1、為一次性系統(tǒng)使用虛擬機(jī)(VM)

 

　　VM是搭建蜜罐的最佳選擇，首先基于模板創(chuàng)建VM，然后實(shí)施隔離，這是研究生產(chǎn)系統(tǒng)所受威脅的最好方式，處理病毒或惡意軟件時(shí)禁用網(wǎng)絡(luò)接口，讓威脅停留在VM內(nèi)，不影響其它系統(tǒng)(虛擬的或物理的)，使用Windows VM時(shí)，請關(guān)閉系統(tǒng)還原功能，確保文件被修改或破壞后，系統(tǒng)重啟時(shí)不會(huì)自動(dòng)進(jìn)行還原。

 

　　2、使用VM模板

 

　　虛擬機(jī)模板允許虛擬化管理員使用標(biāo)準(zhǔn)的操作系統(tǒng)鏡像快速部署新的虛擬機(jī)，模板相當(dāng)于黃金鏡像，基于模板創(chuàng)建的虛擬機(jī)可以繼續(xù)安裝新的補(bǔ)丁，新的虛擬機(jī)可以再次轉(zhuǎn)換成模板。

 

　　3、VM宿主主機(jī)要求

 

　　虛擬主機(jī)必須使用64位多處理器，為VM準(zhǔn)備充足的RAM和磁盤空間，千兆網(wǎng)絡(luò)接口也是必需的，最好使用多網(wǎng)絡(luò)接口，為備份和虛擬機(jī)通信使用獨(dú)立的接口，大多數(shù)服務(wù)器都能滿足這些要求，如果使用舊服務(wù)器，確保處理器是64位，并且支持多處理器，RAM最小要能擴(kuò)容到8GB，8GB被認(rèn)為是構(gòu)建一個(gè)VM宿主主機(jī)的最低內(nèi)存限度。

 

　　4、密集配置虛擬磁盤

 

　　配置一個(gè)新的VM或?yàn)閂M創(chuàng)建一個(gè)新磁盤時(shí)，如果虛擬化很重要或磁盤內(nèi)容經(jīng)常變化時(shí)，使用密集配置，采用靜態(tài)的方法給虛擬磁盤分配空間，如果你創(chuàng)建一個(gè)30GB的虛擬磁盤，它就會(huì)占用30GB的存儲空間，與密集配置相對的是精簡配置，即可以動(dòng)態(tài)擴(kuò)展虛擬磁盤大小，如果使用精簡配置，創(chuàng)建虛擬磁盤時(shí)只占用最小空間，然后根據(jù)數(shù)據(jù)增長的需要自動(dòng)擴(kuò)大，精簡配置可以節(jié)省磁盤空間，但性能卻不好。因此，使用密集配置還是精簡配置的原則是：如果你的虛擬磁盤需要最理想的性能，或數(shù)據(jù)寫入較頻繁，建議使用密集配置。

 

　　5、分散負(fù)擔(dān)較重的工作負(fù)載的磁盤鏡像

 

　　如果VM遭遇性能問題，應(yīng)該將它們的磁盤鏡像隔離到不同的存儲位置，例如，數(shù)據(jù)庫如果和操作系統(tǒng)使用同一個(gè)虛擬磁盤就會(huì)有問題，數(shù)據(jù)庫數(shù)據(jù)文件放在同一LUN的第二個(gè)磁盤上，日志文件放在同一LUN的第三個(gè)磁盤上，將操作系統(tǒng)虛擬磁盤放在不同的LUN上，將日志虛擬磁盤轉(zhuǎn)移到不包含其它操作系統(tǒng)或其它數(shù)據(jù)文件的LUN上，VM的性能將會(huì)顯著提高。

 

　　6、遵循物理機(jī)安全規(guī)則

 

　　虛擬機(jī)并不比物理機(jī)安全，因此應(yīng)該和物理機(jī)一樣，給虛擬機(jī)打補(bǔ)丁，服務(wù)包，更新和執(zhí)行保護(hù)，在虛擬環(huán)境中，仍然需要防病毒軟件，反間諜軟件和防火墻，刪除或禁用未使用的服務(wù)，只允許使用安全的協(xié)議進(jìn)出系統(tǒng)，如果可能，最好使用所有服務(wù)的安全版本，如使用SSH，SCP，SFTP和HTTPS代替不安全的Telnet，RCP，F(xiàn)TP和HTTP。

 

　　7、盡可能使用SAN存儲

 

　　大型虛擬化不能沒有SAN存儲，SAN通過主機(jī)總線適配器(HBA)，光纖電纜和SAN交換機(jī)連接到你的系統(tǒng)，它提供了快速的磁盤訪問能力，適合數(shù)據(jù)庫，日志和其它寫密集型應(yīng)用，SCSI磁盤性能比SATA磁盤要好，但價(jià)格也更貴，通常會(huì)同時(shí)使用，但針對不同需求，基于SCSI的SAN和基于SATA的SAN都會(huì)優(yōu)先于本地磁盤存儲，因?yàn)樗鼈兪褂秒p光纖通道配置，可支持多種RAID，可以最大限度避免單點(diǎn)故障。

 

　　8、P2V轉(zhuǎn)換和服務(wù)可用性

 

　　將一個(gè)運(yùn)行中的物理系統(tǒng)轉(zhuǎn)換成虛擬機(jī)時(shí)，禁用物理系統(tǒng)上的所有服務(wù)將會(huì)對文件系統(tǒng)的內(nèi)容產(chǎn)生巨大變化，數(shù)據(jù)庫，主要服務(wù)和日志寫入文件系統(tǒng)會(huì)一直進(jìn)行，因此虛擬機(jī)和物理機(jī)會(huì)不一致，在轉(zhuǎn)換期間出現(xiàn)差異很正常，但必須保持在最低限度，如果你使用一個(gè)可引導(dǎo)盤將物理機(jī)轉(zhuǎn)換成虛擬機(jī)，物理機(jī)的操作系統(tǒng)時(shí)靜態(tài)的，在轉(zhuǎn)換前不需要禁用任何服務(wù)，這個(gè)方法速度快，效率高，但在轉(zhuǎn)換期間VM將不可用。

 

　　9、在VMware ESX/vSphere中，使用VMXNET 2型和3型網(wǎng)絡(luò)適配器

 

　　創(chuàng)建一個(gè)新的Windows VM或執(zhí)行物理到虛擬機(jī)轉(zhuǎn)換(P2V)時(shí)，新VM的網(wǎng)絡(luò)接口驅(qū)動(dòng)將顯示為Flexible，AMDPCNET或E1000，除非VM的操作系統(tǒng)很老(Windows NT，Windows2000，Windows9x)，或有其它不得已的理由要使用這些驅(qū)動(dòng)，否則應(yīng)該將驅(qū)動(dòng)改為VMXNET2或VMXNET3，要切換到VMXNET驅(qū)動(dòng)，需要移除現(xiàn)有網(wǎng)絡(luò)接口，使用新的接口代替，VMXNET2和VMXNET3驅(qū)動(dòng)將可以和物理副本匹敵，首先要從VM移除舊的驅(qū)動(dòng)，步驟如下：

 

　　(1)打開命令提示符，執(zhí)行下面的命令

 

　　SETDEVMGR_SHOW_NONPRESENT_DEVICES=1.

 

　　(2)再執(zhí)行

 

　　DEVMGMT.MSC.

 

　　(3)點(diǎn)擊“查看”*“顯示隱藏設(shè)備”，向下滾動(dòng)到“網(wǎng)絡(luò)適配器”，刪除顯示為灰色的設(shè)備。

 

　　10、SAN格式

 

　　為你的VM格式化SAN時(shí)，使用最大的塊大小，以匹配LUN上已經(jīng)存在的最大虛擬磁盤文件，VMFS-3，VMFS的最新版本，對應(yīng)Linuxext3文件系統(tǒng)，它們具有相同的功能和限制，VMFS-3單個(gè)文件最大大小是2TB，下面是VMware給出的塊大小和文件大小對比數(shù)據(jù)。

 

 

　　如果塊大小沒有選擇正確，文件系統(tǒng)會(huì)限制LUN上單個(gè)文件的最大大小，例如，一個(gè)300GB虛擬磁盤文件不能存在于塊大小為1MB的LUN上，會(huì)顯示空間不足的錯(cuò)誤消息，但事實(shí)上空間是足夠的，當(dāng)LUN以正確的塊大小格式化后，必須刪除數(shù)據(jù)再重新創(chuàng)建，LUN上的所有數(shù)據(jù)都將被銷毀。

 

    11、模擬物理網(wǎng)絡(luò)設(shè)計(jì)虛擬網(wǎng)絡(luò)

 

　　從物理基礎(chǔ)設(shè)施遷移到虛擬基礎(chǔ)設(shè)施時(shí)，虛擬環(huán)境的設(shè)計(jì)和布局應(yīng)模仿物理做法，企業(yè)級虛擬化軟件允許創(chuàng)建虛擬交換機(jī)，虛擬局域網(wǎng)(VLANS)和私有網(wǎng)絡(luò)可以協(xié)助遷移，分析物理和邏輯網(wǎng)絡(luò)圖，復(fù)制所有通道和通信流。

 

　　12、安裝虛擬化工具/增強(qiáng)/客戶機(jī)插件

 

　　客戶機(jī)插件包括提高客戶機(jī)(VM)性能，鼠標(biāo)指針集成，顯示驅(qū)動(dòng)和客戶機(jī)到宿主主機(jī)的時(shí)間同步工具，客戶機(jī)增強(qiáng)存在于大多數(shù)現(xiàn)代操作系統(tǒng)中，這些工具不是必需的，但前端(控制臺)VM性能和VM之間的可用性在有和沒有客戶機(jī)增強(qiáng)時(shí)是有很大差別的。

 

　　13、關(guān)閉VM屏保

 

　　虛擬機(jī)不需要屏幕保護(hù)程序，屏幕保護(hù)程序會(huì)消耗系統(tǒng)資源，因此要么關(guān)閉VM的屏保要么直接將它們卸載掉。

 

　　14、為宿主主機(jī)硬件安裝最新的BIOS

 

　　定期到制造商網(wǎng)站檢查系統(tǒng)BIOS更新，確保宿主主機(jī)硬件使用最新的BIOS，一般來說，BIOS更新很少，因此更新BIOS造成的停機(jī)時(shí)間也很短，BIOS更新一般會(huì)提供新功能，如虛擬化支持，支持新的設(shè)備和改善性能，但需要注意的是，在更新BIOS前記得用更新工具備份當(dāng)前的BIOS，不正確的更新或更新失敗會(huì)導(dǎo)致系統(tǒng)不可用，這時(shí)只能清除BIOS然后重裝。

 

　　15、為服務(wù)器到服務(wù)器通信創(chuàng)建專用網(wǎng)絡(luò)

 

　　創(chuàng)建一個(gè)專用網(wǎng)絡(luò)用于VM之間的通信，這種通信更快速和安全，對多層應(yīng)用程序而來這是完美的解決辦法，最終用戶很少直接訪問后端數(shù)據(jù)庫，因此這個(gè)方法是隔離數(shù)據(jù)庫的最佳方案。

 

　　16、如果可能，使用分區(qū)

 

　　使用分區(qū)提供更好的靈活性和性能，更好地使用資源，分區(qū)不需要特殊的硬件，Linux系統(tǒng)需要新的Open VZ內(nèi)核開啟真實(shí)分區(qū)，在功能上類似于分區(qū)，chroot jails提供了一個(gè)更簡單，低侵入性的選擇，也就是所謂的操作系統(tǒng)級虛擬化，分區(qū)隔離用戶空間實(shí)例，應(yīng)用程序運(yùn)行在共享內(nèi)核環(huán)境中，應(yīng)用程序行為好像它運(yùn)行在一個(gè)專用系統(tǒng)上一樣。

 

　　17、保持主機(jī)系統(tǒng)應(yīng)用了最新的補(bǔ)丁

 

　　確保VM打上最新補(bǔ)丁和更新，大部分虛擬系統(tǒng)的威脅發(fā)生在宿主主機(jī)一級，黑客的首要目標(biāo)就是那些未打補(bǔ)丁的宿主主機(jī)，因此讓你的主機(jī)系統(tǒng)保持定期更新很重要，一旦宿主主機(jī)遭到入侵，就意味著它托管的VM也赤裸裸地暴露在黑客面前。

 

　　18、在發(fā)生重大變化之前快照或克隆VM

 

　　任何事物總是會(huì)不斷發(fā)生變化的，VM也不例外，但和物理系統(tǒng)比起來，VM在應(yīng)對變化方面有許多優(yōu)勢，在對VM做出任何重大改變之前，可以通過快照或克隆保存VM當(dāng)前的狀態(tài)，在大型環(huán)境中不是所有VM都需要這么做，但對那些關(guān)鍵VM，這種方法可以替代標(biāo)準(zhǔn)備份，好處是恢復(fù)起來也比標(biāo)準(zhǔn)恢復(fù)要快。傳統(tǒng)的克隆方法是關(guān)閉VM，將包含VM的整個(gè)目錄簡單地復(fù)制一份，例如：

 

　　#cp-RpUbuntu_10.04SUbuntu_10.04S_Backup

 

　　這個(gè)命令復(fù)制整個(gè)Ubuntu_10.04目錄及它下面的內(nèi)容，并保留原始權(quán)限，因此可以精確地恢復(fù)VM到原始的狀態(tài)。

 

　　19、移除VM時(shí)移除VM磁盤鏡像

 

　　刪除不必要的VM時(shí)，如果沒有刪除虛擬磁盤鏡像，將會(huì)出現(xiàn)很多孤兒虛擬磁盤文件，磁盤空間將會(huì)出現(xiàn)混亂，從這里下載一個(gè)VMware Powershell腳本定期掃描孤兒虛擬磁盤文件。

 

　　20、客戶機(jī)和宿主主機(jī)時(shí)間同步

 

　　時(shí)間同步，時(shí)間偏移和網(wǎng)絡(luò)時(shí)間是系統(tǒng)和虛擬管理員最頭痛的問題，網(wǎng)絡(luò)時(shí)間協(xié)議(NTP)通過第三方獨(dú)立源解決了系統(tǒng)時(shí)間同步問題，客戶機(jī)和宿主主機(jī)同步的方式很多，如安裝允許時(shí)間同步的客戶機(jī)插件(點(diǎn)擊“安裝虛擬化工具*增強(qiáng)*客戶機(jī)插件”)，但同步也可以在客戶機(jī)操作系統(tǒng)級執(zhí)行，下面的例子顯示了如何執(zhí)行客戶機(jī)(Linux)到宿主主機(jī)(Xen)同步。

 

　　#echo0>/proc/sys/xen/independent_wallclock

 

　　修改/etc/sysctl.conf文件，添加下面的內(nèi)容：

 

　　xen.independent_wallclock=0

 

　　此外，已經(jīng)安裝VMware客戶機(jī)工具的VMware客戶機(jī)就具有時(shí)間同步選項(xiàng)了。