Başlangıç > VMware > 128: Denetim öncesi VM hardening

128: Denetim öncesi VM hardening

Daha önce bahsettiğimiz gibi, VMware Nisan ayında vSphere 4.1 versiyonu için bir Security Hardening Guide yayınladı. Özellikle denetim süreçlerinde çok faydalı bir doküman. Ancak bu noktada karşımıza çıkan sorun şu; görünen o ki, VM bazında değiştirilmesi gereken birçok parametre var ve eğer hatırı sayılır miktarda sanal sunucunuz da varsa, bunu elle yapmak son derece zahmetli olacaktır. İyi haber (her zamanki gibi) PowerCLI ile bunu kolaylıkla gerçekleştirebileceğimiz. Aşağıdaki scripti bu amaç uğruna kullanabiliriz.


$ExtraOptions = @{
"isolation.tools.diskShrink.disable"="true";
"isolation.tools.diskWiper.disable"="true";
"isolation.device.connectable.disable"="true";
"isolation.device.edit.disable"="true";
"RemoteDisplay.maxConnections"="1";
"vmci0.unrestricted"="false";
"log.keepOld"="10";
"log.rotateSize"="100000";
"tools.setInfo.sizeLimit"="1048576";
"tools.guestlib.enableHostInfo"="false";
"guest.command.enabled"="false";
}
$vmConfigSpec = New-Object VMware.Vim.VirtualMachineConfigSpec
Foreach ($Option in $ExtraOptions.GetEnumerator()) {
$OptionValue = New-Object VMware.Vim.OptionValue
$OptionValue.Key = $Option.Key
$OptionValue.Value = $Option.Value
$vmConfigSpec.extraconfig += $OptionValue
}
$VMs = Get-View -ViewType VirtualMachine -Property Name -Filter @{"Config.Template"="false"}
foreach($VM in $VMs){
$VM.ReconfigVM_Task($vmConfigSpec)
}

Bir kötü haber, VMX dosyasında değiştirdiğimiz bu parametrelerin hayata geçebilmesi için sanal sunucunun shutdown edilip yeniden açılması gerekmekte. Ancak ben yaptığım testlerde tümü için bunun gerekli olmadığını farkettim. Mesela, daha öncesinde PowerCLI üzerinde Invoke-VMScript komutunu (VM içerisinde komut hatta script çalıştırılmasını sağlayan bir komut) çalıştırabiliyorken, yaptığım değişikliğin hemen ardında komutun hata verdiğini gördüm. Bu da 12. satırda yer alan parametrenin aktive olduğunu gösteriyor.

ExtraOptions dizisi içerisinde yer alan parametreleri Hardening Guide doğrultusunda çıkardım. Kısaca üzerinden geçmek gerekirse;

Satır 2-3: Sunucuya bağlanan kısıtlı yetkili bir kullanıcının, VMtools üzerinden diskleri shrink etmesini engellemek amacı ile bu parametrelerin true olması gerekmektedir. Kötü amaçlı kullanım, diskin erişilmez bir noktaya gelmesini tetikleyebilir.

Satır 4-5: Sunucuya bağlanan kısıtlı yetkili bir kullanıcının, VMtools üzerinden network yada CDROM gibi donanımlar üzerinde işlem yapamaması için bu değerler true olmalıdır. Özellikle kötü niyetli bir kullanıcı, network adaptörünü disable edebilir ve servis kesintisine sebebiyet verebilir.

Satır 6: Normalde console ekranını birden fazla kullanıcı alabilir ve bu durum gerçekleştirilen aksiyonların istem dışı izlenmesine sebebiyet verir. Dolayısı ile maxConnection değerinin 1 olduğu durumda, console almak isteyen ikinci kullanıcı “Internal Error” hatası alacaktır.

Satır 7: VMCI, Virtual Machine Communication Interface anlamına gelen ve iki VM’in çok yüksek bandwidth ile birbirleriyle iletişim kurmalarını sağlayan özel bir arabirimdir. Varsayılan olarak kullanılabilir durumdadır ancak TCP/IP gibi güvenli bir protokol olmadığından güvenlik çerçevesinde kapalı olması gerekmektedir.

Satır 8-9: Her VM’in kendi loglama mekanizması vardır ve bu iki parametre bu mekanizma üzerinde daha fazla kontrol sahibi olunmasını sağlar.

Satır 10: VMX dosyasının aşırı şişmesi ve disk alanını doldurması riskine karşılık, bu parametre ile 1MB’lık maksimum boyut belirlenmektedir.

Satır 11: VMtools kurulu bir VM’de, perfmon üzerinden ilgili ESX ile akalakı performans parametrelerine erişilebilmesini engeller.

Satır 12: VIXAPI aracılığı ile Guest OS üzerinde script çalıştırılmasını engeller.

Kategoriler:VMware Etiketler:,
  1. Henüz yorum yapılmamış.
  1. No trackbacks yet.

Bir Cevap Yazın

Aşağıya bilgilerinizi girin veya oturum açmak için bir simgeye tıklayın:

WordPress.com Logosu

WordPress.com hesabınızı kullanarak yorum yapıyorsunuz. Çıkış  Yap /  Değiştir )

Google+ fotoğrafı

Google+ hesabınızı kullanarak yorum yapıyorsunuz. Çıkış  Yap /  Değiştir )

Twitter resmi

Twitter hesabınızı kullanarak yorum yapıyorsunuz. Çıkış  Yap /  Değiştir )

Facebook fotoğrafı

Facebook hesabınızı kullanarak yorum yapıyorsunuz. Çıkış  Yap /  Değiştir )

w

Connecting to %s

%d blogcu bunu beğendi: