Vous pouvez choisir d'activer l'application d'execInstalledOnly ou de désactiver une application d'execInstalledOnly précédemment activée. Vous devez utiliser ESXCLI pour modifier ce paramètre dans le TPM sur l'hôte ESXi. L'application du démarrage sécurisé UEFI doit être activée avant de pouvoir activer l'application d'execInstalledOnly.

Cette tâche s'applique uniquement aux hôtes ESXi qui contiennent un TPM. L'option de démarrage ESXi avancée execInstalledOnly, lorsqu'elle est définie sur TRUE, garantit que VMkernel exécute uniquement les fichiers binaires qui ont été empaquetés et signés dans le cadre d'un VIB. L'activation de cette option de démarrage peut être appliquée à chaque démarrage à l'aide du TPM.

Conditions préalables

  • Pour activer l'application d'execInstalledOnly, vous devez d'abord activer l'application du démarrage sécurisé UEFI. L'application d'execInstalledOnly est intégrée à l'application du démarrage sécurisé UEFI. Reportez-vous à la section Activer ou désactiver l'application du démarrage sécurisé pour une configuration ESXi sécurisée.
  • A accès à l'ensemble de commandes ESXCLI. Vous pouvez exécuter des commandes ESXCLI à distance ou les exécuter dans ESXi Shell.
  • Privilège requis pour utiliser la version autonome d'ESXCLI ou via PowerCLI : Hôte.Configuration.Paramètres

Procédure

  1. Répertoriez les paramètres actuels sur l'hôte ESXi.
    esxcli system settings encryption get
       Mode: TPM
       Require Executables Only From Installed VIBs: false
       Require Secure Boot: true
    Si l'application d'execInstalledOnly est activée, l'option Exiger les exécutables à partir des VIB installés uniquement affiche la valeur true. Si l'application d'execInstalledOnly est déactivée, l'option Exiger les exécutables à partir des VIB installés uniquement affiche la valeur false. Pour activer l'application d'execInstalledOnly, l'application du démarrage sécurisé doit être activée et l'option Exiger le démarrage sécurisé affiche alors la valeur true.
    Si le mode est AUCUN, vous devez activer le TPM dans le microprogramme de l'hôte et définir le mode en exécutant la commande suivante :
    esxcli system settings encryption set --mode=TPM
    En outre, si l'option Exiger le démarrage sécurisé indique la valeur False, consultez Activer ou désactiver l'application du démarrage sécurisé pour une configuration ESXi sécurisée pour permettre l'application.
  2. Activez ou désactivez l'application execInstalledOnly.
    Option Description
    Activer
    1. Vérifiez que l'option de démarrage sécurisé est appliquée.
      esxcli system settings encryption get
         Mode: TPM
         Require Executables Only From Installed VIBs: false
         Require Secure Boot: true

      Confirmez que l'option Exiger le démarrage sécurisé affiche la valeur true. Si ce n'est pas le cas, consultez la section Activer ou désactiver l'application du démarrage sécurisé pour une configuration ESXi sécurisée.

    2. Pour configurer la valeur d'exécution de l'option de démarrage execInstalledOnly sur TRUE, exécutez la commande ESXCLI suivante.
      esxcli system settings kernel set -s execInstalledOnly -v TRUE
    3. Arrêtez l'hôte de manière normale.

      Par exemple, cliquez avec le bouton droit sur l'hôte ESXi dans vSphere Client et sélectionnez Alimentation > Arrêter.

    4. Redémarrez l'hôte.
    5. Pour définir l'application execInstalledOnly, exécutez la commande ESXCLI suivante.
      esxcli system settings encryption set --require-exec-installed-only=T 
    6. Vérifiez la modification.
      esxcli system settings encryption get
         Mode: TPM
         Require Executables Only From Installed VIBs: true
         Require Secure Boot: true

      Confirmez que l'option Exiger les exécutables à partir des VIB installés uniquement affiche la valeur true.

    7. Pour enregistrer le paramètre, exécutez la commande suivante.
      /sbin/auto-backup.sh
    Désactiver
    1. Exécutez la commande ESXCLI suivante.
      esxcli system settings encryption set --require-exec-installed-only=F
    2. Vérifiez la modification.
      esxcli system settings encryption get
         Mode: TPM
         Require Executables Only From Installed VIBs: false
         Require Secure Boot: true

      Confirmez que l'option Exiger les exécutables à partir des VIB installés uniquement affiche la valeur false.

    3. Pour enregistrer le paramètre, exécutez la commande suivante.
      /sbin/auto-backup.sh

      Le TPM n'applique plus l'option de démarrage execInstalledOnly.

Résultats

L'hôte ESXi s'exécute avec l'application d'execInstalledOnly activée ou désactivée, selon votre choix.