ESXi 8.0 이상을 설치하거나 이 버전으로 업그레이드하면 execInstalledOnly 내부 런타임 옵션이 기본적으로 호스트에서 활성화됩니다. 이 옵션은 랜섬웨어 공격으로부터 호스트를 보호하는 데 유용합니다. ESXi 8.0 이상 호스트가 외부 소스의 VIB가 아닌 바이너리를 여전히 실행하는 경우에는 execInstalledOnly 내부 런타임 옵션을 비활성화할 수 있습니다.

execInstalledOnly 옵션은 VMkernel이 유효한 VIB의 일부로 적절하게 패키징되고 서명된 바이너리만 호스트에서 실행하도록 하여 랜섬웨어 공격으로부터 호스트를 보호하는 데 도움이 됩니다.

execInstalledOnly 옵션은 부팅 옵션이자 내부 런타임 옵션입니다. 커널 옵션이라고도 하는 execInstalledOnly 부팅 옵션은 ESXi 5.5에서 도입되었습니다. execInstalledOnly 부팅 옵션은 기본적으로 비활성화되어 있습니다. vSphere 7.0 업데이트 2 이상에서는 TPM을 사용하여 부팅할 때마다 execInstalledOnly 부팅 옵션을 적용할 수 있습니다. 자세한 내용은 보안 ESXi 구성에 대한 execInstalledOnly 적용 활성화 또는 비활성화의 내용을 참조하십시오.

ESXi 8.0에 추가된 execInstalledOnly 내부 런타임 옵션은 기본적으로 호스트에서 활성화됩니다. execInstalledOnly 부팅 옵션은 기본적으로 계속 비활성화되어 있지만 둘 다 설정하면 이전에 사용하도록 설정된 execInstalledOnly 부팅 옵션이 내부 런타임 옵션을 덮어씁니다.

참고: execInstalledOnly 옵션은 보안 부팅과 별개입니다. 보안 부팅은 설치된 모든 VIB가 서명되었는지 확인합니다. 자세한 내용은 ESXi 호스트를 위한 UEFI 보안 부팅의 내용을 참조하십시오.

execInstalledOnly 내부 런타임 옵션을 비활성화하면 호스트에 대해 vCenter Server 주의가 나타납니다.

사전 요구 사항

execInstalledOnly 내부 런타임 옵션을 비활성화하려면 ESXi 호스트에 대한 루트 액세스 권한이 있어야 합니다. ESXCLI, PowerCLI 또는 API를 사용할 수 있습니다. 다음 작업은 ESXCLI를 사용합니다.
경고: execInstalledOnly 내부 런타임 옵션을 비활성화하면 공격에 더 취약해집니다.

프로시저

  1. SSH를 사용하여 ESXi 호스트에 연결합니다.
  2. execInstalledOnly 내부 런타임 옵션을 비활성화하려면 다음 ESXCLI 명령을 입력합니다.
    esxcli system settings advanced set -o /User/execInstalledOnly -i 0