Безопасное использование виртуальной ос
Интересуют практические аспекты безопастного использования виртуальной ос. Я считаю, если мы хотим анонимно работать из-под виртуальной ос, которая хранится на зашифрованном диске, то помимо обеспечения анонимного канала доступа в сеть на виртуальной ос должны быть проведены дополнительные мероприятия:
1) При каждом новом логине смена информации о ос и устройствах. (mac-адреса, серийные номера устройств, информация о версии ос, браузерах и.т.д.)
2) Ограниченные права пользователя (гость с дополнительными настройками).
Интересует прежде всего каким софтом можно обеспечить выполнение первого требования и в каких правах можно урезать гостя, какие службы отключить и.т.д.?
Это наивный способ улучшить неразличимость. Он бы работал, только если б так делалось у всех, причём по умолчанию. Обратите внимание, что в Tor Browser наоброт выравнивают идентификацию так, чтобы все были как один (но для этого нужна массовость).
Информацию об ОС и устройствах (на уровне прав ограниченного пользователя) не скрыть (если только не обращаться к механизмам типа SeLinux): уязвимость в браузере её выдаст. Другое дело, что в виртуалке и всё железо виртуальное, т.е. это мало что даст атакующему, если виртуалка используется только для какой-то одной миссии.
Если помню правильно, mac-адрес в Xen, например, по умолчанию назначается равным некоторому определённому. Принудительно его рандомизировать (без нужды) может оказаться наоборот хуже для анонимности.
С точки зрения прав, интересных для анонимности, ни в каких — таково архитектурное свойство UNIX. Можно, разве что, суидность всюду поубирать и позаботиться об уменьшении прав, влияющих на безопасность (не путать с анонимностью).
Все, кроме тех, что нужны. Зависит от пользователя. Мне в норме хватало запущенного sshd (от силы).
1. какая хостовая система
2. какая гостевая
3. канал связи
4. какой адаптер используется для работы гостя
5. допускается ли расшаривание ресурсов гостя
6. допускается ли удаленный доступ к гостю
7. шифруется ли диск гостя
и etc
virtualbox — не паравиртуализация ⇒ лишний оверхед.
На очередном двачетроллересурсе запостили топик «налетаем, много еды»?
Что не ужели нет софта, который бы при загрузке ос подменял све параметры своими? Есть же софт который заменяет mac сетевой карты? Есть. И для других параметров должен быть. Интересует исключительно под Windows.
1. WinXP
2. WinXP
3. ?
4. ?
5. нет
6. нет
7. нет
Нет. Тут нужен софт, который меняет, по сути, всю систему. Представьте, что вас посадили за компьютер, дали возможность пользоваться разными средствами разработки софта и запускать всякие программы. При всё этом вы не должны суметь отличить имитируемую версию винду от другой версии, или вообще линукса. Это практически никак не сделать. Более того, софт, запущенный в виртуалке, всегда потенциально может определить, что он именно в виртуалке, а не на реальной машине. Не забывайте, что виртуалка используется для большей анонимности, а не большей безопасности, потому речь идёт о правах произвольного кода, запущенного от потенциально скомпрометированного юзера (но не root'а) виртуалки.
Вы уверены, что по умолчанию по логам системы нельзя отследить, какой был предыдущий mac?
комментариев: 43 документов: 0 редакций: 7
как раз таки гипервизор обеспечивает изоляцию гораздо более надёжную нежели любая ОС своими средствами.