Security

如何禁用 ESXi 中的交換文件?

  • July 11, 2021

我們在 ESXi 上執行了一些 Solaris / Linux VM,其中包含非常敏感的加密數據,這些數據最終會根據記憶體的要求進行解密。

一切都很好,除了可能儲存一些解密數據的 ESXi 交換文件,最重要的是這些文件在主機崩潰的情況下不會被刪除。

有沒有辦法完全禁用這些文件?

我們已經嘗試在每個 VM 的基礎上為 VM 保留整個分配的 RAM,但仍然會創建文件。

為整個主機或僅對某些 VM 完全禁用 ESXi 交換需要什麼?

這是個有趣的問題。我從未考慮過虛擬機管理程序級別的數據安全……通常安全策略和強化圍繞特定於作業系統的任務(限制守護程序、埠、禁用核心文件、文件系統掛載選項等)

但是經過一些快速研究(並strings針對活動的 VMWare .vswp 文件執行)表明,絕對可以從 VMWare 數據儲存上的 .vswp 文件中提取數據。此連結有助於解釋此類文件的生命週期。

就您而言,我認為您的方法將取決於安全策略和要求。根據我在財務和處理審計方面的經驗,我認為一種可接受的方法是限制/保護對主機伺服器的訪問。回想一下,預設情況下,您的 ESXi 主機沒有啟用 SSH 或控制台訪問。啟用這些功能會在 vCenter 中引發需要手動覆蓋的事件/警報,因此假設審核訪問是控制對此資訊的訪問的最佳方式。

如果擔心誰可以訪問伺服器,則可能沒有針對管理問題的技術解決方案。不過,我會檢查一些其他來源,看看是否有辦法限制使用 .vswp 文件。

  • 編輯 -

您可以保留所有來賓 RAM。您沒有指定您正在使用哪個版本的 VMWare,但在我的 5.1 安裝中,有一個選項可以保留所有來賓記憶體。啟用此選項會創建一個長度為零的.vswp 文件,而不是一個等於分配給虛擬機的 RAM 大小的文件。不要注意 vmx- .vswp 文件。這對 ESXi 5.x來說是新的,它與客戶機的作業系統記憶體壓力無關(它用於 VMX 程序堆、客戶機外圍設備和管理代理)此外,vmx- .vswp 文件可以通過設置sched.swap.vmxSwapEnabled為禁用FALSE

我認為這會給你你所要求的。

在此處輸入圖像描述


無記憶體預留(預設):

root@deore:/volumes/vol2/staging/Test_Bed# ls -al | grep vswp
-rw------- 1 nfs  nobody  3221225472 Dec 23 13:31 Test_Bed-ad493981.vswp
-rw------- 1 nfs  nobody   115343360 Dec 23 13:31 vmx-Test_Bed-2907257217-1.vswp

鎖定記憶體預留:

root@deore:/volumes/vol2/staging/Test_Bed# ls -al | grep vswp
-rw------- 1 nfs  nobody           0 Dec 23 13:38 Test_Bed-ad493981.vswp
-rw------- 1 nfs  nobody   115343360 Dec 23 13:38 vmx-Test_Bed-2907257217-1.vswp

編輯 20210711Wayback MachineArchive Today以上鍊接的存檔版本(其中一些已經消失):

引用自:https://serverfault.com/questions/460466