vSphere 7.0 Update 2 之前的 ESXi 配置文件概览

ESXi 主机的配置包括主机上运行的每个服务的配置文件。配置文件通常位于 /etc/ 目录中，但也可以驻留在其他命名空间中。配置文件包含有关服务状态的运行时信息。随着时间的推移，配置文件中的默认值可能会发生变化，例如，当您更改 ESXi 主机上的设置时。cron 作业会定期、在 ESXi 正常关闭时或按需备份 ESXi 配置文件，并在引导槽中创建存档的配置文件。ESXi 在重新引导时，会读取存档的配置文件，并重新创建 ESXi 在创建备份时所处的状态。在 vSphere 7.0 Update 2 之前，存档的配置文件未加密。因此，在系统处于脱机状态时，有权访问物理 ESXi 存储的攻击者可以读取并更改此文件。

ESXi 安全配置概览

在安装或将 ESXi 主机升级到 vSphere 7.0 Update 2 或更高版本后的首次引导过程中，将发生以下情况：

• 如果 ESXi 主机具有 TPM 并在固件中启用了 TPM，则存档的配置文件将通过存储在 TPM 中的加密密钥进行加密。从此时起，主机的配置由 TPM 封装。
• 如果 ESXi 主机不具有 TPM，ESXi 将使用密钥派生功能 (KDF) 为存档的配置文件生成安全配置加密密钥。KDF 的输入存储在磁盘上的 encryption.info 文件中。

ESXi 主机在首次引导之后重新引导时，将发生以下情况：

• 如果 ESXi 主机具有 TPM，则主机必须从该特定主机的 TPM 获取加密密钥。如果 TPM 衡量指标满足创建加密密钥时使用的封装策略，则主机可从 TPM 中获取加密密钥。
• 如果 ESXi 主机不具有 TPM，则 ESXi 将从 encryption.info 文件读取信息以解锁安全配置。

ESXi 安全配置的要求

• ESXi 7.0 Update 2 或更高版本
• 用于配置加密的 TPM 2.0 以及使用封装策略的功能

ESXi 安全配置恢复密钥

ESXi 安全配置包括一个恢复密钥。如果必须恢复 ESXi 安全配置，请使用包含了您输入为命令行引导选项的内容的恢复密钥。您可以列出恢复密钥以创建恢复密钥备份。您也可以根据安全要求轮换恢复密钥。

备份恢复密钥是管理 ESXi 安全配置的重要部分。vCenter Server 会生成警报，以提醒您备份恢复密钥。

恢复密钥警报

备份恢复密钥是管理 ESXi 安全配置的重要部分。每当处于 TPM 模式的 ESXi 主机连接或重新连接至 vCenter Server 时，vCenter Server 都会生成警报以提醒您备份恢复密钥。重置警报时，除非情况发生变化，否则不会再次触发警报。

ESXi 安全配置的最佳做法

请遵循以下恢复密钥的最佳做法：

• 列出恢复密钥时，它会暂时显示在不受信任的环境中，并且驻留在内存中。请清除密钥的痕迹。
  • 重新引导主机可去除内存中的残留痕迹。
  • 为增强保护，您可以在主机上启用加密模式。请参见以显式方式启用主机加密模式。
• 执行恢复时：
  • 要消除不受信任环境中的任何恢复密钥痕迹，请重新引导主机。
  • 为了增强安全性，请在恢复密钥一次后轮换恢复密钥以使用新密钥。