增強(qiáng)系統(tǒng)安全 對VSphere iSCSi啟動程序驗(yàn)證進(jìn)行修改

作者：無名 2009-08-10 18:47:23

云計(jì)算

虛擬化 如果有機(jī)會能夠在不限制系統(tǒng)功能或者控制靈活性的情況下對VSphere iSCSi啟動程序驗(yàn)證進(jìn)行修改以增強(qiáng)安全性，就再好不過了。

成都創(chuàng)新互聯(lián)公司專注于臺前網(wǎng)站建設(shè)服務(wù)及定制，我們擁有豐富的企業(yè)做網(wǎng)站經(jīng)驗(yàn)。 熱誠為您提供臺前營銷型網(wǎng)站建設(shè)，臺前網(wǎng)站制作、臺前網(wǎng)頁設(shè)計(jì)、臺前網(wǎng)站官網(wǎng)定制、重慶小程序開發(fā)服務(wù)，打造臺前網(wǎng)絡(luò)公司原創(chuàng)品牌,更為您提供臺前網(wǎng)站排名全網(wǎng)營銷落地服務(wù)。

如果有機(jī)會能夠在不限制系統(tǒng)功能或者控制靈活性的情況下增強(qiáng)安全性，就再好不過了。使用VMware的VSpere 4.0中特定iSCSI啟動程序驗(yàn)證改動可以實(shí)現(xiàn)該條件。

***個主要修改是VMware ESX或者ESXi主機(jī)當(dāng)前可以同時使用不同iSCSI主機(jī)，即使這些iSCSI主機(jī)屬于不同的管理組或者是擁有不同的驗(yàn)證能力。這二個主要修改是VMware ESX 4.0增強(qiáng)了VI 3中的iSCSI驗(yàn)證程序，主要是通過另外的四個不同安全級別、手動挑戰(zhàn)-握手驗(yàn)證協(xié)議（CHAP：Challenge-Handshake Authentication Protocol）安全以及為多目標(biāo)獨(dú)立配置驗(yàn)證的能力實(shí)現(xiàn)。

匿名和驗(yàn)證訪問

在驗(yàn)證級別， ESX 3.5對iSCSI目標(biāo)支持兩種不同類型的訪問方式：匿名訪問和驗(yàn)證訪問。ESX 3.5驗(yàn)證訪問使用挑戰(zhàn)-握手協(xié)議。訪問的實(shí)施有時候會受到限制，因?yàn)閮H僅使用一個本地名字和證書密鑰集合。在有多個潛在iSCSI目標(biāo)的工作環(huán)境中，這種情況有可能會有問題。在這些多目標(biāo)有不同驗(yàn)證程序的工作環(huán)境中，只有那些具有相同值的目標(biāo)才可以使用。這也就是說，實(shí)際上ESX 3.5中的CHAP驗(yàn)證要么是對全部對象適用，要么是不起作用。

然而隨著ESX 4.0的問世，VMware對iSCSI驗(yàn)證模式提供了進(jìn)一步的靈活性?？梢栽趇SCSI啟動程序的根用戶級別或者目標(biāo)級別配置CHAP驗(yàn)證程序。在根用戶級別配置證書，當(dāng)然如果需要的話，也可以從目標(biāo)級別繼承。ESX 4.0也新增了手動CHAP驗(yàn)證，這在主機(jī)和iSCSI存儲系統(tǒng)之間增加一個新安全級別。

例如，假設(shè)一個公司在企業(yè)內(nèi)部使用很多不同的存儲技術(shù)：這個項(xiàng)目用這一項(xiàng)技術(shù)，另外一個項(xiàng)目用那一項(xiàng)技術(shù)等；另外也假設(shè)VMware項(xiàng)目用到其中一項(xiàng)技術(shù)，但是iSCSI目標(biāo)的配置卻各不相同。為使用VMware以及這兩種解決方案，必須對ESX 3.5的存儲技術(shù)做出修改才可以使用這兩項(xiàng)技術(shù)。

對VSphere iSCSi啟動程序驗(yàn)證進(jìn)行修改，在ESX 4.0中配置手動CHAP

為研究如何在ESX 4.0中配置手動CHAP，我使用StarWind軟件公司的iSCSI存儲區(qū)域網(wǎng)絡(luò)（SAN：Storage Area Network）作為iSCSI存儲系統(tǒng)。StarWind的iSCSI SAN解決方案是運(yùn)行在windows操作系統(tǒng)之上的應(yīng)用程序，配置起來非常簡單。我根據(jù)主要工作用途選擇企業(yè)版的解決方案，因?yàn)槠淇梢暂p量級供給存儲。

首先下載StarWind iSCSI SAN并安裝在Windows系統(tǒng)上。我選擇完全安裝，在安全結(jié)束后啟動管理界面開始進(jìn)行存儲系統(tǒng)配置。登錄iSCSI連接之后，通過給連接增加一個設(shè)備來增加一個存儲系統(tǒng)。由于我的測試環(huán)境沒有足夠的空間并且我希望使用輕量級供給iSCSI目標(biāo)，所以我選擇的是“快照和CSP設(shè)備（Snapshot and CDP device）”。同時我還確保允許多iSCSI連接，因?yàn)槲以谄渌鼫y試ESX主機(jī)中也要用到該設(shè)備。

對VSphere iSCSi啟動程序驗(yàn)證進(jìn)行修改，激活手動CHAP驗(yàn)證

修改連接許可權(quán)限，把對StarWind iSCSI SAN的CHAP驗(yàn)證程序添加進(jìn)來，另外對ESX主機(jī)新增CHAP驗(yàn)證程序。因?yàn)槎郋SX主機(jī)將會使用這個驗(yàn)證程序，我也為其它主機(jī)增加CHAP驗(yàn)證程序。

為訪問主機(jī)級別已有的iSCSI目標(biāo)，可以修改ESX 4.0主機(jī)上的iSCSI軟件啟動程序，在ESX 4.0上配置表項(xiàng)中的存儲系統(tǒng)適配器控制面板中可以進(jìn)行修改。在ESX 3.5中有一個配置表項(xiàng)，該表能夠只接受iSCSI目標(biāo)的CHAP驗(yàn)證證書。ESX 4.0把CHAP配置工作移到一個按鈕上，它不僅新增手動CHAP驗(yàn)證，并且增添和CHAP可以使用的安全級別相關(guān)的規(guī)則。CHAP安全設(shè)置如下表所示：

對VSphere iSCSi啟動程序驗(yàn)證進(jìn)行修改，需要切記的是硬件iSCSI啟動程序不支持手動CHAP。

為了在主機(jī)和StarWind iSCSI SAN之間配置驗(yàn)證程序，我首先進(jìn)入CHAP域中iSCSI目標(biāo)的本地用戶名和密鑰進(jìn)行配置，然后進(jìn)入手動CHAP域中主機(jī)的本地用戶名和密鑰進(jìn)行配置。在點(diǎn)擊“OK”之后，系統(tǒng)提示是否重新掃描軟件iSCSI啟動程序。這樣在ESX 4.0和iSCSI目標(biāo)之間就成功創(chuàng)建了雙向連接。

除了支持手動CHAP，ESX 4.0允許不同目標(biāo)支持多種CHAP驗(yàn)證級別和不同的CHAP證書。在不太復(fù)雜的工作環(huán)境中，可以在啟動程序級別配置這些設(shè)置，并且每一個目標(biāo)都可以繼承這些設(shè)置。正如當(dāng)今的經(jīng)濟(jì)領(lǐng)域一樣，當(dāng)需要把簡單問題逐漸復(fù)雜化時，從目前已有的系統(tǒng)上入手開始工作。如果能夠不中斷這些資源正在提供的服務(wù)而配置系統(tǒng)的話，最終將會更加靈活，同時也可以節(jié)省成本，這正是我在本文中提到的對Spere 4做出修改后所能提供的優(yōu)點(diǎn)。

當(dāng)前題目：增強(qiáng)系統(tǒng)安全對VSphereiSCSi啟動程序驗(yàn)證進(jìn)行修改
URL標(biāo)題：http://www.dlmjj.cn/article/dhgecdh.html