Настроить. Текущая ОС: Windows. Количество виртуальных машин: 1 шт. Техническое задание Система «Быстрый блок» для ESXi-сервера с виртуальными машинами 1. Общая идея Система должна обеспечивать мгновенную блокировку виртуальных машин (ВМ), работающих на VMware ESXi 8.0.3, при угрозе физического изъятия или несанкционированного доступа. Блокировка реализуется через шифрование управляющих файлов ВМ, что делает их запуск невозможным. При снятии угрозы обеспечивается обратная процедура дешифрования и восстановление работы ВМ. 2. Сценарий работы 1. Возникает угроза изъятия сервера или доступа посторонних лиц. 2. Администратор активирует систему «Быстрый блок» одним из способов: * аппаратная кнопка на Raspberry Pi, * защищённая команда с VPS, * Telegram-бот с двухфакторной авторизацией. Система выполняет: * немедленное выключение всех виртуальных машин, * шифрование управляющих файлов (VMX, VMDK-дескрипторы и др.), * сохранение ключей только в памяти, * выключение ESXi. Сервер остаётся непригодным к эксплуатации, пока не выполнена обратная процедура. 3. Время реакции * 15–20 секунд на полную процедуру блокировки, независимо от размеров ВМ. * Восстановление занимает до 15 минут (дешифрование и проверка файлов). 4. Восстановление 1. При снятии угрозы запускается процедура дешифрования. 2. Все зашифрованные управляющие файлы ВМ восстанавливаются. 3. Через ~15 минут ВМ готовы к запуску. 5. Способы активации 5.1 Аппаратная кнопка (Raspberry Pi) * Модель: Raspberry Pi 4B или Zero 2 W. * ОС: Raspberry Pi OS Lite. * ПО: Python 3.11+, paho-mqtt, cryptography. * Подключение кнопки: GPIO18 ↔️ GND (с RC-фильтром от дребезга). * Демон panic_button.service фиксирует нажатие и отправляет команду на сервер. 5.2 VPS * ОС: Ubuntu 24.04 или Debian 12. * ПО: Mosquitto (TLS-only), Nginx (mTLS), Fail2ban, iptables. * Принимает сигнал от Raspberry Pi или Telegram-бота и пересылает команду на ESXi. 5.3 Telegram-бот (резервный вариант) * Защищённый доступ только у доверенных лиц. * Подтверждение действия («Да, блокировать»). * Двухфакторная авторизация (пароль + код подтверждения). * Логирование всех действий. 6. Сценарий блокировки (panic_quick_block.sh) #!/bin/bash logger “!!! QUICK BLOCK ACTIVATED !!!“ # 1. Выключение всех ВМ for vmid in $(vim-cmd vmsvc/getallvms | awk 'NR>1 {print $1}'); do vim-cmd vmsvc/power.off $vmid done # 2. Шифрование управляющих файлов for vmx in $(find /vmfs/volumes/datastore* -name “*.vmx“); do openssl enc -aes-256-cbc -pbkdf2 -salt -in “$vmx“ -out “$vmx.locked“ -pass pass:$ENCRYPT_KEY shred -u “$vmx“ done # 3. Аналогично шифруются VMDK-дескрипторы (без самих данных) for vmdk in $(find /vmfs/volumes/datastore* -name “*-flat.vmdk“ -prune -o -name “*.vmdk“ -print); do openssl enc -aes-256-cbc -pbkdf2 -salt -in “$vmdk“ -out “$vmdk.locked“ -pass pass:$ENCRYPT_KEY shred -u “$vmdk“ done # 4. Выключение сервера esxcli system shutdown poweroff -d 10 -r “Quick block mode“ 7. Безопасность 1. Передача сигналов - только по TLS 1.3 + mTLS. 2. Ключи шифрования - только в ОЗУ (RAM), без записи на диск. 3. Fail-safe: потеря связи Raspberry Pi ↔️ VPS > 5 сек = автозапуск блокировки. 4. Watchdog перезагружает Raspberry Pi при зависании демона. 5. Telegram-бот защищён паролем и двухфакторной аутентификацией. 8. Мониторинг и тестирование * Интеграция с Zabbix / Prometheus: * статус Raspberry Pi, VPS, ESXi, * алерты при активации режима блокировки. * * Тестовый запуск сценария 1 раз в неделю. * Юнит-тесты Python-скриптов (pytest). 9. Ожидаемый результат * При активации «Быстрого блока» сервер и все ВМ становятся непригодными к запуску. * Данные не уничтожаются, а надёжно блокируются. * Восстановление возможно только доверенными лицами. * Система работает как локально (через кнопку), так и удалённо (через VPS и Telegram-бота).