Buscar

VMware ESXi: execInstalledOnly

VMware ESXi execInstalledOnly, ¿Qué es?

execInstalledOnly es una funcionalidad de seguridad que impide que
VMware ESXi pueda ejecutar ficheros que no provengan de un fichero VIB (vSphere Installation Bundle).

Los ficheros VIB están compuestos de ficheros binarios, fichero de definición XML que describen el contenido de los binarios y fichero de firma.

El fichero de firma es una firma digital que protege la integridad del VIB y permite identificar el autor del VIB.

Podemos ver los VIB instalado en un servidor VMware ESXi, ejecutando:

esxcli software vib list

VMware ESXi: execInstalledOnly

VMware ESXi execInstalledOnly, ¿En qué nos afecta?

Si execInstalledOnly está habilitado, por ejemplo no podríamos ejecutar de forma directa scripts aunque tuviéramos permisos de ejecución sobre los mismos.

Lo mismo ocurriría con la ejecución de binarios que no estuvieran dentro de VIBs.

Veamos el siguiente ejemplo SIN execInstalledOnly habilitado a nivel de runtime:

VMware ESXi: execInstalledOnly

1. Vemos el contenido del script

2. Revisamos los permisos del script, donde vemos que todos tienen permisos de ejecución.

3. Ejecutamos el script

Veamos el siguiente ejemplo CON execInstalledOnly habilitado a nivel de runtime:

VMware ESXi: execInstalledOnly

1. Vemos el contenido del script

2. Revisamos los permisos del script, donde vemos que todos tienen permisos de ejecución.

3. Ejecutamos el script: La respuesta es: -sh: ./test-script-SYSADMIT.sh: Operation not permitted

VMware ESXi execInstalledOnly, ¿Está habilitado por defecto?

La respuesta es que en todas las versiones de ESXi está deshabilitado hasta VMware ESXi 8.0.

Con VMware ESXi 8.0, execInstalledOnly, está habilitado a nivel de runtime, pero no a nivel de kernel.

Es posible configurar execInstalledOnly a nivel de kernel y a nivel de runtime.

Con
VMware ESXi 8.0:

A nivel de kernel, está deshabilitado igual que con todas las versiones anteriores de VMware ESXi.

A nivel de runtime, está habilitado tanto en instalaciones nuevas como en actualizaciones de VMware ESXi.

- Ver execinstalledonly a nivel de runtime:

esxcli system settings advanced list -o "/User/execinstalledonly"
   Path: /User/ExecInstalledOnly
   Type: integer
   Int Value: 1
   Default Int Value: 1
   Min Value: 0
   Max Value: 1
   String Value:
   Default String Value:
   Valid Characters:
   Description: Runtime option to disable/enable execInstalledOnly. The runtime option is only checked if the related execInstalledOnly kernel option is disabled.
   Host Specific: false
   Impact: none


- Ver execinstalledonly a nivel de kernel:

esxcli system settings kernel list -o execinstalledonly

esxcli system settings kernel list -o execinstalledonly
Name               Type  Configured  Runtime  Default  Description
-----------------  ----  ----------  -------  -------  -----------
execinstalledonly  Bool  FALSE       FALSE    FALSE    Execute on...

VMware ESXi execInstalledOnly, ¿Cómo se deshabilita a nivel de runtime?

Deshabilitar execInstalledOnly a nivel de runtime:

esxcli system settings advanced set -o "/User/execinstalledonly" -i 0

Habilitar execInstalledOnly a nivel de runtime:

esxcli system settings advanced set -o "/User/execinstalledonly" -i 0

VMware ESXi execInstalledOnly, ¿Cómo se deshabilita a nivel de kernel?

Deshabilitar execInstalledOnly a nivel de kernel:

esxcli system settings kernel set -s execinstalledonly -v FALSE

Habilitar execInstalledOnly a nivel de kernel:

esxcli system settings kernel set -s execinstalledonly -v TRUE

VMware ESXi execInstalledOnly: Logs

Podemos ver en los logs del servidor ESXi, cómo queda registrado si hay un cambio de estado de este valor, por ejemplo al deshabilitarlo.

cat /var/log/hostd.log |grep ExecInstalledOnly

cat /var/log/vobd.log |grep ExecInstalledOnly

cat /var/log/vmkernel.log |grep ExecInstalledOnly

Además si el valor ExecInstalledOnly a nivel de runtime en VMware ESXi 8 está dehabilitado, veremos lo siguiente vía vSphere Client:

VMware ESXi: execInstalledOnly

En inglés:

ExecInstalledOnly has been disabled. This allows the execution of non-installed binaries on the host. Unknown content can cause malware attacks similar to Ransomware.


No hay comentarios:

Publicar un comentario