Изоляция Virtualbox

Модератор: Модераторы разделов

sa1mon
Сообщения: 5
ОС: Ubuntu, Mint

Изоляция Virtualbox

Сообщение sa1mon »

Добрый день уважаемые форумчане.
Есть у меня сервер, на нем установлен VirtualBox, на котором развернуто несколько виртуальных машин (ВМ) с индивидуальным IP адресом.
Клиенты знают только IP своей ВМ и подключаются только к ней.
Вопрос вот в чем.
Клиент, подключивший к ВМ (например с IP 123.456.7.8) может ли каким нибудь образом попасть на соседнюю ВМ ? Или же выйти на базовую ОС сервера? Если это можно, то как запретить такую ситуацию. Что бы клиент мог работать на строго выделенной для него ВМ и к остальным не имел доступ.
Спасибо сказали:
Kopilov
Сообщения: 926
ОС: [K]Ubuntu, Debian

Re: Изоляция Virtualbox

Сообщение Kopilov »

Если подберут комбинацию IP-Логин-Пароль -- то смогут.
На базовой ОС желательно сделать доступ только по ключу. На гостевых это будет под ответственностью пользователей (в конце концов, всё равно, откуда взломали: из интернета или из соседней виртуалки).
Спасибо сказали:
sa1mon
Сообщения: 5
ОС: Ubuntu, Mint

Re: Изоляция Virtualbox

Сообщение sa1mon »

Kopilov писал(а):
13.11.2015 10:52
Если подберут комбинацию IP-Логин-Пароль -- то смогут.

Ну это понятно, что если подберут.
Меня больше интересует без подобных манипуляций возможно ли аналогичный исход или нет.
Спасибо сказали:
NickLion
Сообщения: 3408
Статус: аватар-невидимка
ОС: openSUSE Tumbleweed x86_64

Re: Изоляция Virtualbox

Сообщение NickLion »

sa1mon писал(а):
13.11.2015 09:41
Клиент, подключивший к ВМ (например с IP 123.456.7.8) может ли каким нибудь образом попасть на соседнюю ВМ ? Или же выйти на базовую ОС сервера?

Нет, если нет багов. Виртуальные машины изолированы как друг от друга, так и от хоста. Но при наличии багов в системе виртуализации — да (изредка находятся проблемы и пишутся эксплоиты).

sa1mon писал(а):
13.11.2015 09:41
Если это можно, то как запретить такую ситуацию. Что бы клиент мог работать на строго выделенной для него ВМ и к остальным не имел доступ.

Проверять и устанавливать оновления безопасности.

Ну, и да, проблемы аппаратные тоже могут быть, не только программные, например, RowHammer:
https://www.opennet.ru/opennews/art.shtml?num=41340
https://www.opennet.ru/opennews/art.shtml?num=41817
https://www.opennet.ru/opennews/art.shtml?num=42730
Спасибо сказали: