Você pode optar por ativar a aplicação execInstalledOnly ou desativar uma aplicação execInstalledOnly ativada anteriormente. Você deve usar o ESXCLI para alterar a configuração no TPM no host ESXi. A aplicação de inicialização segura da UEFI deve ser ativada antes que você possa ativar a aplicação execInstalledOnly.
Esta tarefa aplica-se apenas a ESXi hosts que têm um TPM. A opção de inicialização execInstalledOnly advanced ESXi, quando definida como TRUE, garante que o VMkernel execute apenas os binários que foram empacotados e assinados como parte de um VIB. A ativação dessa opção de inicialização pode ser aplicada a cada inicialização usando o TPM.
Pré-requisitos
- Para ativar a aplicação execInstalledOnly, você deve primeiro ativar a aplicação de inicialização segura do UEFI. A aplicação execInstalledOnly é construída sobre a aplicação de inicialização segura da UEFI. Consulte o Ativar ou desativar a aplicação de inicialização segura para uma configuração ESXi segura.
- Ter acesso ao conjunto de comandos ESXCLI. Você pode executar comandos ESXCLI remotamente ou executá-los no Shell do ESXi.
- Privilégio necessário para usar a versão autônoma do ESXCLI ou por meio de PowerCLI:
Procedimento
- Liste as configurações atuais no host ESXi.
esxcli system settings encryption get
Mode: TPM
Require Executables Only From Installed VIBs: false
Require Secure Boot: true
Se a aplicação execInstalledOnly estiver ativada, Exigir apenas executáveis de VIBs instalados exibirá true. Se a aplicação execInstalledOnly estiver desativada, Exigir executáveis somente de VIBs instalados exibirá falso. Para ativar a aplicação execInstalledOnly, a aplicação de inicialização segura deve ser ativada e Require Secure Boot exibe true neste caso.
- Ative ou desative a aplicação execInstalledOnly.
Opção |
Descrição |
Ativar |
- Verifique se a opção de inicialização segura é aplicada.
esxcli system settings encryption get
Mode: TPM
Require Executables Only From Installed VIBs: false
Require Secure Boot: true Confirme que Exigir Inicialização Segura exibe true. Caso contrário, consulte Ativar ou desativar a aplicação de inicialização segura para uma configuração ESXi segura.
- Para definir o valor de tempo de execução da opção de inicialização execInstalledOnly como TRUE, execute o seguinte comando ESXCLI.
esxcli system settings kernel set -s execInstalledOnly -v TRUE
- Desligue o host normalmente.
Por exemplo, clique com o botão direito do mouse no host ESXi em vSphere Client e selecione .
- Reinicie o host.
- Para definir a opção de inicialização execInstalledOnly, execute o seguinte comando ESXCLI.
esxcli system settings encryption set –require-exec-installed-only=T
- Verifique a alteração.
esxcli system settings encryption get
Mode: TPM
Require Executables Only From Installed VIBs: true
Require Secure Boot: true Confirme se a mensagem Executables Only From Installed VIBs exibe true.
- Para salvar a configuração, execute o seguinte comando.
/sbin/auto-backup.sh
|
Desabilitar |
- Execute o seguinte comando ESXCLI.
esxcli system settings encryption set --require-exec-installed-only=F
- Verifique a alteração.
esxcli system settings encryption get
Mode: TPM
Require Executables Only From Installed VIBs: false
Require Secure Boot: true Confirme se a opção Executáveis somente de VIBs instalados exibe false.
- Para salvar a configuração, execute o seguinte comando.
/sbin/auto-backup.sh O TPM não impõe mais a opção de inicialização execInstalledOnly.
|
Resultados
O host ESXi é executado com a aplicação execInstalledOnly ativada ou desativada, dependendo da sua escolha.