id: Гость   вход   регистрация
текущее время 20:28 16/01/2018
создать
просмотр
ссылки

Действительно ли VM (виртуалка) наглухо защищает то что находится вне ее? То есть никакие вирусы, трояны, тем более никаким 0day нельзя "пробиться" наружу? Или все-таки могут быть уязвимости и тут тоже зависит от "прямых рук" при настройке? А как обстоят с этим дела у Tails? Он гарантированно скрывает параметры машины, он вообще умеет их подменять на вымышленные или только MAC?
Как лучше пользоваться интернетом под VM? Поднимать его в основной (внешней) ОС или внутри виртуалки?
Безопасна ли будет (и возможна ли) такая схема: во внешней ОС поднимается инет с подменой MAC, на ней допустим поднимается VPN, далее запускается VM под которой идет подключение к инету как к виртуальному интерфейсу созданному внешней ОС, а там уже может быть через второй VPN или напрямую идет работа в интернете.
Какую наиболее безопасную и легкую по ресурсам VM посоветуете под Линукс? Чтобы под ней можно было запустить skype, торент и браузер купированные в "песочнице" и не видящие основной комп и дисковое пространство, кроме выделенного специально под них.


 
Комментарии
— cypherpunks (10/01/2016 15:58)   профиль/связь   <#>
комментариев: 282   документов: 32   редакций: 12
Я посоветую вам попробовать установить Qubes OS. Она позволяет решить все ваши вопросы и разрабатывается именно с упором на безопастность. Есть возможность безопастно разнести ВМ приложения с ограничениями доступа к сети, прозрачная торификация как всей системы, так и ВМ крытящейся в ней, есть возможность установить windows правда с некоторой долей красноглазия. Из минусов отмечу достаточно большие накладные расходы на оперативную память и желательное наличии в качестве базового носителя SSD.
— pgprubot (11/01/2016 16:39, исправлен 11/01/2016 16:45)   профиль/связь   <#>
комментариев: 511   документов: 2   редакций: 70

Нет. В конце концов, в глухую виртуалку как вы попадать-то собрались? Через libastral? Разрешение коннектиться к ней по SSH — уже что-то в плане доступа. Обратие внимание на картинку.



Можно.



А куда ж без них? И в хостовй ОС и в гостевой, и в VM могут быть уязвимости. Однако, при инфраструктуре с виртуалками становится чётко понятно, какого типа уязвимости и в чём требуются, чтобы зловред смог выйти в сеть в обход Tor'а.



Конечно. Виртуалка — не волшебная кнопка «сделать всё хорошо». Есть специализированные инструменты для тех, кто неспособен сам собрать подобное: Tails, Whonix, Qubes и т.п. Они понижают требования к прямоте рук.



Он ничего не подменяет, но в нём есть AppArmor, который якобы не позвляет их прочитать даже при наличии уязвимости в браузере. Насколько это всё надежно, судить не возьмусь. Я бы не считал эту защиту эквивалентной виртуалке, когда ОС действительно мало знает про то железо, на котором она запущена. В случае Tails сама ОС, как и многие программы, конечно, всё знает про железо.



Это много от чего зависит. Общее правило — лучше, когда финальное управление шифрованием трафика и выходом в сеть делается не под той ОС, которая пользуется этим трафиком. Выходом в сеть может управлять не только хостовая (внешняя) ОС, но и выделенная гостевая ОС, которой дали прямой доступ только к сетевой карте.



Всё возможно. VPN over VPN — плохая идея, лучше так: ПК → VPN → Tor → сеть.



Xen или kvm. Qubes, которую выше предложили — готовая сборка на основе Xen (в чём-то даже более безопасная).

Ваша оценка документа [показать результаты]
-3-2-1 0+1+2+3