测评中不难发现，目前还采用的实体机的情况已经比较少了，一般服务器都是虚拟服务器了，我们这里就来看一下比较常见的VMware ESXI系统，针对于等保2.0的保护需求是怎样的。

VMware ESXi 底层是一个定制版的Linux系统。可通过在控制台开启SSH服务进入Linux系统（默认是关闭SSH服务）。 

登录系统后，在应用层可以看到相关信息，默认情况下SSH登录是关闭的，可在此处开启SSH管理，个人认为，这个SSH管理其实就是类似安全设备（如防火墙）一样的命令行界面，你在应用层面操作的内容都会反馈到命令行界面中。

查看版本

SSH登录：vmware -v 查看esx版本

应用层面配置基本都在：主机→管理→系统→高级设置

一、身份鉴别

a）应对登录的用户进行身份标识和鉴别，身份标识具有唯一性，身份鉴别信息具有复杂度要求并定期更换

1.  操作系统层面

直接SSH连接，通过用户名+口令的方式进行身份鉴别

与普通Linux系统不同，无useradd 命令，无法创建新用户（可能是其他命令）

第一个核查当前的用户口令复杂度如何，然后再去查看强制的口令复杂度策略事如何配置的

密码复杂度文件：/etc/pam.d/passwd

1）pam_passwdqc模块

是一个简单的密码强度检查模块，以下选项可以传递给身份验证模块：

① min=N0，N1，N2，N3，N4

（min=disabled，24，12，8，7）不同类型的密码/密码短语允许的最小密码长度。关键字disabled可用于禁止给定类型的密码，无论其长度如何。每个后续数字都不得大于前一个。

N0：仅用于由一个字符类中的字符组成的密码。字符类包括：数字、小写字母、大写字母和其他字符。还有一种特殊的非ASCII字符类，但不能分类，但假定为非数字。

N1：用于密码，该密码由不符合密码要求的两个字符类中的字符组成。

N2：用于密码短语，除了满足此长度要求之外，密码短语还必须包含足够数量的单词。

N3、N4 用于由三个和四个字符类的字符组成的密码。

在计算字符类别的数量时，不计算用作第一个字符的大写字母和用做最后一个字符的数字。除了足够长之外，还要求密码包含足够多的不同字符，已用于字符类和检查时所依据的最小长度

② max=N [最大=40]

允许的最大密码长度，用于防止用户设置对于某些系统服务而言可能太长的密码。

N=8被特殊对待：max = 8时，长度超过8个字符的密码不会被拒绝，但会被截断为8个字符以进行强度检查，并会警告用户。这是为了兼容传统的DES密码散列，它截断密码为8个字符。

如果使用传统散列，请务必将max=8设置为重要值，否则某些弱密码将通过检查。

③ passphrase=N

密码短语所需的字数，或者以0禁用用户选择对密码短语的支持。如果密码中被识别出了常用的短语，那么最小长度就为必须为N2设置的值，常用单词的最小识别长度为N（由passphrase确定）。

④ match=N、similar=permit|deny

如果发现本次修改的密码跟老密码有4个substring的长度类似，就认为是弱密码。（match=4 similar=deny)

⑤ random=N [，only]

随机生成的密码短语的大小，或以0禁用此功能。

⑥ enforce=none|users|everyone

可以使用该模块配置警告仅限密码，但实际上不强制使用强密码。users代表除root账户。

⑦ retry=N

修改密码可重试的次数，返回密码修改错误 

⑧ disable_firstupper_lastdigit_check

默认情况下，对于输入的密码，如果第一个字母是大写字母，或者最后一个字母为数字，则不会计入密码字符的种类。比如：Fuck1234，由于第一个F是大写字母，所以会被认为，该密码只有小写字母和数字两种字符。用disable_firstupper_lastdigit_check 禁止了这种识别。 

2）针对图中配置详解

password   requisite    /lib/security/$ISA/pam_passwdqc.so retry=3 min=disabled,disabled,disabled,7,7

①只包含一种字符的密码，拒绝

②只包含两种字符的密码，拒绝

③拒绝

④只包含三种字符的密码，最小长度7位

⑤只包含四种字符的密码，最小长度为7位

有效的密码应该是由大小写字母、数字和其他字符混合组成。你可以用7个字符长密码，至少包含这4个类中的3个字符。以密码开头的大写字母和以结束它的数字，不计入其使用的字符类数（经测试，Zztest@1、zztest1密码设置不成功，密码zzTest@成功）

1）实际更换周期

查看/etc/shadow 文件：

最后一次修改时间，Linux 计算日期的时间是以  1970 年 1 月 1 日作为 1 不断累加得到的时间，通过此命令：

date -d "1970-01-01 （天数） days"

即可将其换算为我们习惯的系统日期。

注意：在vm本身的操作系统中，无法使用该方法，换一台Linux的机子即可

2）强制更换周期

查看 /etc/shadow

该操作系统无login.defs文件

2.  应用层面配置：

用户名+口令

默认不允许创建同名账户

对应键值为：Security.PasswordQualityControl

与操作系统密码复杂度模块同理：

①只包含一种字符的密码，拒绝

②只包含两种字符的密码，拒绝

③拒绝

④只包含三种字符的密码，最小长度7位

⑤只包含四种字符的密码，最小长度为7位

口令最长使用期限，对应键值为：Security.PasswordMaxDays

SSH登录的话，他会强制给你用随机生成的密码

历史密码记录，对应键值为：Security.PasswordHistory

当手动修改密码的时候会显示这样的提示

不难看出应用层面的配置与SSH连接进行配置相连，所以我们只需要测应用层面即可，并且默认SSH是关闭的，我们就不用去管他了。

b）应具有登录失败处理功能，应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施

涉及参数：

Security.AccountLockFailures 、Security.AccountUnlockTime 

登录失败次数达到设置阈值后，即使输入正确口令也显示密码不正确

控制台超时，默认情况下：

也可在高级设置中配置：主机→管理→系统→高级设置→对应键值为UserVars.HostClientSessionTimeout

当自主设置过值后，已覆盖会变为true

同时超时的 √ 会消失

c）当进行远程管理时，应采取必要措施防止鉴别信息在网络传输过程中被窃听

观察远程管理使用的是http还是https

d）应采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别，且其中一种鉴别技术至少应使用密码技术来实现

默认为用户名+口令的方式进行身份鉴别，现场核查是否采用双因素认证

二、访问控制

a）应对登录的用户分配账户和权限

用户在此添加：主机→管理→安全和用户

此时该用户无权相关操作的时候访问会被拒绝

在主机→权限 中添加权限

然后可查看对应角色对应的访问模块

查看默认账户有哪些，是限制了默认账户root的访问权限，另外两个则是内置账户，不允许交互式登录

b）应重命名或删除默认账户，修改默认账户的默认口令

主机→管理→安全和用户 查看是否存在root账户

c）应及时删除或停用多余的、过期的账户，避免共享账户的存在

该条同理， 在主机→管理→安全和用户 查看

询问管理人员，确认每个账户用途，是否存在多余、过期账户，确认是否存在多人共用同一账户情况存在，有无共享账户存在。

d）应授予管理用户所需的最小权限，实现管理用户的权限分离

三权分立原则，实现管理用户的权限分离

一般现场核查，确认是否存在管理员、操作员、审计员等类型账户，如果只有一个超管账户那肯定不符合

e）应由授权主体配置访问控制策略，访问控制策略规定主体对客体的访问规则

授权主体一般为该系统管理员，然后在主机→管理→安全和用户 中查看各用户的权限分配情况，即为授权主体配置的主客体访问控制规则，默认符合

f）访问控制的粒度应达到主体为用户级或进程级，客体为文件、数据库表级

主体为用户，客体一般对应系统菜单权限功能。默认符合

g）应对重要主体和客体设置安全标记，并控制主体对有安全标记信息资源的访问

主要查看系统是否具有强制访问控制机制，该条默认不符合。

三、安全审计

a）应启用安全审计功能，审计覆盖到每个用户，对重要的用户行为和重要安全事件进行审计

1.  审计服务

web界面：主机→管理→服务，对应服务名称为：vmsyslogd，确认状态栏是否为正在运行即可

选中该服务，可对其进行策略配置。（默认情况下，随主机启动和停止，开机自启日志服务）

2.  日志内容级别

web界面：主机→管理→系统→高级设置

涉及参数：Config.HostAgent.log.level

默认值为info 级别

● 信息等级

同一个服务所产生的信息也是有差别的，有启动时仅通知系统而已的一般信息（information），有出现还不至于影响到正常运行的警告信息（warn），还有系统硬件发生严重错误时，所产生的重大问题信息（error）。基本上，Linux内核的syslog将信息分为8个主要的等级，根据syslog.h定义，信息名称与数值的对应如下：

7 debug：用来debug（除错）时产生的数据

6 info：仅是一些基本的信息说明而已

5 notice：虽然是正常信息，但比info还需要被注意到的一些内容

4 warning（warn）：警示的信息，可能有问题，但是还不至于影响到某个daemon运行的信息

3 err（error）：一些重大的错误信息，例如配置文件的某些设置值造成该服务无法启动的信息说明，通常借由err的错误告知，应该可以了解到该服务无法启动的问题

2 crit：比error还要严重的错误信息，这个crit是临界点（critcal）的缩写，这个错误已经很严重了

1 alert：警告，已经很有问题的等级，比crit还要严重

0 emerg（panic）：疼痛等级，意指系统已经几乎要宕机的状态，很严重的错误等级。通常大概只有硬件出问题，导致整个内核无法顺利运行，就会出现这样的等级信息。

个人认为这里至少要设置error及以上等级的策略才算符合，不然光记录crit、alert、emerg等级的事件日志量之类的首先会少，而且不利于排错。

b）审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息

1.  查看日志

vmware esxi日志包含事件的日期、时间、主客体标识及结果等基本信息，默认符合

主机→监控→日志 中查看，右键点击查看对应日志信息

例如我们查看hostd.log，这里会有相应的登录信息

2.  查看系统当前时间

主机→管理→系统→时间和日期，确认当前时间是否与实际一致

c）应对审计记录进行保护，定期备份，避免受到未预期的删除、修改或覆盖等

1.  输出到日志服务器

web界面查看：主机→管理→系统→高级设置

涉及参数：Syslog.global.logHost

我们可查看该参数来确认是否配置了收集该系统的日志服务器

输入远程 Syslog 服务器的地址和端口号，例如 udp://syslog-server:514

2.  日志本地保存

如果日志没有发送至日志服务器，或定期备份，仅本地存储的话，就要去看它本地的轮替策略是否做过。

在 VMware ESXi 的 Web 控制台中，无法直接设置日志保存的时间。ESXi 主机默认将日志保存为循环日志文件，当日志文件达到一定大小后，会自动覆盖最旧的日志。

web界面：主机→管理→系统→高级设置

涉及参数：syslog.global.defaultrotate、syslog.global.defaultsize

syslog.global.defaultrotate 代表保留的日志轮替个数，默认为8

syslog.global.defaultsize代表每个日志文件的轮替的大小值，单位为kb，默认为1024

这里就需要确认该日志轮替规则是否能满足日常的业务需求，能否避免审计记录受到未预期的覆盖，同时应用层面任何用户无法删除、修改日志。另外根据高风险判例指引，确认日志留存时间是否达到6个月以上。

d）应对审计进程进行保护，防止未经授权的中断

通过web界面root账户（最高权限），无法关闭该服务

四、入侵防范

a）应遵循最小安装的原则，仅安装需要的组件和应用程序

默认情况下该版本安装了72项软件包，大部分为驱动程序、管理插件、组件间的支持程序、支持库等。

这里有兴趣的小伙伴可自行查询，每种类型是干嘛用的，一般感觉没人会去动，如果会去动的人，也是懂VMware ESXI了，询问下管理员装了什么即可，一般给默认符合。

b）应关闭不需要的系统服务、默认共享和高危端口

1. 服务

在主机→管理→服务 中查看当前运行的服务

也可在系统底层查看chkconfig --list |grep on

2.  端口

登录底层，可通过该命令查看监听了哪些端口esxcli network ip connection list

或者通过扫描查看对应端口，一般对外开放 22 80 443 

端口说明：

80 web通讯端口

443 vSphere Client、vCenter Server、vSphere Web Access Client等相关组件通信端口

22 SSH服务

c）应通过设定终端接入方式或网络地址范围对通过网络进行管理的管理终端进行限制

web界面：网络→防火墙规则，可查看相应规则

针对于web管理方式，涉及名称：vSphere Web Client

我们可以点击编辑设置，勾选仅允许从以下网络连接，并输入对应的ip地址

经测试，除192.168.1的C段的地址，其余地址将无法访问该web界面。

d）应提供数据有效性检验功能，保证通过人机接口输入或通过通信接口输入的内容符合系统设定要求

结合漏扫、渗透结果确认是否存在对应漏洞

e）应能发现可能存在的已知漏洞，并在经过充分测试评估后，及时修补漏洞

结合漏扫、渗透结果确认否存在对应漏洞

f）应能够检测到对重要节点进行入侵的行为，并在发生严重入侵事件时提供报警

该条款在操作系统层面核查，个人认为不适用，大多情况下都不会开SSH管理，而且这个为成熟的商业软件，你说去底层的操作系统上安装，感觉有点不切实际，主要操作我们都是通过web界面形式来操作的。

五、恶意代码防范

a）应采用免受恶意代码攻击的技术措施或主动免疫可信验证机制及时识别入侵和病毒行为，并将其有效阻断

同理该条款在操作系统层面核查，该项不适用

六、可信验证

a）可基于可信根对计算设备的系统引导程序、系统程序、重要配置参数和应用程序等进行可信验证，并在应用程序的关键执行环节进行动态可信验证，在检测到其可信性受到破坏后进行报警，并将验证结果形成审计记录送至安全管理中心

默认不符合。

七、数据完整性

a）应采用校验技术或密码技术保证重要数据在传输过程中的完整性，包括但不限于鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等

涉及的数据：鉴别数据、重要审计数据、重要配置数据

鉴别数据、重要配置数据，传输过程中的完整性一般靠传输协议保证，针对vmware esxi就看他是否使用https协议进行数据传输。

对于重要审计数据，如果采用的是syslog协议是无完整性保护

b）应采用校验技术或密码技术保证重要数据在存储过程中的完整性，包括但不限于鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等

涉及的数据：鉴别数据、重要审计数据、重要配置数据

询问管理人员是有对这些数据进行了存储完整性保护，默认不符合

八、数据保密性

a）应采用密码技术保证重要数据在传输过程中的保密性，包括但不限于鉴别数据、重要业务数据和重要个人信息等

采用SSH、https均符合

若存在http则不符合

b）应采用密码技术保证重要数据在存储过程中的保密性，包括但不限于鉴别数据、重要业务数据和重要个人信息等

鉴别数据与普通Linux系统一样，鉴别数据默认存储在/etc/shadow文件中，该版本采用SHA-512

九、数据备份恢复

a）应提供重要数据的本地数据备份与恢复功能

有两种理解，一种是该设备为计算资源提供层，无需备份。

另一种是要备份的其实也就vmware虚拟机导出的镜像文件

导出来就是这么一些文件，当然有做给符合没问题

b）应提供异地实时备份功能，利用通信网络将重要数据实时备份至备份场地

第一种该设备为计算资源提供层，无需备份

第二种查看备份出来的虚拟机镜像是否有异地备份

c）应提供重要数据处理系统的热冗余，保证系统的高可用性

询问管理人员vmware底层是否采用集群、热备方式部署，保证计算资源的高可用。

原文始发于微信公众号（等保不好做啊）：等保2.0测评 — VMware ESXI