Você pode optar por ativar a aplicação execInstalledOnly ou desativar uma aplicação execInstalledOnly ativada anteriormente. Você deve usar o ESXCLI para alterar a configuração no TPM no host ESXi. A aplicação de inicialização segura da UEFI deve ser ativada antes que você possa ativar a aplicação execInstalledOnly.

Esta tarefa aplica-se apenas a ESXi hosts que têm um TPM. A opção de inicialização execInstalledOnly advanced ESXi, quando definida como TRUE, garante que o VMkernel execute apenas os binários que foram empacotados e assinados como parte de um VIB. A ativação dessa opção de inicialização pode ser aplicada a cada inicialização usando o TPM.

Pré-requisitos

  • Para ativar a aplicação execInstalledOnly, você deve primeiro ativar a aplicação de inicialização segura do UEFI. A aplicação execInstalledOnly é construída sobre a aplicação de inicialização segura da UEFI. Consulte o Ativar ou desativar a aplicação de inicialização segura para uma configuração ESXi segura.
  • Ter acesso ao conjunto de comandos ESXCLI. Você pode executar comandos ESXCLI remotamente ou executá-los no Shell do ESXi.
  • Privilégio necessário para usar a versão autônoma do ESXCLI ou por meio de PowerCLI: Host . Config . Settings

Procedimento

  1. Liste as configurações atuais no host ESXi.
    esxcli system settings encryption get
       Mode: TPM
       Require Executables Only From Installed VIBs: false
       Require Secure Boot: true
    Se a aplicação execInstalledOnly estiver ativada, Exigir apenas executáveis de VIBs instalados exibirá true. Se a aplicação execInstalledOnly estiver desativada, Exigir executáveis somente de VIBs instalados exibirá falso. Para ativar a aplicação execInstalledOnly, a aplicação de inicialização segura deve ser ativada e Require Secure Boot exibe true neste caso.
  2. Ative ou desative a aplicação execInstalledOnly.
    Opção Descrição
    Ativar
    1. Verifique se a opção de inicialização segura é aplicada.
      esxcli system settings encryption get
         Mode: TPM
         Require Executables Only From Installed VIBs: false
         Require Secure Boot: true

      Confirme que Exigir Inicialização Segura exibe true. Caso contrário, consulte Ativar ou desativar a aplicação de inicialização segura para uma configuração ESXi segura.

    2. Para definir o valor de tempo de execução da opção de inicialização execInstalledOnly como TRUE, execute o seguinte comando ESXCLI.
      esxcli system settings kernel set -s execInstalledOnly -v TRUE
    3. Desligue o host normalmente.

      Por exemplo, clique com o botão direito do mouse no host ESXi em vSphere Client e selecione Power (Power) > Shut Down (Shut Down).

    4. Reinicie o host.
    5. Para definir a opção de inicialização execInstalledOnly, execute o seguinte comando ESXCLI.
      esxcli system settings encryption set –require-exec-installed-only=T 
    6. Verifique a alteração.
      esxcli system settings encryption get
         Mode: TPM
         Require Executables Only From Installed VIBs: true
         Require Secure Boot: true

      Confirme se a mensagem Executables Only From Installed VIBs exibe true.

    7. Para salvar a configuração, execute o seguinte comando.
      /sbin/auto-backup.sh
    Desabilitar
    1. Execute o seguinte comando ESXCLI.
      esxcli system settings encryption set --require-exec-installed-only=F
    2. Verifique a alteração.
      esxcli system settings encryption get
         Mode: TPM
         Require Executables Only From Installed VIBs: false
         Require Secure Boot: true

      Confirme se a opção Executáveis somente de VIBs instalados exibe false.

    3. Para salvar a configuração, execute o seguinte comando.
      /sbin/auto-backup.sh

      O TPM não impõe mais a opção de inicialização execInstalledOnly.

Resultados

O host ESXi é executado com a aplicação execInstalledOnly ativada ou desativada, dependendo da sua escolha.