VCenter セキュリティ強化設定の構成
vCenter のセキュリティ強化では、自動化されたスクリプト経由で設定されるものに加えて、手動での設定が必要な 2 つの追加パラメータがあります。自動化されたスクリプトの詳細については、STIG パラメータを設定するための自動化スクリプトを参照してください。
この 2 つの追加 vCenter セキュリティ強化設定を構成するには、次の手順を実行します。
手順の概要
-
vpxd.hostPasswordLength
パラメータを 32 に設定します。 - vCenter Server Datastore Browser を無効にします。
手順の詳細
ステップ 1 |
|
ステップ 2 |
vCenter Server Datastore Browser を無効にします。
|
STIG パラメータを設定するための自動化スクリプト
HX クラスタに含まれるコントローラ VM、ESXi ホスト、および vCenter の STIG パラメータを設定するための STIG 自動化スクリプトは、コントローラ VM または次の仕様を備えたサーバのいずれかから実行できます。
-
Ubuntu のバージョン:16.04.4 LTS(Xenial Xerus)
-
Python のバージョン:2.7.12
-
必要なパッケージ:pyvmomi
スクリプト、設定ファイル、およびログ ファイルは次の場所にあるコントローラ VM に存在します。/usr/share/springpath/storfs-misc/hx-scripts/。
ファイル名は次のようになります。
-
stig_security_settings.py
-
stig_config.ini
(注) |
上記の 2 つのファイルをスクリプトの実行元となるマシンにコピーする必要があります。 |
STIG 自動化スクリプトを実行するには、次のコマンドを入力します。
python stig_security_settings.py
次の STIG パラメータはスクリプトによって設定されます。
-
ESXi ホスト:
ESXiShellTimeOut:900DcuiTimeOut:900 DVFilterBindIpAddress: BlockGuestBPDU:1 PasswordQualityControl:similar=deny retry=3 min=disabled,disabled,disabled,disabled,15 SyslogDir:[]/scratch/log SyslogHost:udp://localhost issue:This is a monitored system subject to Federal and International regulation. Specific settings based on DISA STIGs have been implemented. WelcomeMessage:This is a monitored system subject to Federal and International regulation. Specific settings based on DISA STIGs have been implemented. AccountLockFailures:3 AccountUnlockTime:900
-
コントローラ VM:
isolation.tools.hgfsServerSet.disable:true RemoteDisplay.maxConnections:1 RemoteDisplay.vnc.enabled:false isolation.device.connectable.disable:true isolation.device.edit.disable:true tools.guestlib.enableHostInfo:false isolation.tools.copy.disable:true isolation.tools.dnd.disable:true isolation.tools.setGUIOptions.enable:false isolation.tools.paste.disable:true isolation.tools.ghi.autologon.disable:true isolation.bios.bbs.disable:true isolation.tools.getCreds.disable:true isolation.tools.ghi.launchmenu.change:true isolation.tools.memSchedFakeSampleStats.disable:true isolation.tools.ghi.protocolhandler.info.disable:true isolation.ghi.host.shellAction.disable:true isolation.tools.dispTopoRequest.disable:true isolation.tools.trashFolderState.disable:true isolation.tools.ghi.trayicon.disable:true isolation.tools.unity.disable:true isolation.tools.unityInterlockOperation.disable:true isolation.tools.unity.push.update.disable:true isolation.tools.unity.taskbar.disable:true isolation.tools.unityActive.disable:true isolation.tools.unity.windowContents.disable:true isolation.tools.vmxDnDVersionGet.disable:true isolation.tools.guestDnDVersionSet.disable:true isolation.tools.vixMessage.disable:true isolation.tools.autoInstall.disable:true tools.setinfo.sizeLimit:1048576
-
vCenter:
config.nfc.useSSL:true
-
ESXi ウェルカム メッセージの場合、スクリプトはデフォルト値に設定されます。
セキュリティを強化するために STIG パラメータを手動で設定するには、次の項を参照してください。
-
ESXi ホストについては、ESXi ホストの STIG パラメータの設定を参照してください。
-
コントローラ VM については、コントローラ VM の STIG パラメータの設定を参照してください。
-
vCenter については、vCenter の STIG パラメータの設定を参照してください。
-
ESXi ウェルカム メッセージについては、ESXi ウェルカム メッセージの設定を参照してください。
(注) |
1. HX クラスタが展開されると、STIG 設定は新しく追加されたホストと VM に自動的には適用されません。スクリプトを再度実行するか、設定を手動で適用する必要があります。 2. ユーザが STIG 設定のリセットを希望する場合、現時点では、手動で実行する必要があります。 |
ESXi ホストの STIG パラメータの設定
ここでは、ESXi ホストの STIG パラメータを手動で設定するための手順について説明します。
警告 |
この設定により、ESXi シェルが 900 秒後に無効になり、HX アップグレードが失敗します。 |
ESXi ホストの STIG パラメータを手動で設定するには、次の手順を実行します。
vSphere Web クライアントを使用した vCenter バージョン 6.0 の手順:
-
vSphere Web クライアントのインベントリでホストを特定します。
-
[Manage] タブをクリックし、[Settings] をクリックします。
-
[System] で [Advanced System Settings] を選択します。
-
[UserVars.ESXiShellTimeOut]
-
アイドル タイムアウト設定を入力します。
-
タイムアウトを有効にするために、SSH サービスを再起動します。
-
ホストを選択します。
-
[Manage] タブをクリックし、[Settings] をクリックします。
-
[System] で、[Security profile] を選択します。
-
[Services] セクションで、[Edit] をクリックします。
-
[SSH] を選択します。
-
[Restart] をクリックします。
-
[OK] をクリックします。
-
-
[OK] をクリックします。
vSphere Web クライアントを使用した vCenter バージョン 6.5 の手順:
-
VSphere Web Client のインベントリでホストを特定します。
-
[Configure] をクリックします。
-
[System] で [Advanced System Settings] を選択します。
-
[UserVars.ESXiShellTimeOut]
-
[Value] を入力します。
-
タイムアウトを有効にするために、SSH サービスを再起動します。
-
ホストを選択します。
-
[Manage] タブをクリックし、[Settings] をクリックします。
-
[System] で、[Security profile] を選択します。
-
[Services] セクションで、[Edit] をクリックします。
-
[SSH] を選択します。
-
[Restart] をクリックします。
-
[OK] をクリックします。
-
コントローラ VM の STIG パラメータの設定
ここでは、コントローラ VM の STIG パラメータを設定するための手順について説明します。
(注) |
クラスタ内の VM にこのパラメータを設定するとき、一度に 1 台ずつ設定することをお勧めします。VM の電源を入れるたびに、クラスタの状態が正常になるのを待ってから次の VM の処理を行ってください。 |
手順
ステップ 1 |
vSphere Web クライアントを使用して vCenter バージョン 6.0 の STIG パラメータを設定するには、次の手順を実行します。
|
ステップ 2 |
vSphere Web クライアントを使用して vCenter バージョン 6.5 の STIG パラメータを設定するには、次の手順を実行します。
|
vCenter の STIG パラメータの設定
ここでは、vCenter の STIG パラメータを設定するための手順について説明します。
手順
vCenter の STIG パラメータを設定するには、「VCenter セキュリティ強化設定の構成」を参照してください。 |
ESXi ウェルカム メッセージの設定
ESXi ウェルカム メッセージを手動で設定するには、次の手順を実行します。
手順
ステップ 1 |
vSphere クライアントを使用して、インベントリで ESXi ホストを選択します。 |
||
ステップ 2 |
[Configuration] タブをクリックします。 |
||
ステップ 3 |
[Software] で [Advanced Settings] をクリックします。 |
||
ステップ 4 |
[Annotations] をクリックします。 |
||
ステップ 5 |
[Annotations.WelcomeMessage] フィールドに、任意のテキストを入力します。 |
||
ステップ 6 |
[OK] をクリックします。 または、次の手順を使用できます。
|