Действительно ли VM (виртуалка) наглухо защищает то что находится вне ее? То есть никакие вирусы, трояны, тем более никаким 0day нельзя "пробиться" наружу? Или все-таки могут быть уязвимости и тут тоже зависит от "прямых рук" при настройке? А как обстоят с этим дела у Tails? Он гарантированно скрывает параметры машины, он вообще умеет их подменять на вымышленные или только MAC?
Как лучше пользоваться интернетом под VM? Поднимать его в основной (внешней) ОС или внутри виртуалки?
Безопасна ли будет (и возможна ли) такая схема: во внешней ОС поднимается инет с подменой MAC, на ней допустим поднимается VPN, далее запускается VM под которой идет подключение к инету как к виртуальному интерфейсу созданному внешней ОС, а там уже может быть через второй VPN или напрямую идет работа в интернете.
Какую наиболее безопасную и легкую по ресурсам VM посоветуете под Линукс? Чтобы под ней можно было запустить skype, торент и браузер купированные в "песочнице" и не видящие основной комп и дисковое пространство, кроме выделенного специально под них.
Как лучше пользоваться интернетом под VM? Поднимать его в основной (внешней) ОС или внутри виртуалки?
Безопасна ли будет (и возможна ли) такая схема: во внешней ОС поднимается инет с подменой MAC, на ней допустим поднимается VPN, далее запускается VM под которой идет подключение к инету как к виртуальному интерфейсу созданному внешней ОС, а там уже может быть через второй VPN или напрямую идет работа в интернете.
Какую наиболее безопасную и легкую по ресурсам VM посоветуете под Линукс? Чтобы под ней можно было запустить skype, торент и браузер купированные в "песочнице" и не видящие основной комп и дисковое пространство, кроме выделенного специально под них.
Я посоветую вам попробовать установить Qubes OS[link1]. Она позволяет решить все ваши вопросы и разрабатывается именно с упором на безопастность. Есть возможность безопастно разнести ВМ приложения с ограничениями доступа к сети, прозрачная торификация как всей системы, так и ВМ крытящейся в ней, есть возможность установить windows правда с некоторой долей красноглазия. Из минусов отмечу достаточно большие накладные расходы на оперативную память и желательное наличии в качестве базового носителя SSD.
Нет. В конце концов, в глухую виртуалку как вы попадать-то собрались? Через libastral? Разрешение коннектиться к ней по SSH — уже что-то в плане доступа. Обратие внимание на картинку[link2].
Можно.
А куда ж без них? И в хостовй ОС и в гостевой, и в VM могут быть уязвимости. Однако, при инфраструктуре с виртуалками становится чётко понятно, какого типа уязвимости и в чём требуются, чтобы зловред смог выйти в сеть в обход Tor'а.
Конечно. Виртуалка — не волшебная кнопка «сделать всё хорошо». Есть специализированные инструменты для тех, кто неспособен сам собрать подобное: Tails, Whonix, Qubes и т.п. Они понижают требования к прямоте рук.
Он ничего не подменяет, но в нём есть AppArmor[link3], который якобы не позвляет их прочитать даже при наличии уязвимости в браузере. Насколько это всё надежно, судить не возьмусь. Я бы не считал эту защиту эквивалентной виртуалке, когда ОС действительно мало знает про то железо, на котором она запущена. В случае Tails сама ОС, как и многие программы, конечно, всё знает про железо.
Это много от чего зависит. Общее правило — лучше, когда финальное управление шифрованием трафика и выходом в сеть делается не под той ОС, которая пользуется этим трафиком. Выходом в сеть может управлять не только хостовая (внешняя) ОС, но и выделенная гостевая ОС, которой дали прямой доступ только к сетевой карте.
Всё возможно. VPN over VPN — плохая идея, лучше так: ПК → VPN → Tor → сеть.
Xen или kvm. Qubes, которую выше предложили — готовая сборка на основе Xen (в чём-то даже более[link4] безопасная).