审计VMware ESX是一个好主意，尤其是如果你的架构受制于几个不同的法规标准。人工增强VMware ESX机器的安全性有许多最佳做法，不过由于是手动调节而容易忽视。甚至一名管理员从头开始建立了一台ESX机器，这台机器仍然会在ConfigCheck安全测试中的77检查点里有45个存在问题。TripWire ConfigCheck是一个免费的应用，能帮助识别安全漏洞，并为修改安全漏洞提供使用说明。在本文中，TechTarget中国的特约虚拟化专家David Davis将说明如何获得ConfigCheck以及怎样运行它。

　　为什么评估VMware ESX安全性？

　　由于网络和服务器，包括VMware ESX Servers受制于支付卡行业、SOX（萨班斯—奥克斯利法案）、健康保险可移植性和问责法的法律要求，因此一些组织需要确保VMware ESX机器的安全。另外一些组织只是想确保ESX主机的安全。
　　
　　最小程度上，每个服务器和网络管理员应该想知道他们的服务器和网络从根本上说来是安全的。为了确保安全性，许多管理员从头配置服务器并自己安装操作系统。不过确保操作系统如设计的那样保护自己本身仍然是个好主意。

　　什么是Tripwire ConfigCheck？

　　Tripwire以其在配置更改时监控服务器或网络设备的审计和评估产品而闻名。随着虚拟化的流行，Tripwire也通过添加VMware虚拟化审计产品进入虚拟化环境。它提供了两款产品，Tripwire ConfigCheck（我们将在本文中演示）和评估VMware ESX的Tripwire Enterprise。

　　根据Tripwire的说法，ConfigCheck能审计和评估VMware ESX主机，并以如何解决问题的说明书形式提供补救帮助。用于VMware ESX的Tripwire Enterprise能够评估和审计ESX的遵从性，能审计子操作系统，并提供报告、通知和对帐功能。

　　如何下载、安装和运行Tripwire ConfigCheck？

　　要下载Tripwire ConfigCheck，去到ConfigCheck download站点，填写一个简单的登记表。下载这个10MB的应用并解压。

　　ConfigCheck是一个Java应用。这意味着安装ConfigCheck包括运行叫做ConfigCheck的Windows命令文件，即运行Java Archive（JAR）文件。因此，安装的先决条件是Java Runtime。在运行应用之前，将出现如下窗口。

点击放大

　　ConfigCheck是一个简单的应用。上面的图就是ConfigCheck的样子。

　　要使用ConfigCheck，输入ESX主机名、用户名、密码和根密码，并点击Check Configuration。这个应用立即扫描77个潜在的安全漏洞，在10秒内完成。

点击放大

　　我在VMware ESX 3.5服务器上运行Configcheck。这台服务器通过了32个检查点，失败了45个。所检查的名目基于VMware的VMware Infrastructure 3 Security Hardening Guide。由于ConfigCheck的检查基于VMware的向导，可以采用来自VMware的官方安全最佳策略。

　　如果你点击每个失败的测试，将被带去一个Tripwire站点，提供了补救安全问题的说明。Tripwir也提供一个完整的有129页的“虚拟化安全补救指南”。下图显示的是补救说明类型的一个例子。

点击放大
　
　　在补救说明书里有大量的非常好的安全技巧的步骤。例如，上面的说明建议管理员：

• 运行esxcfg-firewall –q以打开防火墙端口并评估自定义端口。
• 运行esxcfg-firewall –c <port，tcp|udp，in|out>以关闭自定义端口。
• 然后运行service mgmt-vmware restart重新启动vmware-hostd过程。

　　当我收到上面的说明时我很惊讶，因为我以为有个默认的ESX安装。ConfigCheck指出在ESX防火墙里有一些自定义端口。在想了想之后，我模糊地回忆起在几个月前我作测试时，为某个应用开启了一些自定义端口。
　
　　一台默认的VMware ESX服务器没有我以前所给的那样的安全。考虑到有31页的安全指南和129页的Tripwire安全补救手册，我的默认版本的VMware ESX Server在77个检查点里有45个有问题，这个事实是个警钟。