Come garantire che gli ospiti di VirtualBox non possano uscire dal vm per ottenere l'accesso al computer host? [duplicare]

10

es. su Ubuntu / Fedora - se ho VirtualBox installato e sto eseguendo guest in esso, allora come posso rendere più difficile per un utente malintenzionato ottenere l'accesso all'host VirtualBox dai guest di VirtualBox?

ad esempio:
 - Se impostiamo la scheda di rete NAT in Vbox, il guest di Vbox non può vedere l'host di Vbox nella sua rete, in Layer3 & Layer2, evviva!

  • Esegui VirtualBox con un altro utente?
posta LanceBaynes 25.05.2011 - 17:20
fonte

1 risposta

9

Ecco alcuni passaggi fondamentali che seguo quando eseguo il test in un ambiente virtuale.

Fase uno: utilizza un sistema operativo diverso da quello che viene virtualizzato. Se stai usando macchine virtuali Linux, usa l'installazione di Windows VirtualBox. Nota: non ho mai visto prove reali che questo aiuti, ma l'ho sempre fatto semplicemente per stare dalla parte della sicurezza.

Passaggio due: Non ho molta esperienza con VirtaulBox in particolare con questo, ma assicurati di disabilitare qualsiasi directory condivisa host / client, non installare VirtualBox Additions sull'host e configurare qualsiasi altra opzione disponibile che aiuti a segregare / sandbox la macchina virtuale.

Passaggio tre: imposta correttamente la tua rete. Assicurarsi che, come minimo, la sottorete dell'host e la sottorete della VM siano segmentati. Per segmentazione intendo che si tratta di sicurezza e controlli tra le due reti (ad esempio firewall, acl, ecc ...). Si può anche prendere il problema fino a non mettere in rete in modo persistente la macchina host; Configurare una scheda NIC come gestione che non è collegata fino a quando non è necessario effettuare un'interfaccia effettiva con l'hypervisor e connettere le VM attraverso altre NIC.

Questo è abbastanza universale per qualsiasi ambiente virtuale. Qualcos'altro che vorrei fare è un exploit di ricerca su VirtualBox. Riesci a trovare exploit che ti consentono di dosare l'host tramite l'ospite? exploit che ti permettono di entrare in un terminale / console host? eccetera? Se trovi questi exploit, configura l'ambiente virtuale "hardened" e poi provalo; vedi se funzionano.

Il resto dipende tutto da cosa vuoi fare con la macchina. Se vuoi solo che sia il più sicuro possibile, la maggior parte del lavoro sarà sul lato ospite del puzzle, assicurandoti che il sistema operativo sia sicuro. Se si desidera creare un laboratorio per la verifica delle penne, questi passaggi dovrebbero lasciarti in un buon posto per iniziare a mettere insieme alcuni scenari. Se vuoi dirci a cosa stavi pensando in particolare, possiamo darti un altro aiuto.

    
risposta data 25.05.2011 - 21:57
fonte

Leggi altre domande sui tag