Die Datenberge in Unternehmen wachsen rasant. Umso wichtiger ist das richtige Storage-Management für Admins. In der November-Ausgabe betrachtet ... (mehr)

Komfortable USB-Funktionalität

Oracle hat neben vielen kleinen Verbesserungen insbesondere die USB-Funktionalität optimiert. Über die VM-Einstellungen konfigurieren Sie die USB-Unterstützung individuell. Dazu stellt VirtualBox dem Gastbetriebssystem einen virtuellen USB-Controller zur Verfügung. Wird auf Seiten des Gastes ein USB-Gerät angeschlossen, ist es für das Host-System nicht mehr verfügbar. Zusätzlich können Sie einem Gast-Betriebssystem den Zugriff auf ein lokales USB-Laufwerk erlauben. Der Gast kann sogar auf ein Remote-USB-Device zugreifen und nutzt dabei die VRDE (VirtualBox Remote Desktop Extension).

Im "Einstellungen"-Dialog legen Sie fest, ob die USB-Unterstützung überhaupt gefordert ist oder nicht. Nach dem Aktivieren und der Auswahl der USB-Version bestimmen Sie, welches Laufwerk automatisch für die VM verfügbar ist. Dazu legen Sie einen sogenannten Filter an, mit dem Sie die Laufwerkseinstellungen bestimmen. USB-Laufwerke, die einer Filterkonfiguration entsprechen, werden automatisch mit dem Gast-Betriebssystem verknüpft.

Laufwerke ohne eine entsprechende Filterkonfiguration können Sie dennoch über das VM-Menü "Geräte / USB" manuell für die virtuelle Maschine verfügbar machen. In den USB-Einstellungen legen Sie mit einem Klick auf das Pluszeichen einen neuen Filter an. Sie können den Filter nach Belieben bezeichnen und verschiedene Filterkriterien spezifizieren. Dazu klicken Sie doppelt auf einen Filtereintrag. Dort weisen Sie diesem neben einer aussagekräftigen Bezeichnung – beispielsweise den Hersteller – die Produkt-ID und den Port zu. Mit dem Auswahlmenü "Fernzugriff" bestimmen Sie, ob auch der Remote-Zugriff zulässig ist.

Bei einem Windows-Host müssen Sie nach dem Anlegen des Filters das Laufwerk entfernen und dann erneut verbinden, damit es für den Gast verfügbar ist. Wenn Sie einen neuen Filter anlegen und die Hersteller-ID "046d" (für Logitech) und dem Hersteller den Wert "1" zuweisen sowie den Fernzugriff deaktivieren, sind alle Logitech-Geräte mit dem Herstellerindex 1 automatisch in dem Gastsystem sichtbar. Außerdem können Sie gerätespezifische Filter anlegen und diese beispielsweise einer Webcam oder einem externen USB-Laufwerk zuweisen. Sie sind zudem in der Lage, Filter einzeln zu aktivieren und deaktivieren.

Bild 2: In den USB-Einstellungen einer ausgewählten VM lässt sich die Unterstützung von USB 2.0 und 3.0 aktivieren.

Ab VirtualBox 5.0 ist auch das Mitschneiden des USB-Traffics von USB-Geräten und -Hubs möglich. Die Aufzeichnung wird in Capture-Dateien in einem Wireshark-kompatiblen Format gespeichert und kann so einfach einer späteren Analyse zugeführt werden. Um den Datenverkehr aufzuzeichnen, verbinden Sie das USB-Device mit folgendem VBoxManage-Kommando mit der VM:

VBoxManage controlvm "VM-Name" usbattach "device uuid|address" --capturefile "dateiname"

VBoxManage ist die Konsolenschnittstelle von VirtualBox. Um die Aufzeichnung für einen Root-Hub zu aktivieren, führen Sie folgenden Befehl aus:

VBoxManage setextradata "VM-Name" VBoxInternal/Devices/usb-ehci/ LUN#0/Config/CaptureFilename "dateiname"

In voranstehendem Beispiel wird der Root-Hub mit dem EHCI-Controller angesprochen. Um OHCI oder XHCI zu verwenden, ersetzen Sie "usb-ehci" mit "usb-ohci" beziehungsweise "usb-xhci".

Sicher ist sicher

Virtuelle Maschinen eignen sich hervorragend, um beispielsweise eine exportierte VM anderen Benutzern zur Verfügung zu stellen oder um von der eigenen Installation eine Sicherung zu erzeugen, die Sie dann auf einem Drittsystem wiederherstellen und dort verwenden. Immer dann, wenn es Daten zu schützen gilt, sollten Sie zu entsprechenden Schutzmechanismen greifen.

VirtualBox 5.0 verfügt nun auch über eine längst überfällige Schutzfunktion, mit der Sie die Daten eines Festplatten-Images transparent für den Gast verschlüsseln können. Dieser Schutz ist unabhängig vom verwendeten Image-Format. Eine Einschränkung gibt es allerdings: Mit VirtualBox 5.0 verschlüsselte Images sind nicht portabel und können daher nicht in anderen Virtualisierungsumgebungen zum Einsatz kommen.

VirtualBox greift für die Verschlüsselung zum AES-Algorithmus und unterstützt 128 und 256 Bit-Schlüssel (Data Encryption Keys, kurz DEK). Der DEK wird verschlüsselt in den Medieneigenschaften gespeichert und wird durch die Angabe des Passwortes durch den Anwender entschlüsselt. Da der Schlüssel in der VM-Konfigurationsdatei hinterlegt wird, muss er sorgsam aufbewahrt werden. Geht der DEK verloren, ist das Image nicht wiederherstellbar.

Bislang unterliegt die Verschlüsselungsfunktion allerdings einigen Einschränkungen. Zunächst müssen Sie das VirtualBox Extension Pack installieren, andern- falls ist eine Verschlüsselung nicht möglich. Für die verschlüsselten Images steht bislang kein Integritätscheck zur Verfügung, mit dem Sie sicherstellen, dass ein Image nicht durch Hacker oder Programme manipuliert wurde. Leider ist auch kein Export möglich, da die OVF-Spezifikation (Open Virtualization Format) dies nicht unterstützt.

Da der DEK so lange im Speicher verbleibt, wie die VM ausgeführt wird, sollten Sie sicherstellen, dass kein potenzieller Angreifer Zugang zu dem ausführenden System hat und den Schlüssel extrahieren kann. Ein weiterer Angriffspunkt: Beim Ver- beziehungsweise Entschlüsseln eines Images wird das Passwort im Klartext über die VirtualBox-API übergeben. Greifen Sie nun beispielsweise über einen Webservice auf die VM zu, sollten Sie die Verbindung per HTTPS absichern.

Die Verwendung der Verschlüsselung ist ansonsten einfach: Öffnen Sie die Eigenschaften der gewünschten VM. In den allgemeinen Eigenschaften finden Sie rechts die Registerkarte "Verschlüsselung". Dort aktivieren Sie zunächst den Schutz und bestimmen dann die Verschlüsselungsvariante. Sie haben die Wahl zwischen zwei Optionen (AES-XTS256-PLAIN64 und AES-XTS128-PLAIN64). Dann geben Sie das Passwort und seine Wiederholung an. Mit "OK" aktivieren Sie den Schutz. Alternativ können Sie die Verschlüsselung auch mit VBoxManage vornehmen. Dazu führen Sie auf der Konsole folgenden Befehl aus:

VBoxManage encryptmedium "uuid|datei" --newpasswordid "datei|-" --cipher "cipher id" --newpasswordid "id"

VBoxManage fragt das Passwort auf der Konsole ab. Beim Starten muss dann das Passwort angegeben werden. Um den Schutz zu deaktivieren, können Sie wieder zur GUI oder zu VBoxManage greifen. Wenn Sie den VirtualBox Manager verwenden, können Sie auf der Registerkarte Verschlüsselung den Schutz unter Angabe des zugewiesenen Passworts entfernen. Der entsprechende VBoxManage-Befehl lautet:

VBoxManage encryptmedium "uuid|dateiname" --oldpassword "file|-"

Damit steht Ihnen ein einfacher Sicherungsmechanismus zur Verfügung, mit dem Sie das Starten von VMs nur berechtigten Anwendern erlauben können.

Bild 3: VirtualBox 5.0 stellt zwei Verschlüsselungsvarianten für virtuelle Festplatten zur Verfügung.
comments powered by Disqus
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Konfigurationsmanagement

Ich konfiguriere meine Server

  • von Hand
  • mit eigenen Skripts
  • mit Puppet
  • mit Ansible
  • mit Saltstack
  • mit Chef
  • mit CFengine
  • mit dem Nix-System
  • mit Containern
  • mit anderer Konfigurationsmanagement-Software

Ausgabe /2023