ESXi开启Secure Boot | ESXi开启安全启动

ESXi开启Secure Boot | ESXi开启安全启动

什么是Secure Boot

Secure Boot 是一种基于 UEFI 固件的安全标准,他目的是确保服务器在引导过程中只加载经过加密签名和验证的可信软件。它通过防止未经授权的驱动程序、内核或应用程序启动,有效抵御恶意软件和篡改攻击,确保系统的完整性和安全性。

开启ESXi Secure Boot的6个好处

下面是几个ESXi开启Secure Boot的优势和原因,其实最终目的就是提高系统的安全性和稳定性:

  1. 防止恶意软件和篡改:Secure Boot 确保 ESXi 主机在引导过程中只加载经过签名和验证的驱动程序、内核以及 VIB 软件包。如果系统组件未经加密签名或被篡改,Secure Boot 会阻止其加载。这有效防止了恶意软件通过篡改引导过程来攻击系统。
  2. 提高系统完整性:通过验证引导加载程序、内核和 VIB 软件包的完整性,Secure Boot 确保 ESXi 主机启动的每个环节都可信赖,避免了因驱动或模块被恶意修改而导致的安全漏洞和不稳定情况。
  3. 遵从企业安全策略:许多企业对 IT 基础设施安全有严格的要求,特别是在涉及数据中心和虚拟化环境时,这个其实也是大家要开启Secure Boot的最主要原因。启用 Secure Boot 有助于企业符合严格的合规性要求和安全标准,如 PCI-DSS、HIPAA 等,确保主机在引导过程中保持最高的安全性。
  4. 支持 TPM 集成,提升安全性:在 vSphere 7.0 Update 2 及更高版本中,启用 Secure Boot 后可与 TPM(可信平台模块)集成。TPM 可进一步增强系统安全性,保护敏感信息不被泄露,特别是在重启过程中。这对于需要加密保护或高级安全机制的环境尤为重要。
  5. 防止未经授权的软件加载:通过启用 Secure Boot,ESXi 主机只允许加载经过 VMware 或受信任第三方签名的驱动和模块,防止未经授权的软件包或驱动程序进入系统。这降低了安全隐患,尤其是在虚拟化环境中操作多个不同租户或应用的情况下。
  6. 自动化安全检查:启用 Secure Boot 后,系统在每次启动时会自动检查引导链的完整性和安全性,确保只有经过验证的软件和模块可以加载,简化了管理员的手动检查工作,减少了人为错误的可能性。

怎么开启Secure Boot?

Secure Boot是服务器硬件的功能,大部分现代的服务器厂商都支持Secure Boot的了。

一般来说服务器开启Secure Boot安全启动的位置都在UEFI的BIOS内,下图戴尔服务器为例:

ESXi 如何使用 UEFI Secure Boot

从 vSphere 6.5 开始,ESXi 在引导堆栈的每个层次都支持 UEFI Secure Boot。其具体工作方式如下:

  1. 引导加载程序验证:在 vSphere 6.5 及更高版本中,ESXi 的引导加载程序包含 VMware 公钥。引导加载程序使用此公钥来验证内核的签名以及系统中的一小部分关键组件,包括 Secure Boot VIB 验证器。
  2. VIB 验证器:VIB 验证器会验证系统中安装的每个 VIB 软件包的签名。

怎么确认ESXi是否可以开启Secure Boot?

首先两个先决条件:

  1. ESXi版本要6.5以上
  2. 服务器硬件要支持Secure Boot.

VMware ESXi有一个自带的脚本Secure Boot Validation Script,这个脚本的位置在/usr/lib/vmware/secureboot/bin/secureBoot.py

他可以帮你验证你的ESXi是否可以开启Secure Boot, 这个脚本的验证内容有两个:

  1. 检查硬件是否支持 UEFI 安全启动:确保硬件具备启用 UEFI 安全启动的能力。
  2. 检查所有 VIB(vSphere 安装包)的签名:确保所有安装的 VIB 签名的接受级别至少为 PartnerSupported。如果包含 CommunitySupported 级别的 VIB,系统将无法使用 Secure Boot

确认ESXi是否可以开启安全启动,只需运行一次这个脚本就可以:

1.首先查看硬件是否开启了Secure Boot, 当然这个动作最好在服务器BIOS检查,但是这个VM脚本也可以:

/usr/lib/vmware/secureboot/bin/secureBoot.py --check-status
或者/usr/lib/vmware/secureboot/bin/secureBoot.py -s

上面案例的Disabled表示硬件上还没有开启Secure Boot安全启动。

2. 检查ESXi是否可以开启Secure Boot

/usr/lib/vmware/secureboot/bin/secureBoot.py --check-capability
或者/usr/lib/vmware/secureboot/bin/secureBoot.py -c

如果结果为“Secure boot can be enabled: All vib signatures verified. All tardisks validated. All acceptance levels validated”,证明预检查通过,所有 VIB 签名已验证。所有 tardisk 文件已验证。所有接受级别已验证。此时你就可以放心重启ESXI,进BIOS开启Secure Boot.

图书推介 - 京东自营

24小时热门

需要协助?或者只是想技术交流一下,直接联系我们!

推荐更多

如何将ESXi主机置于或退出维护模式?
运维必备

如何将ESXi主机置于或退出维护模式?

本文介绍了三种将ESXi主机置于维护模式或退出维护模式的方法。分别通过vSphere客户端、ESXi主机客户端和命令行界面(CLI)进行操作。每种方法都提供了详细的步骤,帮助系统管理员有效地管理ESXi主机的维护工作。

戴尔OEM版ESXi安装包与VMware原版安装包有何不同?
VMware快速入门

戴尔OEM版ESXi安装包与VMware原版安装包有何不同?

这篇文章对比了Dell OEM版本和VMware原厂版本的ESXi安装包,重点分析了驱动集成、功能定制和版本发布时效等方面的差异。Dell OEM版本为Dell服务器定制了专门的驱动程序,提供更好的硬件兼容性和更简便的安装过程。而VMware原厂版本则适用于更广泛的硬件,更新发布更为及时。通过这些比较,用户可以根据自身需求选择更合适的ESXi版本。

如何备份VMware vCenter Server Appliance(VCSA)的文件
VMware快速入门

如何备份VMware vCenter Server Appliance(VCSA)的文件

本文以vCenter Server Appliance 7.0(VCSA 7.0)为例,详细介绍了如何通过自动备份和手动备份两种方式,对VCSA进行文件级别的备份配置,确保数据安全和业务连续性。内容涵盖备份前的准备工作、操作步骤及注意事项,为管理员提供了实用的参考指南。

VMware快速入门

如何使用ESXCLI命令删除VMware ESXi上的软件包

这篇文章介绍了如何在VMware ESXi上移除VIB包,VIB包是用于扩展ESXi功能的软件组件。通过正确的方法删除不需要的VIB包,可以帮助优化系统性能并确保兼容性。