LINUX.ORG.RU

Виртуальная Машина Определить набор инструментов

 , , , ,


0

2

Помогите определить набор программ и маневров, при использовании которых, даже успешная реализация неизвестных уязвимостей в ПО, не приведет к компрометации важных данных, в первую очередь IP адреса.

Хост ОС Линукс. Далее нужно выбрать гипервизор. Выбор пал на :

Virtual Box Qemu Xen (Ваш вариант).

Какие преимущества и недостатки каждого из них? Что лучше выбрать?

Гостевая ос в принципе может быть любой, при условии открытости кода, но я смотрю в сторону Whonix, по той причине, что там уже все настроено, что для меня очень важно. Моего опыта не хватит, что бы, с нуля настроить ОС(это поправимо, и я над этим работаю), а единственная ошибка может свести защиту на нет.

https://www.youtube.com/watch?v=43zE-QmFeRs в этом ролике все верно? На одном известном форуме, человек написал целый мануал про настройку виртуальной машины, а потом оказалось, что в мануале была допущена серьезная ошибка (были и другие), которая ставила под угрозу всю безопасность. Нужно нечто проверенное.

Заманчива идея с qubes os, там уже все есть. Тяжеловата она и капризна только.

У меня для вас 2 новости: 1) ваш провайдер знает о вас всё; 2) если пропихнут очередную инициативу регулятора — будет знать ещё больше.

Minona ★★☆
()

Есть такие вещи, как IntelME и AMD PSP — все они могут исполнять любой код в обход любой ОС. А если ещё про UEFI вспомнить, то вообще без специального железа все остальное бесполезно.

А для неуловимых Джо хватит обычных мер, типа tor и vpn.

Vsevolod-linuxoid ★★★★★
()
Ответ на: комментарий от Vsevolod-linuxoid

Есть такие вещи, как IntelME и AMD PSP — все они могут исполнять любой код в обход любой ОС. А если ещё про UEFI вспомнить, то вообще без специального железа все остальное бесполезно.

Я об этом создавал уже здесь тему Как бороться с хардварным трояном от Intel (Intel Me)

На мой взгляд оно все же полезно и без специального железа.

praseodim ★★★★★
()

Помогите определить набор программ и маневров, при использовании которых, даже успешная реализация неизвестных уязвимостей в ПО, не приведет к компрометации важных данных

В общем случае это называется hardening guide (kvm hardening guide например загугли или esxi hardening guide)

в первую очередь IP адреса.

IP адрес это какбы параметры конфигурации, а не «важные данные»

af5 ★★★★★
()
Ответ на: комментарий от af5

Всеволод, спасибо за беспокойство. Я знаю про me region, на него тоже будет найдена управа. UEFI я отключил. Давайте решать задачу по стадиям, не отвлекаясь, а там смотри, и к intel me подберемся. По этой теме есть материалы, могу выложить со ссылками, но думаю, что вам известно больше чем мне.

В общем случае это называется hardening guide (kvm hardening guide например загугли или esxi hardening guide)

загуглил. Потерялся. Слишком много информации как для начинающего в виртуализации. А когда на форуме (не этом) еще и спорить начинают, что лучше, так вообще туши свет. Как правило, чтение таких споров мало что дает, они переходят на личности и ведут в никуда. Ролики на ютубе тоже опасно использовать как единое руководство, неполнота выкладываемых там данных, толкает к использованию недонастроенных машин с угрозой для безопасности. Советы «профессионалов» тоже вносят большую долю риска, когда человек вроде как осилил целую настройку и ручное конфигурирование систем, а потом делает ошибку, которая при стечении некоторых обстоятельств может свести на нет всю так кропотливо выстроенную защиту. И хорошо, когда другой это заметил и поправил.

Плохо, что нет (ну или я его не нашел) единого, проверенного руководства (информацию с офф сайта не берем в счет), и приходится собирать все по частицам. Если у кого есть конкретные ссылки, как настроить виртуальную машину, с изоляцией, и всем,всем, что нужно, буду благодарен. Сейчас читаю stream isolation во whonix на офф сайте.

Из всего вышесказанного, следует тот факт, что результат кропотливых трудов, обязательно надо проверять в боевых условиях. Как это сделать? К примеру смоделировать реализацию уязвимости в браузере, позволяющей выполнить произвольный код. Или соединится напрямую, в обход туннеля.

Viktor_Uzlov
() автор топика
Ответ на: комментарий от Viktor_Uzlov

более менее разобрался с виртуальными машинами и гипервизорами.

появился новый вопрос. Как влияет на безопасность утсановка дополнений в vitrual box, в часности VirtualBox Guest Additions?

смущает строка из википедии : устанавливаемый в гостевую операционную систему и расширяющий её возможности по взаимодействию с системой виртуализации и хост-системой.

Пакет дополнений содержит ЗАКРЫТЫЕ компоненты и распространяется под проприетарной лицензией PUEL (бесплатно только в персональных целях или для ознакомления):

не открывает ли это дорожку на хост ос, которую (дорожку) остается только взломать?

закрытость системы вообще предполагает что угодно, если я верно понял, то код этих дополнений закрыт. В таком случае Есть ли возможность менять расширение экрана в virtualbox без установки этих дополнений.

Viktor_Uzlov
() автор топика
Ответ на: комментарий от Viktor_Uzlov

Попытка выставить памяти более двух гигов в Virtual box приводит к выдаче ошибки. Хотя свободной памяти более трех гигов (после запуска whonix шлюза). Это может быть связано с выбором 32 бит системы?

Виртуалка позволяет конфигурировать систему в широких пределах (выбор объема памяти, видеопамяти, количество ЦП, битность системы). Стоит ли изменять эту конфигурацию? В случае взлома виртуальной машины, меня могут сравнивать по этой конфигурации? (пользователь форума А с пользователем форума Б). Или лучше не трогать и быть максимально похожим на остальных пользователей?

Viktor_Uzlov
() автор топика
Ответ на: комментарий от Viktor_Uzlov

Как влияет на безопасность утсановка дополнений в vitrual box, в часности VirtualBox Guest Additions? Пакет дополнений содержит ЗАКРЫТЫЕ компоненты и распространяется под проприетарной лицензией PUEL (бесплатно только в персональных целях или для ознакомления)

Враньё.

не открывает ли это дорожку

Всегда дополнительные возможности могут предоставлять дополнительную угрозу.

А по делу - ты занимаешься бесполезным пердолингом ради пердолинга.

fornlr ★★★★★
()

Ни одна технология не обеспечит тебе 100% результат.

Принцип неуловимого Джо в твоём случае работает.

Анонимности в сети не существует. Можно лишь максимально запутать следы, но все равно найдут.

Так же и с шифрованием данных. Если надо, то доступ к данным у кого надо будет и ты в этом сам поможешь (даже не сомневайся в этом).

anonymous
()
Ответ на: комментарий от fornlr

То есть, Википедия врет на счет закрытости кода? А как же тогда условия лицензии от разработчика? Он тоже врет?

Любая дополнительная возможность, это возможность в обе стороны. Я это понимаю.

На счет бесполезности, мы сейчас обсуждаем ТЕХНИЧЕСКИЕ ТЕХНИЧЕСКИЕ особенности. Надо или не надо, это отдельная тема. Кратко, то каждый сам в праве решать, что и как он должен защитить.

Viktor_Uzlov
() автор топика
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.