LINUX.ORG.RU

Создание нескольких Whonix машин в QEMU/KVM

 , , , ,


0

1

Смог создать Whonix в QEMU/KVM, пользую уже месяца 2 без нареканий с помощью virt-manager. Хостовый дистр Devuan. Стало интересно создание нескольких пар Whonix машин под разные задачи, попытался воспользоваться файлами из того архива с Whonix, в котором лежат конфиги и образы данного дистра, и который я скачал и использовал для установки нынче стоящего хуникса, но я так понял, что из тех файлов все привязаны к уже существующим машинам в вирт-менеджере, а то я попытался по новой подать их гипервизору в надежде на образование новой пары Whonix и Workstation, но я по сути создал копию своих, уже существующих машин, а хотелось бы иметь совершенно отдельные, новые, голые и нецелованные хуниксы.

И ещё интересует вопрос: если получится создать новую пару машин, есть ли смысл в ещё одной машине Gateway под вторую Workstation? Используя отдельный экземпляр gateway под каждую из одновременно и параллельно запущенных workstation это будет более «правильно» с точки зрения безопасности, изоляции и анонимности, ведь так? Ведь при использовании одного шлюза под обе рабочие машины я просто буду работать в обеих с одной и той же выходной ноды TOR, что создаёт уязвимость для всех остальных ws в случае компрометации одной из них. Речь само собой об одновременном использовании двух ws, например, с одного сидеть в бразуере, с другого проводить оплату. Если я прав, и приоритетным является выбор в пользу двух шлюзов параллельно под каждую из ws в ключе выше изложенных соображений, то как правильно создать и настроить две пары Whonix машин через QEMU/KVM в virt-manager’е так, чтобы каждая из ws выходила в сеть исключительно и строго только через свой gw? А то помню в виртуалбоксе пробовал, проблем с тем чтобы создать там несколько хуниксов у меня не было, но вот gw шлюз почему-то работал сразу со всеми ws…



Последнее исправление: Tomohyeah (всего исправлений: 2)
Ответ на: комментарий от Anoxemian

Всё содержимое новосозданных хуникс машин полностью повторяет содержимое существующих прежде. Если я делаю какие-то изменения в новых копиях, то это проявляется и в оригиналах

То есть, по сути, я не создал ещё 2 vm, а лишь создал ещё 2 «ярлыка» для запуска старых

Я очень туплю, но вопрос в том, где именно? Как создать то ещё одну пару Whonix машин, а не ярлыков или копий старых с их содержимым…

Tomohyeah
() автор топика
Ответ на: комментарий от Tomohyeah

Так. Из того что я распарсил, ты создал 1 виртуальную систему и несколько конфигураций к ней (тупо скопировал .vhd или чего?). Новая установка будет новой установкой.

Anoxemian ★★★★★
()
Ответ на: комментарий от Anoxemian

На всякий случай напишу как выглядела моя первая установка:

  1. Скачал архив ws и gw с образами ‘.qcow2’ вместе с конфигами ‘.xml’ с официального сайта;
  2. В конфигах самих машин указывал путь к файлам ‘.qcow2’;
  3. Далее, по инструкции, давал 2 команды для добавления виртуальных сетей:

‘sudo virsh -c qemu:///system net-define Whonix_external*.xml’

‘sudo virsh -c qemu:///system net-define Whonix_internal*.xml’

  1. После дал 4 команды для активации виртуальных сетей:

‘sudo virsh -c qemu:///system net-autostart Whonix-External’

‘sudo virsh -c qemu:///system net-start Whonix-External’

‘sudo virsh -c qemu:///system net-autostart Whonix-Internal’

‘sudo virsh -c qemu:///system net-start Whonix-Internal’

  1. Импортировал образы vm гипервизору:

‘sudo virsh -c qemu:///system define Whonix-Gateway*.xml’

‘sudo virsh -c qemu:///system define Whonix-Workstation*.xml’

  1. В virt-manager появились 2 vm: ws и gw

Это то, как я успешно установил первую пару своих хуниксов. А как установить вторую? Просто повторить все эти команды с теми же образами ‘.qcow2’ и конфигами ‘.xml’? Насколько я понимаю это не так работает. А как установить то?

Tomohyeah
() автор топика

Разобрался :0

Оказалось, что я по невнимательности создавал общее хранилище для клонированных машин, поэтому не обеспечивалась файловая изоляция (Из-за этого я думал что я не создал новые машины, а просто создал ярлык старых, ибо начинка была идентична, терь разобрался)

А для правильной сетевой изоляции необходимо было создать отдельный конфиг внутренней виртуальной сети, экспортировать в него старую конфигурацию и отредактировать её, назначив уникальное имя и имя моста, удалив информацию о UUID и MAC-адресах. Затем импортировать и запустить эту сеть, и просто выбрать её для новых клонированных Whonix машин

Может кому-то пригодится

Tomohyeah
() автор топика
Последнее исправление: Tomohyeah (всего исправлений: 2)