遵循 ESXi 安全性最佳做法可確保 vSphere 部署的完整性。如需其他資訊,請參閱《強化指南》

確認安裝媒體

請務必於下載 ISO、離線服務包或修補程式後檢查 SHA1 雜湊,確認下載檔案的完整性和真實性。如果您從 VMware 取得實體媒體,而安全封條已損壞,請將軟體退回 VMware 進行更換。

下載媒體後,請使用 MD5 總和值確認下載的完整性。將 MD5 總和輸出值與 VMware 網站上公佈的值加以比較。每個作業系統有不同的方法和工具可供檢查 MD5 總和值。對於 Linux,請使用 md5sum 命令。對於 Microsoft Windows,您可以下載附加元件產品。

手動檢查 CRL

依預設,ESXi 主機不支援 CRL 檢查。您必須手動搜尋並移除撤銷的憑證。這些憑證通常是來自公司 CA 或第三方 CA 的自訂產生的憑證。許多公司使用指令碼尋找並取代 ESXi 主機上撤銷的 SSL 憑證。

監控 ESX Admins Active Directory 群組

vSphere 使用的 Active Directory 群組由 plugins.hostsvc.esxAdminsGroup 進階系統設定定義。依預設,將此選項設定為 ESX Admins。將為 ESX Admins 群組的所有成員授與網域中所有 ESXi 主機的完整管理存取權。針對這個群組的建立監控 Active Directory,並將成員資格限制為高度信任的使用者和群組。

監控組態檔

雖然大多數 ESXi 組態設定使用 API 加以控制,僅有限數目的組態檔直接影響主機。這些檔案透過 vSphere 檔案傳輸 API (使用 HTTPS) 公開。如果您對這些檔案做出變更,則您也必須執行對應的管理動作,例如變更組態。

備註︰

請勿嘗試監控未透過此檔案傳輸 API 公開的檔案。

使用 vmkfstool 清除敏感資料

刪除含敏感資料的 VMDK 檔案時,請關閉或停止虛擬機器,然後對該檔案發出 vCLI 命令 vmkfstools --writezeros。然後,您可以從資料存放區刪除檔案。