Wanneer je ESXi 8.0 of hoger installeert of bijwerkt, wordt de interne runtime-optie execInstalledOnly geactiveerd op je host. Deze optie helpt te beschermen tegen ransomware. Dit kan je de onderstaande melding geven “ExecInstalledOnly has been disabled. This allows the execution of non-installed binaries on the host. Unknown content can cause malware attacks similar to Ransomware.”
Het kan zijn dat je ESXi 8.0 bestanden bijvoorbeeld VIB’s van externe bronnen uitvoert, laat dan de execInstalledOnly optie gedeactiveerd.
Inschakelen ExecInstalledOnly:
Controleer dat Secure Boot aanstaat en dat de TPM module ook gebruikt wordt. Bij het onderstaande commando moet bij Mode TPM staan en bij Require Secure Boot: true
esxcli system settings encryption get
Eventueel enable je TPM:
esxcli system settings encryption set --mode=TPM
Vervolgens kun je execInstalledOnly aanzetten:
esxcli system settings kernel set -s execInstalledOnly -v TRUE
Wanneer je nu nogmaals de status controleert middels “esxcli system settings encryption get” zou je het onderstaande moeten zien:
esxcli system settings encryption get
Mode: TPM
Require Executables Only From Installed VIBs: true
Require Secure Boot: true
Om deze instelling op te slaan voer je als laatste het volgende commando uit:
/bin/backup.sh 0
Wil je execInstalledOnly uitschakelen?
esxcli system settings encryption set --require-exec-installed-only=F
En daarna natuurlijk opslaan:
/bin/backup.sh 0