虽然有很多的受访信息显现，运转VMware ESX和ESXi的操作体系是十分安全的；仍不扫除一些因为VMware办理程序（hypervisor）和子操作体系之前的交互机制所带来的体系毛病危险。这些危险是因为VMware驱动、VMware后门问题形成的。这种交互一般由三种途径完成：半虚拟化驱动程序、惯例驱动程序和VMware东西。这样，当体系办理员期望构建一个安全的VMware环境时，有两个部分需求重视。

***部分是办理程序（hypervisor）和虚拟机（VM）之间的交互。虚拟化层经过组成VMware东西的半虚拟化驱动延伸到子操作体系（guest OS）之中，关于之前不太重视这部分内容的人，这是一个全新的出题；第二部分便是子操作体系本身。每个子操作体系都有需求遵从的安全加固脚本、导游和基准。可是这些脚本、导游和基准事实上都无法彻底替代虚拟化层和子操作体系之间的交互，所以一般来讲***个部分会直接影响到第二个部分。总归，您能够参阅下面的这些设置，来确保VMware办理程序和树立在它之上的虚拟机之间的交互愈加安全：

加固子操作体系

请在您的虚拟机环境中遵从其间的一项或许一切的基准和导游。一起谨记vSwitch并不包括内置的防火墙，所以一旦子操作体系接入网络环境，它就需求加强本身的防护作业。

办理程序和虚拟机之间的交互

办理程序和虚拟机之间的交互经过三种途径：半虚拟化驱动、惯例驱动和VMware后门程序。

半虚拟化驱动程序知晓本身运转于虚拟机中，经过带外通讯机制和硬件设备交互（也或许是经过VMware 后门程序），或许运用虚拟主机运用的特别的指令交互。例如，在VMware子体系中，vmxnet驱动便是半虚拟化驱动程序。因为虚拟机界面（VMI）能够在Linux下简直透明地写入半虚拟化驱动，一切它有很好的功用优势。假如写入半虚拟化程序的进程很困难，程序会企图避开虚拟机直接跟办理程序交互，这个进程或许会直接导致体系溃散。因而，为了避免这种状况产生，***的办法便是在运用半虚拟化程序之前确保他们它们都是经过验证的。一般咱们只运用那些来自已知来历（如：VMware）的半虚拟化驱动。

惯例驱动程序并不知道本身运转于虚拟机办理程序之上，它和底层硬件之间的交互一般需求办理程序的转发。这些驱动程序只是和子操作体系内核之间交互，然后子操作体系内核经过一般办法和虚拟机办理程序之间交互。在某些状况下，办理程序或许并不能辨认驱动所宣布的（或许是发往驱动）指令。这种成果下，程序会回来过错值写入到每个虚拟机内部的vmware.log中，程序所需的功用将无法完成，这个进程大都时分对虚拟机的影响并不显着。有些时分，这种景象会直接导致虚拟机的溃散。例如，VMware的办理程序vmkernel，并不能有用履行每个SCSI指令，一些特别的指令将导致在VMware.log中写入过错日志。或在一些状况下，虚拟时机瘫痪。

VMware后门程序

关于VMware的后门程序是一个让人困惑和，并被许多人诟病的问题。一般来说，经过一些虚拟机内部的简略设置就能够维护VMware后门程序安全。后门程序是一种旁路通讯办法，供应了办理程序和虚拟机之间的别的一条交互通路，一般状况下VMware后门程序是供应VMware东西来运用的。

VMware东西能够在一切的用户权限下运转，因而每个用户都能够经过虚拟机后门程序运转一些VMware东西命令行。一般一般用户并不需求常常经过VMware东西来履行命令行指令，所以在VMware ESX环境中，VMware东西应该被严厉约束给体系办理员运用。不幸的是，VMware后门程序是对一切用户敞开的，而且不能在子操作体系内经过设置来封闭。

确保VMware后门程序的安全性

一般用来维护VMware后门程序的办法是在VMware 高档设置来装备更改一些选项。现在通用的安全规范都不主张运用最小化装备，而是经过树立一些不同装备的子集来办理。这儿供应了一些设置办法，能够在Advanced Options下设置虚拟机装备来确保VMware后门程序更高的安全性（或直接添加到每个虚拟机的.vmx 文件中）：

DISA STIG for ESX

制止从虚拟机的长途操控端向作业站复制：
isolation.tools.copy.enable => false

制止从作业站向虚拟机长途操控端张贴：
isolation.tools.paste.enable => false

制止改动屏幕分辨率和色度：
isolation.tools.setguioptions.enable => false

CISecurity ESX Benchmark

制止从虚拟机的长途操控端向作业站复制：
isolation.tools.copy.enable => false

制止从作业站向虚拟机长途操控端张贴：
isolation.tools.paste.enable => false

制止改动屏幕分辨率和色度：
isolation.tools.setguioptions.enable => false

制止VMware东西进行装备更改的功用：
isolation.tools.setinfo.disable => true

VMware VI3.5加固辅导

制止某些状况下对vmware.log文件的拜访登陆。在答应拜访的状况下极大减少了拜访量，能够减轻磁盘的I/O压力：
isolation.tools.log.disable => true

使vmware.log文件依照设定的字节循环翻滚保存，避免vmware.log文件变得十分的巨大：
log.rotatesize => 100000

只保存设定数量的前史vmware.log文件，避免重复保存的该文件占用很多磁盘空间。在VMFS体系中，这个文件能够敏捷到达32K的文件巨细上限。
log.keepold => 10

约束能够发送给VMware后门程序的数据量：
tools.setinfo.sizeLimit => 1048576

制止经过后门程序直接对虚拟机内部的一些装备信息做修正：
isolation.tools.setInfo.disable => true

制止虚拟机经过VMware后门程序直接设置虚拟机硬件设备（软驱、光驱、网卡等）的衔接状况（断开或衔接）：
isolation.tools.connectable.disable => true
isolation.tools.diskshrink.disable => true

制止虚拟机经过VMware后门程序直接调用diskwiper功用：
isolation.tools.diskwiper.disable => true

依据安全需求的不同，一切的选项能够被设置用来确保子体系和VMware长途操控主机之间以及在虚拟机、办理程序及文件体系之间交互的安全。这些设置能够避免一些十分风趣的（有时是让人苍茫的）因为短少空间导致的办理程序毛病。

对VMware后门程序的维护是十分重要的，有必要着重的一点是***恰当约束运用VMware东西，而不是对驱动的拜访。或许，履行集成在子操作体系内部的，像Window UAC（User Access Control）或SElinux这样的强制拜访操控东西也是相同的效果。经过这些来约束什么时分能够拜访VMware的后门程序。

虚拟机安全最主要的部分是在子操作体系之内，可是虚拟硬件设置也会起到效果。测验去把握和操练那些用于加固虚拟机的辅导方针、基准和查看清单，帮助您愈加合理地维护您的虚拟机。

【修改引荐】

1. 怪异的VMWare体系时刻毛病
2. VMware虚拟机上网设置和毛病排查
3. 七大常见VM Manager虚拟机毛病排查办法