Как отключить файлы подкачки в ESXI?
(Принятие апача является веб-сервером.)
Создайте VHOST по умолчанию с
RewriteRule ^/(.*)$ /foo.php [L]
В foo.php сделайте что-то как (я не знаю php, таким образом, существует psuedocode):
$server_name = $_SERVER["SERVER_NAME"];
if ($server_name does-not-match "*.subdomane.com") {
header("HTTP/1.0 404 Not Found");
exit;
}
$server_name = replace('subdomane.com', 'subdomain.com');
header("HTTP/1.1 301 Moved Permanently");
header("Location: " . $server_name . $_SERVER["REQUEST_URI"]);
exit;
на всякий случай перенаправление не работает
Работа перенаправлений 301/302 и работала в течение долгого времени.
Если Вы настаиваете, хотя Вы могли возвратить страницу, которая имеет ссылку на домен неопечатки, и используйте a meta http-equiv="refresh" или перезагрузка JavaScript, но это таким образом 1996.
Это интересный вопрос. Я никогда не думал о безопасности данных на уровне гипервизора ... обычно политики безопасности и усиление защиты вращаются вокруг задач, специфичных для ОС (ограничение демонов, портов, отключение файлов ядра, параметры монтирования файловой системы и т. Д.)
Но после некоторых быстрое исследование (и запуск строк для активных файлов VMWare .vswp) показывает, что определенно можно извлекать данные из файлов .vswp, находящихся в хранилище данных VMWare. Эта ссылка помогает объяснить жизненный цикл таких файлов.
В вашем случае, я думаю, ваш подход будет определяться политикой безопасности и требованиями. По моему опыту в области финансов и проведения аудитов, я думаю, что приемлемым подходом было бы ограничение / безопасность доступа к хост-серверу. Напомним, что по умолчанию на вашем хосте ESXi не включен SSH или доступ к консоли. Включение этих функций вызывает событие / предупреждение в vCenter, которое необходимо вручную переопределить , поэтому предполагается, что аудит доступа - лучший способ контролировать доступ к этой информации.
Если есть сомнения относительно того, кто может иметь доступ к серверу, возможно, не будет технического решения административной проблемы. Я проверю некоторые другие источники, чтобы узнать, есть ли способ ограничить использование файлов .vswp.
- изменить -
Вы можете зарезервировать всю гостевую RAM. Вы не указываете, какую версию VMWare вы используете, но в моей установке 5.1 есть возможность Зарезервировать всю гостевую память . Включение этого параметра создает файл нулевой длины .vswp, а не равный размеру ОЗУ, выделенной виртуальной машине. Не обращайте внимания на файл vmx - *. Vswp. Это новое в ESXi 5.x , и это не связано с нехваткой памяти гостевой операционной системы (это для кучи процесса VMX, гостевых периферийных устройств и агентов управления) . Кроме того, файлы vmx - *. Vswp можно отключить, установив для sched.swap.vmxSwapEnabled значение FALSE .
Я думаю, это даст вам то, о чем вы просите .
Без резервирования памяти (по умолчанию):
root@deore:/volumes/vol2/staging/Test_Bed# ls -al | grep vswp
-rw------- 1 nfs nobody 3221225472 Dec 23 13:31 Test_Bed-ad493981.vswp
-rw------- 1 nfs nobody 115343360 Dec 23 13:31 vmx-Test_Bed-2907257217-1.vswp
С заблокированным резервированием памяти:
root@deore:/volumes/vol2/staging/Test_Bed# ls -al | grep vswp
-rw------- 1 nfs nobody 0 Dec 23 13:38 Test_Bed-ad493981.vswp
-rw------- 1 nfs nobody 115343360 Dec 23 13:38 vmx-Test_Bed-2907257217-1.vswp
Похоже, вы неправильно пытаетесь решить проблему. Попытка остановить замену машины не является гарантией того, что конфиденциальные данные не попадут на диск. Что насчет дампов ядра и т. Если у вас есть записываемое устройство, которое было в системе, содержащей конфиденциальные данные, его не следует считать «чистым» и следует уничтожить по окончании использования.
Если ваши данные настолько конфиденциальны, вам следует физически обезопасить систему. Каждый, кому нужен доступ к системе, должен иметь соответствующую проверку и иметь на это специальное разрешение. Их действия должны быть авторизованы, регистрироваться и контролироваться и т. Д.
Сценарий , который вы описываете , легко управляем. У вас должны быть процедуры для уничтожения устройств, которые содержат конфиденциальные данные, соразмерные с конфиденциальностью данных. Вы просто не выпускаете устройство из своей защищенной среды, если оно не подписано соответствующим органом, после чего оно перестает быть вашей проблемой.
Этого должно быть достаточно для шифрования файлов подкачки виртуальных машин, которые создает ESXi. Попробуйте поместить файлы подкачки в зашифрованное хранилище данных , такое как шифрование SAN или самошифрующийся диск.