遵循 ESXi 安全性最佳做法可以确保 vSphere 部署的完整性。有关其他信息,请参见强化指南

验证安装介质

在下载 ISO、脱机包或修补程序后始终检查 SHA1 哈希以确保已下载文件的完整性和真实性。如果从 VMware 获取物理介质,而安全封装已损坏,请将软件退回 VMware 进行替换。

下载介质后,请使用 MD5 总和数值验证下载介质的完整性。将 MD5 总和输出与 VMware 网站上发布的值进行比较。每个操作系统拥有不同的检查 MD5 总和数值的方法和工具。对于 Linux,请使用“md5sum”命令。对于 Microsoft Windows,可以下载附加设备产品

手动检查 CRL

默认情况下,ESXi 主机不支持 CRL 检查。必须手动搜索和移除已吊销的证书。这些证书通常是从企业 CA 或第三方 CA 生成的自定义证书。许多公司使用脚本来查找和替换 ESXi 主机上的已吊销 SSL 证书。

监控 ESX Admins Active Directory 组

vSphere 使用的 Active Directory 组由 plugins.hostsvc.esxAdminsGroup 高级系统设置定义。默认情况下,此选项设置为 ESX Admins。将授予 ESX Admins 组的所有成员对域中所有 ESXi 主机的完全管理权限。监控此组创建的 Active Directory 并将成员资格限制为高度受信任的用户和组。

监控配置文件

尽管大多数 ESXi 配置设置使用 API 控制,但有限数量的配置文件仍直接影响主机。这些文件通过使用 HTTPS 的 vSphere 文件传输 API 进行公开。如果对这些文件进行更改,则必须同时执行相应的管理操作(例如更改配置)。

注:

请勿尝试监控不会通过此文件传输 API 公开的文件。

使用 vmkfstools 擦除敏感数据

删除包含敏感数据的 VMDK 文件时,请关闭或停止虚拟机,然后对该文件发出 vCLI 命令 vmkfstools --writezeros。然后,您可以从数据存储中删除该文件。