Puede habilitar la aplicación execInstalledOnly o deshabilitar una aplicación execInstalledOnly habilitada previamente. Debe utilizar ESXCLI para cambiar la configuración del TPM en el ESXi host. La aplicación del arranque seguro UEFI debe estar habilitada antes de poder habilitar la aplicación execInstalledOnly.
Esta tarea se aplica solo a ESXi hosts que tienen un TPM. La opción de arranque ESXi execInstalledOnly, cuando se establece en TRUE, garantiza que el VMkernel ejecute solo los archivos binarios que se empaquetaron y firmaron como parte de un VIB. La habilitación de esta opción de arranque se puede aplicar en cada arranque mediante el uso de TPM.
Requisitos previos
- Para habilitar la aplicación execInstalledOnly, primero debe habilitar la aplicación de arranque seguro UEFI. La aplicación execInstalledOnly está integrada en la aplicación de arranque seguro UEFI. Consulte Habilitar o deshabilitar la aplicación del arranque seguro para una configuración de ESXi segura.
- Tener acceso al conjunto de comandos de ESXCLI. Puede ejecutar comandos ESXCLI de forma remota o en ESXi Shell.
- Privilegio necesario para usar la versión independiente de ESXCLI o PowerCLI:
Procedimiento
- Enumere la configuración actual del ESXi host.
esxcli system settings encryption get
Mode: TPM
Require Executables Only From Installed VIBs: false
Require Secure Boot: true
Si la aplicación execInstalledOnly está habilitada, la opción Requerir ejecutables solo desde los VIB instalados (Require Executables Only From Installed VIBs) se muestra como true. Si la aplicación execInstalledOnly está deshabilitada, La opción Requerir ejecutables solo desde los VIB instalados (Require Executables Only From Installed VIBs) aparece como false (falso). Para habilitar la aplicación execInstalledOnly, la aplicación de arranque seguro debe estar habilitada y Requerir arranque seguro se muestra como true en este caso.
- Habilitar o deshabilitar la aplicación execInstalledOnly.
| Opción |
Descripción |
| Habilitar |
- Compruebe que se aplique la opción de arranque seguro.
esxcli system settings encryption get
Mode: TPM
Require Executables Only From Installed VIBs: false
Require Secure Boot: true Confirme que la opción Requerir arranque seguro (Require Secure Boot) se muestre en true. Si no es así, consulte Habilitar o deshabilitar la aplicación del arranque seguro para una configuración de ESXi segura.
- Para configurar el valor de tiempo de ejecución de la opción de arranque execInstalledOnly en TRUE, ejecute el siguiente comando ESXCLI.
esxcli system settings kernel set -s execInstalledOnly -v TRUE
- Apague el host correctamente.
Por ejemplo, haga clic con el botón secundario en ESXi host en el vSphere Client y seleccione .
- Reinicie el host.
- Para establecer la aplicación execInstalledOnly, ejecute el siguiente comando ESXCLI.
esxcli system settings encryption set --require-exec-installed-only=T
- Verifique el cambio.
esxcli system settings encryption get
Mode: TPM
Require Executables Only From Installed VIBs: true
Require Secure Boot: true Confirme que la opción Requerir ejecutables solo desde los VIB instalados (Require Executables Only From Installed VIB) muestre el valor true.
- Para guardar la configuración, ejecute el siguiente comando:
/sbin/auto-backup.sh
|
| Deshabilitar |
- Ejecute el siguiente comando ESXCLI.
esxcli system settings encryption set --require-exec-installed-only=F
- Verifique el cambio.
esxcli system settings encryption get
Mode: TPM
Require Executables Only From Installed VIBs: false
Require Secure Boot: true Confirme que la opción Requerir ejecutables solo desde los VIB instalados muestre el valor false.
- Para guardar la configuración, ejecute el siguiente comando:
/sbin/auto-backup.sh El TPM ya no aplica la opción de arranque execInstalledOnly.
|
Resultados
El ESXi host se ejecuta con la aplicación execInstalledOnly habilitada o deshabilitada, según cuál sea su elección.
