VMware ESXi execInstalledOnly, ¿Qué es?
execInstalledOnly es una funcionalidad de seguridad que impide que VMware ESXi pueda ejecutar ficheros que no provengan de un fichero VIB (vSphere Installation Bundle).
Los ficheros VIB están compuestos de ficheros binarios, fichero de definición XML que describen el contenido de los binarios y fichero de firma.
El fichero de firma es una firma digital que protege la integridad del VIB y permite identificar el autor del VIB.
Podemos ver los VIB instalado en un servidor VMware ESXi, ejecutando:
esxcli software vib list
VMware ESXi execInstalledOnly, ¿En qué nos afecta?
Si execInstalledOnly está habilitado, por ejemplo no podríamos ejecutar de forma directa scripts aunque tuviéramos permisos de ejecución sobre los mismos.
Lo mismo ocurriría con la ejecución de binarios que no estuvieran dentro de VIBs.
Veamos el siguiente ejemplo SIN execInstalledOnly habilitado a nivel de runtime:
1. Vemos el contenido del script
2. Revisamos los permisos del script, donde vemos que todos tienen permisos de ejecución.
3. Ejecutamos el script
Veamos el siguiente ejemplo CON execInstalledOnly habilitado a nivel de runtime:
1. Vemos el contenido del script
2. Revisamos los permisos del script, donde vemos que todos tienen permisos de ejecución.
3. Ejecutamos el script: La respuesta es: -sh: ./test-script-SYSADMIT.sh: Operation not permitted
VMware ESXi execInstalledOnly, ¿Está habilitado por defecto?
La respuesta es que en todas las versiones de ESXi está deshabilitado hasta VMware ESXi 8.0.
Con VMware ESXi 8.0, execInstalledOnly, está habilitado a nivel de runtime, pero no a nivel de kernel.
Es posible configurar execInstalledOnly a nivel de kernel y a nivel de runtime.
Con VMware ESXi 8.0:
A nivel de kernel, está deshabilitado igual que con todas las versiones anteriores de VMware ESXi.
A nivel de runtime, está habilitado tanto en instalaciones nuevas como en actualizaciones de VMware ESXi.
- Ver execinstalledonly a nivel de runtime:
esxcli system settings advanced list -o "/User/execinstalledonly"
Path: /User/ExecInstalledOnly
Type: integer
Int Value: 1
Default Int Value: 1
Min Value: 0
Max Value: 1
String Value:
Default String Value:
Valid Characters:
Description: Runtime option to disable/enable execInstalledOnly. The runtime option is only checked if the related execInstalledOnly kernel option is disabled.
Host Specific: false
Impact: none
- Ver execinstalledonly a nivel de kernel:
esxcli system settings kernel list -o execinstalledonly
esxcli system settings kernel list -o execinstalledonly
Name Type Configured Runtime Default Description
----------------- ---- ---------- ------- ------- -----------
execinstalledonly Bool FALSE FALSE FALSE Execute on...
VMware ESXi execInstalledOnly, ¿Cómo se deshabilita a nivel de runtime?
Deshabilitar execInstalledOnly a nivel de runtime:
esxcli system settings advanced set -o "/User/execinstalledonly" -i 0
Habilitar execInstalledOnly a nivel de runtime:
esxcli system settings advanced set -o "/User/execinstalledonly" -i 0
VMware ESXi execInstalledOnly, ¿Cómo se deshabilita a nivel de kernel?
Deshabilitar execInstalledOnly a nivel de kernel:
esxcli system settings kernel set -s execinstalledonly -v FALSE
Habilitar execInstalledOnly a nivel de kernel:
esxcli system settings kernel set -s execinstalledonly -v TRUE
VMware ESXi execInstalledOnly: Logs
Podemos ver en los logs del servidor ESXi, cómo queda registrado si hay un cambio de estado de este valor, por ejemplo al deshabilitarlo.
cat /var/log/hostd.log |grep ExecInstalledOnly
cat /var/log/vobd.log |grep ExecInstalledOnly
cat /var/log/vmkernel.log |grep ExecInstalledOnly
Además si el valor ExecInstalledOnly a nivel de runtime en VMware ESXi 8 está dehabilitado, veremos lo siguiente vía vSphere Client:
En inglés:
ExecInstalledOnly has been disabled. This allows the execution of non-installed binaries on the host. Unknown content can cause malware attacks similar to Ransomware.
No hay comentarios:
Publicar un comentario