Witam, chcialbym poruszyc jedna kwestia, mianowie wirtualizacje. Plan jest taki chcialbym zrobic jedna z dystrybucji linuksa bardziej bezpieczna i puscic ja przez (XEN ? Virtualbox?) na gospodarzu FBSD... warta gra swieczki ?
Witam, chcialbym poruszyc jedna kwestia, mianowie wirtualizacje. Plan jest taki chcialbym zrobic jedna z dystrybucji linuksa bardziej bezpieczna i puscic ja przez (XEN ? Virtualbox?) na gospodarzu FBSD... warta gra swieczki ?
Nie wiem jak tam Xen czy VirtualBox dzialaja na BSD (czy w ogole dzialaja) ale pamietaj ze wsadzajac system pod hypervisor'a dokladasz kolejna warstwe ktora sama w sobie moze powodowac problemy...
Ostatnio analizowalem serwer znajomego (mial wlam) i znalazlem spory zestaw exploitow w tym jeden pozwalajacy na privilege escalation na gosciu linuxowym dzialajacym pod dowolnym VMware... ot taka ciekawostka
Odpalisz teraz taka platforme do wirtualizacji, ok... a jak czesto bedziesz ja aktualizowal?
ctrl-alt-del.cc - soft reset site for IT admins and other staff :-)
Z ta aktualizacja to bylby najwiekszy problem mysle, wiec odpuszcze sobie. Faktycznie z praktycznego punktu nieciekawie to wyglada... Zastanawiam sie jeszcze jak juz mowa o bezpieczenstwie czy sec tools-y beda hulac na 64bitowym systemie czy lepiej zostac przy 32bit. Docelowo mialbybyc zainstalowany np. Ubuntu Server 10.10. Czy jest sens przejscia pamieci RAM jest 2GB, ponoc roznica jest w szybkosci dzialania programow ale jak ze stabilnoscia hmm...
Aktualizacje sa praktyczne i to bardzo jesli masz co najmniej 2 maszyny i to nie do konca zaladowane, tak ze mozesz przemigrowac dzialajace VM na drugi host, tak aby moc spokojnie jeden wylaczyc i zrobic upgrade...
W takim VMware ESXi (darmowy) aktualizacje odbywaja sie w trakcie normlanej pracy tylko pozniej trzeba reboot zrobic i wtedy ta migracja sie przydaje... tak samo migracje oferuje Xen (i to za free, VMware kasuje oplate za vMotion) i ponoc KVM ma to samo (opis mowi ze ma ale nie testowalem jeszcze).
Co do bezpieczenstwa - jesli dobrze zaprojektujesz to nie bedzie problemow raczej. Siec do zarzadzania hostami VM na osobny VLAN i dostep jedynie via VPN (sprzetowy bo jak w VM to mozna sie latwo odciac od konsoli wyalczajac nie ten serwer i kladac VPN)... w ogole jakakolwiek podsiec pozwalajaca na zarzadzanie sprzetem powinna byc wydzielona (zawsze!) i osobno chroniona. Tam ida takie sprawy jak adminka macierzy dyskowych, tam idzie iLo/ALOM itp konsole do serwerow, switche, routery, zasilacze UPS i listwy zasilajace - ogolnie infrastruktura. W grudniu jestem na szkoleniu z bezpieczenstwa wirtualizacji - bede w stanie (mam nadzieje) powiedziec cos wiecej jak wroce :P
BTW wlasnie migruje jedna z moich lokalizacji na VM calkowicie - zamiast miec kilkanascie serwerow, w cholere switchy, firewalli, load balancerow itd bede calosc wirtualizowal. Switche zostana sprzetowe aby calosc spiac ;-) moze firewalle ocaleja... cala reszta idzie w software... mniej sprzetu wiec mniej punktow gdzie cos moze nawalic a ewentualne awarie to przywrocenie snapshotu i ewentualna rekonfiguracja VM - calosc mozna zrobic zdalnie. Jak skoncze to dam znac jak poszlo bo to co chcemy zrobic to wlasnie pozbyc sie masy sprzetu i zastapic paroma serwerami ale sprytnie polaczonymi - w ten sposob ograniczymy zuzycie pradu i ilosc oddanego ciepla (klimatyzacja) a wiec bardziej ekologiczne podejscie, do tego wieksza moc, wieksza niezawodnosc itd.
ctrl-alt-del.cc - soft reset site for IT admins and other staff :-)
Wiem, ze VMware nie wspiera bsd - kilkakrotnie to juz czytalem, po czesci sam sie o tym przekonalem - jest starsznie problemowe - tak czy siak trzeba tworzyc emulacje linuksa, a nastepnie podczas instalacji (nawet pluginow do systemow monitorowania, ktora maja sprawdzac np esxi) i tak wypieprza bledy, ze brak jakis linkuksowych narzedzi.
zostan przy 32bitachZastanawiam sie jeszcze jak juz mowa o bezpieczenstwie czy sec tools-y beda hulac na 64bitowym systemie czy lepiej zostac przy 32bit.
zreszta, jak dobrze zrozumialem, Twoje rozwiazanie za bardzo nie ma sensu. Fajnie, ze bedziesz mial cos na wirtualce - no i co z tego - oprocz tego, ze masz mniej pamieci oraz cpu, z mojego pkt widzenia nie masz nic, bo bezpieczenstwo juz zalezy od Ciebie jak ustalisz i komu pozwolisz na cokolwiek. Rozwiazanie wirtualizacji ma sens jezeli stawiasz przkladowo esxi - a na nim np 20 maszyn jakie Ci sie zamarza. W innym przypadku to tylko zabawa i szybkie srodowisko do celow testowych.
Ostatnio edytowane przez Whizz_BANG : 10-25-2010 - 22:30
Na Xen'ie mialem na malenkim kompie hosta i 3 klienty - o dziwo linux ze 128MB RAM smigal jak zloto
Na ESXi 3.5 (32bit) mam lekko 10 wirtualek - linuxy i widnowsy, calosc bardzo ladnie sie zachowuje...
Majac darmowego Xen'a na Linuxie powiedzmy powala mnie kwestia recznego zarzadzania - ustalanie vlan'ow itp... ESXi robi to bardzo ladnie z aplikacji klienckiej. Citrix XenServer ostatnio odpalilem w domu - prawie jak ESXi ale na przyklad do postawienia linuxa na nim trzeba jakies dziwne latki dodawac wiec o kant duszy nieco... za to XenServer ma migracje dzialajacych VM miedzy hostami i to za free a VMware kaze placic.
Jak to mowia - kazda technologia ma swoje zady i walety :P
ctrl-alt-del.cc - soft reset site for IT admins and other staff :-)