Dienste in VMs isolieren?

Alle weiteren Dienste, die nicht in die drei oberen Foren gehören.
Benutzeravatar
Zelda
Beiträge: 17
Registriert: 28.12.2017 10:36:20

Re: Dienste in VMs isolieren?

Beitrag von Zelda » 31.12.2017 12:10:55

bluestar hat geschrieben: ↑ zum Beitrag ↑
30.12.2017 14:53:34
Ich kann dich die Nutzung von LXC nur empfehlen, wir haben in den letzten 6 Monaten rund 50 KVM-VMs komplett durch LXC-Container ersetzt und sparen damit doch eine ganze Menge an Resourcen. Wenn du das Ganze noch auf ZFS einsetzt, dann reduzierst du den administrativen Aufwand merklich.
Darf ich Fragen wie das mit dem Punkt Sicherheit aussieht? Wie stark ist die Isolierung und die Gefahr eines Ausbruchs aus dem Container? Und wie verhält es sich mit der Performance verglichen zu einer kompletten VM die emuliert/paravirtualisiert ist?
Denn LXC sieht wirklich sehr interessant aus, ich werde es wohl mal ausprobieren, und wenn es gut läuft auch dabei bleiben :)
Mit freundlichen Grüßen
Zelda, Princess of Hyrule

Benutzeravatar
bluestar
Beiträge: 2334
Registriert: 26.10.2004 11:16:34
Wohnort: Rhein-Main-Gebiet

Re: Dienste in VMs isolieren?

Beitrag von bluestar » 31.12.2017 12:42:18

Zelda hat geschrieben: ↑ zum Beitrag ↑
31.12.2017 12:10:55
Darf ich Fragen wie das mit dem Punkt Sicherheit aussieht? Wie stark ist die Isolierung und die Gefahr eines Ausbruchs aus dem Container?
Wir serten ausschließlich unpriviligierte Container ein und nutzen pro Container einen eigenen User-ID-Bereich auf dem Host. Das heißt im Ausbruchsfalle würde max. ein normaler User-Account auf dem Host kompromitiert werden.
Zelda hat geschrieben: ↑ zum Beitrag ↑
31.12.2017 12:10:55
Und wie verhält es sich mit der Performance verglichen zu einer kompletten VM die emuliert/paravirtualisiert ist?
Die Performance von LXC ist „fast“ mit dem Hostsystem identisch, mit Virtualisierung hast du einen deutlich größeren Performanceverlust.

Benutzeravatar
Zelda
Beiträge: 17
Registriert: 28.12.2017 10:36:20

Re: Dienste in VMs isolieren?

Beitrag von Zelda » 31.12.2017 13:55:57

Vielen Dank, LXC klingt wirklich spannend und interessant. Ich werde es mal ausprobieren und etwas damit herumspielen. :)

Noch eine Frage: Hast du auch Erfahrungen mit LXD sammeln können? Worin liegen überhaupt die Unterschiede zwischen LXC und LXD?
Mit freundlichen Grüßen
Zelda, Princess of Hyrule

Benutzeravatar
bluestar
Beiträge: 2334
Registriert: 26.10.2004 11:16:34
Wohnort: Rhein-Main-Gebiet

Re: Dienste in VMs isolieren?

Beitrag von bluestar » 01.01.2018 11:57:53

Zelda hat geschrieben: ↑ zum Beitrag ↑
31.12.2017 13:55:57
Hast du auch Erfahrungen mit LXD sammeln können? Worin liegen überhaupt die Unterschiede zwischen LXC und LXD?
Noch haben wir mit LXD keine Erfahrungen.

breakthewall
Beiträge: 507
Registriert: 30.12.2016 23:48:51

Re: Dienste in VMs isolieren?

Beitrag von breakthewall » 02.01.2018 00:20:21

Nun wenn man allen Ernstes, jeden Systemdienst in eine VM packen will, dann wird das ausserordentlich kostspielig hinsichtlich der Hardware. Und nebenbei lohnt sich das nicht ansatzweise, oder besser gesagt gibt es keine Belege darüber, dass VMs sicherer wären als Containerlösungen. An und für sich ist es eine Glaubens -bzw. Geschmacksfrage, was nun als besser empfunden wird. Und egal wie man es nimmt, alle Lösungen können Sicherheitslücken haben, da sind auch VMs nicht davon ausgenommen.

Würde dir empfehlen dies auf Basis von Systemd zutun, zumal Systemd bereits alles mitbringt um Programme bzw. Systemdienste zu isolieren. Ist insbesondere für Anfänger bedeutend einfacher, und sehr fein einstellbar hinsichtlich der Restriktionen.

Doch vergessen sollte man auch niemals, dass das jeweils nur eine Schutzschicht darstellt, und echte Sicherheit stets aus mehreren Schutzschichten besteht. Sprich, man kann zusätzlich noch SELinux, AppArmor und anderweitiges nutzen. Die Mischung aus Sicherheitstechniken macht den Unterschied aus, zumal es eher unwahrscheinlich ist, dass alle Maßnahmen zeitgleich versagen.

Alternativ sofern Systemd nicht vorhanden ist, kann man ebenso auch LXC/LXD nutzen, oder auch bspw. Firejail um Systemdienste zu isolieren. Alles eine Frage was einem besser gefällt. Die Lösungen basieren ohnehin großteils auf denselben Kernel-Techniken.

dufty2
Beiträge: 1709
Registriert: 22.12.2013 16:41:16

Re: Dienste in VMs isolieren?

Beitrag von dufty2 » 02.01.2018 10:21:41

Huch!
In meinen bescheidenen Un-wissen werden virtuelle Maschine generell sicherer eingestuft als z. B. container.
Grund dafür ist, dass die Virtualisierung bei entsprechender CPUs (also z. B. nicht ATOMs ;) hardware-maessig unterstützt wird (Stichwort: vt-d).
Joanna Rutkowska (of Qubes fame) hat da mal ein Bildchen dazu gemacht, was ich leider derzeit nicht mehr finde ;)

scientific
Beiträge: 3020
Registriert: 03.11.2009 13:45:23
Lizenz eigener Beiträge: Artistic Lizenz
Kontaktdaten:

Re: Dienste in VMs isolieren?

Beitrag von scientific » 02.01.2018 12:31:14

Ich würd jetzt auch mal zur Abschottung mittels systemd neigen. Hab da unlãngst entdeckt, dass der firejailartig Dienste für Zugriffe auf Dateisystem und andere Ressourcen sehr restriktiv abschotten kann.

https://www.freedesktop.org/software/s ... .exec.html
Lies mal bei Capabilities und Protect* nach.

systemd kann da mittlerweile echt viel.

Musst aber gegenchecken, ob die Infos von freedesktop.org mit deinem systemd übereinstimmen.

Alternativ natürlich (die bessere Variante)

Code: Alles auswählen

 man systemd.exec
Lg scientific
dann putze ich hier mal nur...

Eine Auswahl meiner Skripte und systemd-units.
https://github.com/xundeenergie

auch als Debian-Repo für Testing einbindbar:
deb http://debian.xundeenergie.at/xundeenergie testing main

Benutzeravatar
Zelda
Beiträge: 17
Registriert: 28.12.2017 10:36:20

Re: Dienste in VMs isolieren?

Beitrag von Zelda » 03.01.2018 13:10:30

Hallo,

vielen Dank für die ganzen Antworten! Ich habe mir mal die verschiedenen Virtualisierungs- und Containertechniken angeschaut und werde wohl nicht jeden einzelnen Dienst isolieren. Ich werde wohl eher zu Docker oder Systemd tendieren, muss ich schauen.

Jedenfalls vielen Dank für eure großzügige Hilfe :)
Mit freundlichen Grüßen
Zelda, Princess of Hyrule

Benutzeravatar
Lord_Carlos
Beiträge: 5578
Registriert: 30.04.2006 17:58:52
Lizenz eigener Beiträge: GNU Free Documentation License
Wohnort: Dänemark

Re: Dienste in VMs isolieren?

Beitrag von Lord_Carlos » 03.01.2018 13:38:34

I benutzte auch docker fuer einige kleine Services im Privaten bereicht.
Aber eher weil es angenehmer ist, und nicht wegen der Sicherheit.

Aber man muss viele neue Befehle lernen, und wenn man das nur ab und zu macht vergesse ich die schnell wieder :P Mir gefaellt es. Alleine fuer die Erfahrung lohnt es sich docker mal anzugucken.

Interessant waere vielleicht noch vor wem du dich schuetzten willst. Grosser unterschied ob ein script alle ports in deiner IP durchsucht und zufaellige passwoerter ausprobiert. Oder ob jemand die Ressourcen hat bei dir unbeobachtet einzubrechen und dein Kernel/Bios/UEFI manipuliert.

Code: Alles auswählen

╔═╗┬ ┬┌─┐┌┬┐┌─┐┌┬┐╔╦╗
╚═╗└┬┘└─┐ │ ├┤ │││ ║║
╚═╝ ┴ └─┘ ┴ └─┘┴ ┴═╩╝ rockt das Forum!

Benutzeravatar
Zelda
Beiträge: 17
Registriert: 28.12.2017 10:36:20

Re: Dienste in VMs isolieren?

Beitrag von Zelda » 03.01.2018 13:46:20

Lord_Carlos hat geschrieben: ↑ zum Beitrag ↑
03.01.2018 13:38:34
Interessant waere vielleicht noch vor wem du dich schuetzten willst.
Jeder darf mich gerne paranoid oder ähnliches nennen, aber ich tendiere immer dazu alles so sicher wie nur möglich zu machen. Ich weiß selbst dass es 100%ige Sicherheit nie geben wird, aber solange man die Möglichkeiten hat es potenziellen Angreifen so schwierig wie möglich zu machen dann sollte man sie schon nutzen wie ich finde.
Mit freundlichen Grüßen
Zelda, Princess of Hyrule

Benutzeravatar
jph
Beiträge: 1049
Registriert: 06.12.2015 15:06:07
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: Greven/Westf.

Re: Dienste in VMs isolieren?

Beitrag von jph » 03.01.2018 14:30:17

Zelda hat geschrieben:
Lord_Carlos hat geschrieben: ↑ zum Beitrag ↑
03.01.2018 13:38:34
Interessant waere vielleicht noch vor wem du dich schuetzten willst.
Jeder darf mich gerne paranoid oder ähnliches nennen, aber ich tendiere immer dazu alles so sicher wie nur möglich zu machen. Ich weiß selbst dass es 100%ige Sicherheit nie geben wird, aber solange man die Möglichkeiten hat es potenziellen Angreifen so schwierig wie möglich zu machen dann sollte man sie schon nutzen wie ich finde.
Darauf zielte die Frage, denke ich. Um dich schützen zu können, musst eine Vorstellung der Angriffe bzw. der Angreifer haben.

Benutzeravatar
Lord_Carlos
Beiträge: 5578
Registriert: 30.04.2006 17:58:52
Lizenz eigener Beiträge: GNU Free Documentation License
Wohnort: Dänemark

Re: Dienste in VMs isolieren?

Beitrag von Lord_Carlos » 03.01.2018 14:37:05

Und je nach Angriffserwartung verteilt man seine Ressourcen.

Dadurch kann man dann besser Entscheiden, oder wir dir Helfen, wie man sich entsprechend Schuetzt.

Code: Alles auswählen

╔═╗┬ ┬┌─┐┌┬┐┌─┐┌┬┐╔╦╗
╚═╗└┬┘└─┐ │ ├┤ │││ ║║
╚═╝ ┴ └─┘ ┴ └─┘┴ ┴═╩╝ rockt das Forum!

Benutzeravatar
Zelda
Beiträge: 17
Registriert: 28.12.2017 10:36:20

Re: Dienste in VMs isolieren?

Beitrag von Zelda » 03.01.2018 15:27:37

Was das angeht bin ich nicht wirklich erfahren und wäre für irgendwelche Tipps und Vorschläge eurerseits sehr dankbar :)

(Ich bin mir auch nicht sicher ob dieses Thema noch etwas mit dem Ursprungsthema zu tun hat. Falls nicht wäre ich auch über einer PN dankbar!)
Mit freundlichen Grüßen
Zelda, Princess of Hyrule

Benutzeravatar
Lord_Carlos
Beiträge: 5578
Registriert: 30.04.2006 17:58:52
Lizenz eigener Beiträge: GNU Free Documentation License
Wohnort: Dänemark

Re: Dienste in VMs isolieren?

Beitrag von Lord_Carlos » 03.01.2018 15:55:14

Ist es ein kleiner Privater server im Heimnetzwerk auf dem vielleicht ein paar Urlaubsbilder?
Ist es ein klein-firmen Rechner mit Daten die belegen das du Steuern hinterzogen hast?
Hast du Dokumente die belgen das Israel Atomwaffen in U-Booten vor der Kueste Irans in Stellung bringt?

Je nach Situation wuerde ich den Rechner verschieden absiegeln. Z.B. in der Ersten Situation sehe ich wenig Gefahr das es jemand explizit auf dich absieht. Hoechsten mal bekannt (gepatched) Exploits gegen Wordpress oder was auch immer auf deine Ports durchlaufen laesst.

Wenn du jetzt aber den Mossad erpressen willst wueder ich andere Geschuetzte auffahren.
Ich will dich jetzt nicht von VM etc. abhalten. Halte es nur in vielen privaten Situationen fuer Ressourcen "Verschwendung" (Einlesen ins Thema, Wartung) fuer Ressourcenverschwedung. Natuelich total in Ordnung wenn du die Zeit dafuer investieren willst. Docker habe ich mehr oder weniger auch nur im Einsatz weil ich es interessant finde.

Code: Alles auswählen

╔═╗┬ ┬┌─┐┌┬┐┌─┐┌┬┐╔╦╗
╚═╗└┬┘└─┐ │ ├┤ │││ ║║
╚═╝ ┴ └─┘ ┴ └─┘┴ ┴═╩╝ rockt das Forum!

Benutzeravatar
Zelda
Beiträge: 17
Registriert: 28.12.2017 10:36:20

Re: Dienste in VMs isolieren?

Beitrag von Zelda » 03.01.2018 16:15:52

Es handelt sich um einen privaten Server auf dem wesentlich mehr als nur Urlaubsbilder liegen.

Darf ich Fragen welche Sicherheitsstrategie du bevorzugen bzw. nutzen würdest?
Alles zu isolieren bringt zwar keine 100%ige Sicherheit, aber ich weiß auch nicht inwiefern sich das auf die Performance auswirkt. Vielleicht ist es auch mehr "Scheinsicherheit" als wirkliche Sicherheit. In anderen Worten: Vielleicht wirkt es auch nur wie ein Placebo und ist nicht wirklich viel sicherer.

Die Grundsicherung wie z.B. SSH nur mit passwortgeschützen Private Keys zu nutzen gehört natürlich zu meiner "Standardinstallation".
Mit freundlichen Grüßen
Zelda, Princess of Hyrule

Benutzeravatar
bluestar
Beiträge: 2334
Registriert: 26.10.2004 11:16:34
Wohnort: Rhein-Main-Gebiet

Re: Dienste in VMs isolieren?

Beitrag von bluestar » 03.01.2018 16:57:43

Zelda hat geschrieben: ↑ zum Beitrag ↑
28.12.2017 12:22:49
Ein eigener Mailserver soll nicht betrieben werden, es soll eben nur ein kleiner Webserver und eine Datenbank installiert werden, eventuell noch andere kleinere Dienste die nicht wirklich lebenswichtig sind und mehr oder weniger kleinere Spielereien sind.
Zelda hat geschrieben: ↑ zum Beitrag ↑
03.01.2018 16:15:52
Es handelt sich um einen privaten Server auf dem wesentlich mehr als nur Urlaubsbilder liegen.
Wie wäre es denn, wenn du einfach mal konkret auflistest, was du auf deinem Server neben einem Webserver, einer Datenbank und Spielereien wirklich so einsetzt, dann ist es leichter dir Tipps bzgl. der Sicherheit zu geben.

Wir haben beispielsweise immer eine komplette Web-Applikation (Webserver + PHP + Datenbank + msmtp) in einen lxc-container gepackt, so haben wir die max. Flexibilität innerhalb des Containers was Webserver- / PHP-Einstellungen und Versionen / Datenbank-Parameter angeht.

Ein anderes Beispiel - unsere Samba-Fileserver laufen auch jeweils in einem eigenen LXC-Container.

Benutzeravatar
Lord_Carlos
Beiträge: 5578
Registriert: 30.04.2006 17:58:52
Lizenz eigener Beiträge: GNU Free Documentation License
Wohnort: Dänemark

Re: Dienste in VMs isolieren?

Beitrag von Lord_Carlos » 03.01.2018 19:13:45

Zelda hat geschrieben: ↑ zum Beitrag ↑
03.01.2018 16:15:52
Darf ich Fragen welche Sicherheitsstrategie du bevorzugen bzw. nutzen würdest?
Uff, gute Frage.
Ich wollte dich eigentlich nur zum nachdenken anregen wer/was dich potentiel angreifen wuerde.

Ich persoehnlich wuerde es nur in einer WM oder ein oder mehrere Docker container machen.

Code: Alles auswählen

╔═╗┬ ┬┌─┐┌┬┐┌─┐┌┬┐╔╦╗
╚═╗└┬┘└─┐ │ ├┤ │││ ║║
╚═╝ ┴ └─┘ ┴ └─┘┴ ┴═╩╝ rockt das Forum!

Benutzeravatar
jph
Beiträge: 1049
Registriert: 06.12.2015 15:06:07
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: Greven/Westf.

Re: Dienste in VMs isolieren?

Beitrag von jph » 04.01.2018 17:21:26

Zelda hat geschrieben: ↑ zum Beitrag ↑
03.01.2018 16:15:52
Es handelt sich um einen privaten Server auf dem wesentlich mehr als nur Urlaubsbilder liegen.
Ich gebe zwei Anregungen, über die du m.E. vor der technischen Umsetzung nachdenken solltest:
  • Gib nur die Dienste nach außen frei, die du regelmäßig von unterwegs brauchst. Das verkleinert die Angriffsfläche.
  • Überlege dir, welche Daten du regelmäßig von unterwegs brauchst, und mache nur diese verfügbar. Das begrenzt den möglichen Schaden.
Generell hilft es, über Dringlichkeit nachzudenken: alles, was bis zur Heimkehr warten kann, hat m.E. „draußen“ nichts zu suchen.

Antworten