« Zurück 1 2 3 4 5 6 Weiter »

Aus IT-Administrator 05/2014
Für die Mai-Ausgabe hat sich IT-Administrator den Schwerpunkt 'Messaging & Collaboration' auf die Fahnen geschrieben. Lesen Sie darin, wie Sie die Open ... (mehr)

VNC-Verbindungen steuern

Schränken Sie daher den Zugriff zumindest auf einen vertrauenswürdigen Rechner ein. Mit dem folgenden Befehl nimmt der VNC-Server nur noch Verbindungen von der IP-Adresse 192.168.100.30 an:

 

 

qemu-kvm -vnc 192.168.100.30:1
[...]

 

 Idealerweise lassen Sie die VNC-Verbindungen zusätzlich durch die Firewall filtern. Wer mit den libvirt-Werkzeugen arbeitet, kontrolliert die Einstellungen in der Konfigurationsdatei /etc/libvirt/ qemu.conf . Dort und an der Kommandozeile lässt sich zusätzlich ein Passwort vorgeben. Dieses Passwort liegt allerdings im Klartext in der Konfigurationsdatei und taucht unter Umständen sogar in den Log-Dateien auf. Verschlüsseln Sie daher VNC-Verbindungen immer per SSL/TSL oder tunneln Sie diese über SSH.

 

 Sofern die virtuelle Maschine nur als bildschirmloser Server arbeitet, können Sie zusätzlich die Grafikausgabe sicherheitshalber deaktivieren, etwa über den Parameter “-nographic”. Für die Grafikausgabe via SPICE gilt übrigens das Gleiche wie für VNC. Auch hier lauscht der in KVM eingebaute SPICE-Server am ersten freien Port ab 5900. Anders als VNC unterstützt SPICE jedoch eine Verschlüsselung der Verbindung [5].

Bild 5: ... auch für jedermann über das Netz verfügbar machen

Images schützen

Standardmäßig sind die Festplatten-Images nicht verschlüsselt. Liegen diese auf einer frei zugänglichen Festplatte oder (NFS-)Freigabe, könnten Angreifer sich eine Kopie ziehen und dann das installierte System in Ruhe analysieren – das gilt insbesondere für das RAW-Format. Stellen Sie deshalb sicher, dass niemand Zugriff auf die Images erlangt. Zusätzlich bietet es sich an, die Images zu verschlüsseln. Dazu legen Sie die Images auf einem vom Wirtssystem verschlüsselten Dateisystem ab oder das Gastsystem verschlüsselt seine eigene (virtuelle) Platte.

 

 Des Weiteren kann auch KVM beziehungsweise QEMU ein komplettes Image mit AES verschlüsseln. Die Verschlüsselung selbst geschieht sogar transparent gegenüber dem Gast. Das Image muss allerdings im qcow2-Format vorliegen, zudem verwendet QEMU derzeit “nur” einen 128 Bit langen Schlüssel. Ein verschlüsseltes Image erstellen Sie beispielsweise mit qemu-img .

« Zurück 1 2 3 4 5 6 Weiter »

Ähnliche Artikel

comments powered by Disqus

Datenschutzeinstellungen

Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Konfigurationsmanagement

Ich konfiguriere meine Server

  • von Hand
  • mit eigenen Skripts
  • mit Puppet
  • mit Ansible
  • mit Saltstack
  • mit Chef
  • mit CFengine
  • mit dem Nix-System
  • mit Containern
  • mit anderer Konfigurationsmanagement-Software

Result

Ausgabe /2023

Themen

Cloud Computing Datenbanken IT-Management Linux Mobil Monitoring Netzwerk Open Source OpenStack Programmieren Security Storage Virtualisierung Web Windows
twitter facebook xing