登录 / 注册
AI工具

ESXi开启Secure Boot | ESXi开启安全启动

ESXi开启Secure Boot | ESXi开启安全启动

什么是Secure Boot

Secure Boot 是一种基于 UEFI 固件的安全标准,他目的是确保服务器在引导过程中只加载经过加密签名和验证的可信软件。它通过防止未经授权的驱动程序、内核或应用程序启动,有效抵御恶意软件和篡改攻击,确保系统的完整性和安全性。

开启ESXi Secure Boot的6个好处

下面是几个ESXi开启Secure Boot的优势和原因,其实最终目的就是提高系统的安全性和稳定性:

  1. 防止恶意软件和篡改:Secure Boot 确保 ESXi 主机在引导过程中只加载经过签名和验证的驱动程序、内核以及 VIB 软件包。如果系统组件未经加密签名或被篡改,Secure Boot 会阻止其加载。这有效防止了恶意软件通过篡改引导过程来攻击系统。
  2. 提高系统完整性:通过验证引导加载程序、内核和 VIB 软件包的完整性,Secure Boot 确保 ESXi 主机启动的每个环节都可信赖,避免了因驱动或模块被恶意修改而导致的安全漏洞和不稳定情况。
  3. 遵从企业安全策略:许多企业对 IT 基础设施安全有严格的要求,特别是在涉及数据中心和虚拟化环境时,这个其实也是大家要开启Secure Boot的最主要原因。启用 Secure Boot 有助于企业符合严格的合规性要求和安全标准,如 PCI-DSS、HIPAA 等,确保主机在引导过程中保持最高的安全性。
  4. 支持 TPM 集成,提升安全性:在 vSphere 7.0 Update 2 及更高版本中,启用 Secure Boot 后可与 TPM(可信平台模块)集成。TPM 可进一步增强系统安全性,保护敏感信息不被泄露,特别是在重启过程中。这对于需要加密保护或高级安全机制的环境尤为重要。
  5. 防止未经授权的软件加载:通过启用 Secure Boot,ESXi 主机只允许加载经过 VMware 或受信任第三方签名的驱动和模块,防止未经授权的软件包或驱动程序进入系统。这降低了安全隐患,尤其是在虚拟化环境中操作多个不同租户或应用的情况下。
  6. 自动化安全检查:启用 Secure Boot 后,系统在每次启动时会自动检查引导链的完整性和安全性,确保只有经过验证的软件和模块可以加载,简化了管理员的手动检查工作,减少了人为错误的可能性。

怎么开启Secure Boot?

Secure Boot是服务器硬件的功能,大部分现代的服务器厂商都支持Secure Boot的了。

一般来说服务器开启Secure Boot安全启动的位置都在UEFI的BIOS内,下图戴尔服务器为例:

ESXi 如何使用 UEFI Secure Boot

从 vSphere 6.5 开始,ESXi 在引导堆栈的每个层次都支持 UEFI Secure Boot。其具体工作方式如下:

  1. 引导加载程序验证:在 vSphere 6.5 及更高版本中,ESXi 的引导加载程序包含 VMware 公钥。引导加载程序使用此公钥来验证内核的签名以及系统中的一小部分关键组件,包括 Secure Boot VIB 验证器。
  2. VIB 验证器:VIB 验证器会验证系统中安装的每个 VIB 软件包的签名。

怎么确认ESXi是否可以开启Secure Boot?

首先两个先决条件:

  1. ESXi版本要6.5以上
  2. 服务器硬件要支持Secure Boot.

VMware ESXi有一个自带的脚本Secure Boot Validation Script,这个脚本的位置在/usr/lib/vmware/secureboot/bin/secureBoot.py

他可以帮你验证你的ESXi是否可以开启Secure Boot, 这个脚本的验证内容有两个:

  1. 检查硬件是否支持 UEFI 安全启动:确保硬件具备启用 UEFI 安全启动的能力。
  2. 检查所有 VIB(vSphere 安装包)的签名:确保所有安装的 VIB 签名的接受级别至少为 PartnerSupported。如果包含 CommunitySupported 级别的 VIB,系统将无法使用 Secure Boot

确认ESXi是否可以开启安全启动,只需运行一次这个脚本就可以:

1.首先查看硬件是否开启了Secure Boot, 当然这个动作最好在服务器BIOS检查,但是这个VM脚本也可以:

/usr/lib/vmware/secureboot/bin/secureBoot.py --check-status
或者/usr/lib/vmware/secureboot/bin/secureBoot.py -s

上面案例的Disabled表示硬件上还没有开启Secure Boot安全启动。

2. 检查ESXi是否可以开启Secure Boot

/usr/lib/vmware/secureboot/bin/secureBoot.py --check-capability
或者/usr/lib/vmware/secureboot/bin/secureBoot.py -c

如果结果为“Secure boot can be enabled: All vib signatures verified. All tardisks validated. All acceptance levels validated”,证明预检查通过,所有 VIB 签名已验证。所有 tardisk 文件已验证。所有接受级别已验证。此时你就可以放心重启ESXI,进BIOS开启Secure Boot.

https://www.aliyun.com/daily-act/ecs/activity_selection?userCode=h3kw1ira
【阿里云】2核2G云服务器新老同享99元/年
https://cloud.tencent.com/act/cps/redirect?redirect=6150&cps_key=9fcdfc2c29dcb52d7c5a549918ec0fef&from=console

图书推介 - 京东自营

https://union-click.jd.com/jdc?e=618%7Cpc%7C&p=JF8BAQoJK1olXwMFXV1VCUgSCl8IGFwSXg4FVG4ZVxNJXF9RXh5UHw0cSgYYXBcIWDoXSQVJQwYBU1leAEwXHDZNRwYlPUVkIzUOUTdyHStwTggPGkdZPAcheEcbM244G1oUXgcFUF5cDHsnA2g4STXN67Da8e9B3OGY1uefK1olXQACXF5YDkMTBGsOEmsSXQ8yEDBaDEgQAjgPHFtFXlVWZG5tC3sQA2YcHSlUDxIEJm5tCHsUM28JG1IdWQMFU1xaFEsUB20NGkcVWwYKVFtbAE8UBm4OK1kUXAILZG5tACtQdwhYXSxqWG4GLT8dczJfWSZgaABWMwRqMF0bezxxRRBWRVN1FFBRVG5YOA
https://union-click.jd.com/jdc?e=618%7Cpc%7C&p=JF8BAQoJK1olXwMFXV1VCUgSCl8IGF0UVA4KUW4ZVxNJXF9RXh5UHw0cSgYYXBcIWDoXSQVJQwYBUl9UAEMSHDZNRwYlXHRgKzUHC1F3VBVwEiNXCmZxVV4reEcbM244G1oUXgcFUF5cDHsnA2g4STXN67Da8e9B3OGY1uefK1olXQACXF5YD0IVAGcMHWsSXQ8yEDBaDEgQAjgPHFtFXlVWZG5tC3sQA2YcHSlUDxIEJm5tCHsUM28JG1IcXQYKXFhbFEsUBmYME0cVWwYKVFtaDk4SB20MK1kUXAILZG5tbzQUBA5UeigXHWBLCQY5bzZWRw5DXRxDMwR1IghYej1RQG1TQDxqP0cACm5YOA

24小时热门

还有更多VMware问题?

免费试下我们的VMware问答小助理,即时解答VM难题 → 🤖VM技术助理

https://cloud.tencent.com/act/cps/redirect?redirect=5990&cps_key=9fcdfc2c29dcb52d7c5a549918ec0fef&from=console

需要协助?或者只是想技术交流一下,直接联系我们!

联系我们

推荐更多

如何配置VMware ESXi主机的时间和日期
未分类

如何配置VMware ESXi主机的时间和日期

本文详细介绍了如何通过VMware ESXi主机客户端配置时间和日期,包括手动设置时间与日期的步骤,以及使用NTP服务器同步时间的具体方法。此外,还提供了解决ESXi 7.0 NTP服务无法启动的替代方案和相关排查建议,帮助用户高效完成时间配置。

reallybear 2025-01-08
vSphere:如何创建数据中心并添加ESXi主机
VMware快速入门

vSphere:如何创建数据中心并添加ESXi主机

本文详细介绍了如何在 vSphere 中创建数据中心并添加 ESXi 主机的操作步骤。首先,讲解了准备工作,包括安装 ESXi 主机和 vCenter Server 的详细步骤。接着,通过 vSphere 客户端创建数据中心,并介绍了如何将 ESXi 主机添加到数据中心中,涵盖了从输入主机信息、设置证书验证,到分配许可证等各个环节。

reallybear 2025-01-06
E1000e和VMXNET3怎么选?VM虚拟网卡性能与兼容性全面解析
VMware快速入门

E1000e和VMXNET3怎么选?VM虚拟网卡性能与兼容性全面解析

本文深入探讨了 VMware 虚拟网卡 E1000e 和 VMXNET3 的性能差异与适用场景,帮助用户选择最适合自己需求的网卡类型。通过对兼容性、吞吐量、延迟等方面的分析,提供优化 VMware 虚拟化环境网络性能的实用建议。

贾克斯 2025-01-03
如何在VMware Workstation和ESXi之间迁移虚拟机
VMware快速入门

如何在VMware Workstation和ESXi之间迁移虚拟机

如何在VMware Workstation和ESXi之间迁移虚拟机?本文详细介绍了使用VMware Workstation连接远程ESXi主机的方法,并涵盖了将虚拟机从ESXi迁移到Workstation或从Workstation上传到ESXi的具体步骤及常见问题的解决方案。

reallybear 2025-01-02

©2022-2024 | 关于我们联系我们加入我们隐私政策粤ICP备2023009824号-2 | All Rights Reserved.