id: Гость   вход   регистрация
текущее время 18:11 29/03/2024
Автор темы: Piano, тема открыта 27/09/2016 10:52 Печать
Категории: анонимность, приватность
https://www.pgpru.com/Форум/АнонимностьВИнтернет/ЗащитаЖелезаVMWareVirtualBoxИлиQEMU
создать
просмотр
ссылки

Защита железа, что предпочтительнее – VMWare, VirtualBox или QEMU?


Пытаюсь выбрать прослойку между гостевой ОС и железом, наиболее надежно предотвращающую утечку данных о железе в Интернет.
Знаю только наиболее известные особенности этих гипервизоров:


1. VMWare (обычные Workstation, не ESXi) проприетарные, что уже вызывает недоверие к реализации вопросов безопасности (может это трояны). Не ESXi, потому что они не на все железо устанавливается.


2. VirtualBox, после того как продался Ораклу, стал неимоверно глючным, найти стабильную версию – большая удача, и раз он глючный в работе, то скорее всего такой же недоделанный в безопасности.


3. QEMU. Вот о нем затрудняюсь что-либо сказать.


Но надеюсь, сообщество на этих вопросах не один пуд соли сьело, и ему найдется что сказать.


PS. Похожие вопросы уже рассматривались на форуме, но фрагментарно и порознь, поэтому для общего удобства хотелось бы свести их воедино в одной теме. Тем более ситуация с ними вероятно с каждым годом меняется.


 
Комментарии
— гыук (27/09/2016 17:01, исправлен 27/09/2016 17:03)   профиль/связь   <#>
комментариев: 271   документов: 0   редакций: 0

Вряд ли для этого нужен гипервизор.



И что же получит VMWare на выходе? Какую инфу они соберут?



Так по задачам все. Посмотрите что Вам нужно и выберите. Версии после 4.3.12.93733 имеют защиту от встраивания сторонних DLL. Вот отсюда смотрите внимательно.



Ну есть поближе родственники.. Эк вас занесло то.
Какой хост, какие гости предполагаются и потом уж искать кандидата в депутаты на пост.

— Piano (27/09/2016 19:09)   профиль/связь   <#>
комментариев: 110   документов: 17   редакций: 16
Вряд ли для этого нужен гипервизор.

Слышал, что одним из способов предотвращения утечки сведений о железе являются гипервизоры.
И если не они, тогда что же?

И что же получит VMWare на выходе? Какую инфу они соберут?

Затрудняюсь сказать определенно. Но "британские ученые" утверждают что сведения о железе могут прорваться наружу, например, серийный номер процессора, даже планок памяти, мак-адреса. Мне бы этого не хотелось бы.

Так по задачам все. Посмотрите что Вам нужно и выберите.

Эту фразу не понял. Что по задачам? Задача у всех версий VitrualBox одинакова. Или вы имели в виду что-то другое?
В частности, я ориентировался на эту статью.

Ну есть поближе родственники.. Эк вас занесло то.

Тоже не понял. Родственники чего? Вы можете привести примеры получше?

Что до задачи, то к примеру, такая: я гуляю по WiFi-окрестностям.
Возможно, прицеплюсь к какой-то точке слабым паролем/шифрованием, и тогда сведения о моих железяках попадут в чужую сеть.
А возможно и наоборот – какой-то ушлый хакер проникнет через WiFi в мой комп, и хотелось, чтобы кроме среды виртуальной машины, он больше ничего не увидел.
Возможны и другие примеры, но этот наиболее характерный, имхо.
— Гость_ (28/09/2016 04:59)   профиль/связь   <#>
комментариев: 450   документов: 10   редакций: 13

Раз винду в качестве хостовой ОС по понятным причинам выбрасываем сразу, остаётся выбор из VB, QEMU, Xen и KVM. Из них эффективно по ресурсам используют железо и являются гипервизорами только последние два. Есть собираетесь делать инфраструктуру по-серьёзному, на года, с вниканием в суть дела, выбирайте из этих двух, не прогадаете. Настраивать Xen или KVM, возможно, замучаетесь, не для новичков это, количество граблей огромное. Там промышленные решения, плохо задокументированные и не устоявшиеся, от версии к версии многое меняется. Существующие мануалы и wiki-страницы по гипервизорам посвящены каким угодно конкретным задачам, но только не вопросам хардкорной анонимности, поэтому как из предложенных элементов собрать анонимную систему – вам придётся разбираться самостоятельно. Если этот путь страшит, придётся понизить запросы, выбирая из QEMU и VB.
— Piano (28/09/2016 10:14, исправлен 28/09/2016 10:15)   профиль/связь   <#>
комментариев: 110   документов: 17   редакций: 16

XEN использовал долго и успешно на дедиках. Отказался от него после того, как RH отказалась от него ввиду сложности сопровождения.
И так же, как RH, перешел на QEMU.
Но это все на дедиках, где полноценное железо с наличием Intel VT-x или AMD-V.


В данном же случае у меня старый ноут без какой-либо аппаратной поддержки виртуализации, что сужает круг выбора. Отсюда и затруднения в выборе.


И что вы имеете в виду под "эффективно по ресурсам используют железо"?
Если под скоростью работы гостевых ОС, то эта эффективность меня не интересует, поскольку у меня главная задача совсем другая – максимально отгородить гостевую ОС от железа.


Может есть и другие пути "отгорождения", но я знаю только рассматриваемую виртуализацию.

— Гость_ (28/09/2016 10:55)   профиль/связь   <#>
комментариев: 450   документов: 10   редакций: 13
Xen не требователен к железу. Кроме того, аппаратная поддержка виртуализации ему некритична – в режиме паравиртуализации всё будет работать. Если не стоит задача запускать винду или другие ОС, не умеющие паравиртуальный режим, точно будет работать. Есть какие-то совсем минимальные требования, но я их навскидку не вспомню (проц – не старее, чем Core2Duo?).


Да. Если говорить конкретно про паравиртуальный режим, это скорость сети и дисков, для остального паравиртуализацию пока не нарисовали. Что там с видеовыводом – это отдельный больной вопрос, но если не касаться задач просмотра полноэкранного видео, большой проблемы с этим нет.


Есть другие гипотетические способы (например, SELinux), но виртуализация – это самый простой вариант из существующих.
— Piano (28/09/2016 15:50)   профиль/связь   <#>
комментариев: 110   документов: 17   редакций: 16
Спасибо, конечно за советы, но тема сисек "Кто лучше защищает железо?" так и осталась нераскрытой :(

Проц – П4.
— Гость_ (28/09/2016 20:37, исправлен 28/09/2016 20:37)   профиль/связь   <#>
комментариев: 450   документов: 10   редакций: 13

Инфа о железе зависит от режима, в котором запускается гостевая ОС. В принципе, юзермодная виртуализация должна защищать лучше, т.к. там эмулируется больше всего разного (qemu, VB), но если правильно настраивать Xen или KVM, там тоже, максимум, что утечёт – тип процессора.

— гыук (01/10/2016 16:12)   профиль/связь   <#>
комментариев: 271   документов: 0   редакций: 0

У вас акцент именно на утечку сведений о железе, хотя при использовании гипервизоров могут быть и иные проблемы.
Но выбор в основе делается исходя из разных исходных требований:
– какое железо
– какая хостовая ОС
– какие будут гостевые ОС
– какие задачи предполагается решать.
и т.д.
В разных темах так или иначе уже многое обсуждалось.
По какому принципу вы производили отбор указанных вами представителей?

Таблица гипервизоров и их характеристики
В том числе и о гипервизорах
Обновился Qubes

Whonix предлагает такие варианты.
— Piano (03/10/2016 23:00)   профиль/связь   <#>
комментариев: 110   документов: 17   редакций: 16
В разных темах так или иначе уже многое обсуждалось.

Разумеется, поэтому предвосхищая подобный ответ, сразу написал:
PS. Похожие вопросы уже рассматривались на форуме, но фрагментарно и порознь, поэтому для общего удобства хотелось бы свести их воедино в одной теме.
Тем более ситуация с ними вероятно с каждым годом меняется.
Но все равно не помогло :)

По какому принципу вы производили отбор указанных вами представителей?
Которыми пользовался сам, и которые, как говорится, у многих на слуху (Xen уже отбросил, т.к. – см. выше).

Но выбор в основе делается исходя из разных исходных требований:
– какое железо
– какая хостовая ОС
– какие будут гостевые ОС
– какие задачи предполагается решать.
Железо попроще, сначала хотел на P4, и тут раз на данный момент освободился Atom.

(кстати, поставил на нем Debian/64, VirtualBox, и начал ставить гостевую Windows XP, и был изумлен – VirtualBox/64 разрешал устанавливать только 32-битную ОС, и неважно, Windows или любая другая. С такой "фичей" еще не сталкивался. Но это так, к слову).

Хостовая ОС – что-нить Дебиановское.
Гостевые ОС – тоже, а также Windows.
Задачи – вылазки в Сеть, используя весь имеющийся ассортимент – браузеры, nmap, traceroute – да что угодно!


PS. О Whonix лучше не вспоминать. Да, поставил его, да, работает. Но только конченый д крайне недалекий от безопасности специалист сумел построить его на таком монстре как KDE и повпихивать в дистр кучу офисного хлама.
Дистрибутив, который позициционируется как анонимизированный и защищенный от всех сторон должен строиться на самой простой DE (LXDE, XFCE, OpenBox и т.п.), т.е. с минимальным количеством программных строк и без всякой офисной мути – только минимальный набор программ для анонимности.
— гыук (04/10/2016 00:45, исправлен 04/10/2016 00:50)   профиль/связь   <#>
комментариев: 271   документов: 0   редакций: 0

Наверно потому что эта тема обречена (?).



Так а их видели какой список? Как определить самое лучшее? Почему Мерседес не самая лучшая машина, а если ВАЗ перемещает тело в пространстве за такие деньги, почему не эта самая лучшая?



Кучи не наблюдаю. Может что и проглядел.
Вы какой последний билд видели? Там Applications – Office – Document Viewer, т.е. 1 приложение (!).
Даже LibreOffice отсутствует ).



Ну Tails вообще тогда "отстой". Он же на Gnome и "офисного хлама" там не меньше.


И это только ваше мнение. А придут 10 человек и выскажутся что им надо, вы думаете хоть 1% пожеланий совпадет?


Обречена эта тема..

— Piano (05/10/2016 01:30)   профиль/связь   <#>
комментариев: 110   документов: 17   редакций: 16
Спасибо, не успеваю ответить, надеюсь завтра.
— Piano (05/10/2016 16:08)   профиль/связь   <#>
комментариев: 110   документов: 17   редакций: 16
-
Так а их видели какой список? Как определить самое лучшее?

В том-то и проблема, что наплодили этих виртуалок выше крыши, поди разберись, что из них выбрать. Ситуация с ними схожа с дистрибутивами Linux – на дистроваче их больше 200, а реально используется десяток, от силы два. Вот и я пользуюсь теми, что на слуху у большинства.

Кучи не наблюдаю. Может что и проглядел.
Последним Вониксом, которым пользовался, был 9.4. И вот в нем ЛибраОфис и прочая оффисная муть как раз присутсвовала в неисчислимом количестве.
Как в новых версиях, не знаю, но если там по прежнему KDE, то фтопку.

И это только ваше мнение. А придут 10 человек и выскажутся что им надо, вы думаете хоть 1% пожеланий совпадет?
Так-то оно так, хомячкам подавай сразу всё в одном.
Но мы-то, потомственные параноики так не думаем? Для нас каждая вылазка в Интернет это всегда ответственное событие, могущее повлечь за собой известные последствия.
И если ориентироваться на пользователей, которые понимают что такое безопасность, то монстроидальный KDE для них перечеркивает все достоинства Воникса.
По-настоящему анонимный безопасный дистрибутив должен быть как можно меньше и включать только самое необходимое, поэтому и DE должна быть как можно проще.
Ведь каковы задачи анонимщика? Украл- выпил – в тюрьму Выскочил в Интернет – стырил что надо посмотрел что нужно, скачал и отключился, а дальше добытый результат можно использовать на обычном десктопе. Поэтому KDE, Офис и пр. плюшки, содержащие множество дыр и вряд ли кем проверяемые на их наличие, на анонимном компьютере просто неуместны.

Gnome, кстати, по архитектуре более логичен и менее запутан, чем KDE, хотя конечно, тоже великоват. Но если из него выпилить лишнее, то получится тот самый крохотный LXDE :)
Конечно, еще лучше IceWM и ему подобные, и жаль, что создатели Воникса этого не понимают.
— SATtva (06/10/2016 11:21)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118

Хуниксом: Whonix — who (ху) + nix (никс).
— Piano (06/10/2016 16:28)   профиль/связь   <#>
комментариев: 110   документов: 17   редакций: 16
Знаю, это я с сарказом ;) Из-за того, что не нравится мне KDE в этом Вониксе/Хуниксе
— Гость_ (06/10/2016 17:12)   профиль/связь   <#>
комментариев: 450   документов: 10   редакций: 13

А как ещё открывать doc-файлы, которые каждый второй сайт лепит в несметном количестве? В принципе, есть сайты, позволяющие просматривать офисные документы онлайн, но не всем и не всегда это удобно.


Кто мешает отключить старт KDE и поставить свой любимый оконный менеджер или иной DE?


И whonix и Qubes рассчитаны на массового нетребовательного пользователя, где "воткнул – и всё работает, как в привычной монструозной среде". Немассовому пользователю не угодишь – такие собирают хуниксы себе сами, сразу оптимизируя их под свой круг задач и требований.


Debian minimal install + немного настроек поверх – вот и весь дистрибутив. Или нечто подобное. Этот минимум – общий знаменатель, всё остальное у параноиков сугубо индивидуально.


Очень индивидуально, не всегда так. Кому-то – наоборот, надо скачивать офисные документы и тут же с ними работать.


Виртуалки и сетевые экраны значительно страхуют от факапов такого софта. Чего так бояться-то? Если ваши запросы так велики – шелл в руки и вперёд, делайте решение сами под свои нужды. Оно того стоит.


Возможно, понимают, но IceWM массового пользователя (домохозяек) не впечатлит так же, как вас – какой-нибудь vim в качестве редактора по умолчанию.
Ваша оценка документа [показать результаты]
-3-2-1 0+1+2+3