如何在ESXi中禁用交换文件?

Modified on: Thu, 25 Jul 2019 02:20:03 +0800

我们在ESXi上运行一些Solaris / Linux VM,其中包含非常敏感的加密数据,最终会根据需要在内存中进行解密。

一切都很好,除了可能存储一些解密数据的ESXi交换文件之外,最重要的是这些文件在主机崩溃的情况下不会被删除。

有没有办法完全禁用这些文件?

我们已经尝试在每个VM的基础上将整个分配的RAM保留到VM,但文件仍然会被创建。

对整个主机或仅针对某些虚拟机完全禁用ESXi交换需要什么?

作者:user130370,Marius Burz

最佳答案

这是一个有趣的问题。我从未考虑过虚拟机管理程序级别的数据安全性......通常安全策略和强化都围绕特定于操作系统的任务(限制守护进程,端口,禁用核心文件,文件系统挂载选项等)。

但是经过一些快速研究(并针对活动的VMWare .vswp文件运行strings)表明,绝对可以从驻留在VMWare数据存储上的.vswp文件中提取数据。这个链接有助于解释这些文件的生命周期。

在您的情况下,我认为您的方法将是确定安全策略和要求。根据我在财务和处理审计方面的经验,我认为可接受的方法是限制/保护对主机服务器的访问。回想一下,默认情况下,ESXi主机未启用SSH或控制台访问。启用这些功能会在vCenter中引发需要手动覆盖,因此假设审核访问是控制对此信息的访问的最佳方式。

如果担心谁可以访问服务器,则可能没有针对管理问题的技术解决方案。我会检查一些其他来源,看看是否有办法限制.vswp文件的使用。

- 编辑 -

您可以保留所有来宾RAM。您没有指定您正在使用的VMWare版本,但在我的5.1安装中,可以选择保留所有访客内存。启用此选项会创建零长度 .vswp文件,而不是等于分配给虚拟机的RAM大小的文件。不要理会vmx - *。vswp文件。 这是ESXi 5.x的新增功能< / a>,与客人的操作系统内存压力 >(它适用于VMX进程堆,来宾外围设备和管理代理)。此外,可以通过将sched.swap.vmxSwapEnabled设置为FALSE来禁用vmx - *。vswp文件。

我认为这会给你你想要的东西。


无内存预留(默认):

root@deore:/volumes/vol2/staging/Test_Bed# ls -al | grep vswp
-rw------- 1 nfs  nobody  3221225472 Dec 23 13:31 Test_Bed-ad493981.vswp
-rw------- 1 nfs  nobody   115343360 Dec 23 13:31 vmx-Test_Bed-2907257217-1.vswp

锁定内存预约:

root@deore:/volumes/vol2/staging/Test_Bed# ls -al | grep vswp
-rw------- 1 nfs  nobody           0 Dec 23 13:38 Test_Bed-ad493981.vswp
-rw------- 1 nfs  nobody   115343360 Dec 23 13:38 vmx-Test_Bed-2907257217-1.vswp
作者:,ewwhite

相关问答

添加新评论