Pokaż wyniki 1 do 7 z 7

Temat: wirtualizacja i bezpieczenstwo

Hybrid View

Previous Post Previous Post   Next Post Next Post
  1. #1

    Domyślnie wirtualizacja i bezpieczenstwo

    Witam, chcialbym poruszyc jedna kwestia, mianowie wirtualizacje. Plan jest taki chcialbym zrobic jedna z dystrybucji linuksa bardziej bezpieczna i puscic ja przez (XEN ? Virtualbox?) na gospodarzu FBSD... warta gra swieczki ?

  2. #2
    Zarejestrowany
    Jun 2006
    Skąd
    rand(.eu)
    Postów
    8,748

    Domyślnie

    Nie wiem jak tam Xen czy VirtualBox dzialaja na BSD (czy w ogole dzialaja) ale pamietaj ze wsadzajac system pod hypervisor'a dokladasz kolejna warstwe ktora sama w sobie moze powodowac problemy...

    Ostatnio analizowalem serwer znajomego (mial wlam) i znalazlem spory zestaw exploitow w tym jeden pozwalajacy na privilege escalation na gosciu linuxowym dzialajacym pod dowolnym VMware... ot taka ciekawostka

    Odpalisz teraz taka platforme do wirtualizacji, ok... a jak czesto bedziesz ja aktualizowal?
    ctrl-alt-del.cc - soft reset site for IT admins and other staff :-)

  3. #3

    Domyślnie

    Z ta aktualizacja to bylby najwiekszy problem mysle, wiec odpuszcze sobie. Faktycznie z praktycznego punktu nieciekawie to wyglada... Zastanawiam sie jeszcze jak juz mowa o bezpieczenstwie czy sec tools-y beda hulac na 64bitowym systemie czy lepiej zostac przy 32bit. Docelowo mialbybyc zainstalowany np. Ubuntu Server 10.10. Czy jest sens przejscia pamieci RAM jest 2GB, ponoc roznica jest w szybkosci dzialania programow ale jak ze stabilnoscia hmm...

  4. #4
    Zarejestrowany
    Jun 2006
    Skąd
    rand(.eu)
    Postów
    8,748

    Domyślnie

    Aktualizacje sa praktyczne i to bardzo jesli masz co najmniej 2 maszyny i to nie do konca zaladowane, tak ze mozesz przemigrowac dzialajace VM na drugi host, tak aby moc spokojnie jeden wylaczyc i zrobic upgrade...
    W takim VMware ESXi (darmowy) aktualizacje odbywaja sie w trakcie normlanej pracy tylko pozniej trzeba reboot zrobic i wtedy ta migracja sie przydaje... tak samo migracje oferuje Xen (i to za free, VMware kasuje oplate za vMotion) i ponoc KVM ma to samo (opis mowi ze ma ale nie testowalem jeszcze).

    Co do bezpieczenstwa - jesli dobrze zaprojektujesz to nie bedzie problemow raczej. Siec do zarzadzania hostami VM na osobny VLAN i dostep jedynie via VPN (sprzetowy bo jak w VM to mozna sie latwo odciac od konsoli wyalczajac nie ten serwer i kladac VPN)... w ogole jakakolwiek podsiec pozwalajaca na zarzadzanie sprzetem powinna byc wydzielona (zawsze!) i osobno chroniona. Tam ida takie sprawy jak adminka macierzy dyskowych, tam idzie iLo/ALOM itp konsole do serwerow, switche, routery, zasilacze UPS i listwy zasilajace - ogolnie infrastruktura. W grudniu jestem na szkoleniu z bezpieczenstwa wirtualizacji - bede w stanie (mam nadzieje) powiedziec cos wiecej jak wroce :P

    BTW wlasnie migruje jedna z moich lokalizacji na VM calkowicie - zamiast miec kilkanascie serwerow, w cholere switchy, firewalli, load balancerow itd bede calosc wirtualizowal. Switche zostana sprzetowe aby calosc spiac ;-) moze firewalle ocaleja... cala reszta idzie w software... mniej sprzetu wiec mniej punktow gdzie cos moze nawalic a ewentualne awarie to przywrocenie snapshotu i ewentualna rekonfiguracja VM - calosc mozna zrobic zdalnie. Jak skoncze to dam znac jak poszlo bo to co chcemy zrobic to wlasnie pozbyc sie masy sprzetu i zastapic paroma serwerami ale sprytnie polaczonymi - w ten sposob ograniczymy zuzycie pradu i ilosc oddanego ciepla (klimatyzacja) a wiec bardziej ekologiczne podejscie, do tego wieksza moc, wieksza niezawodnosc itd.
    ctrl-alt-del.cc - soft reset site for IT admins and other staff :-)

  5. #5

    Domyślnie

    Wiem, ze VMware nie wspiera bsd - kilkakrotnie to juz czytalem, po czesci sam sie o tym przekonalem - jest starsznie problemowe - tak czy siak trzeba tworzyc emulacje linuksa, a nastepnie podczas instalacji (nawet pluginow do systemow monitorowania, ktora maja sprawdzac np esxi) i tak wypieprza bledy, ze brak jakis linkuksowych narzedzi.

    Zastanawiam sie jeszcze jak juz mowa o bezpieczenstwie czy sec tools-y beda hulac na 64bitowym systemie czy lepiej zostac przy 32bit.
    zostan przy 32bitach

    zreszta, jak dobrze zrozumialem, Twoje rozwiazanie za bardzo nie ma sensu. Fajnie, ze bedziesz mial cos na wirtualce - no i co z tego - oprocz tego, ze masz mniej pamieci oraz cpu, z mojego pkt widzenia nie masz nic, bo bezpieczenstwo juz zalezy od Ciebie jak ustalisz i komu pozwolisz na cokolwiek. Rozwiazanie wirtualizacji ma sens jezeli stawiasz przkladowo esxi - a na nim np 20 maszyn jakie Ci sie zamarza. W innym przypadku to tylko zabawa i szybkie srodowisko do celow testowych.
    Ostatnio edytowane przez Whizz_BANG : 10-25-2010 - 22:30

  6. #6
    Zarejestrowany
    Jun 2006
    Skąd
    rand(.eu)
    Postów
    8,748

    Domyślnie

    Na Xen'ie mialem na malenkim kompie hosta i 3 klienty - o dziwo linux ze 128MB RAM smigal jak zloto
    Na ESXi 3.5 (32bit) mam lekko 10 wirtualek - linuxy i widnowsy, calosc bardzo ladnie sie zachowuje...

    Majac darmowego Xen'a na Linuxie powiedzmy powala mnie kwestia recznego zarzadzania - ustalanie vlan'ow itp... ESXi robi to bardzo ladnie z aplikacji klienckiej. Citrix XenServer ostatnio odpalilem w domu - prawie jak ESXi ale na przyklad do postawienia linuxa na nim trzeba jakies dziwne latki dodawac wiec o kant duszy nieco... za to XenServer ma migracje dzialajacych VM miedzy hostami i to za free a VMware kaze placic.

    Jak to mowia - kazda technologia ma swoje zady i walety :P
    ctrl-alt-del.cc - soft reset site for IT admins and other staff :-)

Zasady Postowania

  • Nie możesz zakładać nowych tematów
  • Nie możesz pisać wiadomości
  • Nie możesz dodawać załączników
  • Nie możesz edytować swoich postów
  •  
Subskrybuj