分通过vCenter来管理的和直连主机管理两种

2）密码复杂度要求

大小写，数字及特殊字符，主机通过pam_passwdqc.so模块检查

3）角色权限

root用户：直连主机具有管理员权限。注意：即使限制了root用户的权限，也不会影响到用户远程通过使用vicfg命令行

vpxuser用户：通过VCenter来管理时，具有管理员权限

dcui用户：Direct Console User Interface，以管理员权限在主机上操作，该用户的主要目的是从直接控制台上来配置锁定模式的主机

4）加密和证书

 

4. 安全最佳实践

1）不同客户模式下的部署

单用户部署、多客户限制部署和多客户开发部署

2）esxi锁定模式

   启用锁定模式时，除vpxuser以外的任何用户都没有身份认证的权限，也无法直接对主机进行操作，但此不会影响主机服务的可用性。锁定模式强制所有操作都通过vCenter Server来执行，但root用户仍可直接登录控制台。

故障排除服务只有在需要时才启用，启用后所有登录用户都可以完全控制主机。

3）虚拟机建议

• 安装防火墙，杀毒软件
• 禁用虚拟机和控制台之间的拷贝，粘贴功能
• 移除或端口不必要的硬件
• 通过修改配置文件来限制虚拟机对主机内存的写入 （比如虚拟机通过vmware tools向主机发送配置消息，虚拟机向VMFS中写入日志）

本文出自 “面朝大海，春暖花开” 博客，谢绝转载！