1、為一次性系統(tǒng)使用虛擬機(VM)

 

　　VM是搭建蜜罐的最佳選擇，首先基于模板創(chuàng)建VM，然后實施隔離，這是研究生產(chǎn)系統(tǒng)所受威脅的最好方式，處理病毒或惡意軟件時禁用網(wǎng)絡接口，讓威脅停留在VM內，不影響其它系統(tǒng)(虛擬的或物理的)，使用Windows VM時，請關閉系統(tǒng)還原功能，確保文件被修改或破壞后，系統(tǒng)重啟時不會自動進行還原。

 

　　2、使用VM模板

 

　　虛擬機模板允許虛擬化管理員使用標準的操作系統(tǒng)鏡像快速部署新的虛擬機，模板相當于黃金鏡像，基于模板創(chuàng)建的虛擬機可以繼續(xù)安裝新的補丁，新的虛擬機可以再次轉換成模板。

 

　　3、VM宿主主機要求

 

　　虛擬主機必須使用64位多處理器，為VM準備充足的RAM和磁盤空間，千兆網(wǎng)絡接口也是必需的，最好使用多網(wǎng)絡接口，為備份和虛擬機通信使用獨立的接口，大多數(shù)服務器都能滿足這些要求，如果使用舊服務器，確保處理器是64位，并且支持多處理器，RAM最小要能擴容到8GB，8GB被認為是構建一個VM宿主主機的最低內存限度。

 

　　4、密集配置虛擬磁盤

 

　　配置一個新的VM或為VM創(chuàng)建一個新磁盤時，如果虛擬化很重要或磁盤內容經(jīng)常變化時，使用密集配置，采用靜態(tài)的方法給虛擬磁盤分配空間，如果你創(chuàng)建一個30GB的虛擬磁盤，它就會占用30GB的存儲空間，與密集配置相對的是精簡配置，即可以動態(tài)擴展虛擬磁盤大小，如果使用精簡配置，創(chuàng)建虛擬磁盤時只占用最小空間，然后根據(jù)數(shù)據(jù)增長的需要自動擴大，精簡配置可以節(jié)省磁盤空間，但性能卻不好。因此，使用密集配置還是精簡配置的原則是：如果你的虛擬磁盤需要最理想的性能，或數(shù)據(jù)寫入較頻繁，建議使用密集配置。

 

　　5、分散負擔較重的工作負載的磁盤鏡像

 

　　如果VM遭遇性能問題，應該將它們的磁盤鏡像隔離到不同的存儲位置，例如，數(shù)據(jù)庫如果和操作系統(tǒng)使用同一個虛擬磁盤就會有問題，數(shù)據(jù)庫數(shù)據(jù)文件放在同一LUN的第二個磁盤上，日志文件放在同一LUN的第三個磁盤上，將操作系統(tǒng)虛擬磁盤放在不同的LUN上，將日志虛擬磁盤轉移到不包含其它操作系統(tǒng)或其它數(shù)據(jù)文件的LUN上，VM的性能將會顯著提高。

 

　　6、遵循物理機安全規(guī)則

 

　　虛擬機并不比物理機安全，因此應該和物理機一樣，給虛擬機打補丁，服務包，更新和執(zhí)行保護，在虛擬環(huán)境中，仍然需要防病毒軟件，反間諜軟件和防火墻，刪除或禁用未使用的服務，只允許使用安全的協(xié)議進出系統(tǒng)，如果可能，最好使用所有服務的安全版本，如使用SSH，SCP，SFTP和HTTPS代替不安全的Telnet，RCP，F(xiàn)TP和HTTP。

 

　　7、盡可能使用SAN存儲

 

　　大型虛擬化不能沒有SAN存儲，SAN通過主機總線適配器(HBA)，光纖電纜和SAN交換機連接到你的系統(tǒng)，它提供了快速的磁盤訪問能力，適合數(shù)據(jù)庫，日志和其它寫密集型應用，SCSI磁盤性能比SATA磁盤要好，但價格也更貴，通常會同時使用，但針對不同需求，基于SCSI的SAN和基于SATA的SAN都會優(yōu)先于本地磁盤存儲，因為它們使用雙光纖通道配置，可支持多種RAID，可以最大限度避免單點故障。

 

　　8、P2V轉換和服務可用性

 

　　將一個運行中的物理系統(tǒng)轉換成虛擬機時，禁用物理系統(tǒng)上的所有服務將會對文件系統(tǒng)的內容產(chǎn)生巨大變化，數(shù)據(jù)庫，主要服務和日志寫入文件系統(tǒng)會一直進行，因此虛擬機和物理機會不一致，在轉換期間出現(xiàn)差異很正常，但必須保持在最低限度，如果你使用一個可引導盤將物理機轉換成虛擬機，物理機的操作系統(tǒng)時靜態(tài)的，在轉換前不需要禁用任何服務，這個方法速度快，效率高，但在轉換期間VM將不可用。

 

　　9、在VMware ESX/vSphere中，使用VMXNET 2型和3型網(wǎng)絡適配器

 

　　創(chuàng)建一個新的Windows VM或執(zhí)行物理到虛擬機轉換(P2V)時，新VM的網(wǎng)絡接口驅動將顯示為Flexible，AMDPCNET或E1000，除非VM的操作系統(tǒng)很老(Windows NT，Windows2000，Windows9x)，或有其它不得已的理由要使用這些驅動，否則應該將驅動改為VMXNET2或VMXNET3，要切換到VMXNET驅動，需要移除現(xiàn)有網(wǎng)絡接口，使用新的接口代替，VMXNET2和VMXNET3驅動將可以和物理副本匹敵，首先要從VM移除舊的驅動，步驟如下：

 

　　(1)打開命令提示符，執(zhí)行下面的命令

 

　　SETDEVMGR_SHOW_NONPRESENT_DEVICES=1.

 

　　(2)再執(zhí)行

 

　　DEVMGMT.MSC.

 

　　(3)點擊“查看”*“顯示隱藏設備”，向下滾動到“網(wǎng)絡適配器”，刪除顯示為灰色的設備。

 

　　10、SAN格式

 

　　為你的VM格式化SAN時，使用最大的塊大小，以匹配LUN上已經(jīng)存在的最大虛擬磁盤文件，VMFS-3，VMFS的最新版本，對應Linuxext3文件系統(tǒng)，它們具有相同的功能和限制，VMFS-3單個文件最大大小是2TB，下面是VMware給出的塊大小和文件大小對比數(shù)據(jù)。

 

 

　　如果塊大小沒有選擇正確，文件系統(tǒng)會限制LUN上單個文件的最大大小，例如，一個300GB虛擬磁盤文件不能存在于塊大小為1MB的LUN上，會顯示空間不足的錯誤消息，但事實上空間是足夠的，當LUN以正確的塊大小格式化后，必須刪除數(shù)據(jù)再重新創(chuàng)建，LUN上的所有數(shù)據(jù)都將被銷毀。

 

    11、模擬物理網(wǎng)絡設計虛擬網(wǎng)絡

 

　　從物理基礎設施遷移到虛擬基礎設施時，虛擬環(huán)境的設計和布局應模仿物理做法，企業(yè)級虛擬化軟件允許創(chuàng)建虛擬交換機，虛擬局域網(wǎng)(VLANS)和私有網(wǎng)絡可以協(xié)助遷移，分析物理和邏輯網(wǎng)絡圖，復制所有通道和通信流。

 

　　12、安裝虛擬化工具/增強/客戶機插件

 

　　客戶機插件包括提高客戶機(VM)性能，鼠標指針集成，顯示驅動和客戶機到宿主主機的時間同步工具，客戶機增強存在于大多數(shù)現(xiàn)代操作系統(tǒng)中，這些工具不是必需的，但前端(控制臺)VM性能和VM之間的可用性在有和沒有客戶機增強時是有很大差別的。

 

　　13、關閉VM屏保

 

　　虛擬機不需要屏幕保護程序，屏幕保護程序會消耗系統(tǒng)資源，因此要么關閉VM的屏保要么直接將它們卸載掉。

 

　　14、為宿主主機硬件安裝最新的BIOS

 

　　定期到制造商網(wǎng)站檢查系統(tǒng)BIOS更新，確保宿主主機硬件使用最新的BIOS，一般來說，BIOS更新很少，因此更新BIOS造成的停機時間也很短，BIOS更新一般會提供新功能，如虛擬化支持，支持新的設備和改善性能，但需要注意的是，在更新BIOS前記得用更新工具備份當前的BIOS，不正確的更新或更新失敗會導致系統(tǒng)不可用，這時只能清除BIOS然后重裝。

 

　　15、為服務器到服務器通信創(chuàng)建專用網(wǎng)絡

 

　　創(chuàng)建一個專用網(wǎng)絡用于VM之間的通信，這種通信更快速和安全，對多層應用程序而來這是完美的解決辦法，最終用戶很少直接訪問后端數(shù)據(jù)庫，因此這個方法是隔離數(shù)據(jù)庫的最佳方案。

 

　　16、如果可能，使用分區(qū)

 

　　使用分區(qū)提供更好的靈活性和性能，更好地使用資源，分區(qū)不需要特殊的硬件，Linux系統(tǒng)需要新的Open VZ內核開啟真實分區(qū)，在功能上類似于分區(qū)，chroot jails提供了一個更簡單，低侵入性的選擇，也就是所謂的操作系統(tǒng)級虛擬化，分區(qū)隔離用戶空間實例，應用程序運行在共享內核環(huán)境中，應用程序行為好像它運行在一個專用系統(tǒng)上一樣。

 

　　17、保持主機系統(tǒng)應用了最新的補丁

 

　　確保VM打上最新補丁和更新，大部分虛擬系統(tǒng)的威脅發(fā)生在宿主主機一級，黑客的首要目標就是那些未打補丁的宿主主機，因此讓你的主機系統(tǒng)保持定期更新很重要，一旦宿主主機遭到入侵，就意味著它托管的VM也赤裸裸地暴露在黑客面前。

 

　　18、在發(fā)生重大變化之前快照或克隆VM

 

　　任何事物總是會不斷發(fā)生變化的，VM也不例外，但和物理系統(tǒng)比起來，VM在應對變化方面有許多優(yōu)勢，在對VM做出任何重大改變之前，可以通過快照或克隆保存VM當前的狀態(tài)，在大型環(huán)境中不是所有VM都需要這么做，但對那些關鍵VM，這種方法可以替代標準備份，好處是恢復起來也比標準恢復要快。傳統(tǒng)的克隆方法是關閉VM，將包含VM的整個目錄簡單地復制一份，例如：

 

　　#cp-RpUbuntu_10.04SUbuntu_10.04S_Backup

 

　　這個命令復制整個Ubuntu_10.04目錄及它下面的內容，并保留原始權限，因此可以精確地恢復VM到原始的狀態(tài)。

 

　　19、移除VM時移除VM磁盤鏡像

 

　　刪除不必要的VM時，如果沒有刪除虛擬磁盤鏡像，將會出現(xiàn)很多孤兒虛擬磁盤文件，磁盤空間將會出現(xiàn)混亂，從這里下載一個VMware Powershell腳本定期掃描孤兒虛擬磁盤文件。

 

　　20、客戶機和宿主主機時間同步

 

　　時間同步，時間偏移和網(wǎng)絡時間是系統(tǒng)和虛擬管理員最頭痛的問題，網(wǎng)絡時間協(xié)議(NTP)通過第三方獨立源解決了系統(tǒng)時間同步問題，客戶機和宿主主機同步的方式很多，如安裝允許時間同步的客戶機插件(點擊“安裝虛擬化工具*增強*客戶機插件”)，但同步也可以在客戶機操作系統(tǒng)級執(zhí)行，下面的例子顯示了如何執(zhí)行客戶機(Linux)到宿主主機(Xen)同步。

 

　　#echo0>/proc/sys/xen/independent_wallclock

 

　　修改/etc/sysctl.conf文件，添加下面的內容：

 

　　xen.independent_wallclock=0

 

　　此外，已經(jīng)安裝VMware客戶機工具的VMware客戶機就具有時間同步選項了。