PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Gedanken zur Absicherung - VM / Host



stehlampe
02.12.09, 13:08
Hallo zusammen!
Ich wollte mal kurz Eure Meinung einholen, vielleicht hat jemand eine Idee oder Gedanken dazu.

Also:
Ein Root-Server im Netz mit einem minimalen Debian 5, VMware und drei Debian Gästen. Der Server als solches dient also nur als Wirt für die VMs und außer ssh werden keine Dienste nach außen bereitgestellt.

Die vier Installationen sind soweit abgesichert (Verschiedene Passwörter, ssh ohne root-Login etc.) und sollten so erstmal keine Probleme machen. Da auf der einen VM aber mehrere Joomla-Instanzen laufen, bin ich nun am überlegen, ob man die anderen VMs bzw. den Host im Falle eines Hacks voneinander "isolieren" kann / sollte, damit nicht alle Installationen betroffen sind wenn so etwas mal passieren sollte.

Oder ist der Gedanke übertrieben und unnötig? Wie würdet ihr damit umgehen?

Stehlampe

citty
02.12.09, 13:25
Naja VMware tut ja genau das was du willst "isolieren".
Wenn jemand deinen VMware-Host hackt hast du natürlich ein Problem da ja die VM's drauf laufen.
Sind Überwachung und Backup einegrichtet?

Für SSH ist es wie dir sicherlich bewusst ist auf jeden Fall empfehlenswerd tools wie z.B. fail2ban zu installien.

lg Citty ;)

stehlampe
02.12.09, 14:13
Naja VMware tut ja genau das was du willst "isolieren".
Wenn jemand deinen VMware-Host hackt hast du natürlich ein Problem da ja die VM's drauf laufen.
Ja, dessen bin ich mir schon bewusst und das sich die drei VMs wie eigenständige Maschinen verhalten. Mein Gedanke ging eher in die Richtung: "Wenn SIE schon mal auf meiner Maschine (in Sinne einer VM) sind, dann ist der Schritt auf die anderen naheliegend". Vielleicht denke ich aber auch zu kompakt.


Sind Überwachung und Backup einegrichtet?
Ja, natürlich! :-)




Für SSH ist es wie dir sicherlich bewusst ist auf jeden Fall empfehlenswerd tolls wie z.B. fail2ban zu installien.

Ja, ist ebenfalls installiert und verrichtet fleißig seinen Dienst...

Stehlampe

psy
02.12.09, 15:58
Ja, dessen bin ich mir schon bewusst und das sich die drei VMs wie eigenständige Maschinen verhalten. Mein Gedanke ging eher in die Richtung: "Wenn SIE schon mal auf meiner Maschine (in Sinne einer VM) sind, dann ist der Schritt auf die anderen naheliegend". Vielleicht denke ich aber auch zu kompakt.

Naja, so lange nur eine VM kompromittiert wird, ist der Ausbruch aus dem Hypervisor eher unrealistisch.
Es gab zwar in der Vergangenheit immer mal wieder Exploits, aber hier gilt halt die Regel: Updates einspielen.

Gruß
psy