Linux за българи: Форуми

Здравейте на всички!
Реших да си инсталирам виртуална машина. Въпроса е каква? Аз съм с Ubuntu Server 10.04 LTS Никога не съм подкарвал никаква виртуалка и се надявах на съвет коя би ми свършила най-добра работа. Чувал съм за XEN, KVM и VMPlayer, но аз лично не правя голяма разлика между тях. Трябва ми виртуална машина която да отговаря на следните изисквания:

1. Да е колкото се може по-трудно евентуален нарушител да се измъкне от виртуалната среда.

2. Да може динамично да прехвърля ресурси от едната операционна към другата процесорно време (мощност) и RAM

3. Да окупира колкото се може по-малко RAM памет.

4. Да се инсталира приемливо лесно. Машината на която ще я инсталирам не е вързана към интернет и не е приемливо инсталацията да иска връзка към него.

5. По възможност виртуалната машина да пази всичко в 1 или няколко файла - така, че всичко да е лесно възстановимо.

Ще съм ви благодарен ако споделите вашият опит!

CentOS+kvm+xen+virt-manager

Бих ти препоръчал KVM. Какви ще бъдат виртуализираните системи?

Документацията на Ubuntu е доста подробна

https://help.ubuntu.com/community/KVM

РОКО_, kvm и xen са две съвсем различни неща, ама съвсем различни, най-малкото философски различен подход към виртуализацията :)

DarkLordTed, до голяма степен зависи какво ще виртуализираш и за какво ще го ползваш и върху какво ще го виртуализираш и как ще ползваш хост системата.

Xen и KVM не са ужасно добра идея ако ползваш хоста като десктоп и искаш просто лесно и бързо да палиш guest-ове, особено не-линукски такива. Не е толкова мързелива работа (libvirtd и съответно GUI неща като virt-manager улесняват нещата, но пак е неудобно). Ако идеята ти е да имаш някаква тестова среда, която не ти трябва през повечето време и не искаш да хабиш много време за глупости си кютай с virtualbox или vmware и не се занимавай с глупости.

От друга страна, ако искаш да виртуализираш линукс върху линукс и да предоставяш услуги, държиш на висок uptime, евентуално производителност, xen или kvm са добра идея. Подходът е малко различен обаче. KVM е доста по-щадящ ако случайно ползваш хост системата и като десктоп, няма я тази глупост с boot-ване на hypervisor и евентуално задължително да работиш от някой виртуализиран домейн, примерно привилегирования dom0, да нямаш адекватна видеоподръжка и да имаш бавно USB и всякакви такива прекрасни екстри. Примерно да гледаш филми, да пишеш дискове и флашки, дори youtube да гледаш с xen...абе не че не става, ама може и по-лесно. От друга страна, хубавото нещо на xen е че не е казано че трябва да имаш хардуерна подръжка, има паравиртуализация и е бързо по принцип.

KVM аз лично ползвам от години, вкъщи имам десктоп машина, която е и домашен сървър, с няколко виртуални машини, съответно доизкусуряване с reverse proxy, iptables правила за DNAT, бекъп скриптове и тем подобни глупости. Ако имаш нова машинка и повече RAM, KVM върши идеална работа за нещо такова. Върши работа и за по-сериозни неща разбира се, но специално за такъв случай върши идеална работа.

Що се отнася до сигурността, моделът на KVM е леко flawed, бъгове има все още доста и затова винаги ще има повече проблеми в това отношение, в сравнение с xen. От друга страна, на практика, ескалирането на привилегиите от guest до хост е ужасно сложна тарапана и само човек, който наистина знае какво прави, би могъл да създаде проблеми. И няма много хора, които знаят наистина какво правят и да има, надали са умрели да ти вгорчават живота.

РОКО_, kvm и xen са две съвсем различни неща, ама съвсем различни, най-малкото философски различен подход към виртуализацията :)

DarkLordTed, до голяма степен зависи какво ще виртуализираш и за какво ще го ползваш и върху какво ще го виртуализираш и как ще ползваш хост системата.

Xen и KVM не са ужасно добра идея ако ползваш хоста като десктоп и искаш просто лесно и бързо да палиш guest-ове, особено не-линукски такива. Не е толкова мързелива работа (libvirtd и съответно GUI неща като virt-manager улесняват нещата, но пак е неудобно). Ако идеята ти е да имаш някаква тестова среда, която не ти трябва през повечето време и не искаш да хабиш много време за глупости си кютай с virtualbox или vmware и не се занимавай с глупости.

От друга страна, ако искаш да виртуализираш линукс върху линукс и да предоставяш услуги, държиш на висок uptime, евентуално производителност, xen или kvm са добра идея. Подходът е малко различен обаче. KVM е доста по-щадящ ако случайно ползваш хост системата и като десктоп, няма я тази глупост с boot-ване на hypervisor и евентуално задължително да работиш от някой виртуализиран домейн, примерно привилегирования dom0, да нямаш адекватна видеоподръжка и да имаш бавно USB и всякакви такива прекрасни екстри. Примерно да гледаш филми, да пишеш дискове и флашки, дори youtube да гледаш с xen...абе не че не става, ама може и по-лесно. От друга страна, хубавото нещо на xen е че не е казано че трябва да имаш хардуерна подръжка, има паравиртуализация и е бързо по принцип.

KVM аз лично ползвам от години, вкъщи имам десктоп машина, която е и домашен сървър, с няколко виртуални машини, съответно доизкусуряване с reverse proxy, iptables правила за DNAT, бекъп скриптове и тем подобни глупости. Ако имаш нова машинка и повече RAM, KVM върши идеална работа за нещо такова. Върши работа и за по-сериозни неща разбира се, но специално за такъв случай върши идеална работа.

Що се отнася до сигурността, моделът на KVM е леко flawed, бъгове има все още доста и затова винаги ще има повече проблеми в това отношение, в сравнение с xen. От друга страна, на практика, ескалирането на привилегиите от guest до хост е ужасно сложна тарапана и само човек, който наистина знае какво прави, би могъл да създаде проблеми. И няма много хора, които знаят наистина какво правят и да има, надали са умрели да ти вгорчават живота.

Знам че са различни, общото е че работят с virt-manager, просто му ги написах като вариант кой виртуализиращ софтуер.

В една тема която беше пусната с друга цел но все повече започва да прилича на тази тук ми предложиха OpenVZ като алтернативен вариант. Някой ползвал ли го е. Какво ви е мнението за него? Целта ми е основно да си защитя на системата. Така, че OpenVZ също е въриант ми се струва.

Пробвах го, там си ограничен във версиите на ядрото което поддържа (тогава когато го пробвах). Ако не те притеснява това работи с него. Дали има предимства и недостатъци пред другите не мога да кажа.

@DarkLordTed Дадох ти линк към сайта на OpenVZ запознай се с принципите му. Както ти казах прилича на jail-a който искаше да правиш, но имаш предимства. Разгледай тук: http://wiki.openvz.org/Introduction_to_virtualization ($2) частта "Virtualization on the OS level, a.k.a. containers virtualization".

@dejuren Да зависи от ядрото, принципа е различен просто. Ако искаш разгледай тази документация да видиш защо е така.

@borovaka Грешно си ме разбрал - това, че искам още мнения не значи, че не съм започнал да чета по въпроса. Доколкото схванах е нещо като виртуална машина която използва chrooting за разделянето на отделни (виртуални) контейнери. Работи само под Линукс прилично бърз е и има пълно преливане на ресурсите включително мястото на HDD-то което е в плюс. До тук ok, но лично мен ме притеснява това за chrooting-а. Затова и питам други хора за него - надявам се някой да ми каже, че нещо не съм разбрал правилно. В смисъл аз се надявах да имам 2 независими метода виртуална машина и chroot jail в нея. Сега имам опасения, че няма да се получи с OpenVZ.

@DarkLordTed Защо да не се получи? Инсталираш си OS под openvz, после пускаш chroot от нея ...

От една страна бях останал с впечатление, че в една система мога да имам само един chroot jali. От друга концептуално нещо ми куца. Аз се опитвам да комбинирам различни методи за изолиране на дадена част от сървъра. Ако ползвам chroot контейнер и в него chroot jail не се ли получава 2 пъти едно и също и какъв е смисъла ако е така. Не съм достатъчно наясно с тази материя и ще трябва още да попрочета явно.

@DarkLordTed ти някак твърде сериозно си се вторачил в "изолиране, изолиране и пак изолиране" до степен да ти се превръща в идея фикс. Имай все пак предвид, че да ти пробият виртуална машина не е много по-различно от да ти пробият "реална". В смисъл главоболията след това са от един и същи порядък. Факта, че виртуалния сървър е пробит съвсем не премахва задачите по преинсталация и въстановяване на услугата, която е работела там. Същото важи и за jail. В няколко думи - първо си направи оценка на риска, след това си подбери технология, която го прави допустим. Подчертавам - допустим, не свръх-супер минимален, или нулев. Такова животно като нулев риск няма.

@dejuren Абе не е баш така с виртуалните машини. В смисъл ако се прави някакъв backup при проблем единствено трябва едно копие и пускане на ново (то и при реална е подобно де, ама главоболията са по-големи).

@dejuren Абе не е баш така с виртуалните машини. В смисъл ако се прави някакъв backup при проблем единствено трябва едно копие и пускане на ново (то и при реална е подобно де, ама главоболията са по-големи).

Да, не е баш така, ама почти. При положение, че не знаеш кой бекъп е читав, и кой вече е с вкаран рут-кит се връщаме пак в началната точка. Ако хакерът ти каже кога го е работил вярно става по-лесно ;)

Да попитам пак дали правилно съм разбрал. Четох за XEN и за KVM и пишеше, че KVM работил ужасяващо бавно ако хардуера няма VT-x, а за XEN даже май казват, че не може да работи без VT-x. Други казват, че можел но "допускал грешки". Вярно ли е това защото аз съм със старички машинки и нямам VT-x. От друга страна @gat3way е писал: "От друга страна, хубавото нещо на xen е че не е казано че трябва да имаш хардуерна подръжка, има паравиртуализация и е бързо по принцип" А аз него много го уважавам защото когато се е изказал винаги е било компетентно. Та да попитам пак XEN маже ли или не без VT-x? Ааа и понеже сега видях, че не съм отговорил на запитването за какво точно ми трябва. Ами да, трябва ми с цел предоставяне на услуга, но в началото ще се ползва като развойна среда само. Така или иначе си се екипира както си трябва. Няма да има графична среда на сървъра, няма да се ползва USB и нищо друго освен CPU, HDD, RAM и LAN.

А по въпроса за това дали е същото като да ти пробият реален сървър - ми не бих казал. @dejuren - Ако имам повече от един физически сървъри да - би било подобно, но сега съвсем не е така. Ако падне (бъде пробит) виртуален сървър единственото което би останало след новото замазване са данните от БД. В тях rootkit няма как да има. А и промяна която да е груба и манипулативна ще се изчисти за нула време. останалото би могло да се замаже за под 30 мин. и то автоматично. Ако е реален (само един) това няма как да стане. Ще трябва сам да си го чегъртам. Поне аз така виждам нещата. Не е проблема в това да се пробие - разбира, се че може. Тук въпроса е до ресурси. Ако за да пробие на хакера му трябват дори само 5 дена. А за да се замажат нещата на мен ми трябват 5 мин. чудесно нека пробива. Той няма да спечели нито стотинка от това, че е пробил - само ще си е загубил времето. Щом го влече - нека.

Добре, добре преди няколко минути и сам си открих отговора на въпроса - извинете за спама. Да попитам нещо друго - има ли начин между 2 виртуални Убинту-та под XEN на едното от които има Apache, а на другото MySQL комуникацията Apache <-> MySQL да минава като loopback, а не като между две отделни системи. Още един въпрос - прочетох, че за да работи на XEN без VT-x трябвало драйверите и самата операционна система на която се инсталира да е "модифицирана" каквото и да значи това. Въпроса ми е той ли я модифицира или е специална версия? И още ако подкарам selinux това ще се отрази ли? Не се смейте много ако бях работил на Линукс нямаше да питам особено в секцията за начинаещи!

А по въпроса за това дали е същото като да ти пробият реален сървър - ми не бих казал. @dejuren - Ако имам повече от един физически сървъри да - би било подобно, но сега съвсем не е така. Ако падне (бъде пробит) виртуален сървър единственото което би останало след новото замазване са данните от БД. В тях rootkit няма как да има. А и промяна която да е груба и манипулативна ще се изчисти за нула време. останалото би могло да се замаже за под 30 мин. и то автоматично. Ако е реален (само един) това няма как да стане. Ще трябва сам да си го чегъртам. Поне аз така виждам нещата. Не е проблема в това да се пробие - разбира, се че може. Тук въпроса е до ресурси. Ако за да пробие на хакера му трябват дори само 5 дена. А за да се замажат нещата на мен ми трябват 5 мин. чудесно нека пробива. Той няма да спечели нито стотинка от това, че е пробил - само ще си е загубил времето. Щом го влече - нека.

Надявам все все пак за твое добро да не "замазваш" нещата, защото не се знае под кой храст се крие зомбайо ;) И най-добре да не ти се наложи. Но ако ти се наложи и погледнеш нещата в тази светлина: някой любопитен хакер ти е хакнал виртуална машина, свързана в същата мрежа както и физическия ти сървър, с друг IP, но буквално на същия кабел и порт.... "замазването" за 5 минути само на ВМ може вече да не ти се струва достатъчно. Също така 5 дни пробиване + 55 дни ползване - 5 минути замазване = сметката плащаш ти. Имам и други аргументи, но мисля че ще ме разбереш.

Ами ти сам си дал отговора какво е възможно да направиш:

....Вярно ли е това защото аз съм със старички машинки и нямам VT-x....... Няма да има графична среда на сървъра, няма да се ползва USB и нищо друго освен CPU, HDD, RAM и LAN......

Казва се VirtualBox (почти като VMware) и въпреки че не е най-идеалната система за виртуализация при CPU без VT и най вероятно с 1-2 ядра може и да се окаже и по-бързо от KVM или XEN.
Лично моето мнение е че за паравиртуализация си трябва
1. хардуер
2. хардуер
3. по-як хардуер
А като нямаш ИСТИНСКА СЪРВЕРНА машина (поне 4 XEON , поне 256GB RAM и поне два дискови масива) просто не си губи времето.

Паравиртуализацията е за истински сървери или за спорта. На малки машинки по-добре VBox или VMware - лесно се настройват, от графичен интерфейс или 2-3 реда скрипт. Работят на всичко. Възстановяват се за секунди включително и автоматично. Разпределянето на ресурсите от всякъкъв вид става елементарно. Срива дори на всички вирт.машини не влияе на истинската система. Достъпа е контролируем ако щеш и с DNK тест.

Но най-важното - на твоя процесор няма смисъл да му трошиш транзисторчетата с непосилни задачи като KVM/XEN.

@dejuren има известна логика в аргументите ти, но за 55-те дни не съм съгласен - Логиката ми е нещата да се направят така, че усилията да се пробие системата да не си заслужават това което ще получиш когато я пробиеш. Тоест да не е рентабилно. Пак казвам ако иска нека я пробива - щом си няма работа. Едно време се занимавах малко с подобни неща, но в един момент пораснах и осъзнах, че докато някои се правят на велики хакери и вирусописачи други правят луди пари на техен гръб от антивирусни програми и прочие защитен софтуер. Сега вече работя само градивно за да създавам неща от които другите имат нужда. И смятам, че най-добрият начин да се откаже един хакер е като осъзнае, че ДА хакнал е системата - и какво тоя е хакнал, а аз ще я оправя и на кого ще платят? Освен това идеята си я бях изложил и преди - ако имам реална система на която имам 2 виртуални - на едната Apache, на другата MySQL и всяка от трите е с selinux и всеки от двата сървъра (Apache, MySQL) работи в chroot jail, а на реалната машина нямам пуснати услуги и достъпа до нея се извършва само през физически отделен интерфейс какво значение ще има това, че ще е стигнал евентуално до пробив на едната виртуална. Ще се озове в jail даже и в рамките на виртуалната. Колко бързо ще се разбере, че има проблем зависи само и единствено от това на колко време ми е нагласен крона на реалната да сканира виртуалните за промени. Пак казвам единствено базата данни може да се променя на тези системи. С един бит да се различава нещо друго значи се вдига тревога и се преинсталират виртуалните системи с нови пароли и се почва търсенето на уязвимост. И какво ще стане ако все пак някак успее да пробие - ами нищо особено - ще преинсталирам всичко и дори да има малка загуба на данни няма да е съществена (бекъпи на отдалечена машина се правят много често). Все пак това не са масивите на пентагона. Та затова казвам щом го влече - нека - той си губи времето - не аз. При мен когато всичко е готово ще му направя image и даже няма да си играя да го мъча със скриптовете които си пиша сега. Това е само ако реша да се местя на друга машина.

//извън темата: Имам чувството, че някой ти тормози машината, ти му пишеш тук и се надяваш той да го прочете. Човече-кракер, дето тормозиш машината на DarkLordTed, пиши му едно ЛС и се уговорете как да си кореспондирате! Моля!