пятница, 29 мая 2009 г.

VM security

Интересный пост Hardening the VMX File: How Your Servers May Already be 0wned by Your Users.

Автор рассказывает про недоработки\уязвимости в VMware tools для некоторых ситуаций.
Например, пользователь на терминальном\citrix сервере без прав администратора может запустить VMware tools, затем отключить сетевую карту. Отключится она для всего сервера(всей ВМ).
Лечится прописыванием в vmx параметров

isolation.device.connectable.disable = "true"
isolation.device.edit.disable = "true"


Еще, пользователь не администратор может там же изменить настройку "Синхронизовать время с SC". Опять же, это может доставить неприятностей.

ну и далее. Там много еще приколов, если для вас такого рода вопросы безопасности важны - рекомендую ознакомиться. Так же, пост полезен большим количеством параметров vmx файла.
Более того, на основании изложенного автор рекомендует опции для добавления в vmx:
isolation.device.connectable.disable = "true"
isolation.device.edit.disable = "true"
isolation.tools.setOption.disable = "true"
isolation.tools.log.disable = "true"
isolation.tools.diskWiper.disable = "true"
isolation.tools.diskShrink.disable = "true"
isolation.tools.copy.disable = "true"
isolation.tools.paste.disable = "true"
isolation.tools.setGUIOptions.enable = "false"
log.rotateSize = "100000"
log.keepOld = "10"
vlance.noOprom = "true"
vmxnet.noOprom = "true"

# PXE boot on the e1000 vNIC can be disabled with this directive:
ethernet0.opromsize = "0"







0 коммент.:

Отправить комментарий