[gelöst] Virtualbox - Guest Debian 11.2 Bullseye - Netzwerkverbindung verhindern

[AxelMD]

Hallo Forum,

wie kann ich zuverlässig ein Debian 11 in Virtualbox installieren und Netzwerkverbindungen verhindern?
Die Netzwerk-Einstellungen von Virtualbox sind mir bekannt (Netzwerkkarte deaktiviere)

Die Einstellungen sollen in der VM debian11.vdi vorgenommen werden.
D. h. ich nehme die debian11.vdi in ein anderes System, Netzwerkverbindungen sind trotzdem nicht möglich (unabhängig von den Virtualboxeinstellungen)?
Das System soll von Internet völlig abgeschottet arbeiten.

Welche Netzwerkomponenten sind zu deinstallieren?



MfG

AxelMD

[bluestar]

Welche Netzwerkomponenten sind zu deinstallieren?

Du kannst dir einen eigenen Kernel bauen und dabei sämtliche Netzwerkkartentreiber deaktivieren oder einfach die Netzwerkkarte in /etc/network/interfaces nicht konfigurieren.

[AxelMD]

Netzwerkkarte in /etc/network/interfaces

Genügt es die Datei umzubenennen?

Einen eigenen Kernel möchte ich nicht bauen und nutzen.

[willy4711]

Die Einstellungen für die jeweilige VM sind nicht in der *.vdi -Datei sondern in der *.vbox - Datei gespeichert.
Wenn du die VM in ein anderes System (Ich gehe mal davon aus, das hat auch Virtualbox installiert) importierst,
importierst du die *.vbox Datei, in der auch der Verweis auf das Image ist.

Willst du nur das Image Importieren, musst du halt die Einstellungen in der neuen Umgebung anpassen.
Ich weiß daher nicht genau, wo dein Problem ist.

[MSfree]

wie kann ich zuverlässig ein Debian 11 in Virtualbox installieren und Netzwerkverbindungen verhindern?
Die Netzwerk-Einstellungen von Virtualbox sind mir bekannt (Netzwerkkarte deaktiviere)

Richtig, und das ist auch die einzige Method, um Netzwerkverbindungen zuverlässig zu unterbinden. Ein netzloser Kernel kann ersetzt und dann doch wieder netzwerkfähig gemacht werden. Eine leere /etc/network/interfaces bringt gar nichts, denn seit systemd wird dann das Netz automatisch mit systemd/networkd konfiguriert.

[AxelMD]

Bluestar hat es verstanden.

Fast 100% abgeschottetes System möchte ich, das fehlbedienungssicher.

So wie ein PC ohne Netzwerkkarte im Keller oder sonstwo.

Ein netzloser Kernel kann ersetzt und dann doch wieder netzwerkfähig gemacht werden.

@MSfree
Welches Vorgehen empfiehlst Du?

[willy4711]

Fast 100% abgeschottetes System möchte ich, das Fehlbedienungssicher.

So wie ein PC ohne Netzwerkkarte im Keller oder sonstwo.

Meinst du, das die VM von sich aus die *vbox - Datei durch irgendwelche Manipulationen ändern kann ?
Während der Laufzeit geht das eh nicht.

[AxelMD]

*vbox - Datei durch irgendwelche Manipulationen ändern kann ?

Nein, aber ich bin dabei oder evtl. Sonstwer noch.
Ein Haken ist schnell gesetzt.

Es soll sein wie ein PC ohne Netzwerkkabel!
"evtl. Sonstwer" hat kein Kabel.

Stecker raus ist immer am sichersten.

[MSfree]

Stecker raus ist immer am sichersten.

Nur so lange, bis "sonstwer" kommt und das Kabel wieder reinsteckt. Du kannst also weder verhindern, daß "sonstwer" das Häkchen in Vbox setzt, das das Netzwerk aktiviert, noch kannst du verhindern, das bei einem Linux ohne Netzwerkkonfiguration "sonstwer" das Netzwerk doch einrichtet.

[willy4711]

Du kannst dir ja mal diesen Artikel durchlesen und damit experimentieren:
https://forums.virtualbox.org/viewtopic.php?f=5&t=58724
Da kann man anscheinend zumindest die GUI schützen.

Aber letztendlich kannst du nicht verhindern, das jemand an der *.vbox - Datei manipuliert.

[AxelMD]

Nur so lange, bis "sonstwer" kommt und das Kabel wieder reinsteckt. Du kannst also weder verhindern, daß "sonstwer" das Häkchen in Vbox setzt, das das Netzwerk aktiviert, noch kannst du verhindern, das bei einem Linux ohne Netzwerkkonfiguration "sonstwer" das Netzwerk doch einrichtet.

Bei der Hardware könnte ich den Port dauerhaft verschließen.

Wie löse ich das bei Virtualbox, bzw. bei dem Debian Guest?

Gibt es eine Source für netzwerkunfähige Debian Kernel?

[willy4711]

Gibt es eine Source für netzwerkunfähige Debian Kernel?

Hab keine Ahnung von so Klimmzügen. Vergesse aber nicht, dass du für den Guest auch noch die Kernel-Haeders brauchst.
Aber eventuell willst du das auch nicht ?

[bluestar]

Gibt es eine Source für netzwerkunfähige Debian Kernel?

Hab keine Ahnung von so Klimmzügen. Vergesse aber nicht, dass du für den Guest auch noch die Kernel-Haeders brauchst.
Aber eventuell willst du das auch nicht ?

Du solltest auf jeden Fall den Kernel auf einer eigenen VM compilieren. Wenn der Kernel-Quellcode in der VM liegt, dann kann jeder eben wieder einen neuen netzwerkfähigen Kernel bauen und deine Mühe ist umsonst.

[ingo2]

Wie wär's denn mit einem ganz unkonventionellen Ansatz:

Bau dein System ganz normal und entferne alles, was ein Netzwerk braucht bzw. bereitstellen kann.
Das ganze dann auf eine bootfähige CD/DVD packen - und fertig?

Ingo

[AxelMD]

Das ist keine Lösung, eine DVD kann nicht direkt geändert werden.

https://www.heise.de/ratgeber/Raspberry ... 46920.html

Bitcoin-Diebe benutzen Würmer, um Anwendern falsche Bitcoin-Adressen unterzuschieben oder um die Schlüssel der Wallets abzugreifen. Indem Sie Transaktionen auf einem Rechner ohne Internetverbindung signieren, nehmen Sie potenziellen Bitcoin-Dieben diese Angriffsmöglichkeit.

Das wollte ich ausprobieren, den Raspberry soll eine VM ersetzen.

Wie kann man die Netzwerkfähigkeit aus einem Kernel entfernen?

[bluestar]

Das ist keine Lösung, eine DVD kann nicht direkt geändert werden.

Wie wäre es, wenn du den Sinn deiner netzwerklosen VM mal erläutern würdest, das würde bei der Suche nach Lösungsansätzen helfen.

[willy4711]

Du könntest die VM ja verschlüsseln.
Dann hättest du exklusiven Zugriff. Wenn du den Haken bei der Netzwerkverbindung nicht vorher kontrollierst, kann man dir auch nicht weiterhelfen.

[AxelMD]

Klärung siehe zuvor

[bluestar]

Das ist keine Lösung, eine DVD kann nicht direkt geändert werden.

https://www.heise.de/ratgeber/Raspberry ... 46920.html

Bitcoin-Diebe benutzen Würmer, um Anwendern falsche Bitcoin-Adressen unterzuschieben oder um die Schlüssel der Wallets abzugreifen. Indem Sie Transaktionen auf einem Rechner ohne Internetverbindung signieren, nehmen Sie potenziellen Bitcoin-Dieben diese Angriffsmöglichkeit.

Das wollte ich ausprobieren, den Raspberry soll eine VM ersetzen.

Eine VM führt den Ansatz ad absurdum, wenn der Host einen Internetanschluss hat, dann KANN die Sicherheit in VM nicht höher sein als auf dem Host. Wird der Host kompromittiert, so musst du deine Offline-VM auch als kompromittiert betrachten.

[AxelMD]

Eine VM führt den Ansatz ad absurdum, wenn der Host einen Internetanschluss hat, dann KANN die Sicherheit in VM nicht höher sein als auf dem Host. Wird der Host kompromittiert, so musst du deine Offline-VM auch als kompromittiert betrachten.

Danke, das war mir nicht klar, ich denke darüber nach.

[bluestar]

Schau dir mal das Konzept von Qubes OS an.