First Published: October 31, 2018

VCenter セキュリティ強化設定の構成

vCenter のセキュリティ強化では、自動化されたスクリプト経由で設定されるものに加えて、手動での設定が必要な 2 つの追加パラメータがあります。自動化されたスクリプトの詳細については、STIG パラメータを設定するための自動化スクリプトを参照してください。

この 2 つの追加 vCenter セキュリティ強化設定を構成するには、次の手順を実行します。

手順の概要

  1. vpxd.hostPasswordLength パラメータを 32 に設定します。
  2. vCenter Server Datastore Browser を無効にします。

手順の詳細

ステップ 1

vpxd.hostPasswordLength パラメータを 32 に設定します。

  • vpxuser パスワードのデフォルトの長さは 32 文字です。

  • vpxuser パスワードの長さは、デフォルトの長さである 32 文字より短くしないでください。

  • vSphere Web クライアントから、[vCenter Inventory Lists] > [vCenter Servers] > [Select your vCenterServer] > [Manage] > [Settings] > [Advanced Settings] の順に選択します。[Edit] をクリックし、config.vpxd.hostPasswordLength の設定を 32 に編集します。あるいは、値が存在していない場合は、[Key] フィールドと [Value] フィールドに値を入力して作成します。次に、[Add] をクリックします。

  • 必要に応じてパスワード長ポリシーを変更するには、vCenter Server が動作中のシステムで vCenter Server 設定ファイル「vpxd.cfg」を探して、vpxd.hostPasswordLength パラメータを編集します。

  • vCenter Server を再起動します。
ステップ 2

vCenter Server Datastore Browser を無効にします。

  • VirtualCenter Server サービスを停止します。

  • vCenter Server が動作しているシステムで vpxd.cfg ファイルを探します。

  • テキスト エディタで vpxd.cfg ファイルを開きます。

  • <vpxd> タグと </vpxd> タグを探して、次のように、タグにエントリを追加します。 
    <vpxd>
     <enableHttpDatastoreAccess>false</enableHttpDatastoreAccess>
</vpxd>

  • vpxd.cfg ファイルに対する変更を保存します。

  • VirtualCenter Server サービスを開始します。

STIG パラメータを設定するための自動化スクリプト

HX クラスタに含まれるコントローラ VM、ESXi ホスト、および vCenter の STIG パラメータを設定するための STIG 自動化スクリプトは、コントローラ VM または次の仕様を備えたサーバのいずれかから実行できます。

  • Ubuntu のバージョン:16.04.4 LTS(Xenial Xerus)

  • Python のバージョン:2.7.12

  • 必要なパッケージ:pyvmomi

スクリプト、設定ファイル、およびログ ファイルは次の場所にあるコントローラ VM に存在します。/usr/share/springpath/storfs-misc/hx-scripts/

ファイル名は次のようになります。

  • stig_security_settings.py

  • stig_config.ini


(注)  

上記の 2 つのファイルをスクリプトの実行元となるマシンにコピーする必要があります。

STIG 自動化スクリプトを実行するには、次のコマンドを入力します。

python stig_security_settings.py

次の STIG パラメータはスクリプトによって設定されます。

  • ESXi ホスト:
    ESXiShellTimeOut:900DcuiTimeOut:900
DVFilterBindIpAddress:
BlockGuestBPDU:1
PasswordQualityControl:similar=deny retry=3 min=disabled,disabled,disabled,disabled,15
SyslogDir:[]/scratch/log
SyslogHost:udp://localhost
issue:This is a monitored system subject to Federal and International regulation. Specific settings based on DISA STIGs have been implemented.
WelcomeMessage:This is a monitored system subject to Federal and International regulation. Specific settings based on DISA STIGs have been implemented.
AccountLockFailures:3
AccountUnlockTime:900
  • コントローラ VM:
    isolation.tools.hgfsServerSet.disable:true
RemoteDisplay.maxConnections:1
RemoteDisplay.vnc.enabled:false
isolation.device.connectable.disable:true
isolation.device.edit.disable:true
tools.guestlib.enableHostInfo:false
isolation.tools.copy.disable:true
isolation.tools.dnd.disable:true
isolation.tools.setGUIOptions.enable:false
isolation.tools.paste.disable:true
isolation.tools.ghi.autologon.disable:true
isolation.bios.bbs.disable:true
isolation.tools.getCreds.disable:true
isolation.tools.ghi.launchmenu.change:true
isolation.tools.memSchedFakeSampleStats.disable:true
isolation.tools.ghi.protocolhandler.info.disable:true
isolation.ghi.host.shellAction.disable:true
isolation.tools.dispTopoRequest.disable:true
isolation.tools.trashFolderState.disable:true
isolation.tools.ghi.trayicon.disable:true
isolation.tools.unity.disable:true
isolation.tools.unityInterlockOperation.disable:true
isolation.tools.unity.push.update.disable:true
isolation.tools.unity.taskbar.disable:true
isolation.tools.unityActive.disable:true
isolation.tools.unity.windowContents.disable:true
isolation.tools.vmxDnDVersionGet.disable:true
isolation.tools.guestDnDVersionSet.disable:true
isolation.tools.vixMessage.disable:true
isolation.tools.autoInstall.disable:true
tools.setinfo.sizeLimit:1048576
  • vCenter:
    config.nfc.useSSL:true

  • ESXi ウェルカム メッセージの場合、スクリプトはデフォルト値に設定されます。

セキュリティを強化するために STIG パラメータを手動で設定するには、次の項を参照してください。


(注)  

1. HX クラスタが展開されると、STIG 設定は新しく追加されたホストと VM に自動的には適用されません。スクリプトを再度実行するか、設定を手動で適用する必要があります。

2. ユーザが STIG 設定のリセットを希望する場合、現時点では、手動で実行する必要があります。

ESXi ホストの STIG パラメータの設定

ここでは、ESXi ホストの STIG パラメータを手動で設定するための手順について説明します。


警告

この設定により、ESXi シェルが 900 秒後に無効になり、HX アップグレードが失敗します。

ESXi ホストの STIG パラメータを手動で設定するには、次の手順を実行します。

vSphere Web クライアントを使用した vCenter バージョン 6.0 の手順:

  1. vSphere Web クライアントのインベントリでホストを特定します。

  2. [Manage] タブをクリックし、[Settings] をクリックします。

  3. [System] で [Advanced System Settings] を選択します。

  4. [UserVars.ESXiShellTimeOut] を選択し、[Edit] アイコンをクリックします。

  5. アイドル タイムアウト設定を入力します。

  6. タイムアウトを有効にするために、SSH サービスを再起動します。

    1. ホストを選択します。

    2. [Manage] タブをクリックし、[Settings] をクリックします。

    3. [System] で、[Security profile] を選択します。

    4. [Services] セクションで、[Edit] をクリックします。

    5. [SSH] を選択します。

    6. [Restart] をクリックします。

    7. [OK] をクリックします。

  7. [OK] をクリックします。

vSphere Web クライアントを使用した vCenter バージョン 6.5 の手順:

  1. VSphere Web Client のインベントリでホストを特定します。

  2. [Configure] をクリックします。

  3. [System] で [Advanced System Settings] を選択します。

  4. [UserVars.ESXiShellTimeOut] を選択し、[Edit] アイコンをクリックします。

  5. [Value] を入力します。

  6. タイムアウトを有効にするために、SSH サービスを再起動します。

    1. ホストを選択します。

    2. [Manage] タブをクリックし、[Settings] をクリックします。

    3. [System] で、[Security profile] を選択します。

    4. [Services] セクションで、[Edit] をクリックします。

    5. [SSH] を選択します。

    6. [Restart] をクリックします。

    7. [OK] をクリックします。

コントローラ VM の STIG パラメータの設定

ここでは、コントローラ VM の STIG パラメータを設定するための手順について説明します。


(注)  

クラスタ内の VM にこのパラメータを設定するとき、一度に 1 台ずつ設定することをお勧めします。VM の電源を入れるたびに、クラスタの状態が正常になるのを待ってから次の VM の処理を行ってください。

手順

ステップ 1

vSphere Web クライアントを使用して vCenter バージョン 6.0 の STIG パラメータを設定するには、次の手順を実行します。

  1. vSphere クライアントを使用して vCenter Server システムにログインします。

  2. インベントリの仮想マシンを選択します。

  3. 仮想マシンを右クリックして、[Power] > [Power off] の順に選択します。

  4. 仮想マシンを選択します。

  5. 右クリックして [Edit Settings] を選択します。

  6. 仮想マシン、ターゲット ハード ディスクの順に選択して、モードを [Independent-Persistent] に変更します。

  7. 仮想マシンを右クリックして、[Power] > [Power on] の順に選択します。
ステップ 2

vSphere Web クライアントを使用して vCenter バージョン 6.5 の STIG パラメータを設定するには、次の手順を実行します。

  1. vSphere Web クライアントを使用して vCenter Server システムにログインします。

  2. インベントリの仮想マシンを選択します。

  3. 仮想マシンを右クリックして、[Power] > [Power off] の順に選択します。

  4. 仮想マシンを選択します。

  5. 右クリックして [Edit Settings] を選択します。

  6. 仮想マシン、ターゲット ハード ディスクの順に選択して、モードを [Independent-Persistent] に変更します。

  7. 仮想マシンを右クリックして、[Power] > [Power on] の順に選択します。

vCenter の STIG パラメータの設定

ここでは、vCenter の STIG パラメータを設定するための手順について説明します。

手順

vCenter の STIG パラメータを設定するには、「VCenter セキュリティ強化設定の構成」を参照してください。

ESXi ウェルカム メッセージの設定

ESXi ウェルカム メッセージを手動で設定するには、次の手順を実行します。

手順

ステップ 1

vSphere クライアントを使用して、インベントリで ESXi ホストを選択します。
ステップ 2

[Configuration] タブをクリックします。

ステップ 3

[Software] で [Advanced Settings] をクリックします。

ステップ 4

[Annotations] をクリックします。

ステップ 5

[Annotations.WelcomeMessage] フィールドに、任意のテキストを入力します。
ステップ 6

[OK] をクリックします。

または、次の手順を使用できます。

  1. VSphere Web Client のインベントリでホストを特定します。

  2. [Manage] タブをクリックし、[Settings] をクリックします。

  3. [System] で [Advanced System Settings] を選択します。

  4. [Annotations.WelcomeMessage] を選択し、[Edit] アイコンをクリックします。

  5. 必要なテキストを入力します。

  6. [OK] をクリックします。

    (注)   

    HX クラスタが展開されると、STIG 設定は新しく追加されたホストと VM に自動的には適用されません。スクリプトを再度実行するか、設定を手動で適用する必要があります。

    ユーザが STIG 設定のリセットを希望する場合、現時点では、手動で実行する必要があります。