Handbuch zur Serverkonfiguration für ESX - VMware
Handbuch zur Serverkonfiguration für ESX - VMware
Handbuch zur Serverkonfiguration für ESX - VMware
Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.
YUMPU macht aus Druck-PDFs automatisch weboptimierte ePaper, die Google liebt.
<strong>Handbuch</strong> <strong>zur</strong> <strong>Serverkonfiguration</strong> <strong>für</strong> <strong>ESX</strong><br />
4 Speichern Sie die Änderungen, und schließen Sie die Datei.<br />
5 Führen Sie den folgenden Befehl aus, um den SSHD-Dienst neu zu starten:<br />
service sshd restart<br />
Sicherheitspatches und Software zum Suchen nach Sicherheitslücken<br />
Bestimmte Sicherheitssuchprogramme wie Nessus überprüfen zwar die Versionsnummer, nicht jedoch das<br />
Patch-Suffix, wenn sie nach Sicherheitslücken suchen. Daher kann es dazu kommen, dass diese Suchprogramme<br />
fälschlicherweise melden, dass die Software nicht aktuell ist und – ungeachtet der Realität – nicht die<br />
neuesten Sicherheitspatches enthält. In diesem Fall können Sie bestimmte Überprüfungen durchführen.<br />
Dieses Problem tritt in der IT-Branche häufig auf und ist nicht auf <strong>VMware</strong> beschränkt. Einige Sicherheitssuchprogramme<br />
sind in der Lage, diese Situation ordnungsgemäß abzuhandeln, aber normalerweise liegen<br />
sie um eine Version oder mehr <strong>zur</strong>ück. So meldet die Nessus-Version, die nach einem Red Hat-Patch veröffentlicht<br />
wird, diese Fehlmeldungen meistens nicht.<br />
Sobald ein Patch <strong>für</strong> ein bestimmtes von Linux unterstütztes Softwarepaket, das von <strong>VMware</strong> als Servicekonsolenkomponente<br />
angeboten wird, zum Beispiel ein Dienst, ein Hilfsprogramm oder ein Protokoll, <strong>zur</strong> Verfügung<br />
steht, stellt <strong>VMware</strong> ein Bulletin mit einer Liste der vSphere-Installationspakete (VIBs) bereit, mit dem<br />
Sie das Softwarepaket auf <strong>ESX</strong> aktualisieren können. Verwenden Sie statt RPMs von Drittanbietern immer die<br />
Bulletins, die <strong>VMware</strong> generiert, selbst wenn diese Patches auch von anderen Quellen bereitgestellt werden.<br />
Bei der Veröffentlichung von Patches <strong>für</strong> ein Softwarepaket portiert <strong>VMware</strong> den Patch grundsätzlich auf eine<br />
Version der Software <strong>zur</strong>ück, die auch wirklich stabil ist. Durch diese Herangehensweise werden die Chancen<br />
verringert, dass durch den Patch neue Fehler und Stabilitätsprobleme in die Software gelangen. Da der Patch<br />
auf eine bestehende Version der Software aufgespielt wird, bleibt die Versionsnummer der Software gleich,<br />
nur die Patchnummer wird als Suffix angehängt.<br />
Es folgt ein Beispiel, wie dieses Problem entsteht:<br />
1 Sie installieren <strong>ESX</strong> mit OpenSSL, Version 0.9.7a (wobei 0.9.7a die ursprüngliche Version ohne Patches<br />
ist).<br />
2 OpenSSL veröffentlicht einen Patch, der eine Sicherheitslücke in Version 0.9.7 schließt. Diese Version wird<br />
0.9.7x genannt.<br />
3 <strong>VMware</strong> portiert den Patch OpenSSL 0.9.7x auf die ursprüngliche Version <strong>zur</strong>ück, aktualisiert die Patchnummer<br />
und erstellt ein VIB. Die OpenSSL-Version in dem VIB ist 0.9.7a-1, d. h. die ursprüngliche Version<br />
(0.9.7a) enthält nun Patch 1.<br />
4 Sie installieren die Updates.<br />
5 Das Sicherheitssuchprogramm übersieht das Suffix „-1“ und meldet fälschlicherweise, dass die Sicherheitseinstellungen<br />
<strong>für</strong> OpenSSL nicht aktuell sind.<br />
Wenn Ihr Suchprogramm meldet, dass die Sicherheitseinstellungen <strong>für</strong> ein Paket nicht aktuell sind, führen Sie<br />
die folgenden Überprüfungen durch.<br />
• Überprüfen Sie das Patch-Suffix, um zu ermitteln, ob Sie eine Aktualisierung benötigen.<br />
• Konsultieren Sie die VIB-Dokumentation von <strong>VMware</strong> bezüglich Informationen zu den Patchinhalten.<br />
• Überprüfen Sie die „Common Vulnerabilities and Exposures“-Nummer (CVE) aus der Sicherheitswarnung<br />
im Änderungsprotokoll <strong>für</strong> Software-Updates.<br />
Wenn sich die CVE-Nummer dort befindet, deckt das Paket die Sicherheitslücke ab.<br />
230 <strong>VMware</strong>, Inc.