[erledigt] Sicheres Trennung auf einem Rechner

bell

Erleuchteter

Beiträge: 3 128

1

05.01.2010, 18:33

Sicheres Trennung auf einem Rechner

Hallo Leute,

heute habe ich mein neues Spielzeug bekommen, das drauf wartet installiert zu werden

. Hierzu habe ich eine konzeptionelle Frage.
Das Gerät soll die Verbindung zum Internet bereitstellen und Dienste nach intern und extern anbieten (Home-Server). Daher dachte ich an mehrere von einander abgesicherte Installationen. Leider beherrscht die CPU die Hardware-Virtualisierung nicht. Daher wäre Qemu/Kvm nicht optimal. Was würdet Ihr mir empfehlen?

Mir würde eine Lösung mit einem Kernel und mehreren User-Spaces gefallen, wie Xen. Ist im Standard-Kernel schon was ähnliches enthalten?
Lohnt es sich überhaupt, oder soll ich eine "normale" Installation machen und drauf vertrauen, dass keiner einbricht?

Bei welcher Virtualisierung kann man eine bestimmte Netzwerk-Karte einer bestimmten VM zuweisen?

Lohnt sich Selinux oder hardended oder ist der Aufwand nicht zu hoch?

Auch wenn Open-Source kostenlos ist, ist sie nicht umsonst. Dein Preis ist Dein Engagement und Mitarbeit an OS-Projekten.
Wenn Du keinen Preis bezahlen willst, bist Du die Ware. Und das ist nicht Open Source, geschweigedenn frei.

Dieser Beitrag wurde bereits 2 mal editiert, zuletzt von »bell« (12.07.2010, 20:15)

Zum Seitenanfang

FelixPetzold

Profi

Beiträge: 834

2

05.01.2010, 19:36

Ich hab während einer Semesterarbeit bei Wincor-Nixdorf mit dem VMWare-GSX-Server arbeiten dürfen (oder war es VMWare-ESX ??? - irgendwas in der Art auf jeden Fall). Für mehrere Systeme ist das optimal, vor allem, wenn es Systeme ohne GUI sind. Wir reden hier zwar über eine Closed-Source-Lösung, aber woher und wie du das im Falle des Falles beziehst, will ich nicht wissen.

Außerdem empfiehlt sich ein RAID 5, immerhin sollen ja mehrere Systeme installiert werden.

Du kannst dort mit mehreren Netzwerkkarten und dem internen virtuellen Netzwerk arbeiten, dann kannste dort iptables installieren, um zu filtern, wie du das vor hast. Informier dich mal drüber, ob das was für dich ist.

Grüße, Felix

Zum Seitenanfang

bell

Erleuchteter

Beiträge: 3 128

3

07.01.2010, 09:46

Hallo Felix,

danke für die Antwort. VMWare oder Virtualbox wollte ich vermeiden, da 1. nicht frei und 2. oversized ist.
Mit Raid 5 wird es auch schwierig bei nur einer Festplatte.
Bei dem Gerät handelt es sich um einen Atom Mini-itx Rechner, der kleiner ist als ein DVD-Player.

Ich denke, ich vertraue mal der TCP/IP + Iptables Implementierung vom Linux und mache ein System für alles. Ein Linux-System mit einer dynamischen IP ist für die "Bösen" eher uninteressant.

Bei den von außen erreichbaren Diensten muss ich halt auf die Sicherheit besser achten und mit unprivilegierten Usern arbeiten.
Oder gibt es eine einfache Möglichkeit, Anwendungen wegzusperren? Chroot soll ja nicht wirklich sicher sein.

EDIT: ich habe mir die Dokumentation zu VServer und OpenVZ angeschaut. Eines davon ist wohl das richtige für mich. Was ist zu empfehlen? Ich tendiere zu VServer, da der VServer- Kernel 2.6.31 ist, und der OpenVZ-Kernel erst 2.6.27.

Auch wenn Open-Source kostenlos ist, ist sie nicht umsonst. Dein Preis ist Dein Engagement und Mitarbeit an OS-Projekten.
Wenn Du keinen Preis bezahlen willst, bist Du die Ware. Und das ist nicht Open Source, geschweigedenn frei.

Dieser Beitrag wurde bereits 1 mal editiert, zuletzt von »bell« (07.01.2010, 10:57)

Zum Seitenanfang

josef.95

OSI Layer 8

Beiträge: 7 674

4

19.01.2010, 22:08

Hier gibt es grad eine ähnliche Diskussion
http://forums.gentoo.org/viewtopic-t-811…highlight-.html
evtl. ist da was hilfreiche mit bei...

Zum Seitenanfang

bell

Erleuchteter

Beiträge: 3 128

5

19.01.2010, 23:02

Danke für den Link, Josef.
Ich habe mich bereits für vserver entschieden. Das Hauptargument im Vergleich zu OpenVZ war der aktuellere Kernel, der inzwischen schon bei 2.6.32 ist.
Eine Voll-Virtualisierung wie Vmware, Kvm, Virtualbox oder Xen wollte ich wg. dem Overhead nicht. Eigentlich ist vserver schon das richtige. Im Prinzip ein abgeschottetes "chroot" mit ein Paar Tools.

Inzwischen konnte ich auch ein Paar Erfahrungen sammeln. da die erste Box steht.
Starten der Maschine ist schnell, da kaum Dienste gestartet werden müssen:

Quellcode

~ # time vserver dmz start

   OpenRC 0.6.0 is starting up Gentoo Linux (i686) [VSERVER]

 * /proc is already mounted, skipping
 * Setting hostname to dmz ...                                            [ ok ]
 * Creating user login records ...                                        [ ok ]
 * Cleaning /var/run ...                                                  [ ok ]
 * Wiping /tmp directory ...                                              [ ok ]
 * Updating /etc/mtab ...                                                 [ ok ]
 * Initializing random number generator ...                               [ ok ]
 * Starting syslog-ng ...                                                 [ ok ]
 * Starting fcron ...                                                     [ ok ]
 * Starting apache2 ...                                                   [ ok ]
 * Starting local ...                                                     [ ok ]

real	0m3.590s
user	0m0.624s
sys	0m0.697s
 ~ #

Die einzige Schwierigkeit die ich hatte, war die VM außerhalb mit iptables abzuschotten, oder besser gesagt, den Host und das interne Netz vor der VM zu schützen. Die an die VM gesendeten Pakete laufen nicht über FORWARD sondern über INPUT des Hosts. Teilweise wird auch die Quell-IP auf die Ziel-IP gesetzt. Irgendwie strange.
Eventuell liegt es aber auch daran, dass ich die VM nicht an eine richtige Netzwerkkarte gebunden habe, sondern an eine Dummy-Karte.

Auch wenn Open-Source kostenlos ist, ist sie nicht umsonst. Dein Preis ist Dein Engagement und Mitarbeit an OS-Projekten.
Wenn Du keinen Preis bezahlen willst, bist Du die Ware. Und das ist nicht Open Source, geschweigedenn frei.

Zum Seitenanfang

GentooForum.de

Sicheres Trennung auf einem Rechner

Quellcode

Verwendete Tags

Häufig verwendete Suchbegriffe: