Handbuch zur Serverkonfiguration für ESX - VMware
Handbuch zur Serverkonfiguration für ESX - VMware
Handbuch zur Serverkonfiguration für ESX - VMware
Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.
YUMPU macht aus Druck-PDFs automatisch weboptimierte ePaper, die Google liebt.
Kapitel 15 Best Practices und Szenarien <strong>für</strong> die Sicherheit<br />
Entfernung überflüssiger Hardwaregeräte<br />
Benutzer und Prozesse ohne Berechtigungen <strong>für</strong> die virtuelle Maschine können Hardwaregeräte wie Netzwerkadapter<br />
oder CD-ROM-Laufwerke einbinden oder trennen. Das Entfernen überflüssiger Hardwaregeräte<br />
kann somit Angriffe verhindern.<br />
Angreifer können diese Fähigkeit auf verschiedene Arten nutzen, um die Sicherheit einer virtuellen Maschine<br />
zu gefährden. So kann zum Beispiel ein Angreifer mit Zugang zu einer virtuellen Maschine ein nicht verbundenes<br />
CD-ROM-Laufwerk einbinden und auf vertrauliche Informationen auf dem Medium zugreifen, das sich<br />
im Laufwerk befindet, oder einen Netzwerkadapter trennen, um die virtuelle Maschine vom Netzwerk zu<br />
isolieren, was zu einem Denial-Of-Service führt.<br />
Als allgemeine Sicherheitsmaßnahme sollten Sie Befehle auf der Registerkarte [Konfiguration] auf dem<br />
vSphere-Client verwenden, um alle nicht benötigten oder ungenutzten Hardwaregeräte zu entfernen. Obwohl<br />
diese Maßnahme die Sicherheit der virtuellen Maschinen erhöht, aber ist sie keine gute Lösung, wenn ein<br />
ungenutztes Gerät später reaktiviert werden soll.<br />
Verhindern, dass ein Benutzer oder Prozess auf einer virtuellen Maschine die<br />
Verbindung zu Geräten trennt<br />
Wenn Sie ein Gerät nicht dauerhaft entfernen möchten, können Sie verhindern, dass ein Benutzer oder Prozess<br />
einer virtuellen Maschine das Gerät aus dem Gastbetriebssystem heraus einbindet oder trennt.<br />
Vorgehensweise<br />
1 Melden Sie sich mit dem vSphere-Client bei einem vCenter Server-System an.<br />
2 Wählen Sie die virtuelle Maschine im Bestandslistenbereich aus.<br />
3 Klicken Sie auf der Registerkarte [Übersicht (Summary)] auf [Einstellungen bearbeiten (Edit Settings)]<br />
.<br />
4 Wählen Sie [Optionen] > [Allgemeine Optionen] aus und notieren Sie den Pfad, der im Textfeld<br />
[Konfigurationsdatei der virtuellen Maschine] angezeigt wird.<br />
5 Melden Sie sich an der Servicekonsole an, und rufen Sie Root-Berechtigungen ab.<br />
6 Wechseln Sie das Verzeichnis, um auf die Konfigurationsdatei der virtuellen Maschine zuzugreifen, deren<br />
Pfad Sie in Schritt 4 festgelegt haben.<br />
Die Konfigurationsdateien der virtuellen Maschinen befinden sich im Verzeichnis /vmfs/volumes/Datenspeicher,<br />
wobei es sich bei Datenspeicher um den Namen des Speichergeräts handelt, auf dem sich die<br />
Dateien der virtuellen Maschine befinden. Wenn beispielsweise die Konfigurationsdatei der virtuellen<br />
Maschine, die Sie im Dialogfeld „Eigenschaften der virtuellen Maschine“ abgerufen haben, [vol1]vmfinance/vm-finance.vmx<br />
ist, wechseln Sie zu folgendem Verzeichnis:<br />
/vmfs/volumes/vol1/vm-finance/<br />
7 Fügen Sie der .vmx-Datei mit einem Texteditor die folgende Zeile hinzu, wobei Gerätename der Name des<br />
Geräts ist, das geschützt werden soll (z. B. ethernet1):<br />
device_name.allowGuestConnectionControl = "false"<br />
HINWEIS Standardmäßig ist Ethernet 0 so konfiguriert, dass die Trennung des Geräts nicht möglich ist.<br />
Der einzige Grund, der Sie dazu veranlassen könnte, dies zu ändern, ist dann gegeben, wenn ein vorheriger<br />
Administrator Gerätename.allowGuestConnectionControl auf true. gesetzt hat.<br />
8 Speichern Sie die Änderungen, und schließen Sie die Datei.<br />
<strong>VMware</strong>, Inc. 237