Für die Mai-Ausgabe hat sich IT-Administrator den Schwerpunkt 'Messaging & Collaboration' auf die Fahnen geschrieben. Lesen Sie darin, wie Sie die Open ... (mehr)

Live-Migration und Startreihenfolge der VMs

Bei einer Live-Migration sollten Sie nur den beteiligten Wirtssystemen den Zugriff auf ein gemeinsames Dateisystem beziehungsweise eine NFS-Freigabe gestatten und diesen dann anschließend wieder auf das migrierte System einschränken. Auch die Live-Migration sollte über verschlüsselte Verbindungen ablaufen, wie etwa SSH. Eine amoklaufende VM kann wie schon erwähnt Rechenzeit an sich ziehen, ein DoS-Angriff auf eine virtuelle Maschine verstopft die reale Netzwerkverbindung. Beide Fälle legen gleichzeitig auch alle anderen virtuellen Maschinen lahm. Es empfiehlt sich folglich, ein Überwachungssystem einzurichten und die virtuellen Maschinen mit den bereits erwähnten Cgroups zu maßregeln. Virtuelle Maschinen lassen sich ferner über die Startskripte beziehungsweise libvirtd schon beim Hochfahren des Wirtssystems automatisch starten. Das sollten Sie sich jedoch gut überlegen: Befindet sich ein Schadprogramm in der virtuellen Maschine und kann dies ausbrechen, erhält es schon zu seinem sehr frühen Zeitpunkt Zugriff auf das System.

Fazit

Eine virtuelle Maschine ist kein wirkliches Gefängnis. Im Gegenteil erhöht sich sogar die Zahl der möglichen Angriffspunkte. Administratoren sollten sich virtuelle Maschinen wie echte, zusätzliche Rechner in einem Netzwerk vorstellen und folglich die gleichen Sicherheitsmaßnahmen einleiten beziehungsweise sie in das hoffentlich vorhandene Sicherheitskonzept mit einbinden. Die Gäste benötigen zudem regelmäßige Aktualisierungen und die gleiche Pflege wie das Wirtssystem. Abschließend sind die meisten Voreinstellungen von KVM, QEMU und libvirt bereits auf Sicherheit ausgelegt, Administratoren sollten sie folglich nur aus einem guten Grund ändern.

(dr)

Link-Codes

[1] BlackHat/DEFCON 2011 Talk: Breaking Out of KVM: https://blog.nelhage.com/2011/08/breaking-out-of-kvm/

[2] sVirt: http://selinuxproject.org/page/SVirt

[3] Cgroups und libvirt: http://libvirt.org/cgroups.html

[4] Umleiten der seriellen Schnittstelle: http://qemu.weilnetz.de/qemu-doc.html#index-g_t_002dserial-80

[5] SPICE: http://qemu-buch.de/de/index.php/QEMU-KVM-Buch/_Anhang/_Spice

[6] Firewall and network filtering in libvirt: http://libvirt.org/firewall.html

[7] Libvirt: Direct attachment to physical interface: http://www.libvirt.org/formatdomain.html#elementsNICSDirect

comments powered by Disqus
Mehr zum Thema

QEMU 2 als vielseitige Virtualisierungsplattform

Virtualisierunglösungen gibt es inzwischen viele, aber nur wenige können auf eine lange Tradition und eine jahrelange Entwicklungszeit zurückblicken. QEMU geht nach über zehnjähriger Entwicklungszeit in die zweite Runde und bietet einige Besonderheiten, die den Einsatz und das Handling gegenüber anderen Lösungen interessanter erscheinen lassen. In diesem Workshop erfahren Sie, wie Sie QEMU 2 in der Praxis einsetzen.
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Konfigurationsmanagement

Ich konfiguriere meine Server

  • von Hand
  • mit eigenen Skripts
  • mit Puppet
  • mit Ansible
  • mit Saltstack
  • mit Chef
  • mit CFengine
  • mit dem Nix-System
  • mit Containern
  • mit anderer Konfigurationsmanagement-Software

Ausgabe /2023