fichier vmx. Extension de fichier .vmx

De nombreux utilisateurs utilisent déjà les technologies de virtualisation pour exécuter simultanément plusieurs systèmes d'exploitation sur un ordinateur physique pour diverses tâches. Les plates-formes de virtualisation de postes de travail deviennent de plus en plus puissantes, abordables et pratiques, et la puissance croissante Matériel permettre à la virtualisation de trouver de plus en plus de soutien parmi les utilisateurs. Les fabricants de plates-formes accordent une grande attention au développement de systèmes de virtualisation de postes de travail, destinés à la fois aux professionnels de l'informatique et aux particuliers qui installent plusieurs systèmes d'exploitation pour la formation, les tests Logiciel et créer des environnements portables et indépendants du matériel.

VMware, l'un des acteurs les plus expérimentés du marché de la virtualisation, propose sa plateforme Poste de travail VMware, axé sur l'application dans l'infrastructure des petites organisations, ainsi que les professionnels de l'informatique pour obtenir de nouvelles façons de résoudre les problèmes quotidiens. Pendant près d'une décennie de développement de plate-forme, VMware s'est efforcé de rendre la plate-forme aussi flexible et puissante que possible afin que le plus grand segment possible d'utilisateurs puisse profiter pleinement des avantages de la virtualisation, tout en travaillant avec une interface simple et compréhensible.

Lors du déploiement de postes de travail virtuels dans une organisation, ainsi que de l'utilisation machines virtuelles la maison demande souvent plus réglage fin plates-formes pour l'adapter à l'environnement utilisateur existant. VMware Workstation dispose de nombreux outils pour configurer à la fois la plate-forme elle-même et les systèmes virtuels, disponibles non seulement via l'interface utilisateur graphique. VMware fournit aux administrateurs système et aux passionnés des outils pour gérer leur environnement virtuel afin de tirer le meilleur parti de leurs machines virtuelles. Cet article vous montrera comment utiliser correctement ces outils et configurer certains paramètres de plate-forme et de système virtuel non évidents.

À propos de la plate-forme VMware Workstation 6

La plate-forme de virtualisation de postes de travail VMware Workstation est principalement destinée aux professionnels de l'informatique et aux utilisateurs à domicile qui ont besoin de créer des environnements virtuels flexibles pour effectuer diverses tâches. Les nombreux outils contenus dans la plateforme permettent de faire tourner plusieurs machines virtuelles sur un seul ordinateur physique et de les gérer le plus simplement possible. En même temps, derrière la simplicité de l'interface utilisateur, il existe de grandes possibilités de configuration de divers paramètres pour obtenir le meilleur effet des systèmes virtuels. Lors du déploiement de postes de travail virtuels dans une infrastructure d'entreprise basée sur VMware Workstation, les administrateurs système reçoivent des outils pour configurer facilement un environnement de virtualisation, qui contiennent des fichiers de configuration, des utilitaires ligne de commande pour travailler avec la plate-forme et les machines virtuelles, ainsi que des applications de fenêtre pour configurer la mise en réseau et disques virtuels.

Principales fonctionnalités de VMware Workstation 6

La sixième version de VMware Workstation, tout en conservant tous les avantages de la cinquième version, a acquis de nombreuses nouveautés fonctionnalités intéressantes, qui ne se trouvent dans presque aucune des plates-formes similaires pour la virtualisation de postes de travail. En mettant l'accent sur le développement d'applications et les tests de logiciels, VMware Workstation prend en charge un grand nombre de systèmes invités et hôtes, ainsi que de nombreux outils spécialisés pour le débogage des applications. Plus caractéristiques importantes VMware Workstation 6 inclut :

• prise en charge des systèmes d'exploitation hôtes Windows et Linux
• la possibilité d'exécuter des systèmes invités 32 et 64 bits
• prise en charge de plusieurs moniteurs lorsque vous travaillez avec le système d'exploitation invité en mode plein écran
• jusqu'à 8 Go mémoire vive pour une machine virtuelle
• jusqu'à 2 processeurs virtuels et jusqu'à 10 cartes réseau virtuelles dans l'invité
• la possibilité d'enregistrer l'activité de la machine virtuelle (à la fois au format vidéo et au niveau des actions à l'intérieur du système invité)
• Sauvegarde facile du système et instantanés d'invités illimités
• Prise en charge des interfaces USB 2.0
• serveur VNC intégré
• possibilité de contrôle flexible réseaux virtuels et disques
• API (Application Program Interface) spécialisée pour automatiser les tâches administratives (disponible en langage C)

Lecteur VMware 2.0

VMware offre aux utilisateurs un bon outil gratuit exécuter plusieurs machines virtuelles sur un seul hôte physique, faire la démonstration de logiciels, utiliser des logiciels utilisant le modèle SaaS (Software as a Service) via des modèles virtuels (Virtual Appliances) et tester des logiciels enfermés dans un environnement isolé. VMware Player ne vous permet pas de créer des machines virtuelles et d'utiliser certaines des fonctionnalités inhérentes à une plate-forme de virtualisation à part entière, mais en tant qu'outil pour exécuter des modèles prêts à l'emploi qui sont actuellement sur le marché, c'est une solution appropriée. Le produit est fourni avec VMware Workstation 6 (vmplayer.exe) ou peut être téléchargé séparément à partir du site Web de VMware. Les principales caractéristiques du produit incluent :

• exécutant des invités 32 bits et 64 bits
• prise en charge de 2 processeurs virtuels
• la possibilité d'utiliser des systèmes virtuels tiers (Microsoft et Symantec)
• plusieurs dizaines de systèmes invités pris en charge
• créer un environnement de partage de fichiers partagé entre les systèmes hôte et invité
• Prise en charge des interfaces USB 2.0
• la possibilité de visualiser des informations récapitulatives sur un modèle virtuel (Appliance View)
• interface intuitive similaire à un lecteur vidéo classique

Les modèles de machines virtuelles gagnent en popularité et prendront bientôt leur place dans la manière dont les logiciels sont livrés aux utilisateurs finaux. Depuis l'open source gratuit SE deviennent plus stables et disponibles, les ISV peuvent distribuer leurs applications « dans une boîte » avec une machine virtuelle. À cet égard, le VMware Player gratuit est l'une des meilleures solutions de ce schéma.

En outre, VMware Player convient à l'exécution d'environnements utilisateur virtuels créés avec le . Ces systèmes peuvent être protégés par des politiques de sécurité et remis aux utilisateurs finaux pour une utilisation limitée de modèles virtuels, par exemple, sur période d'essai temps.

Administration de la plate-forme VMware Workstation 6

Parmi les nombreux présents à ce moment systèmes de virtualisation VMware Workstation 6 soutient la comparaison avec la variété et la flexibilité des outils d'administration, tant pour la plate-forme elle-même que pour les machines virtuelles. En particulier, la plate-forme vous permet de configurer vos paramètres et les paramètres de la machine virtuelle via un graphique pratique. interface utilisateur, ainsi que via les fichiers de configuration *.ini (pour VMware Workstation lui-même) et *.vmx (pour chacune des machines virtuelles). Les machines virtuelles peuvent également être gérées de deux manières : localement via l'interface utilisateur graphique (GUI) et via l'interface de ligne de commande (CLI, Command Line Interface) localement ou à distance. En outre, les utilisateurs peuvent utiliser l'utilitaire vmware-vdiskmanager.exe pour diverses opérations avec disques virtuels, et l'utilitaire vmware-mount.exe pour monter des disques virtuels sur le système hôte en tant que disques logiques (cette fonctionnalité est désormais disponible dans VMware Workstation 6 à partir de la console GUI).

L'un des cas d'utilisation les plus courants de la plate-forme VMware Workstation est d'augmenter l'efficacité du processus de développement et de test. Par conséquent, dans la sixième version, plusieurs innovations ont été ajoutées spécifiquement à cet effet.

Configuration des paramètres d'environnement VMware Workstation 6

La plate-forme VMware Workstation vous permet de configurer de manière flexible les paramètres d'environnement pour prendre en charge les systèmes virtuels et créer un environnement convivial. Les paramètres de la plate-forme peuvent être modifiés de deux manières : en modifiant le fichier preferences.ini situé dans le dossier "%USERPROFILE%Application DataVMware" et via l'interface utilisateur graphique.

Le fichier preferences.ini comporte plusieurs sections pour configurer l'environnement. La modification des paramètres suivants présente le plus d'intérêt :

• pref.view.toolbars.list - vous permet de contrôler les éléments de menu affichés
• pref.ws.currentObj - paramètres de la machine virtuelle sélectionnée lors du démarrage de Workstation
• pref.ws.openedObj - options pour les systèmes virtuels ouverts
• mks.noBeep = "TRUE" - désactive signaux sonores machines virtuelles
• pref.placement - contrôle la position de la fenêtre Workstation

Pour modifier les paramètres via l'interface utilisateur, sélectionnez l'élément Préférences dans le menu Edition.

Dans cette fenêtre, vous pouvez configurer l'environnement de l'espace de travail VMware Workstation :

• Dossier par défaut où seront situées les machines virtuelles (Emplacement par défaut)
• Sauvegarde de l'état onglets ouverts avec des machines virtuelles (souvenez-vous des onglets ouverts)
• Possibilité d'exécuter des machines virtuelles en arrière-plan après la fermeture de la console Workstation (Exécuter en arrière-plan)
• Activer tous les dossiers partagés
• Afficher l'icône de la barre d'état
• Génération de matériel par défaut sélectionnée
• Vérifier la période des mises à jour

Dans l'onglet Entrée, vous pouvez configurer les paramètres suivants :

• Transférer la concentration sur système invité en appuyant sur le bouton de la souris dans la zone console du système invité (Grab on mouse click)
• Transférer le focus au système invité en appuyant sur une touche du clavier (Grab on key press)
• Mettre le focus sur le système hôte en quittant la zone du système invité avec le pointeur de la souris (Désactiver lorsque le curseur quitte)
• Masquer le curseur lors de la suppression du focus de l'invité (Masquer le curseur)
• Traduire le focus lorsque le curseur entre dans la zone de la fenêtre (saisir lorsque le curseur entre)

Dans l'onglet suivant, vous pouvez configurer les raccourcis :

Pour enregistrer ces paramètres, la machine virtuelle doit être redémarrée. Pour appuyer sur une combinaison contenant Ctrl + Alt dans une machine virtuelle, vous devez appuyer sur Ctrl + Alt + Espace, puis relâchez l'espace et appuyez sur la touche requise.

Dans l'onglet suivant, les options d'affichage des consoles graphiques sont configurées :

Ici, vous pouvez définir l'alignement automatique de la fenêtre Workstation et la résolution du système invité (nécessite VMware Tools) - l'option Autofit, ainsi que les paramètres du mode plein écran, dont la transition est effectuée par la combinaison Ctrl + Alt + Entrée.

Dans l'onglet Outils, vous pouvez activer mise à jour automatique utilitaires VMware Tools au prochain démarrage de l'invité. L'onglet Mémoire permet de gérer les paramètres de mémoire alloués aux machines virtuelles.

Ici, vous pouvez configurer la quantité totale de mémoire allouée aux systèmes virtuels, ainsi que la possibilité d'utiliser des fichiers d'échange (fichiers *.vmem dans le dossier avec la machine virtuelle).

L'onglet suivant, Priorité, définit la priorité des machines virtuelles qui sont et ne sont pas ciblées (entrée saisie et non saisie).

Lors de la définition de la priorité de chacune des machines virtuelles dans ses propriétés, ces paramètres seront remplacés. Ici, vous pouvez également désactiver la création d'instantanés du système invité en arrière-plan.

Dans l'onglet Périphériques, vous pouvez activer ou désactiver l'exécution automatique des CD/DVD sur le système hôte. VMware recommande de désactiver l'exécution automatique car cela peut provoquer un comportement inattendu dans les systèmes virtuels.

Le dernier onglet vous permet de définir un mot de passe administrateur pour créer des machines virtuelles, modifier leurs paramètres et gérer la mise en réseau.

Il faut se rappeler que dans la plupart des cas, les paramètres de chacune des machines virtuelles chevauchent les paramètres globaux décrits ci-dessus.

Travailler avec des disques virtuels

VMware Workstation vous permet de créer plusieurs types de disques virtuels, chacun adapté à différents cas d'utilisation. Lors de la création d'une machine virtuelle, vous pouvez choisir parmi deux types de disques :

• préalloué(l'espace disque spécifié est réservé immédiatement, tandis que l'espace inutilisé est rempli de zéro octet)
• cultivable(le disque grossit au fur et à mesure qu'il se remplit)

Le premier type est recommandé pour les machines virtuelles dont les applications sont sensibles aux opérations d'E/S et nécessitent des performances système disque élevées, le second permet d'économiser espace disque héberger. Lors de la création d'une machine virtuelle, vous pouvez également partitionner le disque en blocs de 2 Go, ce qui est très important si vous prévoyez de l'utiliser sur des systèmes de fichiers qui ne prennent pas en charge les fichiers de grande taille (par exemple, FAT32).

De plus, les disques créés dans Workstation sont dépendants (dépendants), c'est-à-dire participant à la création d'instantanés du système, et indépendants (indépendants), conservant leur état indépendamment des instantanés. Dans ce cas, les disques indépendants, à leur tour, sont divisés en permanents (persistants) et temporaires (non persistants). Le premier type est pratique pour stocker des fichiers qui ne changeront pas lorsque vous revenez aux instantanés (par exemple, le stockage de distribution), le second convient à différents types d'expériences : les modifications apportées aux disques non persistants ne sont pas enregistrées lorsque la machine virtuelle est éteinte ou restauré à un instantané. De plus, VMware Workstation vous permet d'utiliser directement les disques physiques du système hôte (cette option est assez dangereuse en raison d'une éventuelle perte de données).

Du point de vue des tâches administratives, il est nécessaire de défragmenter régulièrement les disques des machines virtuelles, et dans l'ordre suivant :

• disques à l'intérieur du système invité
• fichier de disque virtuel à l'aide de VMware Workstation (élément de menu "Défragmenter" par le bouton "Utilitaires" dans les propriétés du disque virtuel)
• disques du système hôte

Le disque virtuel peut également être monté sur le système hôte (élément de menu "Carte" par le bouton "Utilitaires" dans les propriétés du disque virtuel) et scanné à l'aide de l'utilitaire scandisk.

Configuration des options de mise en réseau

La plate-forme VMware Workstation est hautement capable de configurer la mise en réseau entre les machines virtuelles et le système hôte. Lors de la création d'un adaptateur réseau virtuel, vous pouvez spécifier l'un des quatre types de mise en réseau :

• Ponté(les ressources de l'adaptateur réseau virtuel sont partagées avec l'adaptateur hôte physique, ce qui permet à la machine virtuelle d'avoir sa propre adresse IP externe et de se comporter comme un ordinateur indépendant par rapport au réseau externe)
• hôte uniquement(la machine virtuelle communique uniquement au sein de l'hôte, recevant une adresse IP du serveur DHCP intégré)
• NAT(la machine virtuelle peut initier des connexions au réseau externe via le serveur VMware NAT intégré, mais n'est pas visible depuis le réseau externe, tandis que l'adresse IP interne est également attribuée par le serveur DHCP)
• Personnalisé(l'adaptateur réseau se connecte au concentrateur réseau sélectionné, au sein duquel la communication réseau a lieu)

En outre, la plate-forme VMware Workstation vous permet de configurer de manière flexible la mise en réseau virtuelle au sein du système hôte à l'aide de l'utilitaire Virtual Network Editor (vmnetcfg.exe), qui vous permet de lier des connexions virtuelles et physiques. adaptateurs réseau aux hubs de réseau virtuels, ainsi que leur lier un serveur DHCP et un périphérique NAT. Lors de la configuration de la mise en réseau des machines virtuelles, vous devez accorder une attention particulière aux systèmes avec le type d'interaction Bridged, car ils "regardent" dans le réseau externe et ont besoin de la même protection que le système d'exploitation hôte.

Utiliser des outils de développement et de test

L'un des principaux cas d'utilisation du produit VMware Workstation est le développement et le test de logiciels. VMware a donc inclus plusieurs outils spécialisés à cet effet dans sa plate-forme. En particulier, des modules complémentaires peuvent être utilisés avec VMware Workstation pour s'intégrer aux environnements de développement Visual Studio (Windows uniquement) et Eclipse (Windows et Linux) afin de simplifier le processus de débogage des logiciels dans les machines virtuelles (Workstation IDE). Lors de la configuration des outils, vous devez spécifier le chemin d'accès au système virtuel, le script d'installation à exécuter et l'emplacement des dossiers partagés. Après cela, le débogueur virtuel intégré démarre la machine virtuelle, configure l'environnement en fonction des paramètres spécifiés et lance l'application, ou "s'accroche" au programme nécessaire, démarrant la session de débogage. Une fois l'application terminée, le débogueur s'arrête, redémarre la machine virtuelle ou enregistre son état, selon les paramètres.

L'installation des débogueurs virtuels peut se faire lors de l'installation de VMware Workstation lors de la sélection de composants supplémentaires. Pour le débogage avec Visual Studio 2005, vous pouvez utiliser le moniteur de débogage à distance (msvsmon.exe), qui prend en charge les fonctionnalités de débogage à distance. Dans le cas d'une intégration avec Eclipse, après l'installation du plug-in pour Workstation, de nouveaux éléments apparaîtront dans le menu Debug de l'environnement Eclipse : "VMware attach to application" et "VMware execute Java application", qui peuvent être utilisés pour déboguer dans une machine virtuelle. Suite des informations détaillées vous pouvez en savoir plus sur les débogueurs virtuels VMware intégrés dans .

De plus, lors du développement et des tests, il est très utile d'utiliser des disques non persistants, dont les modifications ne sont pas enregistrées lorsque la session avec la machine virtuelle est fermée. Lorsque vous travaillez avec de tels disques, toutes leurs modifications sont stockées dans le journal de rétablissement, qui peut être soit supprimé après la fin de la machine virtuelle, soit appliqué au disque vmdk, sauvegardant ainsi son état.

Configuration des paramètres de la machine virtuelle via les fichiers vmx

Virtuel Ordinateurs VMware utiliser format universel Fichiers de configuration *.vmx, en modifiant quels administrateurs système et utilisateurs ordinaires peuvent gérer divers paramètres de machines virtuelles et de systèmes invités. Le fichier vmx se trouve dans le dossier avec la machine virtuelle et peut être modifié dans n'importe quel éditeur de texte. Liste complète Les paramètres des fichiers vmx comportent plusieurs centaines d'éléments. En les modifiant, vous pouvez contrôler le matériel virtuel, le comportement des machines virtuelles, l'interaction avec le système hôte, les instantanés et de nombreuses autres propriétés des systèmes virtuels. Voici une liste des options de fichier vmx les plus importantes et les plus intéressantes qui seront utiles dans les cas où vous avez besoin d'une configuration spécifique de machines virtuelles qui va au-delà de l'interface utilisateur de la plate-forme VMware Workstation. Veuillez noter que ces options peuvent ne pas fonctionner dans toutes les versions du produit, tandis que certaines options sont actuellement expérimentales et peuvent affecter la stabilité des machines virtuelles et de la plate-forme dans son ensemble, utilisez-les donc avec précaution.

Il convient de noter que tous les paramètres des machines virtuelles via l'interface utilisateur sont fixés dans les fichiers vmx. L'édition de leurs paramètres est particulièrement efficace en cas de problèmes avec appareils virtuels, qui apparaissent le plus souvent chez les invités plus âgés ou bénéficiant d'un soutien expérimental. Pour tirer le meilleur parti information complète sur la structure du fichier vmx, vous pouvez visiter une ressource spécialisée.

Travailler avec des machines virtuelles via l'interface de ligne de commande

Le dossier dans lequel la plate-forme VMware Workstation 6 est installée contient plusieurs programmes utiles pour manipuler des machines virtuelles, travailler avec des disques virtuels et gérer la communication réseau (utilitaires vmrun.exe, vmware-vdiskmanager.exe et vmnetcfg.exe). Ce dernier a une interface graphique et est similaire réglage virtuelÉditeur de réseau dans la plate-forme elle-même. L'utilitaire vmware-vdiskmanager vous permet de gérer les disques virtuels invités et est le plus souvent utilisé pour les étendre. Plus d'informations sur vmware-vdiskmanager peuvent être trouvées en l'exécutant avec le "/?" depuis la ligne de commande.

L'utilitaire vmrun est le plus intéressant pour administrateurs système qui veulent automatiser les activités de gestion de plusieurs systèmes virtuels. En plus de gérer la puissance des machines virtuelles, cet utilitaire permet d'interagir avec système de fichiers OS invité, ainsi que d'organiser l'échange de fichiers via des dossiers partagés, ou en les copiant directement. La syntaxe d'utilisation de vmrun.exe est la suivante :

vmrun

La liste complète des options de l'utilitaire vmrun est présentée ci-dessous.

De plus, l'utilitaire vmrun peut être utilisé non seulement pour le local, mais aussi pour télécommande machines virtuelles. Pour ce faire, les drapeaux d'authentification suivants doivent être spécifiés en tant que paramètres supplémentaires :

-h
-P
-u
-p
-gu
-gp

L'utilitaire vmrun peut également être utilisé avec succès par des développeurs de logiciels tiers pour la plate-forme VMware Workstation 6.

Conclusion

La plate-forme VMware Workstation est très flexible et outil efficace pour la virtualisation des postes de travail. Aujourd'hui, peut-être, aucune plate-forme de cette classe ne dispose d'un tel ensemble de paramètres personnalisables et d'outils intégrés pour une variété de tâches utilisateur. L'utilisation de VMware Workstation pour les tests d'applications (en particulier les tests de configuration et d'installation) est devenue la norme de facto dans de nombreuses sociétés de développement de logiciels. De nombreux outils de débogage et de test des applications font de la plate-forme VMware Workstation un incontournable pour les programmeurs et les testeurs. Les utilisateurs à domicile trouveront certainement également une utilisation à la fois pour le lecteur gratuit VMware pour exécuter des modèles virtuels préconfigurés et pour la station de travail payante pour la formation, l'isolation des environnements utilisateur et la création d'environnements virtuels portables.

Les concurrents les plus proches de VMware Workstation à l'heure actuelle sont VirtualBox d'InnoTek (gratuit pour un usage domestique) et Virtual PC de Microsoft (gratuit), qui ont beaucoup moins de fonctionnalités que Workstation, telles que les disques virtuels, la mise en réseau et le nombre de systèmes invités et hôtes pris en charge. Bien que tous ces produits conviennent à un usage domestique, cependant, pour les professionnels, l'utilisation de VMware Workstation vous permettra vraiment de ressentir l'effet de la virtualisation des postes de travail.

Par Robert Patton sur les paramètres de fichier VM VMX pour résoudre des vulnérabilités spécifiques. Comme d'habitude, la traduction est biaisée 🙂

Si vous avez travaillé avec des produits VMware pendant un certain temps, vous avez probablement prêté attention aux fichiers VMX. Chaque VMX contient presque tous les paramètres de la machine virtuelle, et dispose également de plusieurs réglages avancés, qui ne peut pas être ajouté à partir de l'interface graphique, mais ne peut être ajouté qu'à l'aide de l'éditeur à partir de la console. Dans ce guide, je décrirai plusieurs options conçues pour vous protéger des vulnérabilités de VMware Tools et fermer les canaux entre le système d'exploitation invité et l'hôte.
Les paramètres dont nous parlerons ont déjà été rencontrés plus d'une fois dans diverses sources. Mais il n'y a presque aucune information sur ce qu'ils font exactement et à quoi ils sont destinés. Beaucoup de ces paramètres ne s'appliquent pas à ESX 3.5. Par conséquent, au lieu de publier une autre liste, je vais essayer d'expliquer le but de ces paramètres. Même si vous ne cherchez pas à augmenter la sécurité, continuez à lire et nous vous ouvrirons peut-être les yeux sur les failles de sécurité de votre infrastructure.
J'aime utiliser PUTTY et VI pour éditer des fichiers VMX. Copiez simplement dans le presse-papiers la liste des options à la fin de l'article, ouvrez le fichier VMX dans VI et cliquez sur bouton de droite souris en mode insertion de texte pour coller du texte. Si vous n'êtes pas familier avec l'interface VI, vous trouverez une brève référence à la toute fin de l'article.
Vous pouvez également ajouter ces paramètres via le client VI en cliquant avec le bouton droit sur le nom de la VM et en sélectionnant Modifier les paramètres..., onglet Choix, Avancé-Général, et en appuyant sur le bouton Paramètres de configuration… Mais, en substance, cela prend beaucoup plus de temps à faire qu'à utiliser un VI. Quelle que soit la méthode de modification du fichier VMX, vous devez arrêter la machine virtuelle. Si vous modifiez quelque chose dans le fichier VMX, après avoir éteint la VM, ces modifications seront supprimées, car pendant le fonctionnement de la VM, tous les paramètres VMX sont chargés dans la RAM de l'hôte.

Il faut vraiment voir les vulnérabilités de VMware Tools pour imaginer leur portée. Pour démontrer les vulnérabilités, nous prendrons une nouvelle machine virtuelle avec Windows Server 2003 Standard installé et VMware Tools installé. Créons un utilisateur local utilisateur test, et ajoutez-le au groupe Utilisateurs de bureau à distance. En conséquence, notre utilisateur sera membre de groupes Utilisateurs et Utilisateurs de bureau à distance sur ce serveur. Notez qu'il n'est pas un administrateur local. 😉 En fait, il s'agit d'un compte typique pour utiliser les serveurs de terminaux Citrix ou Microsoft.
Si vous pensez être protégé car il n'y a pas d'icône VMware Tools dans le coin inférieur droit, vous vous trompez. N'importe quel utilisateur peut l'exécuter avec la commande "C:\Program Files\VMware\VMware Tools\VMControlPanel.cpl".
Désactiver les appareils
Commençons par un aperçu des options de connexion et de déconnexion du CD-ROM, du lecteur de disquette et de la mise en réseau à partir du panneau de configuration de VMware Tools. Créez une session RDP sur notre serveur de test et connectez-vous en tant que utilisateur test. Cliquez sur l'icône VMware Tools et allez dans l'onglet dispositifs. Décochez le drapeau à côté de la carte réseau et cliquez sur le bouton appliquer. Vous pouvez voir comment votre session RDP se bloque et le serveur ne répond pas aux demandes. Oui, un utilisateur normal vient d'arracher un fil d'une carte réseau virtuelle, déconnectant complètement le serveur du réseau. Si vous avez déjà des serveurs de terminaux, vous pouvez imaginer l'ampleur de cette menace.
Heureusement pour nous, cela est facilement désactivé avec les options de fichier VMX suivantes :

isolation.device.edit.disable = "vrai"
Menaces du temps
Créons à nouveau une session RDP et ouvrons le panneau VMware Tools. Sur l'onglet Choix décrocher le drapeau Synchronisation temporelle entre la machine virtuelle et l'hôte système opérateur . Cliquez sur Appliquer et OK. Fermez et rouvrez le panneau VMware Tools - vous verrez que ces modifications ont été enregistrées.
Bien sûr, si vous utilisez le service W32Time, vous pourriez dire que tout cela n'a aucun sens. Mais lorsque l'utilisateur malveillant active la synchronisation temporelle avec l'hôte, vous vous retrouvez avec deux processus de synchronisation temporelle qui ne se connaissent pas. Et si vous avez désactivé la synchronisation de l'heure via W32Time et que l'utilisateur désactive/active la synchronisation de l'heure avec l'hôte, la VM peut ne pas être en mesure de se connecter au domaine.
Ce drapeau modifie le paramètre dans le fichier VMX - outils.syncTime. En conséquence, le paramètre suivant interdit de modifier ce paramètre :
isolation.tools.setOption.disable = "true"
Même si vous décochez/cochez le drapeau et appuyez sur appliquer, et alors D'accord, après avoir redémarré le panneau VMware Tools, vous verrez que le paramètre n'a pas changé.
Juste une seconde…
J'étais sur le point de mettre fin à cet article, mais l'ancien script a de nouveau modifié le paramètre de synchronisation. Un utilisateur non privilégié pourrait-il faire cela ? J'ai "mémorisé" la commande C:\Program Files\VMware\VMware Tools\VMwareService.exe -cmd "vmx.set_option synctime 0 1" et exécutez-le à partir de la session utilisateur test et sans option activée set.Option.disable J'ai pu activer la synchronisation de l'heure avec l'hôte.
Hmm set_option très similaire au paramètre setOption.disable. Lisons l'aide de la ligne de commande - VMwareService.exe –aide
Utilisation : c:\Program Files\VMware\VMware Tools\VMwareService.exe (-v, -i, -u, -kill, -cmd " ")
Oui, ce n'est pas beaucoup plus clair maintenant. Il y a quelques informations dans le SDK, mais pas assez pour comprendre l'essence. Enfin j'ai téléchargé la source VMware Tools et j'ai commencé à le parcourir. Après de nombreux travaux, j'ai trouvé plusieurs procédures qui peuvent être attribuées à des vulnérabilités. La commande suivante vous permettra d'écrire un texte spécifique dans le journal de la VM :
C:\Program Files\VMware\VMware Tools\VMwareService.exe -cmd "log %string %string"
Et cela créera variable de type Guestinfo pour stocker des informations sur la machine virtuelle dans la mémoire du serveur ESX :
C:\Program Files\VMware\VMware Tools\VMwareService.exe -cmd "info-set guestinfo.%variable %string"
Eh bien, en lisant la variable GuestInfo :
C:\Program Files\VMware\VMware Tools\VMwareService.exe -cmd "info-get guestinfo.%variable"
Notez que ces variables ne sont pas stockées de manière permanente. Ils se souviennent de l'état lorsque la machine virtuelle est redémarrée, mais si vous l'éteignez, ils sont effacés.
Ces informations sont disponibles dans le manuel "VI3 Security Hardening" sous "Limit Data Flow from the Virtual Machine to the Datastore". Et, bien sûr, toutes les commandes peuvent être exécutées par un utilisateur non privilégié.
Boucher les trous
Pour tester l'exploitation de ces trous, j'ai écrit des scripts et les ai exécutés comme utilisateur test. Pour une attaque de spam sur les fichiers journaux du serveur ESX, j'ai essayé d'écrire 1 Ko de données dans une boucle qui s'est répétée un million de fois. J'ai regardé le fichier journal grandir et j'ai constaté que dès qu'il atteint 1 Mo, la croissance s'arrête. L'enquête a montré qu'à la fin du journal il y a un message "Log Throttled" (le journal est interrompu). C'est un bon signe, ce qui signifie que VMware a fixé une limite à la croissance de la taille des fichiers. Mais je préfère ne pas pouvoir du tout exploiter cette vulnérabilité, j'utilise donc la commande suivante :
isolation.tools.log.disable = "true"
HOURRA. Maintenant, l'exploitation de ce trou est devenue impossible, mais les journaux continuent d'être écrits dans le fichier vmware.log, qui peut être utilisé en cas de problème avec la VM.
Après cela, j'ai essayé de bombarder la RAM du serveur avec des valeurs variables inutiles. Il s'est avéré qu'une machine virtuelle est autorisée à stocker jusqu'à 32 deux variables, chacune étant allouée jusqu'à 32 Ko de données. Par conséquent, cette vulnérabilité pourrait permettre d'écrire jusqu'à 1 Mo de données en mémoire.
Le guide VI3 Security Hardening propose deux façons de combler ce trou. Par exemple, nous pouvons désactiver la création de variables GuestInfo avec la commande isolation.tools.setInfo.disable = "true".
Mais je ne peux pas recommander sans réserve cette directive, car après cela, la machine virtuelle ne pourra plus indiquer à l'hôte son adresse IP et son nom DNS. Il n'y a aucune garantie que VCB ou les applications tierces continueront de fonctionner. Mais nous pouvons limiter la taille allouée pour stocker les variables GuestInfo en utilisant une autre commande - tools.setInfo.sizeLimit = "quelques # en octets".
De manière générale, 1 Mo est un chiffre assez important. Si vous pouvez vivre sans données IP ou DNS, il est préférable de désactiver l'utilisation des variables GuestInfo. Comme il peut y avoir des problèmes d'utilisation, j'ai retiré cette recommandation de la liste des commandes à la fin de l'article.
Réduire le disque de la machine virtuelle
Ouvrons à nouveau le panneau VMware Tools et allons dans l'onglet Rétrécir. Je n'expliquerai pas pourquoi cette opération est nécessaire. Pour une raison quelconque, VMware a décidé que ces options devraient être disponibles pour n'importe quel utilisateur, pas même un administrateur. Lorsqu'une opération de réduction est effectuée, le processeur de la VM est presque chargé à 100 % et la VM cesse de répondre. L'opération de réduction ne démarrera pas si l'utilisateur n'a pas accès en écriture au répertoire racine du lecteur logique qu'il va réduire.
Mais si un autre administrateur ou une autre application accorde un accès en écriture au répertoire racine du lecteur au groupe Utilisateurs ou alors Toutes les personnes alors tu as...
Si vous n'utilisez pas Shrink dans votre infrastructure, vous pouvez atténuer cette vulnérabilité avec les commandes suivantes :
isolation.tools.diskWiper.disable = "true"

Menace PXE
J'ai rencontré cette vulnérabilité lorsque j'enquêtais sur un problème de SAN. Les serveurs ESX se sont soudainement déconnectés des lunes iSCSI, et lorsque nous avons ouvert une connexion console à la VM, nous avons été surpris par ce que nous avons vu. Toutes les machines virtuelles étaient en cours d'exécution, mais redémarraient automatiquement lorsque le Disque dur. Comme les fichiers VMX étaient en RAM, les serveurs ESX n'ont pas prêté attention au fait que les lunes avec les disques avaient disparu. En conséquence, les machines virtuelles ont vérifié toutes les sources de démarrage et ont démarré à partir du serveur PXE.
Après avoir réfléchi à la situation, j'ai décidé que cela pourrait être une attaque terrible. Si quelqu'un peut se connecter à un serveur PXE sur le réseau et lancer une attaque DoS sur le réseau iSCSI, il peut redémarrer la machine virtuelle avec ses images de système d'exploitation, qui disposeront de tous les outils nécessaires pour pirater davantage le réseau. Heureusement, le démarrage PXE via les adaptateurs réseau vlance et vmxnet est facile à désactiver :
vlance.noOprom="true"
vmxnet.noOprom="true"
Si vous utilisez l'adaptateur e1000 pour les machines virtuelles, vous devrez utiliser une autre méthode pour désactiver le démarrage PXE, car il n'y a pas d'option .noOprom pour cet adaptateur. La commande suivante diminuera la quantité de mémoire que le BIOS alloue pour le démarrage. Notez qu'il s'agit d'un paramètre pour une carte réseau spécifique :
ethernet0.opromsize="0"
Désactiver le tampon partagé
Pour éviter la fuite d'informations sensibles, telles que les mots de passe, du presse-papiers vClient vers le presse-papiers de la machine virtuelle, il est souhaitable de désactiver l'utilisation du partage du presse-papiers et des opérations de copier/coller. C'est facile à faire et ne devrait pas être un gros problème à moins que vous n'utilisiez vClient pour travailler avec la machine virtuelle partout.
isolation.tools.copy.disable = "true"
isolation.tools.paste.disable = "true"
Souvent, il y a aussi une troisième commande - , mais je n'ai trouvé aucune documentation sur cette commande. Un autre intéressant ? le fait est que parfois dans le contexte, il est écrit comme Gui, avec un G majuscule. Il y a aussi une commande isolation.tools.setGUIOptions.disable, mais je n'ai pas trouvé de documentation pour cela non plus. De plus, je n'ai pas trouvé de différence dans le travail lors de l'utilisation des paramètres vrai ou faux. Ajoutons-le encore à la liste de nos commandes, car il se trouve dans certains manuels et documents et ne semble rien affecter.
isolation.tools.setGUIOptions.enable="false"
Les magazines sont tout
Le dernier ensemble de paramètres que nous examinerons est lié aux fichiers journaux de la machine virtuelle - vmware.log. Nous avons déjà vu comment ce fichier peut être corrompu à l'aide d'une vulnérabilité, mais il existe une autre vulnérabilité. Je suis tombé sur ce problème face à face. Nous avions une VM qui ne montrait aucun signe de problème, mais dont la sauvegarde VCB tombait tous les soirs. Heureusement, nous avons utilisé le VCB Wrangler pour gérer nos sauvegardes ; un script qui a démarré vcbmounter.exe dans les délais, puis a envoyé le résultat de la sauvegarde et la liste des fichiers copiés au courrier. En enquêtant sur un problème avec les sauvegardes, nous avons constaté que les fichiers journaux vmware-####.log atteignaient 7000. En utilisant la commande ls –la dans la session SSH dans le répertoire VM, nous avons constaté que les fichiers journaux avaient été créés en moins d'une heure. . Certains processus provoquaient une journalisation active, heureusement, nous avons déjà utilisé les commandes suivantes :
log.rotateSize = "100000" (limite de taille du fichier journal)
log.keepOld = "10" (nombre de logs à conserver)
Si ces commandes n'existaient pas, les fichiers journaux occuperaient tout place libre et a provoqué un crash de cause inconnue.
Test-test-test 🙂
Si vous avez apporté ces modifications dans VMX et que vous les testez dans une machine virtuelle, vous avez peut-être remarqué que dans l'onglet Choix il y a encore deux options dans le panneau VMware Tools qui permettent à un utilisateur non privilégié de modifier et d'enregistrer Afficher VMware Tools dans la barre des tâches et Avertir si la mise à jour est disponible. Ces paramètres sont stockés dans le registre de la branche HKEY_CURRENT_USER et sont stockés séparément pour chaque Compte. Comme il ne s'agit pas de paramètres globaux, ils peuvent être ignorés, car un utilisateur non privilégié ne pourra pas mettre à jour VMware Tools. J'ai également entendu des conseils sur la limitation des droits d'annuaire via NTFS C:\Program Files\VMware\VMware Tools. VMware dispose d'une base de connaissances sur ce sujet. Le problème principal est que si l'utilisateur arrive quelque part VMControlPanel.cpl ou alors VMwareService.exe et les copie sur le bureau, il pourra utiliser le panneau VMware Tools. Si vous le souhaitez, vous pouvez le consulter 🙂

Voici une liste des modifications recommandées pour la mise en œuvre. Si vous faites vos propres recherches, vous constaterez qu'il existe de nombreuses options supplémentaires qui ne sont pas répertoriées ici, dont certaines sont fortement recommandées. Cependant, je vous recommande de tester minutieusement les options qui ne figurent pas dans cette liste avant de les ajouter à un environnement de production. Tous les paramètres de cet article sauf isolation.tools.setOption.disable, vlance.noOprom, et vmxnet.noOprom, sont recommandés dans le document VI3 Security Hardening.
Liste tant attendue 🙂
isolation.device.connectable.disable = "true"
isolation.device.edit.disable = "vrai"
isolation.tools.setOption.disable = "true"
isolation.tools.log.disable = "true"
isolation.tools.diskWiper.disable = "true"
isolation.tools.diskShrink.disable = "true"
isolation.tools.copy.disable = "true"
isolation.tools.paste.disable = "true"
isolation.tools.setGUIOptions.enable="false"
log.rotateSize="100000"
log.keepOld = "10"
vlance.noOprom="true"
vmxnet.noOprom="true"

# Le démarrage PXE sur la vNIC e1000 peut être désactivé avec cette directive :
ethernet0.opromsize="0"

Et maintenant, le guide pratique promis pour VI
Ceci est une courte introduction à VI pour ceux qui n'ont pas encore découvert le grand potentiel de cet éditeur. Ouvrez une session SSH sur votre serveur ESX et tapez VI sur la ligne de commande. Si vous cliquez dans la fenêtre de l'éditeur je, vous verrez l'inscription -INSÉRER- dans le coin inférieur gauche. Tapez n'importe quel texte, puis appuyez sur Esc- l'inscription disparaîtra et le texte ne sera plus imprimé dans le fichier. VI a deux modes : le mode d'entrée de commande et le mode d'entrée de texte, après avoir appuyé sur la touche Esc vous êtes en mode commande. Pour saisir du texte au format wysiwyg cliquez je et vous verrez l'inscription -INSÉRER-.
Et enfin et surtout, la sauvegarde des documents.
:wq- enregistrer le document ;
:q!- quitter sans sauvegarder.
Avant de modifier le fichier VMX, assurez-vous que la machine virtuelle est éteinte et mettez-la sauvegarde en utilisant
cp /vmfs/volumes/somevolume/somevm/somevm.vmx /root
Pour éditer VMX, utilisez
vi /vmfs/volumes/unvolume/unvm/unvm.vm

Nous espérons vous avoir aidé à résoudre le problème avec le fichier VMX. Si vous ne savez pas où vous pouvez télécharger une application de notre liste, cliquez sur le lien (c'est le nom du programme) - vous trouverez des informations plus détaillées concernant l'endroit à partir duquel télécharger une version d'installation sécurisée de l'application requise .

Quoi d'autre peut causer des problèmes?

Il peut y avoir d'autres raisons pour lesquelles vous ne pouvez pas ouvrir un fichier VMX (pas seulement le manque d'application appropriée).
Premièrement- le fichier VMX peut être mal lié (incompatible) avec application installée pour son service. Dans ce cas, vous devez modifier vous-même cette connexion. Pour ce faire, cliquez avec le bouton droit sur le fichier VMX que vous souhaitez modifier, cliquez sur l'option "Ouvrir avec" puis sélectionnez le programme que vous avez installé dans la liste. Après une telle action, les problèmes d'ouverture du fichier VMX devraient complètement disparaître.
Deuxièmement- le fichier que vous souhaitez ouvrir est peut-être simplement corrompu. Ensuite, la meilleure solution est de trouver une nouvelle version ou de la télécharger à nouveau à partir de la même source qu'auparavant (peut-être que pour une raison quelconque lors de la session précédente, le téléchargement du fichier VMX n'a ​​pas été terminé et il ne peut pas être ouvert correctement).

Veux tu aider?

Si tu as Information additionnelle concernant l'extension de fichier VMX, nous vous serions reconnaissants de bien vouloir la partager avec les utilisateurs de notre site. Utilisez le formulaire fourni et envoyez-nous vos informations sur le fichier VMX.