Esta es una pregunta interesante. Nunca he pensado en la seguridad de los datos a nivel del hipervisor... normalmente las políticas de seguridad y el endurecimiento giran en torno a tareas específicas del sistema operativo (limitar los demonios, los puertos, deshabilitar los archivos principales, las opciones de montaje del sistema de archivos, etc.)
Pero después de algunos investigación rápida (y corriendo strings
contra los archivos .vswp activos de VMWare) muestra que definitivamente es posible extraer datos de los archivos .vswp que residen en un datastore de VMWare. Este enlace ayuda a explicar el ciclo de vida de estos archivos.
En su caso, creo que su enfoque va a estar determinado por la política de seguridad y los requisitos. Según mi experiencia en finanzas y en el manejo de auditorías, creo que un enfoque aceptado sería limitar/segurar el acceso al servidor anfitrión. Recuerde que por defecto, su host ESXi no tiene habilitado el acceso SSH o de consola. La habilitación de estas características lanza un evento/alerta en vCenter que necesita ser anulado manualmente Por lo tanto, la suposición es que la auditoría de acceso es la mejor manera de controlar el acceso a esta información.
Si hay dudas sobre quién puede tener acceso al servidor, puede que no haya una solución técnica a un problema administrativo. Sin embargo, voy a comprobar otras fuentes para ver si hay una manera de limitar el uso de los archivos .vswp.
--edit--
Puedes reservar toda la RAM para invitados. No especifica qué versión de VMWare está utilizando, pero en mi instalación 5.1, hay una opción para Reservar toda la memoria de invitados . Al activar esta opción se crea un longitud cero .vswp, en lugar de uno igual al tamaño de la memoria RAM asignada a la máquina virtual. No preste atención al archivo vmx-*.vswp. Esto es nuevo en ESXi 5.x y es no relacionados con el presión de la memoria del sistema operativo del huésped (es para la pila de procesos VMX, los periféricos del huésped y los agentes de gestión). Además, los archivos vmx-*.vswp pueden desactivarse configurando sched.swap.vmxSwapEnabled
a FALSE
.
Creo que esto te dará lo que pides.
![enter image description here]()
Sin reserva de memoria (por defecto):
root@deore:/volumes/vol2/staging/Test_Bed# ls -al | grep vswp
-rw------- 1 nfs nobody 3221225472 Dec 23 13:31 Test_Bed-ad493981.vswp
-rw------- 1 nfs nobody 115343360 Dec 23 13:31 vmx-Test_Bed-2907257217-1.vswp
Con la reserva de memoria bloqueada:
root@deore:/volumes/vol2/staging/Test_Bed# ls -al | grep vswp
-rw------- 1 nfs nobody 0 Dec 23 13:38 Test_Bed-ad493981.vswp
-rw------- 1 nfs nobody 115343360 Dec 23 13:38 vmx-Test_Bed-2907257217-1.vswp