登录 / 注册
AI工具

ESXi开启Secure Boot | ESXi开启安全启动

ESXi开启Secure Boot | ESXi开启安全启动

什么是Secure Boot

Secure Boot 是一种基于 UEFI 固件的安全标准,他目的是确保服务器在引导过程中只加载经过加密签名和验证的可信软件。它通过防止未经授权的驱动程序、内核或应用程序启动,有效抵御恶意软件和篡改攻击,确保系统的完整性和安全性。

开启ESXi Secure Boot的6个好处

下面是几个ESXi开启Secure Boot的优势和原因,其实最终目的就是提高系统的安全性和稳定性:

  1. 防止恶意软件和篡改:Secure Boot 确保 ESXi 主机在引导过程中只加载经过签名和验证的驱动程序、内核以及 VIB 软件包。如果系统组件未经加密签名或被篡改,Secure Boot 会阻止其加载。这有效防止了恶意软件通过篡改引导过程来攻击系统。
  2. 提高系统完整性:通过验证引导加载程序、内核和 VIB 软件包的完整性,Secure Boot 确保 ESXi 主机启动的每个环节都可信赖,避免了因驱动或模块被恶意修改而导致的安全漏洞和不稳定情况。
  3. 遵从企业安全策略:许多企业对 IT 基础设施安全有严格的要求,特别是在涉及数据中心和虚拟化环境时,这个其实也是大家要开启Secure Boot的最主要原因。启用 Secure Boot 有助于企业符合严格的合规性要求和安全标准,如 PCI-DSS、HIPAA 等,确保主机在引导过程中保持最高的安全性。
  4. 支持 TPM 集成,提升安全性:在 vSphere 7.0 Update 2 及更高版本中,启用 Secure Boot 后可与 TPM(可信平台模块)集成。TPM 可进一步增强系统安全性,保护敏感信息不被泄露,特别是在重启过程中。这对于需要加密保护或高级安全机制的环境尤为重要。
  5. 防止未经授权的软件加载:通过启用 Secure Boot,ESXi 主机只允许加载经过 VMware 或受信任第三方签名的驱动和模块,防止未经授权的软件包或驱动程序进入系统。这降低了安全隐患,尤其是在虚拟化环境中操作多个不同租户或应用的情况下。
  6. 自动化安全检查:启用 Secure Boot 后,系统在每次启动时会自动检查引导链的完整性和安全性,确保只有经过验证的软件和模块可以加载,简化了管理员的手动检查工作,减少了人为错误的可能性。

怎么开启Secure Boot?

Secure Boot是服务器硬件的功能,大部分现代的服务器厂商都支持Secure Boot的了。

一般来说服务器开启Secure Boot安全启动的位置都在UEFI的BIOS内,下图戴尔服务器为例:

ESXi 如何使用 UEFI Secure Boot

从 vSphere 6.5 开始,ESXi 在引导堆栈的每个层次都支持 UEFI Secure Boot。其具体工作方式如下:

  1. 引导加载程序验证:在 vSphere 6.5 及更高版本中,ESXi 的引导加载程序包含 VMware 公钥。引导加载程序使用此公钥来验证内核的签名以及系统中的一小部分关键组件,包括 Secure Boot VIB 验证器。
  2. VIB 验证器:VIB 验证器会验证系统中安装的每个 VIB 软件包的签名。

怎么确认ESXi是否可以开启Secure Boot?

首先两个先决条件:

  1. ESXi版本要6.5以上
  2. 服务器硬件要支持Secure Boot.

VMware ESXi有一个自带的脚本Secure Boot Validation Script,这个脚本的位置在/usr/lib/vmware/secureboot/bin/secureBoot.py

他可以帮你验证你的ESXi是否可以开启Secure Boot, 这个脚本的验证内容有两个:

  1. 检查硬件是否支持 UEFI 安全启动:确保硬件具备启用 UEFI 安全启动的能力。
  2. 检查所有 VIB(vSphere 安装包)的签名:确保所有安装的 VIB 签名的接受级别至少为 PartnerSupported。如果包含 CommunitySupported 级别的 VIB,系统将无法使用 Secure Boot

确认ESXi是否可以开启安全启动,只需运行一次这个脚本就可以:

1.首先查看硬件是否开启了Secure Boot, 当然这个动作最好在服务器BIOS检查,但是这个VM脚本也可以:

/usr/lib/vmware/secureboot/bin/secureBoot.py --check-status
或者/usr/lib/vmware/secureboot/bin/secureBoot.py -s

上面案例的Disabled表示硬件上还没有开启Secure Boot安全启动。

2. 检查ESXi是否可以开启Secure Boot

/usr/lib/vmware/secureboot/bin/secureBoot.py --check-capability
或者/usr/lib/vmware/secureboot/bin/secureBoot.py -c

如果结果为“Secure boot can be enabled: All vib signatures verified. All tardisks validated. All acceptance levels validated”,证明预检查通过,所有 VIB 签名已验证。所有 tardisk 文件已验证。所有接受级别已验证。此时你就可以放心重启ESXI,进BIOS开启Secure Boot.

https://www.aliyun.com/daily-act/ecs/activity_selection?userCode=h3kw1ira
【阿里云】2核2G云服务器新老同享99元/年
https://cloud.tencent.com/act/cps/redirect?redirect=6150&cps_key=9fcdfc2c29dcb52d7c5a549918ec0fef&from=console
https://vexpert.vmware.com/directory/12088/vexpert-badge-year.png

图书推介 - 京东自营

Kubernetes权威指南:从Docker到Kubernetes实践全接触(第6版)
VMware vSphere 虚拟化与企业运维从基础到实战
鸟哥的Linux私房菜 基础学习篇 第四版 Linux教程
打通Linux操作系统和芯片开发
玩转虚拟机——基于VMware+Windows(第二版)(名师手把手系列)

24小时热门

还有更多VMware问题?

免费试下我们的VMware技术助理(已接Deepseek)!即时解答VM难题 → 🤖VM技术助理


########

扫码加入VM资源共享交流微信群(请备注加群

https://cloud.tencent.com/act/cps/redirect?redirect=5990&cps_key=9fcdfc2c29dcb52d7c5a549918ec0fef&from=console

需要协助?或者只是想技术交流一下,直接联系我们!

联系我们

推荐更多

VMware Workstation:桥接模式、NAT模式、仅主机模式有什么区别?
VMware快速入门

VMware Workstation:桥接模式、NAT模式、仅主机模式有什么区别?

本文详细介绍了 VMware Workstation 中五种网络模式:桥接模式、NAT 模式、仅主机模式、自定义网络和 LAN 区段,讲解了它们的原理与区别。桥接模式下虚拟机与宿主机平等接入物理网络,NAT 模式则通过宿主机进行地址转换,仅主机模式仅限虚拟机与宿主机互通。自定义网络可灵活指定 VMnet 接口,而 LAN 区段则适合多虚拟机隔离测试。结合各模式特点与应用场景,帮助你快速选择最合适的网络配置。

reallybear 2025-05-19
VMware Workstation:如何解决打开虚拟机出现“此平台不支持虚拟化的Intel VT-x/EPT”的报错问题
疑难杂症

VMware Workstation:如何解决打开虚拟机出现“此平台不支持虚拟化的Intel VT-x/EPT”的报错问题

本文介绍了在 Windows 11 上使用 VMware Workstation 时,遇到“此平台不支持虚拟化的 Intel VT‑x/EPT”报错的成因与解决方案。通过运行 msinfo32.exe 确认 VBS(基于虚拟化的安全)状态后,利用一键 BAT 脚本或 dism /Online /Disable-Feature 命令批量禁用 Hyper‑V、Virtual Machine Platform 等安全功能,并结合 SecConfig.efi 调试工具,在 BIOS 中正确开启 Intel VT‑x、VT‑d 与 Memory Integrity 选项。重启后即能彻底关闭 VBS,恢复 Nested VT‑x/EPT 功能,从而成功启动嵌套虚拟机。此方法同样适用于嵌套 ESXi、GNS3 实验环境,全面优化 Windows 11 虚拟化性能和兼容性。

reallybear 2025-05-15
怎么分析ESXi主机日志vm-support?| VMware日志解读分析全攻略
疑难杂症

怎么分析ESXi主机日志vm-support?| VMware日志解读分析全攻略

本文介绍了如何获取并逐层解压 ESXi 主机的 vm‑support 日志包,重点关注 /commands 和 /var/run/log 等关键目录,以便提取 vmkernel.log、hostd.log 等核心日志文件。文章从虚拟机、主机、网络和存储四个维度,详细说明了日志路径、常见关键字及排查思路,如通过 vmware.log 定位 VM 重启原因、通过 NIC 信息及 vobd.log 分析网络链路问题、通过 SCSI 日志及 multipath 配置诊断存储故障。每一部分均给出对应的命令输出文件和日志搜索关键词,帮助运维人员快速定位各类故障。读者可依此流程,高效完成 ESXi 日志的故障排查与诊断。

贾克斯 2025-05-14
机房巡检报告6大必备要素 | 附送3个最典型的机房巡检报告模板
运维必备

机房巡检报告6大必备要素 | 附送3个最典型的机房巡检报告模板

本文首先阐述机房巡检报告的定义与价值,强调通过对环境、设备、安全及运行状态的定期检查,为数据中心稳定运行提供决策支持与趋势洞察;接着详细解读报告的六大必备要素:基本信息、环境状况、硬件与软件清单、电力与制冷系统、网络与安全设施,以及检查发现与优化建议;随后附送三套典型模板,分别适用于季度深度巡检、月度例行巡检和服务器专项巡检,可满足不同规模与场景需求;最后通过这些范本与要素指导,帮助运维人员优化巡检流程,提高报告质量和效率。

mingyue 2025-05-02

©2022-2025 | 关于我们联系我们加入我们隐私政策粤ICP备2023009824号-2 | All Rights Reserved.

//madurird.com/4/9119499