▼
针对虚拟化软件(VMware系列)的测评实施工作主要针对身份鉴别机制、访问控制机制、入侵防范机制、资源控制机制4个方面。
虚拟化软件的root用户具有最大权限,虚拟化软件直接控制虚拟机,因此良好的身份鉴别机制对保证虚拟机的安全有很大的帮助。虚拟化软件身份鉴别机制的测评工作主要以下2个方面。
1)检查用户/组的权限配置,检查 root 及普通用户权限是否采用最小授权原则。登录v Sphere,单击“权限”选项卡,显示所有用户的名称及权限,查看是否有多个管理员权限的用户,从而违背了最小授权原则。
2)检查虚拟化软件用户账户身份鉴别信息,包括用户口令长度、复杂度、更新周期等。有效密码应该包含尽可能多的字符种类的组合。字符种类包括小写字母、大写字母、数字和特殊字符。可打开ESXi账户策略配置文件(默认保存路径为/etc/pam.d/passwd),查看以下参数的设置情况。
N=8:包含一类字符的密码的长度必须至少为8个字符。
N1=8:包含两类字符的密码的长度必须至少为8个字符。
N2=8:密码短语包含的每个单词的长度必须至少为8个字符。
N3=7:包含三类字符的密码的长度必须至少为7个字符。
N4=6:包含全部四类字符的密码的长度必须至少为6个字符。
虚拟化软件的访问控制可以有效防止非法主体访问受保护的资源,或防止合法用户对受保护的资源进行非授权的访问。测评工作主要有以下4个方面。
1)检查管理员用户是否禁用SSH服务,并禁用所有用户的授权(SSH)密钥。查看SSH配置文件(缺省路径/etc/ssh/keys-root/authorized_keys),验证其是否为空且未将任何SSH密钥添加到该文件中。
2)检查是否设置Shell可用性超时及会话超时。在v Sphere client中选择目标主机,单击“配置”选项卡,在“软件”下,选择“高级设置”,在左面板中选择“User Vars”,查看User Vars.ESXi Shell Time Out 字段值是否为“0”,如为“0”则表明未设置可用性超时;查看User Vars.ESXi Shell Interactive Time Out字段值是否大于“0”,如为“0”则表明未设置会话超时。
3)检查是否限制允许远程控制台连接的数量。在vsphere的Web client中右击“虚拟机”,单击“编辑设置”,选择“虚拟机”选项,单击“高级”→“编辑配置”。检查参数Remote Display.max Connections值是否为“1”。如果大于1,则表明允许多个远程管理控制台。
4)检查部署的防火墙情况。下图所示为v Sphere Client与ESXi主机之间的防火墙部署情况。
检查v Sphere Client与ESXi主机之间的防火墙部署
针对虚拟化软件入侵防范机制的测评工作主要有以下5个方面。
1)检查有无不必要或额外的功能。检查是否连接无用的物理设备,如CD/DVD 光驱、软驱或者USB适配器;检查是否关闭屏幕保护程序,如果使用的是Linux,BSD或Solaris客户机操作系统,则尽量不要运行桌面系统;检查是否禁用未使用的服务,例如,如果系统作为文件服务器运行,则确保关闭所有Web服务。
2)检查是否禁止远程控制平台的复制粘贴功能,防止将敏感数据拷贝到虚拟机中。使用v Sphere Client登录到v Center Server系统并选择虚拟机。在“摘要”选项卡中,单击“编辑”设置。选择“选项”→“高级”→“常规”,然后单击“配置参数”。检查isolation.tools.copy.disable 和 isolation.tools.paste.disable 这 2 个参数的值是否为“TRUE”。isolation.tools.copy.disable 值为“TRUE”表明禁止了远程控制平台的复制功能, isolation.tools.paste.disable值为“TRUE”表明禁止了远程控制平台的粘贴功能。
3)检查虚拟机操作系统安装和配置类型是否匹配、文件的操作权限是否恰当。
4)检查是否禁用虚拟磁盘压缩。在v Center或v Sphere Web Client中,依次单击虚拟机的“摘要”→“编辑设置”,选择“选项”→“高级”→“常规”,单击“配置参数”,检查isolation.tools.disk Shrink.disable参数的值是否为“TRUE”,值为“TRUE”表明禁止虚拟机通过VMware后门程序直接调用disk Shrink实现磁盘压缩。
5)检查是否禁用未公开的功能。VMware 虚拟机在v Sphere系统与托管虚拟化平台上都能运行。在 v Sphere系统上运行虚拟机时,无需启用某些 VMX 参数。禁用这些参数可降低出现漏洞的可能性。检查虚拟机的“.vmx”文件,核查以下参数值是否为“TRUE”:
isolation.tools.unity.push.update.disable
isolation.tools.ghi.launchmenu.change
isolation.tools.mem Sched Fake Sample Stats.disable
isolation.tools.get Creds.disable
isolation.tools.ghi.autologon.disable
isolation.tools.hgfs Server Set.disable
针对虚拟化软件入侵防范机制的测评工作主要有以下6个方面。
3)检查是否限制客户机操作系统写入主机内存。如客户机操作系统进程会通过 VMware Tools 向主机发送信息性消息。如果不限制主机存储这些消息的数据量,则无限的数据流将为攻击者提供发起拒绝服务(DoS)攻击的机会。具体检查内容包括以下2个方面。
① 检查客户机操作系统的可变内存限制的设置。在v Center Server或v Sphere Web Client中选择虚拟机。在“摘要”选项卡中,单击“编辑设置”,选择“选项”→“高级”→“常规”,单击“配置参数”,查看参数tools.set Info.size Limit的值是否为“TRUE”,如为“TRUE”则表明设置了可变内存限制。
② 检查是否阻止客户机操作系统进程向主机发送配置消息。检查虚拟机的“.vxm”文件,检查是否存在参数isolation.tools.setinfo.disable,其值是否为“TRUE”。
4)检查是否启用主机资源管理功能,控制虚拟机消耗的服务器资源。包括检查是否共享或预留保证资源分配给关键的虚拟机、是否对虚拟机的资源消耗进行约束限制。
5)启动虚拟机,查看是否存在未预留足够的CPU或内存现象。在 v Sphere Client 中,选择主机,然后单击配置选项卡→选择“处理器”。可以查看有关物理处理器数量和类型以及逻辑处理器数量的信息。在 v Sphere Client 中,选择主机,然后单击配置选项卡→单击“内存”,显示有关主机内存分配的信息。
6)检查是否启用存储I/O控制。在 v Sphere Client 清单中选择数据存储→配置选项卡→属性→在“存储 I/O 控制”下,查看是否选中“已启用”复选框。
▲
- The end -
原文始发于微信公众号(计算机与网络安全):HW:虚拟化软件测评
评论