Für die Mai-Ausgabe hat sich IT-Administrator den Schwerpunkt 'Messaging & Collaboration' auf die Fahnen geschrieben. Lesen Sie darin, wie Sie die Open ... (mehr)

Verbindungen verschlüsseln

Zusätzlich sollten Administratoren eine Verschlüsselung nutzen. libvirtd und seine Werkzeuge können ihre Kommunikation wahlweise über SSH tunneln, eine Authentifizierung via SASL/Kerberos nutzen oder eine mit SSL/TLS verschlüsselte TCP-Verbindung aufbauen. In den meisten Fällen dürfte eine SSH-Verbindung infrage kommen, für die auf dem Wirtssystem ein SSH-Server laufen muss. Da Root-Rechte notwendig sind, erfolgt der Verbindungsaufbau dann etwa mit:

 

 

virt-manager -c
qemu+ssh://root@example.com/system

 

 

 Aus Sicherheitsgründen sollte der SSH-Server allerdings eine Anmeldung als Benutzer “root” verweigern. Als Kompromiss bietet sich eine Authentifizierung über Zertifikate beziehungsweise Public/Private-Keys an. Bei einer Verschlüsselung via SSL/TLS sollten Sie in der Konfigurationsdatei /etc/libvirt/libvirtd.conf auch die Port-Nummer ändern. Das erschwert zumindest direkte Angriffe. Auch prüfen Sie noch den Inhalt der Umgebungsvariablen “LIBVIRT_DEFAULT_URI”. Sie gibt den URI vor, den virsh und virt-manager standardmäßig zum Aufbau einer Verbindung nutzen. Enthält die Variable beispielsweise den Wert: “qemu://host/system”, baut virsh ohne weitere Parameter eine unverschlüsselte Verbindung auf.

Gefahren nicht durchreichen

Noch gefährlicher wird es, wenn Sie einfach Geräte des Wirtes in die virtuelle Maschine durchreichen. Binden Sie etwa ein Dateisystem in die VM ein, das auch noch andere Rechner im LAN sehen, könnte der infizierte Gast über diese Durchreiche Schadprogramme verteilen, Konfigurationsdateien ändern oder vorhandene Dokumente zerstören – die wertvollen Projektdateien auf dem NAS wären dann hinüber. Daher sollten Sie sich gut überlegen, welche Dateisysteme Sie in welche virtuelle Maschine hängen. Im Idealfall nutzt die VM nur eigene Image-Dateien.

 

 Nicht nur ausgewählte USB-Geräte, sondern auch ein kompletter USB-Port lässt sich in die virtuelle Maschine durchreichen (Bild 3). Im folgenden Beispiel landen alle Geräte am Port 1.1 von Bus 2 in der virtuellen Maschine:

 

 

qemu-kvm -usb -device usb-host,
hostbus=2,hostport=1.1 [...]

 

 Dabei besteht jedoch die Gefahr, dass jemand einen infizierten USB-Stick an den Wirtsrechner anschließt und so Schadsoftware in die VM einschleust. Analoges gilt für DVD-Laufwerke, über die sich unter Umständen sogar ein Live-System starten lässt.

Bild 3: Auch Hotplugging von USB-Hardware funktioniert in virtuellen Maschinen: In diesem Fedora-Gast wurde ein USB-Stick ab- und wieder angestöpselt. Das ist besonders gefährlich, wenn Windows als Gast läuft und den Autostart von Medien erlaubt.
comments powered by Disqus
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Konfigurationsmanagement

Ich konfiguriere meine Server

  • von Hand
  • mit eigenen Skripts
  • mit Puppet
  • mit Ansible
  • mit Saltstack
  • mit Chef
  • mit CFengine
  • mit dem Nix-System
  • mit Containern
  • mit anderer Konfigurationsmanagement-Software

Ausgabe /2023