Виртуализация и безопасность

виндовый фаер нафиг не нужен, настраивай мандатный доступ в силинукс, и всё.

Я с линуксом не так и давно дружить начал. В фаере в кде в федоре отключил все возможные галочки. Что-то ещё следует предпринять, или этого достаточно?

http://www.opennet.ru/base/sec/selinux_setup.txt.html вот пример того что прочитать, и вообще про силинукс почитай.

Шизофазия какая-то.

Ну-ка обоснуй! Мне нужна основная повседневная система и в ней 2 независимых а) с софтом нужным и б) серваком и редактором для тестирования. И чтобы это всё друг друга не касалось! И данные критичны и конфиденциальны, поэтому делаю дампы. И что тут не так?!

спасибо, занялся.

«Пацанский» сленг тебя портит, прекрати.

Мне нужна основная повседневная система и в ней 2 независимых а) с софтом нужным и б) серваком и редактором для тестирования. И чтобы это всё друг друга не касалось! И данные критичны и конфиденциальны, поэтому делаю дампы. И что тут не так?!

Вот этот текст должен быть в первом посте, а не твоя шизофазия.

Я специально всё подробно расписал, чтобы узнать насчёт аспектов безопасности и нет ли у кого идеи, может всё можно сделать попроще. А вот словечка «шизофазия» - считаю неуместным и оскорбительным, похуже «пацанского сленга». Современные реалии заставляют быть немного параноиком, вот и всё.

Виртуализация или безопасность

Починил, не благодари.

Я специально всё подробно расписал, чтобы узнать насчёт аспектов безопасности и нет ли у кого идеи, может всё можно сделать попроще.

Текст надо было структурировать или схему приложить. Я, пока перечитывал, пару раз тебя проклясть успел.

А вот словечка «шизофазия» - считаю неуместным и оскорбительным, похуже «пацанского сленга».

«Это интернет, здесь и ... послать могут.»

Современные реалии заставляют быть немного параноиком, вот и всё.

Тут согласен на 100%.

-------

По теме, начну с вопросов:

1. Есть ли конфиденциальная информация в Windows?
2. Есть ли необходимость держать «конфиденциальные скрипты и редактор» на сервере с LAMP? Не проще ли монтировать нужную директорию и на сервер для исполнения и на клиент для правки? Согласен, появляется новая сущность «хранилище», но достаточно его погасить и вся информация недоступна посторонним.
3. Так ли нужна Windows при наличии отдельного «хранилища»?

Поясню, машина не слишком мощная - AtomN2600 (1.6Ghz 64 bit) + 2Gb. Поэтому хотелось бы не слишком разоряться на ресурсы. 1. Вся информация - и то, что я поставил на винду, и сервак и скрипты - конфиденциальная. 2. Вот насчёт этого как раз и обдумываю - если залить сервер например в контейнер Docker, то можно инфу и в хранилище хранить. 3. А тут поясню. Абсолютна вся информация должна быть портативной, т.к. хранится на криптоконтейнере и не оставлять никаких следов в системе. Мне нужно: а) Хостовая машина, где работают все приложения в штатном режиме б) Шифрованный контейнер, где всё хранится в) Возможность из контейнера запустить ВПН+2 браузера+несколько других софтин (доступно под любую ось это добро) г) Отдельно от в) хранилище скриптов с возможностью редактировать д) Сервак, где всё буду тестировать

Вышло: а)+, б)+ в) выбрал ХР т.к. грузится быстро и софт был сконфигурирован уже. но под другую ось заменить минутное дело. д) думал запустить ещё одну виртуалку, но начитался про Докер и решил, что можно на нём попробовать

Проблемы: в) грёбаный виртуалбокс (только с ХР или нет - хз) периодически подвисает, приходится тратить время его ребутнуть(

Идеально: Z)Контейнер лёгкий и быстрый с минимальным нужным мне обьёмом софта под впном; X)Контейнер с редактором скриптов (отдельно от Z и можно подрубить С) С)«Хранилище» скриптов V)LAMP, куда можно прикрутить С) (видимо Докер)

И я вот всё думаю, как решить эту головоломку, чтобы решение было максимально быстрым, а не эти тупняки виртуалбокса.

Без описания предметной области это бредовый набор костылей. Но если он тебя устраивает, то почему бы и нет.

Win XP с доступом в сеть? безопасность? По моему тут что-то не так.

Про XP, я смотрю, уже пошутили. Не нужен отдельный контейнер с редактором. Ставь редактор на хост и монтируй хранилище. Самба или sshfs.

всё это слишком сложно, и потому уязвимо.

На кой ляд тебе вообще Windows?

в Fedora есть фаер.

есть. Только он отключён.

SELinux тоже есть, но тоже не настроенный. Мало того, перед его настройкой необходимо обычные права настроить, потому-что SELinux поверх них работает. Кстати, _зачем_ тебе SELinux? Вангую, что ты и сам не знаешь…

И я вот всё думаю, как решить эту головоломку, чтобы решение было максимально быстрым, а не эти тупняки виртуалбокса.

ясно. И рыбку съесть, и на хрен сесть.

Удачи.

Что, простите не так? Если у меня крутится несколько сетевых приложений, изнутри угрозы нет никакой, а снаружи должно быть заблокировано фаером?

Так и сделаю, обдумал. Осталось подобрать редактор с подсветкой синтаксиса и ошибок под линь нормальный.

Всысле фаер отключен? Я его после установки через оболочку настроил - службы поотключал. Проверял удалённо порты открытые своего компа, их не нашлось.

«Тысячи их». А, вообще, можешь редактор и на венду поставить. Оно ж у тебя в комплексе работать должно, емнип.

И большая просьба осилить LORCODE

Всысле фаер отключен? Я его после установки через оболочку настроил - службы поотключал.

какие нахрен «службы»?? Может демоны? И при чём тут фаервол?

Проверял удалённо порты открытые своего компа, их не нашлось.

ну правильно: сейчас у тебя нет никаких демонов, которые висят на портах. А когда у тебя руткит запустится, такой демон появится. И очевидно твой фаервол этого не заметит, т.к. ты его не настроил.

Кстати, настройки фаервола проверяются вот так:

# iptables -L

А активные(в Сети) демоны вот так:

# lsof -i

Ну а свои оболочки можешь смело в жопу засунуть.

Осталось подобрать редактор с подсветкой синтаксиса и ошибок под линь нормальный.

их у нас два:

1. Vim

2. Emacs

Всё остальное — маздайное говно.

WindowsXP

изнутри угрозы нет

ты идиот?

ну правильно: сейчас у тебя нет никаких демонов, которые висят на портах. А когда у тебя руткит запустится, такой демон появится. И очевидно твой фаервол этого не заметит, т.к. ты его не настроил.

Загуглил. Вот.

После установки Fedora, фаервол iptables не работает и все блокировки происходят через надстройку firewall.

А активные(в Сети) демоны вот так:

Спасибо. Проверил. Сейчас активен только Chrome.

2. Emacs

Спасибо! Этот вроде ничего. Буду пробовать.

изнутри угрозы нет

ты идиот?

Так-так-так, попрошу! Откуда изнутри возьмётся угроза, если у меня запущено несколько заведомо доверенных приложений и на этом всё? А снаружи фаер резать должен.

И большая просьба осилить LORCODE

О! Спасибо) Не знал, как это называется, не мог найти. Нашёл.

Откуда изнутри возьмётся угроза, если у меня запущено несколько заведомо доверенных приложений и на этом всё?

1. сами приложения в маздае небезопасные by design

2. сам по себе маздай небезопасен

3. это не просто маздай, а устаревший и не поддерживаемый маздай.

А снаружи фаер резать должен.

ох, ё-моё… Ну если ты юзаешь свою гуёвую надстройку, то гугли доки по её использованию. И учти, что оно ничего тебе не должно, особенно если ты его не настроил.

Сейчас активен только Chrome.

ну это сейчас.

Этот вроде ничего.

теперь гугли LISP. Если ты не знаешь, что это такое, то лучше не трогай emacs. Узнай, хотя-бы в общих чертах на уровне написания программы вычисления факториала.

в федоре не айпитейблс начнём с того, а firewalld, во вторых по умолчанию всё заблочено.

это не просто маздай, а устаревший и не поддерживаемый маздай.

За такие слова я готов рассмеяться тебе в лицо. Это самая СТАБИЛЬНАЯ и проверенная версия. Его используют в Embedded-системах. Обновы до 2019 года. http://hitech.vesti.ru/news/view/id/4805

особенно если ты его не настроил.

Настроил. Но всёравно ещё погуглил. Всё чётко :)

Если ты не знаешь, что это такое, то лучше не трогай emacs.

Да я не стремлюсь к заоблачным вершинам. Я же написал. Нужен нормальный PHP-редактор, чтобы:

• Раскрашивал синтаксис
• Подсвечивал синтаксические ошибки

За такие слова я готов рассмеяться тебе в лицо. Это самая СТАБИЛЬНАЯ и проверенная версия. Его используют в Embedded-системах. Обновы до 2019 года. http://hitech.vesti.ru/news/view/id/4805

Ну ты и клоун.

Ну ты и клоун.

Ты что, слепой совсем?

Обновы до 2019 года.

Это ответ на

устаревший и не поддерживаемый маздай.

И кто из нас клоун?

За такие слова я готов рассмеяться тебе в лицо. Это самая СТАБИЛЬНАЯ и проверенная версия. Его используют в Embedded-системах. Обновы до 2019 года. http://hitech.vesti.ru/news/view/id/4805

а, ну-ну. А здесь ты что делаешь?

Да я не стремлюсь к заоблачным вершинам. Я же написал. Нужен нормальный PHP-редактор

дело твоё.

а, ну-ну. А здесь ты что делаешь?

У меня Win7 была. Оказалась небезопасной, несмотря на антивирус. Долго выбирал сборку, поставил Fedora21, надеюсь она понадёжнее. До у меня был опыт с линем, но не слишком богатый. Сервак под докером виртуализирую - он вроде шустренький и глючить по жести не должен. А насчёт контейнера с ВинХР в виртуалбоксе для впна, браузера и пси + заметки и по мелочи - мне нкто лучше пока ничего не предложил, чтобы работало быстрее. Я для того тему и создавал, чтобы чужое мнение узнать, а не винду продвигать.

Вали на винфак, быдло из подворотни.

А насчёт контейнера с ВинХР в виртуалбоксе для впна, браузера и пси + заметки и по мелочи - мне нкто лучше пока ничего не предложил, чтобы работало быстрее.

для начала осознай, что за всё надо платить. Особенно за безопасность. Это во первых.

Во вторых, этот твой контейнер никак не меняет того, что венда — РЕШЕТО.

Лично я вообще не понимаю смысла сувать браузер в маздай под виртуалкой, у тебя браузер в твоей федоре не работает? Или впн не осилил в федоре?

В третьих, безопасность не бывает «вообще», это ложь. Безопасность она в каждом конкретном случае безопасна от конкретных угроз. Ты лучше определи периметр, в котором всё можно, и точки входа, через которые к тебе опасность и проникает. Вот эти точки и защищай. А так «в общем виде» у тебя маздай в маздае получился.

Вали на винфак, быдло из подворотни.

быдло это ты. Т.к. не можешь ничего полезного посоветовать.

Лично я вообще не понимаю смысла сувать браузер в маздай под виртуалкой, у тебя браузер в твоей федоре не работает? Или впн не осилил в федоре?

Просто мне нужно, чтобы

• Основная система была не затронута - я мог пользоваться браузером итд без впн
• Часть софта работала только через впн
• Эта часть софта была полностью портативной

Под виндой канает софт с Portableapps по этим признакам. А под линь какой-то ещё контейнер нужен. Если есть какая-та SuperLight надёжная сборка линукс, где заведётся всё это - я может и её выбрал бы. Но интереснее варианты типа Докера. Насчёт винды - там запущен определённый круг приложений, от которых опасности не исходит. И они обращаются к небольшому обьёму интернет-ресурсов доверенных. Единственная опасность - это вдруг Федора пропустит эксплойт на порт какой-то из бажных служб. Но фаер вроде пашет...

Основная система была не затронута - я мог пользоваться браузером итд без впн Часть софта работала только через впн

виртуалка для этого нафиг не нужна. Можно например сделать двух пользователей. Да, в Linux можно например запустить два разных FireFox'а от двух пользователей, и с разными настройками. Причём одновременно в двух окошках на одном экране. Мало того, один из FireFox'ов может находится в другом конце света, и связь с ним может осуществляться через OpenSSH туннель.

Эта часть софта была полностью портативной

в линуксе _любой_ юзерский софт «полностью портативный», ну либо его можно собрать так. Это только в маздае для «портативности» нужны особые костыли. В Linux наоборот, нужно специальным образом собирать, что-бы софт ставился в /usr, а не в «портабельный» /usr/local, как по умолчанию.

Просто в юзерфрендли дистрах программы для тебя собирают «как в виндовс», но это специальный случай.

А под линь какой-то ещё контейнер нужен.

ты ВООБЩЕ ничего не знаешь о Linux.

Не нужен никакой «контейнер».

Единственная опасность - это вдруг Федора пропустит эксплойт на порт какой-то из бажных служб.

В Linux это не имеет особого значения. Надо следить, что-бы не было «бажных служб». Для этого необходимо отключить все ненужные службы, ну и регулярно обновлять нужные. Опасность проникает лишь через эти самые «службы».

Ну а iptables в Linux'е применяется не для закрывания, а в основном для маршрутизации и прочих операций с пакетами.

Впрочем, закрывать тоже можно, можно создать юзера, и вписать правило, которое запрещает(разрешает) этому юзеру весь(или не весь) интернет. Но я сомневаюсь, что твоя говнонадстройка так умеет(iptables умеет).

У меня КДЕ. Чтобы от нескольких пользователей работать - переключаться между ними приходится. Ещё мне нужно, чтобы 1 копия Chrome (основная) работала, как надо. А вторая (через впн) хранила все свои файлы - и настройки и хистори итд в одной папке. Если возможно это реализовать - разъясни пожалуйста, как. Снесу тогда эту винду нафиг.

чтобы обеспечить безопасность виртуалок, нужно быть экспертом в области безопасности и разработчиком, а так не очень реально. Решето постоянно обновляется.

Начни лучше так: iptables + изолируй трафик с виртуалки, особенно тот, чтобы нельзя (или можно но с разрешения) было из виртуалки попасть на хост машину, но инет на виртуалке был. Данная тема будет всем полезна.

У меня КДЕ. Чтобы от нескольких пользователей работать - переключаться между ними приходится.

учись читать:

в Linux можно например запустить два разных FireFox'а от двух пользователей, и с разными настройками. Причём одновременно в двух окошках на одном экране. Мало того, один из FireFox'ов может находится в другом конце света, и связь с ним может осуществляться через OpenSSH туннель.

Да, в KDE4 в Slackware Linux я так и делаю. В федоре не пробовал, но не вижу причин, что не получится.

Никуда переключаться не нужно.

Ещё мне нужно, чтобы 1 копия Chrome (основная) работала, как надо. А вторая (через впн) хранила все свои файлы - и настройки и хистори итд в одной папке. Если возможно это реализовать - разъясни пожалуйста, как. Снесу тогда эту винду нафиг.

ты обещал снести, вот и сноси: http://linuxforum.ru/viewtopic.php?id=13179

И да, папки они у мамки, в Linux каталоги. Точнее «папки» это сущность в Dolphin'е, и это НЕ каталог. К папке можно прилепить иконку, рейтинг, теги, и ещё чего-то. У каталога всего этого нет.

И да, я не знаю как хром, но вот фаерфокс можно запускать с разными профилями сразу даже от одного юзера, для этого второй ФФ запускается командой

$ firefox -P имя_каталога_профиля

так а я могу заставить идти весь траффик только от 1 фаерфокса через впн, а остальной не затрагивать?

изолируй трафик с виртуалки, особенно тот, чтобы нельзя (или можно но с разрешения) было из виртуалки попасть на хост машину, но инет на виртуалке был.

ну так там доступа к хост машине итак нет. Есть только доступ к расшареной папке и всё...

т.е. ты хочешь сказать, если хост ip1, а виртуалка ip2, то nmap -p1000-9999 ip2 ничего интересного не даст???

Расшареная папка, это виртуалбокс что-ли у тебя будет палиться?

Аааа, понял! Слушай, а реально как-то проверить реально открытые извне порты на своей машине, не заливая нмап на дедик?

Слушай, а реально как-то проверить реально открытые извне порты на своей машине, не заливая нмап на дедик?

Реально, говори айпи.

Айпи тут выкладывать не хочу, сейчас ещё что-нибудь попробую придумать.

Да не ссы, только между нами.

nmap это простейшее средство.

Есть еще возможность понять какое ПО и версия ядра на целевом хосте.

Дальше дело техники. Открываем справочник уязвимостей...